Institut für Internet-Sicherheit – if(is)Fachhochschule Gelsenkirchenhttp://www.internet-sicherheit.de
Prof. Dr. (TU NN)
Norbert PohlmannChristian RossowChristian J. Dietrich
Dynamische Malware- und Botnetzanalyse
Idee und erste Ergebnisse
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
2
Inhalt
Einleitung
Herausforderung Malware-Erkennung
Netzwerkaktivitäten von Malware
Flow-basierte Botnetzerkennung
Ausblick
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Einleitung Malware-Probleme
Eigene Messungen: Effekte durch Malware nehmen nicht ab!
Wettlauf der Entwicklung von Malware-Tarnung und Gegenmaßnahmen
Zunehmende Phishing-Problematik (BKA) und Keylogging
Zunehmendes Malware-Problem3
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Best Of Bot Screenshots
4
„H
era
usfo
rderu
ng
Malw
are
-Erk
en
nu
ng
“
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Herausforderung Malware-Erkennung Inkonsistente Malware Labels
Inkonsistenzen
Keine eindeutige Bezeichnung für ein Malware-Sample
Mitunter Widersprüche
„Professionalisierung“
Toolkits (Zeus)
Modifizierende Packer zur Umgehung von Prüfsummen
5
Quelle: M. Bailey, Automated Classification and Analysis of Internet Malware
SDBot family Labels von 3 AVs
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Herausforderung Malware-Erkennung Botnetzerkennung – Status quo
Malware-Abwehr: klassischer Antivirenschutz auf dem PC
Antiviren-Signaturen zur Erkennung von bösartigen Dateien
Heuristiken, KI, Reputationssysteme, …
Erkennungsrate: 75 bis 95 %
Malware-Schutz im Netzwerk?
Geringere Verbreitung als hostbasierte Mechanismen
Beispiele: URL-Blacklists, Proxy-Server mit A/V-Komponente
Intrusion Detection Systeme (snort), Internet-Analyse-System (IAS)
Großflächige Anwendung ist schwierig (u.a. wegen des Datenschutzes, TKG, …)
Wunsch: Datenschutzfreundliche, rechtskomforme Botnetzerkennung für die Praxis
6
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Beispiel: HTTP
Charakteristische Protokollelemente ermitteln und als Signaturmerkmal heranziehen
Durch Verschlüsselung oder Verschleierung auszuhebeln
z.B. Storm, Virut, Waledac, Conficker
Herausforderung Malware-Erkennung Signaturbasierte Botnetzerkennung
7
Quelle: Perdisci, Behavioral Clustering of HTTP-Based Malware and Signature Generation Using Malicious Network Traces, 2010
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
8
„N
etz
werk
akti
vit
äte
n v
on
Malw
are
“
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Netzwerkaktivitäten von Malware Malware-Kommunikation
Um Gegenmaßnahmen auf Netzwerkebene zu entwickeln, brauchen wir ein Verständnis der Netzwerkaktivität von Malware!
„Was macht gängige Malware im Netzwerk?“
Malware benötigt Netzwerkkommunikation, um
sinnvoll flexibel und multifunktional gesteuert zu werden(Command & Control – C&C)
Software-Updates durchzuführen
andere Rechner zu identifizieren (Verbreitung der Malware)
zu spammen, bei einem DDOS-Angriff mitzumachen, ….
auf anderen Webseiten etwas zu tun (Click Fraud, schadhafter JavaScript-Code, XSS, ...)
Ergebnisse eines Keyloggers/Trojaners an Dropzones zu senden
DNS, …
9
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Netzwerkaktivitäten von Malware Malware-Analyse
Wir als Forscher brauchen die Möglichkeit der Analyse des Netzwerkverhaltens von Malware!
Klassisch: statische Malware-Analyse
Analyse des Binärcodes mit Hilfe von Disassembler und Debugger
Netzwerkverhalten auf diese Weise zu ermitteln, ist sehr mühsam, schwierig und zeitintensiv!
10
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Netzwerkaktivitäten von Malware Kontrollierte Malware-Analyseumgebung
Dedizierte Ausführungsumgebung für Malware:
SandNet
Schadensvermeidung und Schadensbegrenzung (Dritte dürfen keinen Schaden erleiden!)
Intelligente Simulation von Diensten
Vortäuschen des Mailversands
Vortäuschen von erfolgreichen Infektionen mittels Honeypots
…
11
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Netzwerkaktivitäten von Malware SandNet-Struktur
Herder N
Herder 1
12
Controller
HydraHoney
wall
Honeypots
Spam
Bandbreitenlimit
Datenbank und Schnittstelle für Analysten
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Netzwerkaktivitäten von Malware Malware-Ausführung
13
Command&Control-Kommunikation(hier IRC)
Zeit/min
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Netzwerkaktivitäten von Malware Ergebnisse SandNet (1/3)
Verteilung von Destination Ports in reinem Botverkehr
14
Infektionsversuche
C&C? Click fraud? ...
C&C?
Spam
DNS
Infektionsversuche
log scale
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Protokollverteilung Malware-Verkehr (2/3)
15
Protokolle auf Non-Standard-Ports
insb. HTTP und IRC
443/TCP nur zu 13%syntaktisch gültiges TLS/SSL
Typischerweise eigene Verschlüsselungen oder Protokolle
DPI auf High-Ports: häufig HTTP oder IRC
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Netzwerkaktivitäten von Malware Ergebnisse SandNet (3/3)
16
1 10 100 1.000 10.000 100.000 1.000.000 10.000.000
SMB
DNS
HTTP
SMTP
IRC
Netbios
Flash
HTTPS
P2P
Anzahl an Ziel IP-Adressen (oben: unique Ziel-Adressen, unten Zielverbindungen)
Pro
toko
ll
Ziel-IP-Adressen pro Protokoll
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Netzwerkaktivitäten von Malware Spambots: Verteilung der Empfänger-Adressen
17
100 1.000 10.000 100.000 1.000.000 10.000.000
hotmail.com
live.com
msn.com
yahoo.com
aol.com
gmail.com
juno.com
yahoo.co.uk
verizon.net
comcast.net
web.de
gmx.de
t-online.de
gmx.net
freenet.de
arcor.de
Anzahl an E-Mails
Do
ma
in
Domains der Empfänger-Adressen
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
18
„Flo
w-b
asie
rte B
otn
etz
erk
en
nu
ng
“
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Netzwerkaktivitäten von Malware Bisherige Zahlen
Malware-Ausführungen: 83.933
Kumulierte Malware-Laufzeit: 2.184 Tage
Anzahl Flows: 44.918.031
Anzahl Messages: 164.134.538
Traffic: 106.8 Gigabytes (ca. 2 Mb/h/Malware bei 2 Mio. Rechner je 6h: 15 TB / Tag
Spam-Mails: 2.647.876 (ca. 50 Mails/h/Malware bei 2 Mio. Rechner je 6h: 600 Mio. / Tag
Mail-Accounts: 134
19
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Flow-basierte Botnetzerkennung Idee
Malware-Analyse des Kommunikationsverhaltens wird Grundlage der Bot-Erkennung
Forschungsschwerpunkt des Instituts für Internet-Sicherheit - if(is)
Wie kann das Malware-Verhalten zur Wiedererkennung verwandter Malware abstrahiert werden?
Automatisiert System lernt dynamisch bei neuer Malware
Akkurat Wenige Fehlklassifizierungen
Nicht zu spezifisch Malware-Varianten werden erkannt
Vermeiden von DPI Datenschutz wird eingehalten
20
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Flow-basierte Botnetzerkennung Konzept
Aggregieren von Netzwerkverbindungen (Flows)
Berechnung von Merkmalen (Features) eines Flows
Anzahl Bytes je Richtung
Datenentropie
Ziel-Port / Protokoll
Prozedurale Aspekte
Zeitpunkte (absolut, relativ), Dauer, Datenrate, ...
Datenbasis: Legitimer und Malware-Datenverkehr
Klassifizierung von Flows in Schad- und legitimem Traffic
Erste Ergebnisse: 80% der Flows korrekt klassifiziert!21
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Flow-basierte Botnetzerkennung Herausforderungen
Malware zeigt Verhalten ähnlich zu legitimem Verkehr
Besuch von Webseiten (Malware: Click-Fraud)
Versenden von Mails (Malware: Spam)
DNS-Verkehr
Große Anzahl an Flows
Unterschiedliche Relevanz der Flows
Nur vereinzelte Flows sind wichtige Kommandokanäle
Die meisten Flows sind „Lärm“ (Portscans, DoS, Spam)
Teilweise egalisiert die Abstraktion verschiedene Flows
Ähnliche Features trotz verschiedener Flow-Inhalte
Gute Auswahl von Features und Filtern von Flows notwendig!
22
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Flow-basierte Botnetzerkennung Positionierung der Analyse
23
End User PC DSL-Router ISP
Vorteile Ressourcen des PCs nutzbar
Einflussbereich des Benutzers
Integrität, selbst wenn User PC infiziert
Gesamter Verkehr aller Nutzer sichtbar (große Grundmenge)
Nachteile Integritätsverlustnach Infektion
Beschränkte Ressourcen
Datenschutz, TKG, Performance
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
24
„A
usb
lick“
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
-if(is)
, F
ach
hoch
schule
Gels
enki
rchen
Ausblick
SandNet ist eine sehr gute Basis für die Analyse des Kommunikationsverhaltens von Malware
Wir werden mit einigen Partnern in mehreren Umgebungen unsere Analyse-Methoden testen
Wir glauben einen wichtigen Beitrag zur Botnetzerkennung zu leisten!
25