Institut für Internet-Sicherheit – if(is)Fachhochschule Gelsenkirchenhttp://www.internet-sicherheit.de

Prof. Dr. Norbert Pohlmann

Flow-basierte Botnetzerkennung

Idee und erste Ergebnisse

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

2

Inhalt

Einleitung

Herausforderung Malware-Erkennung

Netzwerkaktivitäten von Malware

Flow-basierte Botnetzerkennung

Ausblick

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Einleitung Malware-Probleme

Eigene Messungen: Effekte durch Malware nehmen nicht ab!

Wettlauf der Entwicklung von Malware-Tarnung und Gegenmaßnahmen

Zunehmende Phishing-Problematik (BKA) und Keylogging

Zunehmendes Malware-Problem3

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Best Of Bot Screenshots

4

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Herausforderung Malware-Erkennung Inkonsistente Malware Labels

Inkonsistenzen

Keine eindeutige Bezeichnung für ein Malware-Sample

Mitunter Widersprüche

„Professionalisierung“

Toolkits (Zeus)

Modifizierende Packer zur Umgehung von Prüfsummen

5

Quelle: M. Bailey, Automated Classification and Analysis of Internet Malware

SDBot family Labels von 3 AVs

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Herausforderung Malware-Erkennung Botnetzerkennung – Status quo

Malware-Abwehr: klassischer Antivirenschutz auf dem PC

Antiviren-Signaturen zur Erkennung von bösartigen Dateien

Heuristiken, KI, Reputationssysteme, …

Erkennungsrate: 75 bis 95 %

Malware-Schutz im Netzwerk?

Geringere Verbreitung als hostbasierte Mechanismen

Beispiele: URL-Blacklists, Proxy-Server mit A/V-Komponente

Intrusion Detection Systeme (snort), Internet-Analyse-System (IAS)

Großflächige Anwendung ist schwierig (u.a. wegen des Datenschutzes, TKG, …)

Wunsch: Datenschutzfreundliche, rechtskomforme Botnetzerkennung für die Praxis

6

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Beispiel: HTTP

Charakteristische Protokollelemente ermitteln und als Signaturmerkmal heranziehen

Durch Verschlüsselung oder Verschleierung auszuhebeln

z.B. Storm, Virut, Waledac, Conficker

Herausforderung Malware-Erkennung Signaturbasierte Botnetzerkennung

7

Quelle: Perdisci, Behavioral Clustering of HTTP-Based Malware and Signature Generation Using Malicious Network Traces, 2010

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

8

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware Malware-Kommunikation

Um Gegenmaßnahmen auf Netzwerkebene zu entwickeln, brauchen wir ein Verständnis der Netzwerkaktivität von Malware!

„Was macht gängige Malware im Netzwerk?“

Malware benötigt Netzwerkkommunikation, um

sinnvoll flexibel und multifunktional gesteuert zu werden(Command & Control – C&C)

Software-Updates durchzuführen

andere Rechner zu identifizieren (Verbreitung der Malware)

zu spammen, bei einem DDOS-Angriff mitzumachen, ….

auf anderen Webseiten etwas zu tun (Click Fraud, schadhafter JavaScript-Code, XSS, ...)

Ergebnisse eines Keyloggers/Trojaners an Dropzones zu senden

DNS, …

9

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware Malware-Analyse

Wir als Forscher brauchen die Möglichkeit der Analyse des Netzwerkverhaltens von Malware!

Klassisch: statische Malware-Analyse

Analyse des Binärcodes mit Hilfe von Disassembler und Debugger

Netzwerkverhalten auf diese Weise zu ermitteln, ist sehr mühsam, schwierig und zeitintensiv!

10

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware Kontrollierte Malware-Analyseumgebung

Dedizierte Ausführungsumgebung für Malware:

SandNet

Schadensvermeidung und Schadensbegrenzung (Dritte dürfen keinen Schaden erleiden!)

