1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Smominru: Riesiges Botnetz…
  6. T…

Wie erkennen?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Wie erkennen?

    Autor: NaruHina 06.02.18 - 23:02

    ohne ein monitoring, dass muss kein aufwendiges sen, kann man sowas nicht oder nur schwer festellen, so kann man bsp. die prozessliste sich anschauen, etc. ich bevorzuge für sowas eher software. z.b Paessler PRTG oder Zenoss

  2. Re: Wie erkennen?

    Autor: bombinho 07.02.18 - 02:41

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Programmieren...

    Okay, einfach Google nutzen hat mich in 10 Minuten zu einem funktionsfaehigen Programmcode gebracht, der die Prozessorleistung ermittelt.

    Das wird offensichtlich durch die Addition der Prozessorlast der einzelnen Prozesse gemacht.

    Also koennte man an dieser Stelle bereits differenzieren.
    Aber viel einfacher ist es, die durchschnittliche Prozessorlast fuer einen Zeitraum zu ermitteln, die Lasten werden einfach addiert und durch die Anzahl der Messungen dividiert. Damit koenntest Du den Lastdurchschnitt fuer diverse Zeitraeume ermitteln wie Stunde, Tag, Woche und dann nach Ausreisern schauen.

    Allerdings hat diese Art der Lastermittlung einen Nachteil, es werden nur Prozesse gezaehlt, die mit den Berechtigungen des ausfuehrenden Nutzers zugaenglich sind.
    Hat sich die Malware Zugang mit Rechteausweitung verschafft, kann eine Lastermittlung von einem Nutzeraccount aus eventuell das Problem nicht erkennen.

    Der Phantasie sind wenig Grenzen gesetzt, freier Speicherplatz koennte ebenfalls ein interessanter Indikator sein, allerdings nicht beim Schuerfen.

    Aber den selbstgebastelten Sensor mit Systemrechten auszufuehren, ist dann schon ein wohl zu ueberlegender Schritt, manche verzichten ja sogar aus eben diesen Gruenden auf AV-Software. Allerdings einer kostenlosen Software, welche nicht Open Source ist, zu vertrauen, ist ja auch schon ein recht grosser Schritt.

    Anhang: Wenn ich sowas basteln wollen sollte, dann wuerde ich wahrscheinlich 1x pro Sekunde messen und immer 60 Werte zu einem Durchschnitt verrechnen. Diesen Durchschnitt wuerde ich in einem rotierenden Array zu einem Stundendurchschnitt verrechnen. Usw. Und dann die resultierenden Tendenzen anzeigen.



    2 mal bearbeitet, zuletzt am 07.02.18 02:52 durch bombinho.

  3. Re: Wie erkennen?

    Autor: bombinho 07.02.18 - 12:29

    BTW: Wenn auf so einem Server etwas Rechenintensives laeuft, mit dem Geld verdient werden soll, dann sicherlich moeglichst fuer viele Tage/Wochen /Monate.

    Anstatt den Sensor mit erweiterten Rechten laufen zu lassen, koennte man auch den Sensor selbst regelmaessig kurze Lastspitzen erzeugen lassen und die Differenz ermitteln.
    Also quasi, wenn der Sensor die Gesamtast auf 100% spiken soll, aber nur auf 70% kommt, dann werden 30% anderswo verheizt. Also moeglicherweise ein Kern (bei Quadcore) abgezweigt + Systemlast.

    Eine solche Betrachtung lohnt sich aber nur, wenn der Server nicht normalerweise bereits am Limit orgelt, ansonsten waeren z.B. Reaktionszeiten ein besseres Indiz.



    1 mal bearbeitet, zuletzt am 07.02.18 12:30 durch bombinho.

  4. Re: Wie erkennen?

    Autor: ldlx 07.02.18 - 16:54

    Das funktioniert in virtualisierten Umgebungen wahrscheinlich nicht, da zwar VM-intern "100% Last" ausgegeben werden, aber eigentlich nur x% von der Anzahl zugewiesener Kerne tatsächlich bei der VM ankommen. Zudem weiß zwar der Host, welche Kerne real sind und welche "nur" per Hyperthreading künstlich erzeugt sind - das weiß die VM aber nicht, da dort ein Kern wie ein echter Kern erscheint.

