Dipl.-Inform. Carsten Eilers

Sowohl auf der Black Hat USA 2011 als auch auf dem 28C3 (dem "28th Chaos Communication Congress") hat Jonathan Brossard ("endrazine") einen Vortrag mit dem Titel "Post Memory Corruption Memory Analysis" gehalten, während dem er demonstriert hat, wie sich aus einem "invalid memory write" ein Exploit entwickeln lässt, der verschiedene Schutzmaßnahmen umgeht. Außerdem hat er das Tool pmcma vorgestellt, dass einen Fehler daraufhin untersucht, ob er sich zum Einschleusen von Code ausnutzen lässt und ggf. mögliche Angriffswege aufzeigt. Zur Zeit läuft pmcma unter Linux und Android auf x86 und x86_64 Intel-CPUs.

Mathias Payer: String Oriented Programming

Mathias Payer hat auf dem 28C3 einen Vortrag über "String Oriented Programming" gehalten. In dem mit "Circumventing ASLR, DEP, and other Guards" untertitelten Vortrag wurden Möglichkeiten zum Ausnutzen von Formatstring-Schwachstellen angesichts vorhandener Schutzmaßnahmen wie ASLR und DEP vorgestellt. Die richten sich vorwiegend gegen Angriffe auf bzw. über Pufferüberlauf-Schwachstellen. Dass sich auch über Formatstring-Schwachstellen Code einschleusen lässt, wird oft übersehen. Beim auf Return Oriented Programming (ROP) und Jump Oriented Programming (JOP) zur Ausnutzung von Pufferüberlauf-Schwachstellen aufbauenden String Oriented Programming (SOP) werden nur eine Formatstring-Schwachstelle und ein vom Angreifer kontrollierter Puffer auf dem Stack benötigt, um Code einzuschleusen und auszuführen. Eine Puffüberlauf-Schwachstelle und als "ausführbar" markierter Speicher sind nicht notwendig.
Mathias Payer hat Links zum Paper, der Präsentation, Codebeispielen und einem Video des Vortrags zusammengestellt.

Bisher ging es um Angriffe bzw. das Einschleusen von Code. Jetzt kommen wir quasi zur Gegenrichtung: Wie erkennt bzw. findet man denn bösartigen Code, speziell Schadsoftware, vor allem, wenn der getarnt ist?

Lee Ling Chuan: Obfuscated Malc0de Hunting with Emulator+Disassembler

Lee Ling Chuan hat auf der Konferenz "Swiss Cyber Storm 2011" einen Vortrag mit dem Titel "Obfuscated Malc0de Hunting with Emulator+Disassembler" gehalten. Beschrieben wurde der Einsatz von Emulator- und Disassembler-Techniken zur Untersuchung von mit Schadcode (d.h. klassischen Viren) infizierten Binärprogrammen mit dem Ziel, den Schadcode vor seiner Ausführung zu erkennen und wenn möglich zu entfernen. Zum einen wird dabei ein heuristischer Scanner eingesetzt, der Virencode anhand bekannter Signaturen erkennt. Schlägt die Erkennung damit fehl, kommen Disassembler und Emulator zum Einsatz: Ausgehend vom Entry Point (EP) des Codes wird zuerst der Decryptor-Code ermittelt, der beim Start des Programms für die Umwandlung des getarnten Codes in ausführbaren Code zuständig ist und daher selbst als ausführbarer Code vorliegen muss. Davon ausgehend wird danach der potentielle Schadcode ermittelt und im Emulator ausgeführt. Wird dabei über die Heuristik Schadcode erkannt, kann zum Bereinigen der Infektion bzw. dem Löschen der infizierten Datei übergegangen werden. Wird kein Schadcode erkannt, wird die Datei als harmlos eingestuft.

Stefan Frei: Fixing the fundamental failures of endpoint security

Stefan Frei von Secunia hat auf der "Swiss Cyber Storm 2011" einen Vortrag mit dem Titel "Fixing the fundamental failures of endpoint security: managing vulnerabilities when the perimeter protection failed" gehalten: Für die aktuellen Bedrohungen reichen herkömmlichen Strategien wie die Installation eines Virenscanners nicht mehr aus, um eine ausreichende Sicherheit zu gewährleisten. Mit einem Malware Construction Kit lässt sich auch von Laien Schadsoftware herstellen, die mit herkömmlichen Methoden nicht mehr zuverlässig erkannt wird. Stefan Freis Schlussfolgerung: Wenn man der Schadsoftware nicht mehr Herr werden kann, sollte man ihr wenigstens die Arbeit so schwer wie möglich machen und alle bekannten Schwachstellen beheben, indem die zugehörigen Patches installiert werden. Die Cyberkriminellen konzentrieren sich bei ihren Angriffen i.A. auf Schwachstellen im (Windows-)Betriebssystem und Microsoft-Programmen, aber das ist kein Grund, andere Patches nicht bzw. verspätet zu installieren. Das wird durch die Vielzahl installierter Programme und beteiligter Hersteller mit jeweils eigenen Updatemechanismen erschwert, aber Secunias Personal Software Inspector (PSI) und Corporate Software Inspector (CSI) helfen, die Übersicht zu behalten. (Im Grunde handelt es sich also um einen Werbe-Vortrag, die Argumente bleiben aber unabhängig davon gültig, und es gibt ja noch andere Möglichkeiten, den Überblick über das System und dessen Patchstand zu behalten)

Dave Wollmann: Social Engineering - Humans, the weakest link in the security chain

Zum Abschluss des Themenbereichs "Client-Security" gibt es noch einen Blick über den "technischen Tellerrand" - denn das System kann noch so sicher sein, wenn der Benutzer sich zur Installation von Schadsoftware oder zur Preisgabe von Informationen verleiten lässt, versagen alle technischen Schutzmaßnahmen. Dave Wollmann hat auf der "Swiss Cyber Storm 2011" einen Vortrag mit dem Titel "Social Engineering - Humans, the weakest link in the security chain" gehalten und genau diese Probleme angesprochen.

Und damit ist das Thema "Client-Security" auch schon abgeschlossen. In der nächsten Folge werfe ich einen Blick auf neue Entwicklungen im Bereich Web-Security.

Carsten Eilers

---

Übersicht über alle Artikel zum Thema

Neues zur Sicherheit von Web-Clients

Neues zur Sicherheit von Web-Clients, Teil 2

Neues zur Sicherheit von Clients, nicht nur im Web

Neues zur Sicherheit von Clients

Neues zur Sicherheit von Clients, Teil 2

Neues zur Sicherheit von Webservern und -anwendungen

Neues zur Sicherheit von Webservern und -anwendungen, Teil 2

Sicherheitskonferenzen 2011: Autos und Insulinpumpen im Visier

SAP-Anwendungen dringen ins Web vor, die Angreifer nehmen die Gegenrichtung