26
Institut für Internet-Sicherheit – if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de Prof. Dr. (TU NN) Norbert Pohlmann Christian Rossow Christian J. Dietrich Dynamische Malware- und Botnetzanalyse Idee und erste Ergebnisse

Dynamische Malware-und Botnetzanalyse Idee und erste ... · PDF fileModifizierende Packer zur Umgehung von Prüfsummen 5 ... wird Grundlage der Bot-Erkennung ... Automatisiert System

  • Upload
    hatu

  • View
    217

  • Download
    0

Embed Size (px)

Citation preview

Institut für Internet-Sicherheit – if(is)Fachhochschule Gelsenkirchenhttp://www.internet-sicherheit.de

Prof. Dr. (TU NN)

Norbert PohlmannChristian RossowChristian J. Dietrich

Dynamische Malware- und Botnetzanalyse

Idee und erste Ergebnisse

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

2

Inhalt

Einleitung

Herausforderung Malware-Erkennung

Netzwerkaktivitäten von Malware

Flow-basierte Botnetzerkennung

Ausblick

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Einleitung Malware-Probleme

Eigene Messungen: Effekte durch Malware nehmen nicht ab!

Wettlauf der Entwicklung von Malware-Tarnung und Gegenmaßnahmen

Zunehmende Phishing-Problematik (BKA) und Keylogging

Zunehmendes Malware-Problem3

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Best Of Bot Screenshots

4

„H

era

usfo

rderu

ng

Malw

are

-Erk

en

nu

ng

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Herausforderung Malware-Erkennung Inkonsistente Malware Labels

Inkonsistenzen

Keine eindeutige Bezeichnung für ein Malware-Sample

Mitunter Widersprüche

„Professionalisierung“

Toolkits (Zeus)

Modifizierende Packer zur Umgehung von Prüfsummen

5

Quelle: M. Bailey, Automated Classification and Analysis of Internet Malware

SDBot family Labels von 3 AVs

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Herausforderung Malware-Erkennung Botnetzerkennung – Status quo

Malware-Abwehr: klassischer Antivirenschutz auf dem PC

Antiviren-Signaturen zur Erkennung von bösartigen Dateien

Heuristiken, KI, Reputationssysteme, …

Erkennungsrate: 75 bis 95 %

Malware-Schutz im Netzwerk?

Geringere Verbreitung als hostbasierte Mechanismen

Beispiele: URL-Blacklists, Proxy-Server mit A/V-Komponente

Intrusion Detection Systeme (snort), Internet-Analyse-System (IAS)

Großflächige Anwendung ist schwierig (u.a. wegen des Datenschutzes, TKG, …)

Wunsch: Datenschutzfreundliche, rechtskomforme Botnetzerkennung für die Praxis

6

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Beispiel: HTTP

Charakteristische Protokollelemente ermitteln und als Signaturmerkmal heranziehen

Durch Verschlüsselung oder Verschleierung auszuhebeln

z.B. Storm, Virut, Waledac, Conficker

Herausforderung Malware-Erkennung Signaturbasierte Botnetzerkennung

7

Quelle: Perdisci, Behavioral Clustering of HTTP-Based Malware and Signature Generation Using Malicious Network Traces, 2010

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

8

„N

etz

werk

akti

vit

äte

n v

on

Malw

are

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware Malware-Kommunikation

Um Gegenmaßnahmen auf Netzwerkebene zu entwickeln, brauchen wir ein Verständnis der Netzwerkaktivität von Malware!

„Was macht gängige Malware im Netzwerk?“

Malware benötigt Netzwerkkommunikation, um

sinnvoll flexibel und multifunktional gesteuert zu werden(Command & Control – C&C)

Software-Updates durchzuführen

andere Rechner zu identifizieren (Verbreitung der Malware)

zu spammen, bei einem DDOS-Angriff mitzumachen, ….

auf anderen Webseiten etwas zu tun (Click Fraud, schadhafter JavaScript-Code, XSS, ...)

Ergebnisse eines Keyloggers/Trojaners an Dropzones zu senden

DNS, …

9

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware Malware-Analyse

Wir als Forscher brauchen die Möglichkeit der Analyse des Netzwerkverhaltens von Malware!

Klassisch: statische Malware-Analyse

Analyse des Binärcodes mit Hilfe von Disassembler und Debugger

Netzwerkverhalten auf diese Weise zu ermitteln, ist sehr mühsam, schwierig und zeitintensiv!

10

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware Kontrollierte Malware-Analyseumgebung

Dedizierte Ausführungsumgebung für Malware:

SandNet

Schadensvermeidung und Schadensbegrenzung (Dritte dürfen keinen Schaden erleiden!)

Intelligente Simulation von Diensten

Vortäuschen des Mailversands

Vortäuschen von erfolgreichen Infektionen mittels Honeypots

11

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware SandNet-Struktur

Herder N

Herder 1

12

Controller

HydraHoney

wall

Honeypots

Spam

Bandbreitenlimit

Datenbank und Schnittstelle für Analysten

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware Malware-Ausführung

13

Command&Control-Kommunikation(hier IRC)

Zeit/min

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware Ergebnisse SandNet (1/3)

Verteilung von Destination Ports in reinem Botverkehr

14

Infektionsversuche

C&C? Click fraud? ...

