#0108 - Was ist ein Honeypot?

07/26/19 • 6 min

IT Manager Podcast (DE, german) - Aktuelle IT-Themen vorgestellt und diskutiert

Bei einem Honeypot zu deutsch Honigtopf handelt es sich um eine digitale Lockfalle. Das bedeutet, dass sich Honeypots nach außen hin, wie echte Computerprogramme, Serversysteme oder Netzwerke verhalten und verschiedene Dienste und Nutzer simulieren.

Ähnlich wie Bären für Honig schwärmen, läuft Cyberkriminellen beim Anblick dieser unzureichend gesicherten Systeme, Anwendungen und Netzwerke das Wasser im Mund zusammen.

Sobald sie einen Angriff auf die Honeypots starten, erhalten die Administratoren eine Nachricht und die Aufzeichnung der “kriminellen” Aktivitäten beginnt.

Mit Honeypots lassen sich so die Angriffsmuster und Angriffsmethoden protokollieren und analysieren. Außerdem besteht sogar die Chance, dass man die Angreifer identifizieren und verfolgen kann.

Da Honeypots, von den produktiven IT-Systemen und Netzwerken isoliert sind und besonders überwacht werden, kann durch das Eindringen eines Angreifers kein Schaden entstehen.

Um Honeypots einzurichten gibt es in der Praxis serverseitige und clientseitige Technologien.

Beim serverseitigen Honeypotting, werden Angreifer in isolierte Bereiche eines IT-Systems gelockt, um sie so von kritischen Netzwerkkomponenten fernzuhalten. Dazu simuliert ein einfacher Honeypot eine Serveranwendung, die einen oder mehrere Dienste im Netzwerk bereitstellt – beispielsweise einen Webserver. Lässt sich ein Angreifer durch das Ablenkmanöver täuschen und startet einen Versuch in das System einzudringen, zeichnet der Honeypot sämtliche Aktivitäten auf, schlägt Alarm oder leitet Gegenmaßnahmen ein.
Beim clientseitigen Honeypotting wird eine Anwendungssoftware imitiert, die Serverdienste in Anspruch nimmt. Ein Paradebeispiel hierfür ist die Simulation eines Browsers, der gezielt unsichere Webseiten besucht, um Daten über Sicherheitsrisiken zu sammeln. Kommt es auf einer dieser Seiten zu einem Angriff auf den Browser oder Browser-Plug-ins, wird der Vorgang protokolliert.

Grundsätzlich ist das Ziel eines Honeypots, lange unentdeckt zu bleiben und einen Angreifer zu täuschen. Daher ist eines der wichtigsten Kriterien zur Klassifizierung von Honeypots der Grad der Interaktivität mit dem Angreifer.

Man unterscheidet in diesem Zusammenhang sowohl serverseitig als auch clientseitig zwischen Low-Interaction-Honeypots und High-Interaction-Honeypots.

Low-Interaction-Honeypots sind Scheinziele mit einem geringen Grad an Interaktivität. Das bedeutet, dass sie in der Regel auf der Nachahmung realer Systeme oder Anwendungen basieren. Dabei werden Dienste und Funktionen nur soweit simuliert, dass ein Angriff möglich ist.
High-Interaction-Honeypots sind Scheinziele mit einem hohen Grad der Interaktivität. Das bedeutet, dass es sich hierbei um reale Systeme handelt, die Server-Dienste anbieten und daher gut überwacht und abgesichert werden müssen.

Neben diesen beiden Technologien gibt es noch die sogenannte Research-Honeypots und Produktion-Honeypots.

Research-Honeypots werden von Forschungseinrichtungen, Behörden und vom Militär genutzt, um Informationen über neue Angriffsmuster zu sammeln und diese in aufbereiteter Form der Internet-Community zur Verfügung zu stellen.
Production-Honeypots werden in Unternehmen in erster Linie zum Schutz des Firmennetzwerks eingesetzt. Hierzu werden in den Netzwerkbereichen, die im Normalbetrieb nicht angesprochen werden und weder Mitarbeitern noch Kunden Dienste zur Verfügung stellen, digitale Lockfallen installiert.

