Title (eng): Advanced attribution of an attacker´s network infrastructure using passive DNS data

Author: Kolmann, A. (Alexander)

Description (deu): St. Pölten, Studiengang Information Security, Masterarbeit, 2016

Description (deu): Im Laufe der letzten Jahre, verwenden Angreifer immer häufiger bösartige Software (Malware) welche stark auf DNS (Domain Name System) vertraut, wie zum Beispiel bei der Kommunikation mit einem Command & Control (C&C) Server. Das große Problem hierbei ist, dass das Domain Name System nicht dazu verwendet werden kann um historische Informationen abzufragen. Es ist daher mit dem klassischen DNS zum Beispiel nicht möglich herauszufinden auf welche IP Adresse die Domain in der Vergangenheit aufgelöst worden ist. Bereits vor mehr als zehn Jahren hat Florian Weimer eine Technik namens „Passive DNS Replication“ vorgestellt welche dieses Problem behebt. Mittlerweile gibt es zahlreiche passive DNS Datenbanken welche behilflich sein können Fragen zu beantworten welche mit dem Standard DNS Protokoll nicht beantwortet werden können. In den meisten Fällen verwendet ein Angreifer eine Vielzahl an unterschiedlichen IP Adressen beziehungsweise Domain Namen. Wird in einem Netzwerk eine bösartige IP Adresse / Domain identifiziert und geblockt so ist es wahrscheinlich, dass der Angreifer zu weiteren in seinem Besitz befindlichen IP Adressen / Domain Namen wechselt. Daher ist es notwendig, möglichst vollständig die gesamte Netzwerkinfrastruktur des Angreifers aufzudecken. Das Ziel dieser Diplomarbeit ist es, einen Prozess zu entwerfen welcher die Netzwerkinfrastruktur eines Angreifers identifiziert indem eine IP Adresse oder ein Domain Name bekannt ist. Dabei sollen IP Adressen und Domain Namen welche für bösartige Zwecke verwendet werden dementsprechend klassifiziert werden. Dazu werden Informationen aus passive DNS Datenbanken sowie weiteren öffentlichen Quellen wie WHOIS verwendet. Des Weiteren ist es notwendig, dass der Prozess mit einer großen Anzahl an Domain Namen (“Shared Cloud Environment”) umgehen kann, sodass die Analyse in entsprechender Zeit durchgeführt werden kann. Im Rahmen der Diplomarbeit wurden zwei Prozesse zur Attributierung entworfen. Einerseits der „Basic“ Prozess welcher sehr rudimentär ist und hauptsächlich auf Daten aus passive DNS Datenbanken zurückgreift. Andererseits der „Advanced“ Prozess welcher den Prozess um zusätzliche Schritte, wie zum Beispiel das Extrahieren von Features/Attributen für die Klassifizierung von Domain Namen oder das Problem mit einer großen Anzahl an IP Adressen, erweitert. Es wurde ein Training Set an Domain Namen, welche als gutartig beziehungsweise bösartig angesehen werden, zusammengestellt. Unterschiedliche Features/Attribute wurden für die einzelnen Domain Namen extrahiert. Diese Features wurden anschließend dazu verwendet einen Domain Namen als gutartig beziehungsweise bösartig zu klassifizieren. Unterschiedliche Klassifiziere wie zum Beispiel Decision Tree, k-NN oder Naive Bayes wurden eingesetzt. Die Performance der unterschiedlichen Klassifiziere wurde verglichen und das Ergebnis zeigte, dass der Decision Tree mit einer True Positive Rate um die 98% am besten abgeschnitten hat.

Description (eng): Over the last couple of years, threat actors have started to use malicious software (malware) which heavily relies on the domain name system (DNS), for example to communicate with a Command & Control (C&C) server. Nevertheless, the domain name system can not be used to retrieve historical information of a domain name such as where the domain name did point to in the past or what domain names point into a given IP network. A technique called Passive DNS Replication [1] was introduced by FlorianWeimer in 2005. Nowadays, various passive DNS databases exist and provide valuable source to answer questions that are extremely difficult or even impossible to answer with just using the standard DNS protocol. In most cases, threat actors are using several different IP addresses / domain names. By blocking just one single IP address / domain name, it is highly likely that the attacker will switch to another one. Therefore, it is essential to attribute an attacker’s network infrastructure in an applicable extent.
The main objective of this diploma thesis is to detect IP addresses and domain names that are being used for malicious activities by analyzing passive DNS data as well as other publicly available information such as WHOIS. A process that is able to attribute an attacker’s network infrastructure by having one single IP address or domain name should be presented. Additionally, the process should be able to handle a domain that is hosted in a shared cloud environment. In the course of this diploma thesis, two different attribution processes have been proposed which aim to attribute an attacker’s network infrastructure. First, a basic process has been developed which is rudimentary and will mainly uses only passive DNS data. The advanced process includes for example the extraction of the different features/attributes for a domain name and can handle domain names hosted in a shared cloud environment. A stop criterion which addresses the problem with domain names that are being hosted in a shared cloud environment has been proposed. In order to classify a domain as benign/malicious, different features/attributes have been extracted for a list of domain names. Therefore, a training set consisting of benign domain name samples and malicious domain name samples was assembled. The extracted features were used by machine learning algorithms. Different classifiers such as
Decision Tree, k-NN and Naive Bayes have been used. The performance vectors’ have been compared and the highest True Positive Rate of around 98% was achieved by the Decision Tree classifier.

Object languages: English

Date: 2016

Rights: © All rights reserved

Classification: Malware; DNS

Permanent Identifier