Forschungsprojekt APT-Sweeper: Neue Ideen im Kampf gegen gezielte Angriffe (Teil 2)

Forschungsprojekt APT-Sweeper: Neue Ideen im Kampf gegen gezielte Angriffe (Teil 2)

Im ersten Blogartikel zu Advanced Persistent Threats (APT) haben Sie bereits erfahren, wie diese konkret ablaufen. Heute wollen wir Ihnen neue Ansätze zur frühzeitigen Erkennung und Abwehr aufzeigen, die wir zusammen mit Partnern im Projekt APT-Sweeper erforschen.

Unsere Ideen in APT-Sweeper

Bisherige Methoden der Verteidigung konzentrieren sich auf eine Analyse der übertragenen Inhalte, d. h. der in der Mail übertragenen Anhänge, heruntergeladene Dateien oder Versuche, den Browser über Java, Flash, ActiveX oder Javascript zu kompromittieren. Und entsprechend konzentrieren sich auch die Angreifer darauf, entsprechende Erkennungstechniken zu umgehen.

Wir erforschen im Projekt APT-Sweeper, inwieweit die Einbeziehung von Meta-Informationen in die Analyse dabei helfen kann, das Risiko einer Kommunikation klarer als bisher einzuschätzen. Wenn man sich tiefer mit den Mail- und Webprotokollen, dem Kontext der Kommunikation oder auch der Struktur von Mails und anderen Dokumenten befasst, so findet man viele kleine und wenig offensichtliche Eigenschaften, die dazu dienen können, Profile von Absendern, Webseiten oder von Kommunikationsbeziehungen zu erstellen. Derartige Profile können dann benutzt werden, um neue Kommunikationen zu verifizieren und einzuschätzen, inwieweit sie mit bisheriger Kommunikation übereinstimmen oder von ihr spürbar abweichen. Derartige Abweichungen könnten z. B. sein, dass eine Website plötzlich PDF-Dokumente oder Flash ausliefert, obwohl sie bisher immer nur einfache Webseiten ausgeliefert hat. Oder dass eine Mail von einem bekannten Absender plötzlich von einem anderen Mailserver als bisher kommt. Basierend auf dem Resultat dieser Anomalieerkennung kann dann das Risiko der entsprechenden Kommunikation besser eingeschätzt werden.

Allerdings wird Malware mit der Absicht entwickelt, unerkannt zu bleiben, sodass es in vielen Fällen nicht eindeutig festzustellen ist, ob die untersuchten Daten gutartig oder bösartig sind. Zur Behandlung dieser Grauzone der Erkennung setzen übliche Verteidigungssysteme daher einen Schwellwert, bis zu dem sie Daten als gutartig durchlassen, während sie alles andere als bösartig blockieren. Das führt dazu, dass entweder viele gutartige Daten als sogenannte "False Positives" blockiert werden oder aber viele bösartige Daten als "False Negatives" durchgelassen werden. Da jedoch Malware nur einen Bruchteil der Daten ausmacht, wird eine zuverlässige Erkennung von Malware unweigerlich dazu führen, dass auch viele gutartige Daten blockiert werden und damit das System für den Endanwender zu störend wird. Zur Gewährleistung der Benutzbarkeit wird daher der Schwellwert im Allgemeinen so gesetzt, dass die Rate der irrtümlich geblockten gutartigen Daten vernachlässigbar gering ist und man damit akzeptiert, dass einige Malware nicht blockiert wird.

Gelber Bereich: Risikozone, in der die Erkennung gut- oder bösartiger Daten nicht fehlerfrei gelingt und die somit eine Gefährdung des Adressaten verursacht.

Bei gezielten Angriffen ist das Problem noch schwerwiegender. Zum einen kann der Angreifer durch die bessere Kenntnis des Opfers die Malware gezielter auf Ähnlichkeit mit gutartiger Kommunikation anpassen, zum anderen gibt es deutlich weniger gezielte Angriffe als normale Malware. Damit ist die Grauzone der Erkennung wesentlich größer. Wird weiterhin der Schwellwert der Erkennung bei einem für den Nutzer erträglichen Wert belassen, hat ein Angreifer leichtes Spiel, seine angepasste Malware am Analysesystem vorbeizuschleusen.

Unser Ansatz ist es daher, in diesem Graubereich der Erkennung die Daten nicht einfach durchzuleiten oder zu blockieren, sondern sie nur in einer entschärften Form weiterzuleiten, die entweder für den Anwender bereits vollständig ausreicht oder er zumindest sehen kann, ob Zugriff auf die Original-Daten nötig ist. Möglichkeiten der Entschärfung wären zum Beispiel die Umwandlung von Office-Dokumenten in das PDF-Format oder das Entfernen von Javascript und anderen aktiven Inhalten aus PDF und HTML.

Gelber Bereich: Risikozone, in der Daten zunächst entschärft werden (z. B. Entfernung aktiver Inhalte), bevor sie an den Adressaten weitergegeben werden.

Zwischenergebnisse

Wir haben in diesem Forschungsprojekt bereits ein Drittel der Projektlaufzeit hinter uns. Nach einer initialen gründlichen Analyse der Bedrohungssituation durch APT und der unzureichenden Verteidigungsstrategien haben wir bereits viele Analysen von üblichem Web- und Mailverkehr unternommen und viele kleine Merkmale für die Anoma­lieerkennung extrahiert. Dabei haben wir bereits durchaus interessante Zusammenhänge erkannt, die auch bei der Bekämpfung von Spam und Phishing-Mails hilfreich sind. Durch unsere tiefe Beschäftigung mit den Protokollen und Datenstrukturen haben wir auch verschiedene Sicherheitslücken in aktuellen Produkten gefunden, die eine Umgehung der Analysen bei Web und Mail ermöglichten. Die betroffen Hersteller wurden von uns informiert.

Die Partner im Projekt

In dem Projekt APT-Sweeper bringen verschiedene Partner ihr Knowhow ein: genua benutzt die detaillierten Kenntnisse von Applikationsprotokollen, Kommunikationskontexten und Datenstrukturen, um möglichst viele interessante Merkmale aus dem Datenstrom zu extrahieren. Diese Merkmale werden dann an der Universität Göttingen kombiniert, um so eine Anomalieerkennung zu ermöglichen. Dabei wird in der Arbeitsgruppe von Konrad Rieck auf viel Erfahrung im Bereich des maschinellen Lernens zurückgegriffen. Damit das entstehende Erkennungssystem in der Praxis nicht einfach umgangen werden kann, wird es an der Universität Erlangen in der Arbeitsgruppe von Felix Freiling analysiert, welche dazu ihr Knowhow im Bereich der Digitalen Forensik und der Penetrationstests einsetzt. Die assoziierten Partner, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Siemens AG, unterstützen das Projekt mit ihren praktischen Erfahrungen in der Bekämpfung gezielter Angriffe.

Das Projekt wird gefördert vom Bundesministerium für Bildung und Forschung und läuft bis Mitte 2017.

Übersicht: Aktuelle Forschungsprojekte von genua

 

Bildquelle: ©logo3in1 - Fotolia.com


Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.