Durch die fingierten Sicherheitslücken werden die Angreifer so in ein ungenutztes System gelockt und die Zugriffe können als Angriff gewertet, überwacht und analysiert werden.

Wie werden Honeypots nun implementiert?

Um Honeypots einzurichten beziehungsweise zu implementieren haben Administratoren grundsätzlich zwei Möglichkeiten: Entweder wird ein physisches System als Honeypot genutzt oder man implementiert einen Honeypot auf Basis von Virtualisierungs-Software.

Bei einem physischen Honeypot handelt es sich um einen eigenständigen Rechner, der mit eigener Adresse in ein Netzwerk eingebunden wird.
Bei einem virtuellen Honeypot handelt es sich um ein logisches System, dass durch eine Virtualisierungs-Software Ressourcen eines physischen Rechners zugeteilt bekommt.

Fazit:

Sie sehen, ein Honeypot kann, wenn er richtig eingesetzt wird, ein wertvoller Bestandteil eines mehrschichtigen IT Sicherheitskonzeptes sein. Sie sind ein bewährtes Mittel, um Cyberangriffe und Bedrohungen zu erkennen, zu analysieren und entsprechende Schlüsse daraus zu ziehen. Außerdem kann man mit Honeypots Angreifer von echten Serversystemen oder Netzwerken ablenken, ohne sie zu schädigen.

Allerdings muss man bedenken, dass falsch konfigurierte Honeypot-Sicherheitssys...

Kontakt: Ingo Lücker, [email protected]

Ähnlich wie Bären für Honig schwärmen, läuft Cyberkriminellen beim Anblick dieser unzureichend gesicherten Systeme, Anwendungen und Netzwerke das Wasser im Mund zusammen.

Sobald sie einen Angriff auf die Honeypots starten, erhalten die Administratoren eine Nachricht und die Aufzeichnung der “kriminellen” Aktivitäten beginnt.

Mit Honeypots lassen sich so die Angriffsmuster und Angriffsmethoden protokollieren und analysieren. Außerdem besteht sogar die Chance, dass man die Angreifer identifizieren und verfolgen kann.

Da Honeypots, von den produktiven IT-Systemen und Netzwerken isoliert sind und besonders überwacht werden, kann durch das Eindringen eines Angreifers kein Schaden entstehen.

Um Honeypots einzurichten gibt es in der Praxis serverseitige und clientseitige Technologien.

Beim serverseitigen Honeypotting, werden Angreifer in isolierte Bereiche eines IT-Systems gelockt, um sie so von kritischen Netzwerkkomponenten fernzuhalten. Dazu simuliert ein einfacher Honeypot eine Serveranwendung, die einen oder mehrere Dienste im Netzwerk bereitstellt – beispielsweise einen Webserver. Lässt sich ein Angreifer durch das Ablenkmanöver täuschen und startet einen Versuch in das System einzudringen, zeichnet der Honeypot sämtliche Aktivitäten auf, schlägt Alarm oder leitet Gegenmaßnahmen ein.
Beim clientseitigen Honeypotting wird eine Anwendungssoftware imitiert, die Serverdienste in Anspruch nimmt. Ein Paradebeispiel hierfür ist die Simulation eines Browsers, der gezielt unsichere Webseiten besucht, um Daten über Sicherheitsrisiken zu sammeln. Kommt es auf einer dieser Seiten zu einem Angriff auf den Browser oder Browser-Plug-ins, wird der Vorgang protokolliert.

Man unterscheidet in diesem Zusammenhang sowohl serverseitig als auch clientseitig zwischen Low-Interaction-Honeypots und High-Interaction-Honeypots.