C&C?

Spam

DNS

Infektionsversuche

log scale

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Protokollverteilung Malware-Verkehr (2/3)

15

Protokolle auf Non-Standard-Ports

insb. HTTP und IRC

443/TCP nur zu 13%syntaktisch gültiges TLS/SSL

Typischerweise eigene Verschlüsselungen oder Protokolle

DPI auf High-Ports: häufig HTTP oder IRC

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware Ergebnisse SandNet (3/3)

16

1 10 100 1.000 10.000 100.000 1.000.000 10.000.000

SMB

DNS

HTTP

SMTP

IRC

Netbios

Flash

HTTPS

P2P

Anzahl an Ziel IP-Adressen (oben: unique Ziel-Adressen, unten Zielverbindungen)

Pro

toko

ll

Ziel-IP-Adressen pro Protokoll

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware Spambots: Verteilung der Empfänger-Adressen

17

100 1.000 10.000 100.000 1.000.000 10.000.000

hotmail.com

live.com

msn.com

yahoo.com

aol.com

gmail.com

juno.com

yahoo.co.uk

verizon.net

comcast.net

web.de

gmx.de

t-online.de

gmx.net

freenet.de

arcor.de

Anzahl an E-Mails

Do

ma

in

Domains der Empfänger-Adressen

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

18

„Flo

w-b

asie

rte B

otn

etz

erk

en

nu

ng

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware Bisherige Zahlen

Malware-Ausführungen: 83.933

Kumulierte Malware-Laufzeit: 2.184 Tage

Anzahl Flows: 44.918.031

Anzahl Messages: 164.134.538

Traffic: 106.8 Gigabytes (ca. 2 Mb/h/Malware bei 2 Mio. Rechner je 6h: 15 TB / Tag

Spam-Mails: 2.647.876 (ca. 50 Mails/h/Malware bei 2 Mio. Rechner je 6h: 600 Mio. / Tag

Mail-Accounts: 134

19

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Flow-basierte Botnetzerkennung Idee

Malware-Analyse des Kommunikationsverhaltens wird Grundlage der Bot-Erkennung

Forschungsschwerpunkt des Instituts für Internet-Sicherheit - if(is)

Wie kann das Malware-Verhalten zur Wiedererkennung verwandter Malware abstrahiert werden?

Automatisiert System lernt dynamisch bei neuer Malware

Akkurat Wenige Fehlklassifizierungen

Nicht zu spezifisch Malware-Varianten werden erkannt

Vermeiden von DPI Datenschutz wird eingehalten

20

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Flow-basierte Botnetzerkennung Konzept

Aggregieren von Netzwerkverbindungen (Flows)

Berechnung von Merkmalen (Features) eines Flows

Anzahl Bytes je Richtung

Datenentropie

Ziel-Port / Protokoll

Prozedurale Aspekte

Zeitpunkte (absolut, relativ), Dauer, Datenrate, ...

Datenbasis: Legitimer und Malware-Datenverkehr

Klassifizierung von Flows in Schad- und legitimem Traffic

Erste Ergebnisse: 80% der Flows korrekt klassifiziert!21

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Flow-basierte Botnetzerkennung Herausforderungen

Malware zeigt Verhalten ähnlich zu legitimem Verkehr

Besuch von Webseiten (Malware: Click-Fraud)

Versenden von Mails (Malware: Spam)

DNS-Verkehr

Große Anzahl an Flows

Unterschiedliche Relevanz der Flows

Nur vereinzelte Flows sind wichtige Kommandokanäle

Die meisten Flows sind „Lärm“ (Portscans, DoS, Spam)

Teilweise egalisiert die Abstraktion verschiedene Flows

Ähnliche Features trotz verschiedener Flow-Inhalte

Gute Auswahl von Features und Filtern von Flows notwendig!

22

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Flow-basierte Botnetzerkennung Positionierung der Analyse

23

End User PC DSL-Router ISP

Vorteile Ressourcen des PCs nutzbar

Einflussbereich des Benutzers

Integrität, selbst wenn User PC infiziert

Gesamter Verkehr aller Nutzer sichtbar (große Grundmenge)

Nachteile Integritätsverlustnach Infektion

Beschränkte Ressourcen

Datenschutz, TKG, Performance

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

24

„A

usb

lick“

P

rof.

N

orb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Ausblick

SandNet ist eine sehr gute Basis für die Analyse des Kommunikationsverhaltens von Malware

Wir werden mit einigen Partnern in mehreren Umgebungen unsere Analyse-Methoden testen

Wir glauben einen wichtigen Beitrag zur Botnetzerkennung zu leisten!

25

Institut für Internet-Sicherheit – if(is)Fachhochschule Gelsenkirchenhttp://www.internet-sicherheit.de

Prof. Dr. (TU NN)

Norbert PohlmannChristian RossowChristian J. Dietrich

Vielen Dank für Ihre AufmerksamkeitFragen ?

Idee und erste Ergebnisse

Dynamische Malware- und Botnetzanalyse