The Munich Network Management Team

Integration eines automatisierten Malware Analyse-Systems in das Security Monitoring des Münchner Wissenschaftsnetzes

Hintergrund der Arbeit

Um das Gefahrenpotential einer verdächtigen URL beziehungsweise Datei einzuschätzen, werden Dateizugriffe über das Internet aktuell beim Security Monitoring für das Münchner Wissenschaftsnetz (MWN) am Leibniz-Rechenzentrum (LRZ) automatisiert durch Threat Intelligence und Erkennungsregeln basierend auf Mustern bereits bekannter Malware bewertet, sowie bei besonders auffälligen Dateien manuelle Malware Analysen aus unterschiedlichen Quellen erstellt.

Um möglichst viele neue Angriffsmechanismen und Indicator of Compromise (IoCs) zu erkennen, ist eine Beschleunigung des Prozesses bis eine Malware-Analyse vorliegt unerlässlich. Ein automatisiert bereitgestelltes Analyseergebnis der untersuchten Dateien unterstützt den Prozess der Unterscheidung von True Positives (Datei ist Malware) und False Positives (Datei ist keine Malware). Indem durch das Malware Analyse-Systems alle Aktionen protokolliert werden, die eine verdächtige Datei innerhalb einer Analyse-Sandbox ausführt, ist aus dem Analyseergebnis ersichtlich wie die Malware vorgeht und kann somit erfolgreich und frühzeitig bekämpft werden.

Eine schnelle, automatisierte Analyse einer verdächtigen Datei, ohne auf Drittanbieter und Online Malware-Sandboxes angewiesen zu sein, gestaltet das Security Monitoring erheblich autonomer und ermöglicht das kontinuierliche Melden von neuen Malware-Samples an Threat Intelligence und Anti-Viren/Malware Communities.

Ziel der Arbeit ist es ein Konzept für die Umsetzung eines automatisierten Malware Analyse-Systems und dessen Integration in das Security Monitoring des MWNs zu erarbeiten und dieses in einer prototypischen Implementierung umzusetzen und mit echten MWN-Netzwerkdaten, inklusive Malware-Samples, zu evaluieren.

Die Arbeit bietet einen praktischen Nutzen für das bestehende Security Monitoring, sodass beispielsweise auffällige URLs aus den Network Intrusion Detection System (NIDS) und HTTP Logs an das automatisierte Malware Analyse-System übergeben werden und das Ergebnis der Malware Analyse dann an verschiedene Endpunkte übermittelt wird. Diese Endpunkte können beispielsweise ein Security Information and Event Management System (SIEM) oder Malware Information Sharing Platform (MISP) sein.

Zudem kann auf Basis der Malware-Analysedaten entschieden werden, ob verdächtige Dateien eine tatsächliche Bedrohung für mehrere Systeme darstellen, und die IoC-URL beziehungsweise das Malware-Sample zusammen mit der identifizieren Malware-Familie an öffentliche Malware Repositories wie zum Beispiel URLHaus [1] oder MalwareBazaar [2] berichtet werden, sodass die System-Eigentümer auf deren System die Malware gehostet ist, darüber informiert werden, und daran angeschlossene Communities im Securityumfeld entsprechend darauf reagieren können.

Ziele der Arbeit

• Erstellen eines Konzepts zur Integration eines automatisierten Malware Analyse-Systems in das Security Monitoring des Münchner Wissenschaftsnetzes
• Auswahl und Bewertung verschiedener Malware Analyse-Systeme (z.B. Cuckoo-Sandbox [3] oder REMnux [4])
• Beschreibung der möglichen Schnittstellen mit dem Malware Analyse-Systeme
• Prototypische Implementierung / Umsetzung in einer Test-Umgebung
• Evaluierung des Konzepts in der aufgebauten Test-Umgebung sowie Auswertung mit echten MWN-Netzwerkdaten (und Malware-Samples)

Aufgabensteller: Prof. Dr. Helmut Reiser

Literatur:

• [1] https://urlhaus.abuse.ch/
• [2] https://bazaar.abuse.ch/
• [3] https://cuckoosandbox.org/
• [4] https://remnux.org/

Anforderungen:

• Interesse an der Analyse von Malware
• Vorteilhaft, aber nicht notwendig: Vorkenntnisse in Sandboxing oder Reverse Engineering
• Freude am selbständigen Arbeiten
• Analytische Fähigkeiten, technisches Verständnis

Dauer der Diplomarbeit bzw. der Masterarbeit: gemäß Studienordnung

Anzahl Bearbeiter: 1

Betreuer:

• Tobias Appel
  Daniel Weber