Erkennung von bösartigen Netzwerkverbindungen mittels Verhaltensgraphenanalyse

Ähnliche Dokumente
FortiSandbox. Der intelligentere und integrierte Ansatz gegen heutige Angriffe. Frank Barthel, Senior System Engineer

Datensicherheit richtig überwachen und verwalten wie Sie Datenschutzverstöße verhindern

Botnetz DoS & DDoS. Botnetze und DDoS. Ioannis Chalkias, Thomas Emeder, Adem Pokvic

Next Generation IT Security Synchronized Security vs. Best-of-Breed. Christoph Riese Manager Sales Engineering

ElasticZombie - Einblicke in ein ElasticSearch - Botnet

A new Attack Composition for Network Security

Malware. Inhaltsverzeichnis. Christian Laqua. 7. Juni Einleitung 2. 2 Mechaniken zur Malwareerkennung 2. 3 Fazit 4

Mobile Web-Technologien. Interaktionen und

Vortreffen. Master-Seminar Aktuelle Themen der IT-Sicherheit. Prof. Holz Arbeitsgruppe Embedded Malware

Sammeln von Malware mit Honeypots

Lehrstuhl für Systemsicherheit

Abschlussvortrag zur Bachelorarbeit: Untersuchung von DNS Verkehr durch passive Verkehrsmessungen

Die praktische Umsetzung der EU- DSGVO mit IT-Sicherheitsprodukten. Sascha Paris Snr. Sales Engineer, Sophos

Komplette Website Sicherheit. Sicherheit von A bis Z.

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Avira Small Business Suite 2.6 Quickguide

NETWORK BOX. Next Generation Managed Security. Network Box Germany More than a Partner. Hardware Programm. E-Serie

Visualisierung & Absicherung von Anwendungen, Benutzern und Inhalten. Sichtbarkeit & Transparenz: Entscheidungsqualität?

-Analyse auf Basis von Cuckoo Sandbox

Ransomware DIE GESCHICHTE. Copyright 2017 Trend Micro Inc.

BUSINESSMAIL X.400 WEB SERVICE API MAILBOX STATUS V1.0

Ein kurzer Überblick über das Deutsche Honeynet Projekt

Next Generation Firewall: Security & Operation Intelligence

Neues aus dem DFN-CERT. 48. DFN-Betriebstagung - Forum Sicherheit 26. Februar 2008 Andreas Bunten, DFN-CERT

SGIM Kurzanleitung. Installation der SGIM Hardware nach den Schritten der Installationsanleitung durchführen.

IT-Security-Symposium 2019 IT- Security im Fokus

Wanna Cry? Informationen zur aktuellen Ransomware Angriffswelle

Die praktische Umsetzung der EU-Datenschutz-Grundverordnung IT-Sicherheitslösungen zum Schutz Ihrer Daten und Infrastruktur

Support-Pakete. Service-Leistungen. Support-Pakete. Stand 09/2017. Standard Extended Enterprise.

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September «Eine Firewall ohne IPS ist keine Firewall»

Kommunikation in drahtlosen Sensornetzen

HowTo: VPN mit PPTP und dem Windows VPN-Client Version 2007nx Release 3

AI Revolution der künstlichen Intelligenz im Netzwerk

HERSTELLERUNABHÄNGIGE FIREWALL AUTOMATISIERUNG

PayPalPlus Magento 2 Benutzerhandbuch

Schnellinstallationsanleitung Timemaster WEB

Leistungsbeschreibung T-Mobile Fax2Mail

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Energiemodelle für Komponenten vernetzter eingebetteter Systeme

vrealize Log Insight- Entwicklerressourcen 11. September 2017 vrealize Log Insight 4.3

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

1. Preis: Thomas Dullien, Sabre Security. VxClass Automatische Klassifikation von Malware und Trojanern in Familien

Datenschutz: Windows vs Linux. Malte Klas, SI der BS-LUG

Support-Pakete. Service-Leistungen. Support-Pakete. Stand 12/2017. Standard Extended Enterprise.

Public Cloud im eigenen Rechenzentrum

Proxy Caching von Multimediaströmen

Mobile- Sandbox Ein Analyse- Framework für Android Applika6onen

SICHERHEIT IM INTERNET

Neuartige Gefahrenbewertung von Schadsoftware

Schutz vor moderner Malware

7. OSI-Modell als Rollenspiel

Systemanforderungen für Qlik Sense. Qlik Sense June 2017 Copyright QlikTech International AB. Alle Rechte vorbehalten.