Low-Interaction-Honeypots sind Scheinziele mit einem geringen Grad an Interaktivität. Das bedeutet, dass sie in der Regel auf der Nachahmung realer Systeme oder Anwendungen basieren. Dabei werden Dienste und Funktionen nur soweit simuliert, dass ein Angriff möglich ist.
High-Interaction-Honeypots sind Scheinziele mit einem hohen Grad der Interaktivität. Das bedeutet, dass es sich hierbei um reale Systeme handelt, die Server-Dienste anbieten und daher gut überwacht und abgesichert werden müssen.

Neben diesen beiden Technologien gibt es noch die sogenannte Research-Honeypots und Produktion-Honeypots.

Research-Honeypots werden von Forschungseinrichtungen, Behörden und vom Militär genutzt, um Informationen über neue Angriffsmuster zu sammeln und diese in aufbereiteter Form der Internet-Community zur Verfügung zu stellen.
Production-Honeypots werden in Unternehmen in erster Linie zum Schutz des Firmennetzwerks eingesetzt. Hierzu werden in den Netzwerkbereichen, die im Normalbetrieb nicht angesprochen werden und weder Mitarbeitern noch Kunden Dienste zur Verfügung stellen, digitale Lockfallen installiert.

Durch die fingierten Sicherheitslücken werden die Angreifer so in ein ungenutztes System gelockt und die Zugriffe können als Angriff gewertet, überwacht und analysiert werden.

Wie werden Honeypots nun implementiert?

Bei einem physischen Honeypot handelt es sich um einen eigenständigen Rechner, der mit eigener Adresse in ein Netzwerk eingebunden wird.
Bei einem virtuellen Honeypot handelt es sich um ein logisches System, dass durch eine Virtualisierungs-Software Ressourcen eines physischen Rechners zugeteilt bekommt.

Fazit:

Allerdings muss man bedenken, dass falsch konfigurierte Honeypot-Sicherheitssys...

Vorherige Episode

#0107 - Was ist ein Rootkit?

Kontakt: Ingo Lücker, [email protected]

Heute dreht sich alles um das Thema: „Was ist eigentlich ein Rootkit?“

Bei einem Rootkit handelt es sich um eine ganze Sammlung verschiedener Schadprogramme. Diese nisten sich über eine Sicherheitslücke in einen Computer ein und ermöglichen einem Angreifer, den dauerhaft Remote-Access (ferngesteuerten Zugriff) auf den Rechner. Je nachdem, auf welcher Berechtigungsebene sich das Rootkit ausgebreitet hat, kann es dem Angreifer sogar umfassende Administrationsrechte verschaffen, wodurch er die uneingeschränkte Kontrolle über den Rechner erhält.

Da Rootkits in der Lage sind, sich und andere virtuellen Schädlinge zu verstecken, können sie unter anderem Änderungen auf der grundlegendsten Ebene eines Rechners vornehmen, Dateien auszuführen, das System modifizieren und seine Verwendung nachverfolgen. Und das Ganze geschieht natürlich ohne das Wissen des eigentlichen Nutzers. Deswegen werden Rootkits oft auch „Tarnviren“ genannt, obwohl sie per Definition nicht als Viren klassifiziert werden.

Geschichte:

Die ersten Rootkits tauchten in den frühen 90er-Jahren auf. Damals zielten sie noch ausschließlich auf Unix-ähnliche Betriebssysteme wie Linux ab. Aus dieser Zeit stammt auch ihre Bezeichnung: Mit „Root“ wird bei Unix der Administrator bezeichnet, der Wortteil „kit“ bedeutet wiederum so viel wie „Ausrüstung“ oder „Werkzeugkasten“. Ein „Rootkit“ ist also ein Programm, das einem Anwender (berechtigt oder unberechtigt) privilegierten Zugriff auf einen Computer ermöglicht. Einige von Ihnen dringen bis in den Kernel – also den innersten Kern und damit die „Wurzel“ (Englisch: „root“) – des Systems vor und werden von dort aus aktiv.

Wie funktionieren Rootkits eigentlich?

