Title (deu): Sensorik zur Erkennung gezielter Angriffe

Author: Sasshofer, K. (Kevin)

Description (deu): St. Pölten, FH-Stg. Information Security, Master Thesis, 2012

Description (deu): Diese Diplomarbeit behandelt das Thema „Gezielte Angriffe“ (oder auch Advanced Persistent Threats) auf Windows basierenden Systemen und widmet sich dabei der Betrachtung der bei diesen Angriffen hinterlassener Spuren, sowie der Ableitung von heurisik-basierenden Sensoriken durch deren Auswertung. Durch die Erlangung eines besseren Verständnisses der grundsätzlichen Vorgehensweise eines/einer AngreiferIn und dessen/deren mögliche Motive, soll es ermöglicht werden diese tückischen und nur schwer zu erkennenden Angriffe frühzeitig zu Entdecken und im Idealfall zu unterbinden. Der wesentliche Unterschied zu gewöhnlichen Angriffen besteht in der großen Sorgfalt des/der Angreifers/Angreiferin bei der Durchführung und dem Einsatz von individuellen Angriffswerkzeugen. Gezielte Angriffe richten sich gegen einzelne ausgewählte Ziele und nicht gegen die breite Masse. Ein/e AngreiferIn steht bei der Angriffsdurchführung vor unterschiedlichen Herausforderungen und verfügt über ein gewisses Spektrum an Angriffstechniken und Angriffswerkzeugen. Diese Techniken und Werkzeuge werden im Rahmen einer praktischen Teststellung anhand von vorab definierten Angriffsszenarien nachgestellt, analysiert und auf hinterlassene Spuren hin untersucht. Die definierten Teststellungen sind der Realität nachempfunden und inkludieren die Verwendung von großteils frei verfügbaren und nicht lizenzpflichtigen Angriffswerkzeugen, die jedoch zum Teil modifizierbar sind. Durch den Einsatz dieser für Teilschritte eines APT-Angriffs konzipierten Programme ist es möglich ein ungefähres Bild für die Möglichkeiten, die einem/einer realen AngreiferIn zur Verfügung stehen zu gewinnen. Durch die Evaluierung der im Zuge der Durchführung der einzelnen Angriffsszenarien gesammelten Daten, werden Sensoriken, Suchparameter und Referenzdaten zur Erkennung dieser Angriffe extrahiert. Die Datenanalyse umfasst neben den Daten aus den Windows-Eventlogs, Aufzeichnungen der Pakete, welche über das Netzwerk gesendet werden und Daten über hinterlassene Spuren auf dem Dateisystem. Die analysierten Eventlog-Einträge spezifischer Systemvorgänge, die durch die Anwendung einzelner Angriffswerkzeuge ausgelöst werden, lieferten Referenzdaten, anhand derer in realen Unternehmens-Infrastrukturen nach Spuren solcher Angriffe gesucht werden kann. Die evaluierten Aufzeichnungen des Netzwerkverkehrs resultieren in der Erstellung von Sensoriken für das freie Intrustion Detection System „Snort“. Mit Hilfe der erstellten Regeln, ist es möglich die Verwendung einzelner Tools in Echtzeit zu erkennen. Aus den hinterlassenen Spuren auf dem Dateisystem konnten durch eine tiefgehende forensische Analyse Suchparameter extrahiert werden, mit deren Hilfe das Vorhandensein einzelner Angriffstools nachgewiesen werden kann und auf spezielle Angriffe geschlossen werden kann.

Description (eng): This Master-thesis deals with the topic of „Targeted Attacks“ (or also known as Advanced Persistent Threats) on Windows based systems. A detailed look at the data is given which was left behind on the system. The major goal was the extraction of heuristic based signatures as a result of the detailed evaluation of the given data. The gain of better understanding of the methods and techniques an attacker uses to perform these attacks helps to detect this kind of attacks and to prevent them finally. The main difference between targeted attacks and common attacks is the careful procedure of an attacker and the use of highly individual attacking tools. Advanced persistent threats aim at a single target and are not interested in the rank and file. Another interesting point of view are the challenges an attacker faces by planning and performing these attacks. An attacker has the availability of a specific spectrum of attacking techniques and tools. For better understanding some tools and techniques are practically tested in a prepared cloud infrastructure based on defined attacking scenarios. The data which was left behind after the execution of the tools will be collected. The use of tools which are freely available on the Internet results in a deeper understanding of the possibilities an attacker has when he or she performs an attack. Besides the entry of the Windows Event-log, network traffic and traces on the file-system are collected and evaluated. The analytics of the Event-log provides reference data which could be used to find evidence of performed attacks in other enterprises. Heuristic based signatures for the open source intrusion detection system „snort“ can be created out of the captured network traffic. The created snort rules allow the detection of specific attacking tools which are used in real-time on any network. Last but not least a forensic analysis of the file-system data provided search parameters which can be used to detect fragments of specific tools in a real forensic case that lead to the detection targeted attacks that have been performed on the given system.

Object languages: German

Date: 2012

Rights: © All rights reserved

Classification: Computersicherheit; Computerkriminalität

Permanent Identifier