Statischevs. Dynamische Malwareanalyse

Scan Engine - Nutzung der Inventory Skripte

Konfiguration der SMTP-Verbindung... 5 Einstellungen speichern / laden... 6 Versenden von Paketen... 6

Mail Integration Solution White Paper

Praktische Informatik 1

Agenda 2019 für Service Management: Integration mit Datenschutz macht den Unterschied

Security One Step Ahead

Vorkurs Informatik WiSe 16/17

HS Virtuelle Präsenz

Entwicklungstand der GUI

Endpoint Security Webinare 16. /21. März 2017

JSP Usereingabe. Inhalt. 1 Zielsetzung. SEW(3.Jg) Unterlagen zu Java Server-Pages Teil 2

NETWORK BOX. Next Generation Managed Security. Network Box Germany More than a Partner. Hardware Programm. VPN-5 & S-Serie

NETWORK AS A SENSOR AND ENFORCER. Christian Besselmann, Brühl,

(Distributed) Denial of Service

Subprozesse in Python

COMPUTER- FORENSIK HACKS

Organisatorisches. Folien (u.a.) gibt's auf der Lva-Homepage zum Download

SIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP

Monitoring Wissen, was passiert. Wissen, was zu tun ist. Thorsten Kramm SLAC 2013

Erweiterung der Statistikfunktionen in PRODIS.WTS unter Berücksichtigung der Kompatibilität verschiedener Versionen

PHP-Schwachstellen und deren Ausnutzung

Lab Management mit TFS Thomas Schissler artiso AG

Schutz von Datenbanken vor fehlerhaften Webanwendungen

Team: Felix Gessert, Florian Bücklers, Hannes Kuhlmann, Malte Lauenroth, Michael Schaarschmidt. 19. August 2014

Anleitung Server-Installation Capitol V14.1

Event-ID 4624 Logon Types

Dokumentation Benachrichtigungen

Botnetze und DDOS Attacken

NETWORK BOX. Next Generation Managed Security. Network Box Germany More than a Partner. Hardware Programm. M-Serie

Release Notes Miss Marple Lizenzkontrolle

WLAN Nutzung an der HTL Kapfenberg

Anmeldung am FRITZ!Box Webinterface

SSL Installation auf Lotus Domino 8.5

Embedded Webserver in Forth

Revisionskontrollsystem GIT

Installations- und Update-Anleitung für TransportControl


Neuer Funkrufmaster: DAPNET Folien: Daniel Sialkowski und Ralf Wilke. 2. Hamnettagung in Aachen,

Abschlussvortrag zur Bachelorarbeit

EINEN SCHRITT VORAUS. mit SandBlast - Sandboxing einen Schritt weiter gedacht. Mirco Kloss Sales Manager Threat Prevention - Central Europe

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH

Server 2016 Daten Deduplizierung

Digitalisierung und neue Medien Chancen oder Risiko? COMPUTERIA KÖ S S E N

Transkript:

Erkennung von bösartigen Netzwerkverbindungen mittels Verhaltensgraphenanalyse Ralf Hund 21.03.2011 - SPRING 6 Arbeitsgruppe Embedded Malware Lehrstuhl für Netz- und Datensicherheit

Zur Person Diplom an der Universität Mannheim im Jahr 2009 2009-2010: Wiss. Mitarbeiter am Lehrstuhl Praktische Informatik I bei Prof. Felix Freiling an der Universität Mannheim Seit 2010: Wiss. Mitarbeiter in der Arbeitsgruppe Embedded Malware bei Prof. Thorsten Holz an der RUB Forschungsinteressen: - Malwareanalyse (dynamisch und statisch) - Softwareschwachstellen / Neue Angriffstechniken 2

Einleitung Betrachten im Folgenden Bots Seit Jahren existierendes, weitgehend ungelöstes Problem im Internet Unterscheidungsmerkmal zu anderer Malware: Aufbau eines Rückkanals zu einem Kontrollserver (C&C Server) C&C Server gibt neue Befehle und empfängt gesammelte Daten 3

C&C Verbindungen Typische erteilte Befehle sind u.a.: - Updatefunktion: Installiere neue Botversion von http://... - Denial of Service - Versand von Spam - Weiterverbreitung mittels Exploits Gesammelte Daten umfassen: - Lokal gespeicherte Zugangsdaten - Gesniffte Netzwerkdaten 4

