Der Anwendertag IT-Forensik 2016 fand am 4. Oktober im Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt statt. Über 100 Teilnehmer aus einem breiten Spektrum von Unternehmen und Behörden trafen sich zu spannen Vorträgen und zu informellen Gesprächen in den Pausen.

Der Anwendertag stand unter dem Motto »Malware-Forensik« und die Vorträge beleuchteten viele Facetten des Themas. Die Referenten gaben Überblicke über aktuelle Bedrohungen sowie Einblicke in die Arbeitsweise moderner Malware und in die Ökosysteme dahinter. Ebenso präsentierten die Referenten aktuelle Forschungsergebnisse zur Malwareanalyse sowie Strategien zur Erkennung, Aufklärung und Abwehr von Vorfällen.

Zu den Vortragsfolien.

Bedrohungslage durch Ransomware und Botnetze

Die drei Referenten des ersten Blocks haben mit Fokus auf unterschiedliche Aspekte aufgezeigt, welch professionelle und finanzstarke Schattenindustrie hinter moderner Schadsoftware steht. Es gibt ein arbeitsteiliges, internationales Ökosystem mit hochprofessionellen und spezialisierten Akteuren zur Erstellung von Ransomware, Bot-Software, Exploit-Kits und Phishingseiten, zum Versenden von Spam mit Malware, von Phishingmails und von anderem Spam, zur Verbreitung von Schadsoftware über gehackte und manipulierte Webseiten sowie zum Betrieb von Proxyservern, C&C-Servern und Botnetzen.

Stefan Kelm vom DFN-CERT stellte fest, dass die Zahl der Security Advisories von Software-Herstellern in den vergangenen Jahren stark zugenommen hat – ebenso die Anzahl und Kritikalität der darin genannten Schwachstellen. Anschließend gab er einen Überblick über die aktuellen Angriffs- und Infektionswege von Malware belegt mit vielen Beispielen und Screenshots. Er merkte an, dass bei Angriffen auf Firmen oft voreilig von einem Advanced Persistent Threat (APT) gesprochen wird, während sich oft herausstellt, dass der Einbruch aufgrund unzureichender Sicherheits- und Vorsichtsmaßnahmen auf plumpe Weise gelungen ist.

David Malcher von Intel skizzierte eine wachsende Bedrohung durch Ransomware: Während heutzutage nicht nur Privatrechner gekapert werden, sondern z. B. auch Krankenhäuser, bietet das aufkommende Internet of Things immer mehr kritische Angriffsziele. Neben generellen Maßnahmen zum Schutz vor Ransomware stellte er das Portal No More Ransom! vor, ein Gemeinschaftsprojekt von Intel und anderen, welches kostenfreie Entschlüsselungswerkzeuge für Betroffene bereitstellt. Als proaktive Schutzstrategie für Unternehmen nannte er die Plattform DXL, über die verschiedene Sicherheitslösungen (Firewall, AV-Software, etc.) miteinander kommunizieren können.

Sascha Jopen vom Fraunhofer FKIE schilderte, welchen Nutzen Botnetze für Kriminelle bieten und erläuterte die Struktur verschiedener Typen von Botnetzen. Er erklärte, wie seine Arbeitsgruppe Schadsoftware, Netzwerkverkehr und befallene Computersysteme zur Erforschung von Botnetzen analysiert. Die Bekämpfung von Botnetzen erfolgt auf drei Ebenen: auf der Ebene der Infrastruktur durch Take-Down von Botnetzen, auf Ebene der Täter durch Strafverfolgung und auf Ebene der Opfer durch Aufklärung und Hilfe. Eine Herausforderung ist jedoch nach wie vor die internationale Zusammenarbeit zur Bekämpfung von Botnetzen.

Malware-Analyse und Forschung

Thomas Hungenberg vom CERT-Bund am BSI präsentierte die aktuellen Erkenntnisse zur Ransomware »Locky«, welche in diesem Jahr die Daten vieler Opfer verschlüsselt hat und schätzungsweise Einnahmen von mehr als 5 Millionen Euro an Lösegeld generiert hat. Die Infektion geschieht meist über Makros in Office-Dokumenten aus gefälschten E-Mail-Nachrichten. Herr Hungenberg schilderte unter anderem, welche Erkenntnisse zur Arbeitsweise und Bekämpfung von Locky gewonnen werden konnten und welche Neuerungen die Entwickler von Locky als Reaktionen auf die Bekämpfung eingebaut haben.

