Zusammenfassung
Ein Kontrollserver stellt für einen Täter eins seiner wichtigsten Werkzeuge dar. Über diesen verteilt er Exploits , steuert seine Backdoors und sammelt die gestohlenen Daten ein. Dadurch hinterlässt er aber zwangsläufig Spuren, die von Analysten ausgewertet werden können, wenn sie Zugriff auf einen Kontrollserver erhalten. In diesem Kapitel wird aus Täterperspektive zunächst dargestellt, welche Skripte und Programme auf einem Kontrollserver nützlich sind, um Angriffsoperationen durchzuführen und zu verwalten. Zudem wird erläutert, wie die Angreifer ihre Herkunft verschleiern, wenn sie auf die Server zugreifen, und welche Fehler dabei passieren. Der Hauptteil des Kapitels widmet sich den Möglichkeiten, die Analysten haben, wenn sie Zugriff auf einen Kontrollserver erlangen. Welche Chancen bietet das Mitschneiden von Netzwerkverkehr? Welche Hinweise findet man beim Auswerten der Festplatten von Kontrollservern? Und wie unterschieden sich diese Funden von denen, die man auf infizierten Endgeräten sammelt?
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Literatur
Biddle, S.: White House says Russia’s hackers are too good to be caught but NSA partner called them ,MORONS‘. In: The Intercept. https://theintercept.com/2017/08/02/white-house-says-russias-hackers-are-too-good-to-be-caught-but-nsa-partner-called-them-morons/ (2017). Zugegriffen am 05.08.2017
GReAT: Regin – nation-state ownage of GSM networks. In: SecureList. http://web.archive.org/web/20170802165138/https://securelist.com/regin-nation-state-ownage-of-gsm-networks/67741/ (2014). Zugegriffen am 10.08.2017
GReAT: Full Analysis of Flame’s Command & Control servers. In: SecureList. http://web.archive.org/web/20170810172629/https://securelist.com/full-analysis-of-flames-command-control-servers-27/34216/ (2012). Zugegriffen am 10.08.2017
Mandiant: APT1 – Exposing One of China’s Cyber Espionage Units. https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf (2013). Zugegriffen am 21.07.2017
Pricewaterhouse Coopers: Operation Cloud Hopper. In: PwC UK Cyber security and data privacy. https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v4.pdf (2017). Zugegriffen am 26.07.2017
Group-IB: Lazarus Arisen – Architecture, Techniques and Attribution. http://web.archive.org/web/20170606050320/https://www.group-ib.com/lazarus.html (2017). Zugegriffen am 12.08. 2017
Heise: BSI: Flame keine ,Superwaffe im Cyberkrieg‘. In: Heise Security. http://web.archive.org/web/20120602141214/https://www.heise.de/security/meldung/BSI-Flame-keine-Superwaffe-im-Cyberkrieg-1587849.html (2012). Zugegriffen am 15.08.2017
Villeneuve, N.: Tracking GhostNet – Investigating a Cyber Espionage Network. www.nartv.org/mirror/ghostnet.pdf (2009). Zugegriffen am 13.08.2017
Baumgartner, K., Raiu, C., Maslennikov, D.: Android Trojan Found in Targeted Attack. In: SecureList. http://web.archive.org/web/20170813125606/https://securelist.com/android-trojan-found-in-targeted-attack-58/35552/ (2013). Zugegriffen am 13.08.2017
Trend Micro Threat Research Team: Operation Arid Viper. www.trendmicro.fr/media/wp/operation-arid-viper-whitepaper-en.pdf (2015). Zugegriffen am 13.08.2017
Calvet, J., Campos, J., Dupuy, T.: Visiting the Bear Den. In: WeLiveSecurity Blog. https://www.welivesecurity.com/wp-content/uploads/2016/06/visiting_the_bear_den_recon_2016_calvet_campos_dupuy-1.pdf (2016). Zugegriffen am 13.08.2017
Author information
Authors and Affiliations
Rights and permissions
Copyright information
© 2018 Springer-Verlag GmbH Deutschland
About this chapter
Cite this chapter
Steffens, T. (2018). Untersuchung von Kontrollservern. In: Auf der Spur der Hacker. Springer Vieweg, Berlin, Heidelberg. https://doi.org/10.1007/978-3-662-55954-3_5
Download citation
DOI: https://doi.org/10.1007/978-3-662-55954-3_5
Published:
Publisher Name: Springer Vieweg, Berlin, Heidelberg
Print ISBN: 978-3-662-55953-6
Online ISBN: 978-3-662-55954-3
eBook Packages: Computer Science and Engineering (German Language)