Inzwischen gibt es die verschiedensten Arten von Rootkits. Doch die Funktionsweise der Rootkits und das Vorgehen zur Infiltration eines Systems ist immer noch dieselbe:

Infektion

Zuerst wird ein System infiziert: Das geschieht entweder durch

(Social Engineering, Drive-by-Download, einem USB Stick oder einem Evil Maid Attack)

Social Engineering, wo Cyberkriminelle durch Beeinflussung oder bewusste Täuschung von Mitarbeitern an Zugangsdaten und Passwörter gelangen, und so Zugriff auf den Rechner erhalten und das Rootkit installieren

oder durch

Drive-by-Download. Hier gelangen Rootkits beim Herunterladen einer Software aus einer unsicheren Quelle oder per Klick auf einen Link oder Anhang in einer Phishing-E-Mail auf den Rechner.

oder durch

einen USB-Stick, der ein Rootkit enthält und durch einen unbedachter Finder und seiner Neugier auf eine Rechner gelangt oder aber durch den Häcker eigenhändig auf einem unbewachten Computer installiert wird. Man nennt diese Art von System Infizierung auch „Evil Maid Attacks“ zu Deutsch: „Böses-Dienstmädchen-Angriff.

Tarnung (Stealth)

Sobald das System infiziert ist, und sich das Rootkit eingenistet hat, erfolgt die Tarnung. Dafür beginnt das Rootkit, jene Prozesse zu manipulieren, über die Programme und Systemfunktionen Daten untereinander austauschen. Auf diese Weise erhält ein Virenprogramm bei einem Scan lediglich gefälschte Informationen, aus denen sämtliche Hinweise auf das Rootkit herausgefiltert wurden. Aus diesem Grund ist es selbst professioneller Antivirus-Software oft unmöglich, die Schädlinge anhand ihrer Signaturen oder einer Verhaltensanalyse (Heuristik) ausfindig zu machen.

Hintertür (Backdoor) einrichten

Im letzten Schritt richtet das Rootkit eine sogenannte „Backdoor“ zu deutsch eine Hintertür im System ein. Diese wird vom Angreifer Hacker mittels eines ausgespähten Passworts oder einer Shell genutzt, um dauerhaft via Remote-Access auf den Rechner zuzugreifen. Häufig werden mit einem Rootkit infizierte Rechner auch zu Bot-Netzen zusammengeschlossen und für Phishing oder DDoS-Attacken mobilisiert.

Dem Rootkit kommt dabei die Aufgabe zu, jeden Anmeldevorgang und jede verdächtige Aktivität zu verbergen.

Was für Rootkits gibt es eigentlich?

Rootkits unterscheiden sich vor allem in ihrer Methodik, mit der sie Malware-Prozesse und Hacker-Aktivitäten tarnen. Am häufigsten kommen Kernel- und User-Mode-Rootkits zum Einsatz.

Kernel-Mode-Rootkits

Kernel-Mode-Rootkits nisten sich im Kernel eines Betriebssystems ein und ermöglicht somit den Tiefenzugriff auf sämtliche Hardware-Komponenten und erlaubt beliebige Veränderungen von Systemeinstellungen. Das bedeutet: Konnte ein Angreifer dort ein Rootkit platzieren, erhält er die volle Kontrolle über das gesamte System.

User-Mode-Rootkit

Im Gegensatz zu Kernel-Mode-Rootkits agieren User-Mode-Rootkits lediglich auf der Benutzerebene eines Computers. User-Mode-Rootkits tarnen sich, indem sie den Datenverkehr zwischen dem Betriebssystem...

Nächste Episode

#0109 - Was ist eigentlich eine heuristische Analyse?

Kontakt: Ingo Lücker, [email protected]

Heute dreht sich alles um das Thema: „Was ist eigentlich eine heuristische Analyse?“

Bevor ich Ihnen die Frage beantworte, möchte ich Ihnen zunächst einmal erklären, was Heuristik eigentlich ist.

Der Begriff Heuristik stammt aus dem Griechischen und bedeutet so viel wie auffinden oder entdecken. Die Heuristik ist, einfach formuliert, die Lehre des Gewinnens neuer Erkenntnisse auf methodischem Weg.

