Flow-basierte Botnetzerkennung Idee und erste Ergebnisse



Ähnliche Dokumente
Dynamische Malware- und Botnetzanalyse Idee und erste Ergebnisse

Christian J. Dietrich dietrich [at] internet-sicherheit. de. Institut für Internet-Sicherheit FH Gelsenkirchen

Qualität und Vertrauenswürdigkeit von Software Ist open oder closed besser?

Von Perimeter-Security zu robusten Systemen

Routing im Internet Wie findet ein IP Paket den Weg zum Zielrechner?

Anbindung des eibport an das Internet

Lagebild zur Internet-Sicherheit Internet-Kennzahlen

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Internet online Update (Mozilla Firefox)

Botnetzmonitoring Waledac

15 Transportschicht (Schicht 4)

Konfiguration des Fernzugriffes auf Eyseo-IP-Netzwerkkameras mittels dynamischer IP-Adresse

Technische Grundlagen von Internetzugängen

Bestes familienfreundliches Employer Branding

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto auf Ihrem Android Smartphone

Inhaltverzeichnis 1 Einführung Zugang zu den Unifr Servern Zugang zu den Druckern Nützliche Links... 6

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Stellvertretenden Genehmiger verwalten. Tipps & Tricks

Kontrollfragen: Internet

Anleitung zum Einstieg bei Cadenas

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

Erfahrungen mit Hartz IV- Empfängern

Software Defined Networking. und seine Anwendbarkeit für die Steuerung von Videodaten im Internet

Sie wollen gründen oder sich selbständig machen!

Benutzerbezogene Visualisierung zur Darstellung von Risiken und Angriffen - und nun? Achim Kraus Senior Consultant Palo Alto Networks Inc.

Installationsanleitung Webhost Windows Compact

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

NTR-Support Die neue Fernwartung

3. Wählen Sie "Internet- " aus und klicken Sie wiederum auf "Weiter".

Internet LUFA. Topologiebeschreibung LUFA Speyer Gesamtübersicht. Co Location in einem RZ. LUFA Speyer Topologiebeschreibung Projekt Nr.

Ihr Benutzerhandbuch AVIRA ANTIVIR EXCHANGE

Leitfaden E-Books Apple. CORA E-Books im ibook Store kaufen. Liebe Leserinnen und Leser, vielen Dank für Ihr Interesse an unseren CORA E-Books.

Netzwerkeinstellungen unter Mac OS X

Workflows verwalten. Tipps & Tricks

Schuljahreswechsel im Schul-Webportal

Nutzung dieser Internetseite

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto auf Ihrem Android Tablet

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

Sicherheit für Windows Vista Teil 2: Windows Tool zum Entfernen bösartiger Software

Sicherheits-Tipps für Cloud-Worker

Kurzanleitung SEPPmail

Benutzeranleitung Web Login (Internetzugang an Öffentlichen Datendosen und in Studentenwohnheimen )

7. TCP-IP Modell als Rollenspiel

Produktvorstellung: CMS System / dynamische Webseiten. 1. Vorwort

Protect 7 Anti-Malware Service. Dokumentation

FACEBOOK als Angriffstool für Cybercrime

Handbuch ECDL 2003 Modul 2: Computermanagement und Dateiverwaltung Der Task-Manager

Net at Work - Paderborn

10 Jahre Institut für Internet-Sicherheit Mehr IT-Sicherheit und mehr Vertrauen?

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

nic.at - Salzamt im (österreichischen) Internet?

Ein Vorwort, das Sie lesen müssen!

Fragen und Antworten. Kabel Internet

Schnelle Hilfe Was muss ich bei der Installation und Inbetriebnahme des Systems beachten?

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

Information zum Projekt. Mitwirkung von Menschen mit Demenz in ihrem Stadtteil oder Quartier

STLB-Bau Kundenmanager

Übung - Konfigurieren einer Windows 7-Firewall

Anleitung für Webcasts

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

Aufgabe 3 Storm-Worm

ASDI Benchmarking Projekt. Anleitung zum Datenexport

Schritt für Schritt Installationsanleitung -> CAS genesisworld SwissEdition

Anwendungsbeispiele Sign Live! Secure Mail Gateway

Die ersten Schritte mit. DIG-CAD 5.0 Aufmaß

D a s P r i n z i p V o r s p r u n g. Anleitung. - & SMS-Versand mit SSL (ab CHARLY 8.11 Windows)

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

Was ist sigmail.de? Sigmail ist der -Server auf www. signaturportal.de. Eine Adresse auf signaturportal.de lautet

