Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Anmerkungen 1-3 #3

Closed
h0ng10 opened this issue Feb 4, 2020 · 0 comments
Closed

Anmerkungen 1-3 #3

h0ng10 opened this issue Feb 4, 2020 · 0 comments

Comments

@h0ng10
Copy link
Collaborator

@h0ng10 h0ng10 commented Feb 4, 2020

Einleitung
"auf dem Zorn über die"
Zorn ist ein gewichtiges Wort, würde ich nicht verwenden. Beser wäre vermutlich "aus Verdruss"

"Durch den Diebstahl unserer Kreditkartendaten können Angreifer beispielsweise auf unsere Finanzen zugreifen"
Um einen aktuelleren Bezug herzustellen könntest du hier veilleicht ein Beispiel mit Ransomware bringen: Wird der Rechner oder das Smartphone eines Nutzers beispielsweise durch Ransomware verschlüsselt oder gelöscht, so verliert das Opfer dadurch häufig einen hohen persönlichen Verlust...

1.1 Motivation

Immer bessere Verschleierungstaktiken
Besser - Immer wechselnde und verbesserte Verschleierungsansätze

Da der Mangel an Fachkräften erst in Jahren ausgeglichen werden kann, bedarf es alternativer Lösungen für die Sicherheitvon Heute.
Besser: Dieses Problem kann in absehbarer Zukunft nicht durch vollständig durch menschliche Fachkräfte behoben werden"

Was mir ein wenig in dem Absatz fehlt ist die Tatsache, dass Angreifer ihren Schadcode relativ einfach automatisiert modfizieren können wodurch diese große Anzahl an Schadsoftware überhaupt erst möglich wird. Daher müssen die Verteidiger auch mit Automatisierung aufrüsten...

Machine Learning kann der Schlüssel hierfür sein
Besser: Machine Learning kann eine wichtige Komponete/Lösungsansatz für dieses Problem darstellen. Es ist mit hoher Wahrscheinlichkeit nicht die einzige Lösung.

Gängige Warnungen können leicht von Machine Learning Verfahren überprüft werden. Dadurch haben Sicherheitsexperten mehr Kapazität sich um besondere Warnungen zu kümmern.

Der Satz gefällt mir nicht. Was sind den "Warnungen"? Vielleicht wäre es besser etwas schreiben wie: Maschine Learning kann dabei helfen die große Anzahl von sicherheitsrelevanten Events zu analyisieren sowie Verknüpfungen zwischen einzelnen Events herzustellen. Sicherheitsexperten können sich dadurch auf das Gesamtbild und neue Angriffstechniken fokusieren.

Anfragen es sich handelt. Die Requests können beispielsweise zu Botnet
Ich würde bei Anfragen bleiben und nicht im nächsten Satz auf Requests wechseln. Dafür kannst Du Benutzeranfragen durch Benutzerkommunikation ersetzen

3 Erkennung von Schadcode / IOCs

Mit Hilfe dessen, lassen sich administrative Tätigkeiten, wie beispielsweise Systemupdates oder Passwort Änderungen, anhand von remote gesendeten Befehlen, durchführen
Mit Hilfe dieses Tools lassen sich administrative Tätigkeiten, beispielsweise das Einspielen von Updates oder der Start von zusätzlichen Diensten von einem anderen Rechner per Kommonadozeile durchführen

Zwar verlangt der remote Zugriff eine IP-Adresse mit korrespondierenden Benutzerinformationen, diese können jedoch durch andere Arten von Angriffen beschafft werden.
Der Aufruf des Tools setzt Kenntnis administrativer Zugangsdaten für das Zielsystem vorraus, diese können jedoch über andere Angriffsformen beschafft werden

Da es sich bei PsExec um ein legitimiertes Tool zur Systemkoordination handelt, wird es von Anti-Viren Programmen nicht erkannt. - Es wird schon erkannt, besser:
Da es sich bei PsExec um ein legitimes, von Microsoft veröffentlichtes Tool zur Systemadministration handelt wird es von Antivirenprogrammen nicht als Schadcode klassifiziert

