Celine Marx

• Ransomware-Angriffe konnten in den letzten Jahren einen starken Anstieg zu verzeichnen. Unternehmen müssen dieser Bedrohung gewappnet sein. Eine Möglichkeit, um Angriffe in einer IT-Infrastruktur frühzeitig zu erkennen, ist der Einsatz von SIEM-Tools. Diese sind mittlerweile ein wichtiger Bestandteil in einem SOC. In dieser Masterarbeit wird die Ransomware-Detektion mittels SIEM-Tools ausgetestet. Hierbei wurde mit dem kommerziellen SIEM-Tool Splunk und dem Open-Source-SIEM-Tool Wazuh gearbeitet. Es wurde ein Regelkatalog erstellt, der es ermöglichen soll, Ransomware zu erkennen. Insgesamt wurden 30 Ransomware-Proben auf einem überwachten Windows-System ausgeführt. Bei jeder Ransomware-Ausführung wurde die ungefähre Verschlüsselungsdauer erfasst. Anschließend wurde ein Vergleich zwischen den beiden SIEM-Tools anhand eines zuvor erstellten Kriterienkatalogs gezogen. Dabei wurde erkannt, dass es bezüglich der Ransomware-Erkennung keine großen Unterschiede zwischen den beiden Tools gab. Splunk weist zwar eine deutlich bessere Performance auf, doch Wazuh stellt eine gute kostenlose Alternative für den Einsatz in kleineren Unternehmen dar. Allerdings ist neuere Ransomware darauf ausgelegt, den Verschlüsselungsprozess zu beschleunigen und die Weiterleitung der Logdaten an das SIEM zu unterbinden, um eine Detektion zu umgehen. Dies zeigt, dass SIEM-Systeme alleinig nicht ausreichend sind, um Ransomware effektiv zu erkennen.
• Ransomware attacks have become more frequent in the past few years. Companies need to be equipped for this threat. The use of SIEM tools is an option for early detection of cyberattacks on an IT infrastructure. SIEM tools have become an important component of a SOC. In this master thesis, the detection of ransomware is tested by using SIEM tools. For the experiments in this thesis, the commercial SIEM tool Splunk and the open-source SIEM Wazuh were used. A catalog of rules was created to detect ransomware. 30 ransomware samples in total were executed on a monitored Windows system. For each ransomware execution the approximate encryption speed was determined. After the executions were done, a comparison was drawn between the two SIEM tools. A previously created catalog of criteria was used for this. Between the two SIEM tools there were no major differences found regarding ransomware detection. Even though Splunk shows significantly better performance, Wazuh represents a good opensource alternative which can be used in smaller companies. However, it became evident that newer ransomware is designed to avoid detection by speeding up the encryption process and by preventing the forwarding of log data to the SIEM. This shows that SIEM systems alone are not sufficient to effectively detect ransomware