    Für nen Angreifer wäre dann viellicht auch noch schlau, seinen Prozess mit niedrigster Priorität laufen zu lassen, damit er bei dem von dir vorgeschlagenen Sensor quasi angehalten wird.

  5. Re: Wie erkennen?

    Autor: bombinho 07.02.18 - 22:30

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Das funktioniert in virtualisierten Umgebungen wahrscheinlich nicht, da
    > zwar VM-intern "100% Last" ausgegeben werden, aber eigentlich nur x% von
    > der Anzahl zugewiesener Kerne tatsächlich bei der VM ankommen. Zudem weiß
    > zwar der Host, welche Kerne real sind und welche "nur" per Hyperthreading
    > künstlich erzeugt sind - das weiß die VM aber nicht, da dort ein Kern wie
    > ein echter Kern erscheint.

    Wenn dein Hypervisor kompromittiert ist, hast du andere Sorgen als Lastmessungen.
    Und Windows als VM-Host kann man machen, muss man aber nicht.
    Dann kann man den Sensor auch auf dem Host laufen lassen.

    > Für nen Angreifer wäre dann viellicht auch noch schlau, seinen Prozess mit
    > niedrigster Priorität laufen zu lassen, damit er bei dem von dir
    > vorgeschlagenen Sensor quasi angehalten wird.

    Das mag der Entdeckung vorbeugen, aber der Sinn beim Server-kapern ist ja der, dass man Rechenleistung abzweigen kann (oder Transportleistung oder Speicherleistung).
    Es ist zwar cool, einen Schuerfprozess derart zu nopen, dass er kaum noch Leistung zieht, aber in dem Fall waere IoT dann doch die bessere Zielplattform.
    Entweder soll Rechenleistung abgezweigt werden oder eben nicht, wenn nicht, dann kann man es auch sein lassen und Massenware kapern, das ist meist mit weniger Folgen verbunden.

    Wenn einer der Admins sowas findet, kann er auch mal unvorhergesehen reagieren und das Ding auseinandernehmen um zu schauen, ob man das Netzwerk auch anderweitig benutzen koennte ;).
    Dieses Risiko ist beim Kapern von 08/15 Maschinen weit geringer.



    1 mal bearbeitet, zuletzt am 07.02.18 22:33 durch bombinho.

  6. Re: Wie erkennen?

    Autor: bombinho 07.02.18 - 22:47

    Im Prinzip gibt es fuer jeden Sensor auch eine Umgehungsmethode. Aber bei selbstgebastelten Sensoren muss der potentielle Angreifer erst einmal wissen, dass es diese gibt.

    Und je genauer du die Maschine kennst, desto feinmaschiger kannst Du auf Veraenderungen achten. Speziell bei Servern darf man davon ausgehen, dass nicht permanent neue Software installiert wird.



    1 mal bearbeitet, zuletzt am 07.02.18 22:50 durch bombinho.

  7. Re: Wie erkennen?

    Autor: ldlx 08.02.18 - 17:45

    bombinho schrieb:
    --------------------------------------------------------------------------------
    > Wenn dein Hypervisor kompromittiert ist, hast du andere Sorgen als
    > Lastmessungen.
    > Und Windows als VM-Host kann man machen, muss man aber nicht.
    > Dann kann man den Sensor auch auf dem Host laufen lassen.
    Hab nicht von der Installation auf dem Hypervisor gesprochen. Auf einem linux-basierten Hypervisor wie ESX könntest du auch Software, also z. B. deinen Sensor, laufen lassen.
    Sagen wir dein Server hat 8 Kerne (mal ohne HT fürs Beispiel). Und zwanzig VMs. Dann werden sich verschiedene VMs die Kerne teilen müssen. Wenn eine VM sagen wir zwei Kerne zu 50% auslastet (meinetwegen auch 100%), so sieht das die andere VM nicht (als 50% bzw. 100%) - kein Workload, keine %.