Steven Arzt vom Fraunhofer SIT stellte CodeInspect vor, ein Werkzeug zur Analyse von Android-Malware. Am Beispiel der Schad-App »The Interview«, welche verspricht den gleichnamigen Film zu zeigen, präsentierte er in einer Live-Demonstration verschiedene Funktionen von CodeInspect: Nach der Transformation der App in lesbaren Code kann man sie wie in einem Debugger ausführen. Dabei kann man zur Ausführungszeit auch Speicherinhalte lesen und verändern oder den Code ändern, um beispielsweise zu verhindern, dass die App sich aufgrund einer Emulationserkennung vorzeitig beendet. Dies gibt dem Analysten umfassende Möglichkeiten, eine Malware zu erforschen.

Michael Brengel von der Universität Saarland ist in seiner Forschung der Frage nachgegangen, wie zuverlässig eine Software erkennen kann, dass sie in einer virtuellen Maschine bzw. einer Sandbox ausgeführt wird. Malware nutzt solche Techniken, um bei einer dynamischen Analyse unauffällig zu bleiben. Die zwei präsentierten Strategien konnten in Experimenten Virtualisierung äußerst zuverlässig erkennen. Zudem wurde der Klassifikator Sandprint entwickelt, welcher zuverlässig Sanboxes erkennt und diese sogar von produktiv genutzten virtuellen Maschinen unterscheiden kann.

Erkennung und Abwehr von Angriffen

Stefan Burschka von RUAG zeigte in einem lebhaften Vortrag mit intensiver Einbindung des Publikums, welche Vorzüge Data Mining und Visualisierung bei der Analyse von umfangreichem Netzwerkverkehr haben. Mit der Formulierung der passenden Fragestellungen, der Wahl geeigneter Merkmale der Daten und der Aufbereitung in entsprechenden Diagrammen können schnell Netzwerkfehler, Aktivitäten von Botnetzen und viele andere Erkenntnisse aus Netzwerkdaten extrahiert werden. Dabei stellt die Software Tranalyzer die passenden Werkzeuge bereit.

Mathias Fuchs von Mandiant stellte die Wichtigkeit von Threat Intelligence für Unternehmen heraus. Kompromittierte Systeme werden in Unternehmen oft jahrelang nicht erkannt. Daher beginnt eine erfolgreiche Angriffsbekämpfung mit der Überwachung von Indicators of Compromise (IOCs), unterteilt in folgende Kategorien: atomare Indikatoren wie IP-Adressen, zu denen Kommunikation stattfindet, berechnete Indikatoren wie MD5-Summen und die besonders wichtigen Verhaltensindikatoren wie Scheduled Tasks. Am Beispiel von APT3 illustrierte Herr Fuchs den Einsatz von Threat Intelligence.

Autor: Christian Winter

Vorträge

• »Aktuelle Lage IT-Sicherheit – Ransomware, Schwachstellen, Exploits, DDOS« von Stefan Kelm, DFN-CERT
• »Ransomware – Evolution, Ecosystems, Defense« von David Malcher, Intel Deutschland
• »IT-Forensik im Kontext Botnetze – Erkennung, Überwachung und Bekämpfung« von Sascha Alexander Jopen, Fraunhofer FKIE
• »Locky Ransomware« von Thomas Hungenberg, BSI / CERT-Bund
• »Investigating State-of-the-Art Android Malware with CodeInspect« von Steven Arzt, Fraunhofer SIT
• »Evading Malware Sandboxes« von Michael Brengel, Universität Saarland
• »Traffic Mining – The Unknown Unknown« von Stefan Burschka, RUAG
• »IOCs und Threat Intelligence – Schnellere Aufklärung von Sicherheitsvorfällen« von Mathias Fuchs, Mandiant

Veranstaltungsort

Fraunhofer SIT in Darmstadt

Datum

4. Oktober 2016