Hasso-Plattner-Institut
Hasso-Plattner-Institut
  
Login
 

Martin Ussath

Analytical Approaches for Advanced Attacks

Heutzutage versucht eine zunehmende Anzahl von Angriffen einzelne Computersysteme und komplette IT-Infrastrukturen zu kompromittieren. Daher werden verschiedene Sicherheitssysteme, wie zum Beispiel Firewalls, Antiviruslösungen oder Intrusion Detection Systeme (IDS) verwendet, um Angriffe zu erkennen und zu verhindern. Insbesondere Unternehmensnetzwerke werden Ziel von fortschrittlichen Angriffen die bestimmte Taktiken, Techniken und Vorgehensweisen einsetzen um Sicherheitssysteme zu umgehen und Untersuchungsbemühungen zu erschweren. Dieser Typ von Angriff, einschließlich Advanced Persistent Threats (APTs), führt häufig mehrere bösartige Aktivitäten durch um das geplante Ziel zu erreichen. Deshalb ist es notwendig die relevanten Angriffsschritte zu erkennen um ein umfassendes Verständnis des kompletten Angriffs zu erlangen. Außerdem ist es erforderlich die verwandten bösartigen Aktivitäten während der Analysen zu berücksichtigen, weil die einzelnen Angriffsschritte möglicherweise den Anschein haben gutartig zu sein. Gegenwärtig werden häufig manuelle Analyseansätze verwendet um zentral gesammelte Ereignisdaten von verschiedenen Systemen zu analysieren, um fortschrittliche Angriffe umfassend zu erkennen und angemessene Gegenmaßnahmen zu erstellen. Besonders mit solchen manuellen Ansätzen ist es oftmals komplex und zeitaufwändig die Relationen zwischen verschiedenen Angriffsaktivitäten zu verfolgen und zu beschreiben.

In dieser Arbeit werden verschiedene automatische Analyseansätze vorgeschlagen und evaluiert um die Identifizierung und die Analyse von fortschrittlichen Angriffen zu unterstützen. Zunächst wird ein neuartiger Tainting-Ansatz für Ereignisattribute vorgeschlagen, der verwandte Ereignisdaten auf Grundlage von ähnlichen oder identischen Ereignisattributen korreliert. Dieser Korrelationsansatz verwendet verschiedene Methoden um manuelle Korrelationsverfahren nachzuahmen und angemessene Korrelationsergebnisse zu erzielen. Weiterhin können mit dem tainting-basierten Korrelationsansatz auch Taint-Graphen erstellt werden, welche das einfache Nachvollziehen von mehrstufigen Angriffen ermöglichen. Ein weiterer Analyseansatz verwendet Taint-Graphen um automatisch valide mehrstufige Erkennungssignaturen abzuleiten. Für die Erstellung solcher Signaturen analysiert der Ansatz die Graphenstruktur eines Taint-Graphen und beschreibt eine passende Signatur mit Hilfe der korrelierten Ereignisdaten und deren Relationen. Des Weiteren ist es notwendig relevante Details über durchgeführte bösartige Aktivitäten mit anderen potentiellen Zielen zu teilen, um Untersuchungen und Analysebemühungen zu unterstützen. Daher wird ebenfalls eine erweiterte Variante des Structured Threat Information eXpression (STIX) Formats in dieser Arbeit vorgeschlagen, um das Teilen von komplexen Mustern, welche verschiedene Objekte und deren Relationen beschreiben, zu ermöglichen. Weiterhin, wird ein Ansatz für ein verbessertes Sinkhole System vorgeschlagen, mit dem es möglich ist umfassende Details über infizierte Systeme und ausgeführte Schadsoftware zu sammeln. Dieser Ansatz ist abhängig von DNS Sinkholing und kann angewendet werden um weitere Details über fortschrittliche Angriffe zu sammeln.