Problemstellung Identifizierung von C&C Verbindungen Identifizierung von C&C Verbindungen notwendig um nähere Informationen über das zugrundeliegende Botnet zu erhalten Generierung von Blacklists (IPs von C&C Servern) ~ 40% aller Netzwerkverbindungen von Bots sind kein C&C Traffic Nicht jede Bot-Verbindung ist per se böse - Viele Bots bauen (absichtlich) normale Verbindungen auf - Verfügbarkeitschecks, NTP-Server, Webseiten, etc. 5

Identifizierung von C&C Verbindungen Ansätze Traditionell: Netzwerkbasierter Ansatz Überprüfung der Netzwerkdumps nach Ausführung des Samples - Pattern-Matching nach bestimmten Strings Problem: - Ungenau - Verschlüsselung 6

Hostbasierter Ansatz Verknüpfung der Host-Informationen aus Sandbox mit Netzwerkdaten - Bessere Informationen Systemaufrufe (system calls): API Funktionen mit Parameterwerten Tainting-Informationen: Wie werden Daten im Programm weiterverarbeitet? 7

Automatisierte Analyse Beispiel Anubis Zugriff auf Anubis Livesystem (http://anubis.iseclab.org) Anubis: Sandbox-System basierend auf QEMU Jedes Sample wird 3 Minuten in kontrollierter Umgebung ausgeführt und ausgeführte Operationen werden protokolliert Täglich ca. 80.000 Analysen 8

Verhaltensgraphen Darstellung beider Informationen in einem Verhaltensgraphen - Pro Netzwerkverbindung ein Verhaltensgraph - Knoten: Systemaufruf - Kante: (Taint-)Beziehung zwischen zwei Aufrufen 9

Verhaltensgraph Beispiel 10

Merkmale C&C Verbindungen Was sind die herausragenden Merkmale der Verhaltensgraphen von C&C Verbindungen? Updatefunktion: Über das Netzwerk empfangene Daten werden auf Festplatte geschrieben und ausgeführt. Information Leakage: Rückgabewerte bestimmter Funktionen werden versendet Proxyverhalten: Daten aus anderer Verbindung werden versendet 11

Information Leakage Beispiel Senden der Windows ProductId Request: GET /trade/imgs/doit.php? v=3&id=2c632d8a-76487-640-1457236-23837 HTTP/1.1 x-type: promake User-Agent: Mozilla/4.0 (compatible; MSIE 6.1; Windows XP) Host: www.depositodevideos.com.br 12

Erkennungsansätze Manueller Ansatz - Erkennen von typischen Eigenschaften im Verhaltensgraphen - Plus: Präzise Ergebnisse - Minus: Weiterer human -input Data Mining Ansatz - Automatisierte Generierung von Templates - Templates werden zur Erkennung verwendet 13

Erkennung mittels Data Mining Gegeben: Menge von bekannten gutartigen und bösartigen Verbindungen (Trainingsmenge) - Ermittelt über klassische Netzwerksignaturen Ziel: Templates für bösartige Verbindungen Bestehen aus Kern-Knoten und optionalen Knoten 14

Data Mining 15

Evaluation Setup ~ 37.000 einzigartige Samples - ~ 130.000 Netzwerkverbindungen wurden erzeugt Netzwerksignaturen - jeweils ~ 16.000 C&C / gutartige Verbindungen Unterteilung in Trainings- und Testmenge 16

Evaluation Ergebnisse Testmenge 81% der C&C Verbindungen in der Testmenge erkannt Gründe für False Negatives - Verhalten nicht vollständig (Timeout) - Grauzone zwischen gut und böse (Adware) - Verhalten teilweise zu selten 17

Evaluation Ergebnisse Unknown-Menge Unknown-Menge besteht zu großen Teil aus fehlerhaften Verbindungen (HTTP 404, keine Antwort, etc.) ~ 60.000 sinnvolle Verbindungen (60%) 15% Treffer (~ 9.000) 200 neue Malwarefamilien, die von Netzwerksignaturen nicht erfasst werden Future Work: Vergleich zu manuellen Templates 18

Danke für Ihre Aufmerksamkeit! In Zusammenarbeit mit Gregoire Jakob, Thorsten Holz und Christopher Kruegel Eingereicht bei USENIX Security 2011 19

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback