123 lines
4.7 KiB
Markdown
123 lines
4.7 KiB
Markdown
## 💥 EXPLOITS – GRUNDLAGEN
|
||
### Was ist ein Exploit?
|
||
- Ausnutzung einer **Sicherheitslücke** in Software/IT-Systemen
|
||
- Besteht aus:
|
||
- **Schadcode / Shellcode** (führt Payload aus)
|
||
- **Payload**: z. B. Fernzugriff, Malware, Download weiterer Software
|
||
- Oft **spezifisch** für ein bestimmtes Programm/Version
|
||
### Lebenszyklus einer Sicherheitslücke
|
||
1. Sicherheitslücke existiert (unbekannt)
|
||
2. **Zero-Day-Exploit**: Lücke wird entdeckt & ausgenutzt
|
||
3. Lücke wird veröffentlicht & gepatcht
|
||
### Exploit-Arten
|
||
- **ACE (Arbitrary Code Execution)**: Schadcode wird durch Schwachstelle ausgeführt
|
||
- **RCE (Remote Code Execution)**: über präparierte Webseite/E-Mail
|
||
- **Drive-by-Download**: unbemerktes Ausführen beim Webseitenbesuch
|
||
---
|
||
## 🧰 EXPLOIT FRAMEWORKS & KITS
|
||
### Bekannte Exploit-Frameworks
|
||
- **Metasploit**: umfangreichstes Toolkit
|
||
- **BeEF**: Webbrowser-Exploits
|
||
- **SET**: Social Engineering Toolkit
|
||
- **Koadic**, **Empire**, **Merlin**: Post-Exploitation
|
||
### Exploit Kits
|
||
- Sammlung vieler Exploits
|
||
- Ermittelt automatisch Schwachstellen auf Clients
|
||
- Nutzt ggf. **Zero-Day Exploits**
|
||
- Beispiel: Webbrowser öffnet präparierte Webseite → passender Exploit automatisch geladen
|
||
---
|
||
## 🧨 ANGRIFFSTECHNIKEN
|
||
### XSS (Cross Site Scripting)
|
||
- JavaScript-Code in Webseiten einschleusen
|
||
- Zugriff auf Cookies, Inhalte, Benutzeraktionen
|
||
### Pufferüberlauf (Buffer Overflow)
|
||
- Speicherüberlauf durch zu große Eingabe
|
||
- Shellcode überschreibt Rücksprungadresse (Stack)
|
||
### Spoofing
|
||
- **Identitätsfälschung** (IP/DNS/ARP Spoofing)
|
||
- Umgehung von Firewalls
|
||
### DoS / DDoS
|
||
- **Denial of Service**: Dienstüberlastung (z. B. SYN-Flooding)
|
||
- **Distributed DoS**: Angriff durch viele Systeme gleichzeitig
|
||
---
|
||
## 🕵️♂️ IDS / IPS – INTRUSION DETECTION / PREVENTION
|
||
### Ziel
|
||
- Erkennung und ggf. Verhinderung von Angriffen auf IT-Systeme
|
||
### Unterscheidung:
|
||
| IDS | IPS |
|
||
| --------------------------- | ------------------------------ |
|
||
| Erkennung & Alarmierung | Erkennung + aktive Blockierung |
|
||
| Passiv | Aktiv |
|
||
| Beispiel: **Snort** als IDS | Snort mit Blockier-Funktion |
|
||
|
||
---
|
||
## 🧱 IDS-KOMPONENTEN
|
||
- **Sensor**: erkennt Ereignisse (Datenquelle)
|
||
- **Datenbank**: speichert Ereignisse
|
||
- **Auswertestation**: analysiert, bewertet, alarmiert
|
||
- **Managementstation**: Konfiguration & Regelpflege
|
||
---
|
||
## 🔎 IDS-TYPEN
|
||
### NIDS (Netzwerkbasiert)
|
||
- Analysiert Netzwerkverkehr
|
||
- Erkennt z. B. Portscans, DoS, SQL-Injection
|
||
- Nachteile: keine Analyse verschlüsselter Verbindungen (TLS), Mehrdeutigkeiten
|
||
### HIDS (Hostbasiert)
|
||
- Überwacht einzelnes System (Betriebssystem, Anwendungen)
|
||
- Vorteile: sieht verschlüsselte Daten
|
||
- Nachteile: hoher Aufwand, systembelastend, kann selbst Ziel sein
|
||
### Hybrides IDS
|
||
- Kombination aus NIDS & HIDS
|
||
- Sensoren verteilt, zentrale Verwaltung
|
||
---
|
||
## 🧠 ERKENNUNGSMETHODEN
|
||
### 1. **Signaturanalyse (Missbrauchsmuster)**
|
||
- Vergleich mit bekannten Angriffsmustern
|
||
- Vorteil: **gezielte Erkennung**
|
||
- Nachteil: erkennt keine neuen Angriffe, false positives möglich
|
||
### 2. **Anomalieerkennung**
|
||
- Detektiert Abweichungen vom Normalverhalten
|
||
- Vorteile: erkennt auch **unbekannte Angriffe**
|
||
- Nachteile: hoher Aufwand, Datenschutzproblematik
|
||
---
|
||
## 🐝 HONEYPOTS
|
||
### Definition
|
||
- **Falle für Angreifer**
|
||
- Stellt gezielt verwundbares System bereit
|
||
### Arten
|
||
|Typ|Eigenschaften|
|
||
|---|---|
|
||
|**High Interaction**|echtes System, realistische Analyse|
|
||
|**Low Interaction**|emulierte Funktionen, sicherer, aber erkennbar|
|
||
- **Client-Honeypots**: interagieren aktiv mit Servern
|
||
- **Server-Honeypots**: lauschen passiv, analysieren eingehende Anfragen
|
||
---
|
||
## 🐍 SNORT – PRAKTISCHES BEISPIEL FÜR EIN IDS
|
||
### Merkmale
|
||
- Open Source IDS/NIPS
|
||
- Besteht aus:
|
||
- **Packet Sniffer**
|
||
- **Logger**
|
||
- **Detection Engine** (Regelbasierte Analyse)
|
||
|
||
- Erweiterbar mit:
|
||
- Preprozessoren
|
||
- Add-ons
|
||
- Logging- und Alarmierungsmechanismen
|
||
### Aufbau
|
||
1. **Packet Decoder**: liest eingehende Pakete
|
||
2. **Preprozessor**: erkennt z. B. Portscans
|
||
3. **Detection Engine**: vergleicht mit Regeln (Snort Rules)
|
||
4. **Output Plugins**: Logging, Alarmierung (z. B. Datenbank, Mail)
|
||
### Snort Rules:
|
||
- bestehen aus Header (IP, Port, Aktion) + Optionen (Inhalt, Alarmtext)
|
||
---
|
||
## ✅ ZUSAMMENFASSUNG – KLAUSURRELEVANT
|
||
- Exploits = gezielte Ausnutzung von Schwachstellen
|
||
- Exploit Kits bündeln viele Exploits, oft Zero-Day dabei
|
||
- IDS erkennt Angriffe, IPS verhindert sie aktiv
|
||
- NIDS ↔ HIDS: netzwerk- vs. hostbasiert
|
||
- Signaturerkennung: gezielt, aber blind für neue Angriffe
|
||
- Anomalieerkennung: erkennt Neues, aber komplex
|
||
- Snort = praxisnahes IDS, regelbasiert
|
||
- Honeypots zur Analyse & Täuschung von Angreifern |