Da die Benutzerinformationen allerdings unverschlüsselt übertragen werden, können immerhin diese über Tools wie Wireshark oder Tcpdump abgefangen werden.
Bezieht sich der Satz auf PSExec (dann stimmt er nicht) oder willst du anhand von Wireshark und Tcpdump ein weiteres Beispiel bringen? Dann musst du das entsprechend besser separieren, z.B: Ein weiteres Beispiel stellten Netzwerktools wie Wireshark oder TCPDump dar. Diese dienen häufig zur Analyse von Fehlern in der Netzwerkkommunikation, mit diesen Tools ist es aber auch möglich, unverschlüsselt übertragenen Datenverkehr mitzuschneiden bzw. auszuwerten

Bei der Malware spezifischen Analyse gilt es zunächst herauszufinden, was genau passiert ist und welches Schadprogramm für den Angriff verantwortlich ist.
Malware ist nie für einen Angriff verantwortlich, es ist ja nur ein Tool. Besser:
Bei der Malware-spezifischen Analyse geht es zunächst darum den Ablauf der Kompromittierung möglichst genau zu analysieren und die im Zuge des Angriffs verwendeten Tools/Malware zu bestimmen.

Grundsätzlich gibt es zwei Methoden um eine Malware Analyse durchzuführen: eine dynamische und eine statische.

Was mir VOR DIESEM Absatz hier ein wenig fehlt ist, dass Malware nicht nur in Form von PE Dateien verbreitet wird. Es fehlt ein Abschnitt alla:

"Moderne Angreifer verwenden nicht nur klassische PE-Dateien, sondern setzen auch zunehmend auf weitere, in Windows integrierte Laufzeitumgebungen wie beispielsweise die Scriptumgebung Powershell oder der in Windows bereitgestellte Javascript Interpreter (JScript). DIe Verwendung von unterschiedlichen Umgebungen stellt eine zusätzliches Hindernis bei der Analyse des Schadcodes dar"

Dabei wird Malware in einer sicheren Umgebung ausgeführt und so deren Verhalten analysiert.
Dabei wird die potenzielle Malware in einer gesicherten Umgebung ausgeführt und deren Verhalten (beispielsweise Datei-, oder Netzwerkzugriffe) aufgezeichnet und analyisiert.

denn nicht jede Zeichenkette die in einer Binärdatei gefunden wird, muss zwangsläufig ausgeführt werden.
Der Computer führt keine Zeichenketten aus, sondern Code-Sequenzen

Der Nachteil dieser Analyse besteht darin, dass die Malware die virtuelle Umgebung erkennen kann und sich somit stoppt
Besser: Der wesentliche Nachteil dieses Analyseansatzes besteht darin, dass die Malware die Ausführung in einer Sandbox häufig erkennen kann und sich in diesem Fall die eigentlichen Schadcode-Routinen nicht ausgeführt werden.

Bei der statischen Analyse werden hingegen PE-Dateien erforscht ohne die Datei tatsächlich auszuführen. Zunächst durchläuft potenzielle Malware diverse Virenscanner, um die Entdeckung einer bösartigen Signatur zu erhöhen
besser: wird der potenzielle Schadcode analysiert ohne die Datei tatsächlich auszuführen. Häufig wird die Datei in einem ersten Schritt mit Hilfe mehrerer Antivirenprogramme gescannt um bereits bekannte Malware leichert zu identifizieren

Programme verwenden Zeichenketten, beispielsweise um sich mit einer URL verbinden zu können oder um Textausgaben zu drucken. Diese können einen guten Einblick über das Verhalten einzelner Programme liefern.
Ich würde Zeichenketten hier Strings nennen, ist meiner Meinung nach ein anerkannter Begriff in der Informatik. Ein anderer gültiger Begriff wäre "vom Menschen lesbare Zeichenfolgen". Das von Menschen lesbar ist hier wichtig, "adfjakdlfjlkdsfjklajiwej" ist ja auch eine Zeichenkette...

Bei Dateien die relativ wenige Zeichenketten enthalten, handelt es sich meist um Packer.
Der Packer ist ja das Tool das die Datei zusammenpackt. Daher:
PE-Dateien, die nur eine sehr geringe Anzahl an von Meschen lesbaren Strings enthalten wurden häufig mit einem Packer modifiziert bzw. kompromiert.

Besser:

@KathiBrown KathiBrown closed this Feb 4, 2020
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Projects
None yet
Linked pull requests

Successfully merging a pull request may close this issue.

None yet
2 participants
You can’t perform that action at this time.