Internet Explorer Version 6

MARCANT - File Delivery System

Aktivierung von Makros in den Erfassungshilfen

SIP Konfiguration in ALERT

15 Social-Media-Richtlinien für Unternehmen!

Anleitung zur Einrichtung von Outbound und Inbound Filtern Für DWR-512 (Stand August 2012)

Gefahren aus dem Internet 1 Grundwissen April 2010

Lizenzverwaltung Installation nachträglich erworbener Zusatzmodule

Benutzerhandbuch MedHQ-App

Logistik macht Schule

PROFIS Software Lösungen

DRINGEND: SICHERHEITSMITTEILUNG

WLAN Konfiguration. Michael Bukreus Seite 1

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Alarmbilder von Bildquellen per empfangen


Lokales Netzwerk Wie kann ich lokal installierte Drucker im Netzwerk für andere Nutzer freigeben? Frage:

Datenspuren. Doris Aschenbrenner, Joachim Baumeister, Aleksander Paravac. Nerd2Nerd e.v.

Bitte beachten Sie. Nur für Kabelmodem! - 1 -

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in der Software 6.0

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Fragebogen zur Erhebung der Situation altgewordener psychisch erkrankter Menschen in den Angeboten der Sozialpsychiatrie in Mecklenburg-Vorpommern

ProSecure Sales Training 4/6. Vielseitige Verteidigung des SMB

PayPal API Zugang aktivieren und nutzen Version / Datum V 1.5 / a) Aktivierung auf der PayPal Internetseite. 1 von 7

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung

Unterrichtsbeispiele Sek.1 zum Themenbereich Computernetze

Einleitung. Hauptteil. Wir befinden uns nun im Demoarchiv.

Transkript:

Flow-basierte Botnetzerkennung Idee und erste Ergebnisse Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de

Inhalt Einleitung Herausforderung Malware-Erkennung Netzwerkaktivitäten von Malware Flow-basierte Botnetzerkennung Ausblick 2

Einleitung Malware-Probleme Eigene Messungen: Effekte durch Malware nehmen nicht ab! Wettlauf der Entwicklung von Malware-Tarnung und Gegenmaßnahmen Zunehmende Phishing-Problematik (BKA) und Keylogging Zunehmendes Malware-Problem 3

Best Of Bot Screenshots 4

Herausforderung Malware-Erkennung Inkonsistente Malware Labels SDBot family Labels von 3 AVs Inkonsistenzen Quelle: M. Bailey, Automated Classification and Analysis of Internet Malware Keine eindeutige Bezeichnung für ein Malware-Sample Mitunter Widersprüche Professionalisierung Toolkits (Zeus) Modifizierende Packer zur Umgehung von Prüfsummen 5

Herausforderung Malware-Erkennung Botnetzerkennung Status quo Malware-Abwehr: klassischer Antivirenschutz auf dem PC Antiviren-Signaturen zur Erkennung von bösartigen Dateien Heuristiken, KI, Reputationssysteme, Erkennungsrate: 75 bis 95 % Malware-Schutz im Netzwerk? Geringere Verbreitung als hostbasierte Mechanismen Beispiele: URL-Blacklists, Proxy-Server mit A/V-Komponente Intrusion Detection Systeme (snort), Internet-Analyse-System (IAS) Großflächige Anwendung ist schwierig (u.a. wegen des Datenschutzes, TKG, ) Wunsch: Datenschutzfreundliche, rechtskomforme Botnetzerkennung für die Praxis 6

Herausforderung Malware-Erkennung Signaturbasierte Botnetzerkennung Beispiel: HTTP Charakteristische Protokollelemente ermitteln und als Signaturmerkmal heranziehen Quelle: Perdisci, Behavioral Clustering of HTTP-Based Malware and Signature Generation Using Malicious Network Traces, 2010 Durch Verschlüsselung oder Verschleierung auszuhebeln z.b. Storm, Virut, Waledac, Conficker 7

8

Netzwerkaktivitäten von Malware Malware-Kommunikation Um Gegenmaßnahmen auf Netzwerkebene zu entwickeln, brauchen wir ein Verständnis der Netzwerkaktivität von Malware! Was macht gängige Malware im Netzwerk? Malware benötigt Netzwerkkommunikation, um sinnvoll flexibel und multifunktional gesteuert zu werden (Command & Control C&C) Software-Updates durchzuführen andere Rechner zu identifizieren (Verbreitung der Malware) zu spammen, bei einem DDOS-Angriff mitzumachen,. auf anderen Webseiten etwas zu tun (Click Fraud, schadhafter JavaScript-Code, XSS,...) Ergebnisse eines Keyloggers/Trojaners an Dropzones zu senden DNS, 9

Netzwerkaktivitäten von Malware Malware-Analyse Wir als Forscher brauchen die Möglichkeit der Analyse des Netzwerkverhaltens von Malware! Klassisch: statische Malware-Analyse Analyse des Binärcodes mit Hilfe von Disassembler und Debugger Netzwerkverhalten auf diese Weise zu ermitteln, ist sehr mühsam, schwierig und zeitintensiv! 10

Netzwerkaktivitäten von Malware Kontrollierte Malware-Analyseumgebung Dedizierte Ausführungsumgebung für Malware: SandNet Schadensvermeidung und Schadensbegrenzung (Dritte dürfen keinen Schaden erleiden!) Intelligente Simulation von Diensten Vortäuschen des Mailversands Vortäuschen von erfolgreichen Infektionen mittels Honeypots 11

Netzwerkaktivitäten von Malware SandNet-Struktur Honeypots Bandbreitenlimit Honey wall Spam Controller Hydra Datenbank und Schnittstelle für Analysten Herder 1 Herder N 12

Netzwerkaktivitäten von Malware Malware-Ausführung Zeit/min Command&Control-Kommunikation (hier IRC) 13

Netzwerkaktivitäten von Malware Ergebnisse SandNet (1/3) Verteilung von Destination Ports in reinem Botverkehr log scale Infektionsversuche C&C? Click fraud?... DNS Spam Infektionsversuche C&C? 14

Protokollverteilung Malware-Verkehr (2/3) Protokolle auf Non- Standard-Ports insb. HTTP und IRC 443/TCP nur zu 13% syntaktisch gültiges TLS/SSL Typischerweise eigene Verschlüsselungen oder Protokolle DPI auf High-Ports: häufig HTTP oder IRC 15

Netzwerkaktivitäten von Malware Ergebnisse SandNet (3/3) Ziel-IP-Adressen pro Protokoll SMB Protokoll DNS HTTP SMTP IRC Netbios Flash HTTPS P2P 1 10 100 1.000 10.000 100.000 1.000.000 10.000.000 Anzahl an Ziel IP-Adressen (oben: unique Ziel-Adressen, unten Zielverbindungen) 16

Netzwerkaktivitäten von Malware Spambots: Verteilung der Empfänger-Adressen Domains der Empfänger-Adressen hotmail.com live.com Domain msn.com yahoo.com aol.com gmail.com juno.com yahoo.co.uk verizon.net comcast.net web.de gmx.de t-online.de gmx.net freenet.de arcor.de 100 1.000 10.000 100.000 1.000.000 10.000.000 Anzahl an E-Mails 17

18

Flow-basierte Botnetzerkennung Idee Malware-Analyse des Kommunikationsverhaltens wird Grundlage der Bot-Erkennung Forschungsschwerpunkt des Instituts für Internet-Sicherheit - if(is) Wie kann das Malware-Verhalten zur Wiedererkennung verwandter Malware abstrahiert werden? Automatisiert System lernt dynamisch bei neuer Malware Akkurat Wenige Fehlklassifizierungen Nicht zu spezifisch Malware-Varianten werden erkannt Vermeiden von DPI Datenschutz wird eingehalten 19

Flow-basierte Botnetzerkennung Konzept Aggregieren von Netzwerkverbindungen (Flows) Berechnung von Merkmalen (Features) eines Flows Anzahl Bytes je Richtung Datenentropie Ziel-Port / Protokoll Prozedurale Aspekte Zeitpunkte (absolut, relativ), Dauer, Datenrate,... Datenbasis: Legitimer und Malware-Datenverkehr Klassifizierung von Flows in Schad- und legitimem Traffic Erste Ergebnisse: 80% der Flows korrekt klassifiziert! 20

Flow-basierte Botnetzerkennung Positionierung der Analyse Vorteile Nachteile End User PC DSL-Router ISP Ressourcen des PCs nutzbar Integritätsverlust nach Infektion Einflussbereich des Benutzers Integrität, selbst wenn User PC infiziert Beschränkte Ressourcen Gesamter Verkehr aller Nutzer sichtbar (große Grundmenge) Datenschutz, TKG, Performance 21

22

Ausblick SandNet ist eine sehr gute Basis für die Analyse des Kommunikationsverhaltens von Malware Wir werden mit einigen Partnern in mehreren Umgebungen unsere Analyse-Methoden testen Wir glauben einen wichtigen Beitrag zur Botnetzerkennung zu leisten! 23

Flow-basiert Botnetzerkennung Status und erste Ergebnisse Vielen Dank für Ihre Aufmerksamkeit Fragen? Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback