Flow-basierte Botnetzerkennung Idee und erste Ergebnisse Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de
Inhalt Einleitung Herausforderung Malware-Erkennung Netzwerkaktivitäten von Malware Flow-basierte Botnetzerkennung Ausblick 2
Einleitung Malware-Probleme Eigene Messungen: Effekte durch Malware nehmen nicht ab! Wettlauf der Entwicklung von Malware-Tarnung und Gegenmaßnahmen Zunehmende Phishing-Problematik (BKA) und Keylogging Zunehmendes Malware-Problem 3
Best Of Bot Screenshots 4
Herausforderung Malware-Erkennung Inkonsistente Malware Labels SDBot family Labels von 3 AVs Inkonsistenzen Quelle: M. Bailey, Automated Classification and Analysis of Internet Malware Keine eindeutige Bezeichnung für ein Malware-Sample Mitunter Widersprüche Professionalisierung Toolkits (Zeus) Modifizierende Packer zur Umgehung von Prüfsummen 5
Herausforderung Malware-Erkennung Botnetzerkennung Status quo Malware-Abwehr: klassischer Antivirenschutz auf dem PC Antiviren-Signaturen zur Erkennung von bösartigen Dateien Heuristiken, KI, Reputationssysteme, Erkennungsrate: 75 bis 95 % Malware-Schutz im Netzwerk? Geringere Verbreitung als hostbasierte Mechanismen Beispiele: URL-Blacklists, Proxy-Server mit A/V-Komponente Intrusion Detection Systeme (snort), Internet-Analyse-System (IAS) Großflächige Anwendung ist schwierig (u.a. wegen des Datenschutzes, TKG, ) Wunsch: Datenschutzfreundliche, rechtskomforme Botnetzerkennung für die Praxis 6
Herausforderung Malware-Erkennung Signaturbasierte Botnetzerkennung Beispiel: HTTP Charakteristische Protokollelemente ermitteln und als Signaturmerkmal heranziehen Quelle: Perdisci, Behavioral Clustering of HTTP-Based Malware and Signature Generation Using Malicious Network Traces, 2010 Durch Verschlüsselung oder Verschleierung auszuhebeln z.b. Storm, Virut, Waledac, Conficker 7
8
Netzwerkaktivitäten von Malware Malware-Kommunikation Um Gegenmaßnahmen auf Netzwerkebene zu entwickeln, brauchen wir ein Verständnis der Netzwerkaktivität von Malware! Was macht gängige Malware im Netzwerk? Malware benötigt Netzwerkkommunikation, um sinnvoll flexibel und multifunktional gesteuert zu werden (Command & Control C&C) Software-Updates durchzuführen andere Rechner zu identifizieren (Verbreitung der Malware) zu spammen, bei einem DDOS-Angriff mitzumachen,. auf anderen Webseiten etwas zu tun (Click Fraud, schadhafter JavaScript-Code, XSS,...) Ergebnisse eines Keyloggers/Trojaners an Dropzones zu senden DNS, 9
Netzwerkaktivitäten von Malware Malware-Analyse Wir als Forscher brauchen die Möglichkeit der Analyse des Netzwerkverhaltens von Malware! Klassisch: statische Malware-Analyse Analyse des Binärcodes mit Hilfe von Disassembler und Debugger Netzwerkverhalten auf diese Weise zu ermitteln, ist sehr mühsam, schwierig und zeitintensiv! 10
Netzwerkaktivitäten von Malware Kontrollierte Malware-Analyseumgebung Dedizierte Ausführungsumgebung für Malware: SandNet Schadensvermeidung und Schadensbegrenzung (Dritte dürfen keinen Schaden erleiden!) Intelligente Simulation von Diensten Vortäuschen des Mailversands Vortäuschen von erfolgreichen Infektionen mittels Honeypots 11
Netzwerkaktivitäten von Malware SandNet-Struktur Honeypots Bandbreitenlimit Honey wall Spam Controller Hydra Datenbank und Schnittstelle für Analysten Herder 1 Herder N 12
Netzwerkaktivitäten von Malware Malware-Ausführung Zeit/min Command&Control-Kommunikation (hier IRC) 13
Netzwerkaktivitäten von Malware Ergebnisse SandNet (1/3) Verteilung von Destination Ports in reinem Botverkehr log scale Infektionsversuche C&C? Click fraud?... DNS Spam Infektionsversuche C&C? 14
Protokollverteilung Malware-Verkehr (2/3) Protokolle auf Non- Standard-Ports insb. HTTP und IRC 443/TCP nur zu 13% syntaktisch gültiges TLS/SSL Typischerweise eigene Verschlüsselungen oder Protokolle DPI auf High-Ports: häufig HTTP oder IRC 15
Netzwerkaktivitäten von Malware Ergebnisse SandNet (3/3) Ziel-IP-Adressen pro Protokoll SMB Protokoll DNS HTTP SMTP IRC Netbios Flash HTTPS P2P 1 10 100 1.000 10.000 100.000 1.000.000 10.000.000 Anzahl an Ziel IP-Adressen (oben: unique Ziel-Adressen, unten Zielverbindungen) 16
Netzwerkaktivitäten von Malware Spambots: Verteilung der Empfänger-Adressen Domains der Empfänger-Adressen hotmail.com live.com Domain msn.com yahoo.com aol.com gmail.com juno.com yahoo.co.uk verizon.net comcast.net web.de gmx.de t-online.de gmx.net freenet.de arcor.de 100 1.000 10.000 100.000 1.000.000 10.000.000 Anzahl an E-Mails 17
18
Flow-basierte Botnetzerkennung Idee Malware-Analyse des Kommunikationsverhaltens wird Grundlage der Bot-Erkennung Forschungsschwerpunkt des Instituts für Internet-Sicherheit - if(is) Wie kann das Malware-Verhalten zur Wiedererkennung verwandter Malware abstrahiert werden? Automatisiert System lernt dynamisch bei neuer Malware Akkurat Wenige Fehlklassifizierungen Nicht zu spezifisch Malware-Varianten werden erkannt Vermeiden von DPI Datenschutz wird eingehalten 19
Flow-basierte Botnetzerkennung Konzept Aggregieren von Netzwerkverbindungen (Flows) Berechnung von Merkmalen (Features) eines Flows Anzahl Bytes je Richtung Datenentropie Ziel-Port / Protokoll Prozedurale Aspekte Zeitpunkte (absolut, relativ), Dauer, Datenrate,... Datenbasis: Legitimer und Malware-Datenverkehr Klassifizierung von Flows in Schad- und legitimem Traffic Erste Ergebnisse: 80% der Flows korrekt klassifiziert! 20
Flow-basierte Botnetzerkennung Positionierung der Analyse Vorteile Nachteile End User PC DSL-Router ISP Ressourcen des PCs nutzbar Integritätsverlust nach Infektion Einflussbereich des Benutzers Integrität, selbst wenn User PC infiziert Beschränkte Ressourcen Gesamter Verkehr aller Nutzer sichtbar (große Grundmenge) Datenschutz, TKG, Performance 21
22
Ausblick SandNet ist eine sehr gute Basis für die Analyse des Kommunikationsverhaltens von Malware Wir werden mit einigen Partnern in mehreren Umgebungen unsere Analyse-Methoden testen Wir glauben einen wichtigen Beitrag zur Botnetzerkennung zu leisten! 23
Flow-basiert Botnetzerkennung Status und erste Ergebnisse Vielen Dank für Ihre Aufmerksamkeit Fragen? Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de