Intelligente Simulation von Diensten

Vortäuschen des Mailversands

Vortäuschen von erfolgreichen Infektionen mittels Honeypots

…

11

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware SandNet-Struktur

Herder N

Herder 1

12

Controller

HydraHoney

wall

Honeypots

Spam

Bandbreitenlimit

Datenbank und Schnittstelle für Analysten

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware Malware-Ausführung

13

Command&Control-Kommunikation(hier IRC)

Zeit/min

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware Ergebnisse SandNet (1/3)

Verteilung von Destination Ports in reinem Botverkehr

14

Infektionsversuche

C&C? Click fraud? ...

C&C?

Spam

DNS

Infektionsversuche

log scale

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Protokollverteilung Malware-Verkehr (2/3)

15

Protokolle auf Non-Standard-Ports

insb. HTTP und IRC

443/TCP nur zu 13%syntaktisch gültiges TLS/SSL

Typischerweise eigene Verschlüsselungen oder Protokolle

DPI auf High-Ports: häufig HTTP oder IRC

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware Ergebnisse SandNet (3/3)

16

1 10 100 1.000 10.000 100.000 1.000.000 10.000.000

SMB

DNS

HTTP

SMTP

IRC

Netbios

Flash

HTTPS

P2P

Anzahl an Ziel IP-Adressen (oben: unique Ziel-Adressen, unten Zielverbindungen)

Pro

toko

ll

Ziel-IP-Adressen pro Protokoll

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Netzwerkaktivitäten von Malware Spambots: Verteilung der Empfänger-Adressen

17

100 1.000 10.000 100.000 1.000.000 10.000.000

hotmail.com

live.com

msn.com

yahoo.com

aol.com

gmail.com

juno.com

yahoo.co.uk

verizon.net

comcast.net

web.de

gmx.de

t-online.de

gmx.net

freenet.de

arcor.de

Anzahl an E-Mails

Do

ma

in

Domains der Empfänger-Adressen

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

18

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Flow-basierte Botnetzerkennung Idee

Malware-Analyse des Kommunikationsverhaltens wird Grundlage der Bot-Erkennung

Forschungsschwerpunkt des Instituts für Internet-Sicherheit - if(is)

Wie kann das Malware-Verhalten zur Wiedererkennung verwandter Malware abstrahiert werden?

Automatisiert System lernt dynamisch bei neuer Malware

Akkurat Wenige Fehlklassifizierungen

Nicht zu spezifisch Malware-Varianten werden erkannt

Vermeiden von DPI Datenschutz wird eingehalten

19

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Flow-basierte Botnetzerkennung Konzept

Aggregieren von Netzwerkverbindungen (Flows)

Berechnung von Merkmalen (Features) eines Flows

Anzahl Bytes je Richtung

Datenentropie

Ziel-Port / Protokoll

Prozedurale Aspekte

Zeitpunkte (absolut, relativ), Dauer, Datenrate, ...

Datenbasis: Legitimer und Malware-Datenverkehr

Klassifizierung von Flows in Schad- und legitimem Traffic

Erste Ergebnisse: 80% der Flows korrekt klassifiziert!20

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Flow-basierte Botnetzerkennung Positionierung der Analyse

21

End User PC DSL-Router ISP

Vorteile Ressourcen des PCs nutzbar

Einflussbereich des Benutzers

Integrität, selbst wenn User PC infiziert

Gesamter Verkehr aller Nutzer sichtbar (große Grundmenge)

Nachteile Integritätsverlustnach Infektion

Beschränkte Ressourcen

Datenschutz, TKG, Performance

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

22

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet

Sic

herh

eit

-if(is)

, F

ach

hoch

schule

Gels

enki

rchen

Ausblick

SandNet ist eine sehr gute Basis für die Analyse des Kommunikationsverhaltens von Malware

Wir werden mit einigen Partnern in mehreren Umgebungen unsere Analyse-Methoden testen

Wir glauben einen wichtigen Beitrag zur Botnetzerkennung zu leisten!

23

Institut für Internet-Sicherheit – if(is)Fachhochschule Gelsenkirchenhttp://www.internet-sicherheit.de

Prof. Dr. Norbert Pohlmann

Vielen Dank für Ihre AufmerksamkeitFragen ?

Flow-basiert Botnetzerkennung Status und erste Ergebnisse