Kommen wir also zurück zu der Ausgangsfrage: Was ist eigentlich eine heuristische Analyse?

Bei einer heuristische Analyse handelt es sich um eine Methode zur Virenerkennung. Hierbei untersucht die Heuristik den Code einer Datei nach verdächtig erscheinenden Befehlen und Merkmalen. Wenn sie einen verdächtigen Befehl erkennt, erhöht sie den “Verdächtigkeitszähler” für die Datei. Wenn der Wert des Zählers nach Untersuchung des gesamten Codes einen vordefinierten Grenzwert überschreitet, wird die Datei als verdächtig eingestuft.

Der Vorteil der heuristischen Analyse im Vergleich zu signaturbasierten Virenprogrammen ist, dass man nicht nur bekannte Viren, sondern auch neue und modifizierte Viren finden und erkennen kann. Virenprogramme die rein auf Signaturbasis arbeiten, können gefährliche Viren nur dann als schädlich einstufen, wenn diese bereits bekannt sind und analysiert wurden.

In der heuristischen Analyse kommen grundsätzlich zwei verschiedene Techniken zum Einsatz:

Die statische Heuristik und die dynamische Heuristik.

Bei der statischen Heuristik erfolgt eine Dekompilierung, also das Rückübersetzen, eines verdächtigen Objekts (Programm oder Datei) und die Untersuchung des Quellcodes. Dieser Code wird dann mit Virensignaturen verglichen, die bereits bekannt sind und sich in der heuristischen Datenbank befinden. Sobald ein vordefinierter Prozentsatz des Quellcodes mit Informationen in der heuristischen Datenbank übereinstimmt, wird das Objekt als verdächtig eingestuft.

Die Vorteile dieser Methode liegen in der einfachen Umsetzung und hohen Leistungsfähigkeit. Die Erkennungsrate von neuem schädlichem Code ist jedoch gering, die Wahrscheinlichkeit von Fehlalarmen dagegen hoch.

Bei einer dynamischen Heuristik werden verdächtige Programme oder Code-Teile in einer sicheren virtuellen Umgebung oder einer Sandbox ausgeführt. Das heißt, dass ein Antivirenprogramm den verdächtigen Code analysiert und alle Befehle, die durch das Aktivieren des Codes auftreten, wie Selbstreplikation, das Überschreiben von Dateien und andere Aktionen, dokumentiert. Wenn das Antivirenprogramm während einer Testausführung Aktionen erkennt/ findet, die als verdächtig einzustufen sind, wird das entsprechende Objekt für die reale Ausführung auf einem Computer komplett blockiert und der Virus somit unschädlich gemacht.

Im Vergleich zur statischen erfordert die dynamische Methode mehr Systemressourcen, da für die Analyse eine sichere virtuelle Umgebung erforderlich ist und die Ausführung von Programmen auf dem Computer bis zum Abschluss der Analyse verschoben wird. Allerdings ist die Erkennungsrate von Schadprogrammen bei der dynamischen Methode entschieden höher als bei der statischen Methode und die Wahrscheinlichkeit von Fehlalarmen ist wesentlich geringer.

Bevor ich zum Schluss komme möchte ich festhalten, dass die heuristische Analyse heutzutage eine zentrale Komponente in Antivirenprogrammen spielt. Moderne Antivirenprogramme kombinieren sowohl die statischen als auch dynamischen Analysemethoden, um schädliche Viren, virusartiges Verhalten und verdächtige Änderungen an Dateien umgehend zu erkennen und unwirksam zu machen. Dadurch lernt sie auf diese Weise selbstständig, neue Gefahren zu entdecken. Außerdem kann man bei einer heuristischen Analyse im Vorfeld die Genauigkeitsstufen für die Untersuchung festlegen.

Allerdings möchte ich erwähnen, dass man die Heuristik sorgfältig abstimmen muss, um die bestmögliche Erkennung neuer Bedrohungen zu bieten, ohne einen Fehlalarm für völlig unschuldigen Code zu generieren.