Wie erkennt man Zero-Day Exploitangriffe?



  • Man hat einen Server, auf dem läuft ein Serverdienst, welcher eine Sicherheitslücke hat, die aber weder dem Softwarehersteller des Serverdienst noch einem selber bekannt ist.

    Ein Hacker findet einen 0-Day Exploit zu diesem Serverdienst und greift an.
    D.h. er injiziert seinen Code, mit dem er über die Sicherheitlücke root Rechte erlangt, danach stiehlt er Daten und löscht seine Spuren.

    Frage:

    Wie erkennt man so einen Angreifer?
    Wie kann man erahnen, dass überhaupt ein Angriff stattgefunden hat?
    Das OS mit Updates versorgen reicht hier ja nicht, da die Sicherheitslücke ja gar nicht öffentlich bekannt ist und es somit auch keinen Patch gibt.
    Und die Firewall hilft auch nicht viel, wenn der Serverdienst legitim auf dem Server arbeitet.
    Ein IDS dürfte hier auch blind sein.



  • Wenn jemand diese Anwendung nicht hat und auch ergo nicht durch IDA Pro oder so jagen kann, dann wird es doch sehr schwer. Gerade bei Pufferüberläufen. Wenn es z.B. um SQL Injection geht, dann stelle ich mir das wesentlich einfacher vor

    Wie erkennt man so einen Angreifer?
    Ich glaube das ist gar nicht so einfach....Verräterisch wären Netzwerkprotokolle. Da muss man aber erstmal wissen wonach man suchen muss. Auffällig wäre plötzlich viel Traffic.

    Wie kann man erahnen, dass überhaupt ein Angriff stattgefunden hat?
    Regelmäßig in russischen Foren nach geklauten Daten Ausschau halten;-)?

    Das OS mit Updates versorgen reicht hier ja nicht, da die Sicherheitslücke ja gar nicht öffentlich bekannt ist und es somit auch keinen Patch gibt.
    Sehe ich auch so. Wenn ein System gut gepatcht ist, dann kann die eigentliche Anwendung immer noch anfällig sein. Aber schon bei der Installation/Konfiguration sollte man so das ein oder andere beachten. Windows Dienste sollten z.B. nicht direkt mit den möder krassesten Berechtigungen arbeiten(klar kann man mit ein paar anderen Exploits mehr Rechte erlangen aber man muss es denen ja nicht all zu einfach machen)

    Und die Firewall hilft auch nicht viel, wenn der Serverdienst legitim auf dem Server arbeitet.
    Ich weiß nicht so genau ob es so ne Art "heuristische" FW gibt. Die könnte u.U. auffälligen Verkeher erkennen.

    Ein IDS dürfte hier auch blind sein.
    IDS?



  • [quote="secondsun"

    Ein IDS dürfte hier auch blind sein.
    IDS?[/quote]

    Intusion Detection System



  • IDS schrieb:

    Wie erkennt man so einen Angreifer?

    Eigentlich fast gar nicht. Siehe Antwort #2

    IDS schrieb:

    Wie kann man erahnen, dass überhaupt ein Angriff stattgefunden hat?

    Indem man logfiles zu lesen lernt.



  • Kein Mensch* liest Logfiles so lange es keine Anzeichen für Probleme gibt.

    *: Ja, bewusst übertrieben.


Anmelden zum Antworten