    > Das mag der Entdeckung vorbeugen, aber der Sinn beim Server-kapern ist ja
    > der, dass man Rechenleistung abzweigen kann (oder Transportleistung oder
    > Speicherleistung).
    > Es ist zwar cool, einen Schuerfprozess derart zu nopen, dass er kaum noch
    > Leistung zieht, aber in dem Fall waere IoT dann doch die bessere
    > Zielplattform.
    Falsch verstanden. Ich meine der Schädling krallt sich "nur" das Maximum der zur Verfügung stehenden CPU-Leistung (Prozesspriorität "Niedrig" bei Windows; so ähnlich wie Exchange oder SQL im Umgang mit Arbeitsspeicher). Wenn du jetzt deinen Sensor mit Peak-Leistung ansetzt, dann wird der Mining-Prozess weniger CPU-Zeit (bis gar keine, da geringere Prio) zugewiesen bekommen, damit dein Peak-Prozess (mit höherer Priorität) die angeforderten Ressourcen bekommt.

  8. Re: Wie erkennen?

    Autor: ldlx 08.02.18 - 17:51

    Den Image-Namen eines ausgeführten Prozesses kannst du fälschen.

    Wird zum Beispiel für geskriptete Modifikation des Inhalts der Windows 10 Taskleiste/Startmenü benötigt, damit sich das Skript als "explorer.exe" tarnt und alle Kontextmenü-Befehle abrufen kann (an Taskleiste anheften geht sonst nicht per Skript). Gibt dafür n fertiges exe-Progrämmchen, geht aber auch mit PowerShell (und etwas eingebettetem C#-Code).

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ADMIRAL ENTERTAINMENT GmbH, Bingen
  2. CONTAG AG, Berlin
  3. Universität Passau, Passau
  4. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 1.488€ (Vergleichspreis 1.599€)
  2. (u. a. I See You, Broken City, Attraction & Attraction 2, Amundsen: Wettlauf zum Südpol, Coma, Red...
  3. (u. a. Philips Ambilight 50PUS6704/12 für 339,99€, Philips Ambilight 65PUS6704/12 für 629,99€)
  4. (u. a. QNAP TS-231P NAS-Gehäuse für 192,90€, Intenso 16GB Speicherkarte für 2,99€, Nordisk...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Change-Management: Wie man Mitarbeiter mitnimmt
Change-Management
Wie man Mitarbeiter mitnimmt

Wenn eine Firma neue Software einführt oder Prozesse digitalisiert, stößt sie intern oft auf Skepsis. Häufig heißt es dann, man müsse "die Mitarbeiter mitnehmen" - aber wie?
Von Markus Kammermeier

  1. Digitalisierung in Deutschland Wer stand hier "auf der Leitung"?
  2. Workflows Wenn Digitalisierung aus 2 Papierseiten 20 macht
  3. Digitalisierung Aber das Faxgerät muss bleiben!

Maneater im Test: Bissiger Blödsinn
Maneater im Test
Bissiger Blödsinn

Wer schon immer als Bullenhai auf Menschenjagd gehen wollte - hier entlang schwimmen bitte. Maneater legt aber auch die Flosse in die Wunde.
Ein Test von Marc Sauter

  1. Mount and Blade 2 angespielt Der König ist tot, lang lebe der Bannerlord
  2. Arkade Blaster 3D-Shooter mit der Plastikkanone spielen
  3. Wolcen im Test Düster, lootig, wuchtig!

Ikea Trådfri im Test: Das preisgünstige Smart-Home-System
Ikea Trådfri im Test
Das preisgünstige Smart-Home-System

Ikea beweist, dass ein gutes Smart-Home-System nicht sündhaft teuer sein muss - und das Grundprinzip gefällt uns besser als bei Philips Hue.
Ein Test von Ingo Pakalski

  1. Ikea Trådfri Fehlerhafte Firmware ändert Schaltverhalten der Lampen
  2. Fyrtur und Kadrilj Ikeas smarte Rollos lernen Homekit
  3. Trådfri Ikeas dimmbares Filament-Leuchtmittel kostet 10 Euro