Refine
Document Type
- Bachelor Thesis (7)
- Master's Thesis (1)
Language
- German (8)
Keywords
- Malware (8) (remove)
Institute
Aufgrund der steigenden Anzahl an Angriffen durch neue Malware Varianten ist es wichtig eine effektive Methode zu nutzen, um sich gegen diese Flut zu schützen. Diese von den Angreifern genutzte Malware muss identifiziert und analysiert werden, um die Systeme vor aktuelle und kommenden Angriffen schützen zu können. Für die Informationsextraktion stehen zwei grundlegende Ansätze zur Verfügung. Statische Analyse und die dynamische Analyse. Das Hauptaugenmerk liegt in dieser Arbeit auf der dynamischen Analyse. Diese wird genutzt um das Verhalten einer potentiell bösartigen Datei zu beobachten und anschließend auszuwerten, ob es sich um Malware handelt. Eine dafür häufig eingesetzte Methode ist die Sandbox. Bei dieser handelt es sich um eine isolierte Umgebung, in der eine Malware ausgeführt werden kann, ohne ein Risiko für das eigene System darzustellen. Bei der Nutzung eines Sandbox Systems wird ebenfalls von dem Begriff der automatisierten Malware Analyse gesprochen. Damit ist es möglich auch große Mengen von Malware Samples zu analysieren. Nach der Analyse wird neben der Bösartigkeit einer zu untersuchenden Datei, ebenfalls die gesammelte Daten über diese ausgegeben. Diese Arbeit vergleicht drei verschiedene Sandbox Systeme, um anschließend festhalten zu können, welches dieser Systeme die meisten Vorteile mit sich bringt. Bei diesen ausgewählten Sandbox Systemen handelt es sich um Cuckoo, Any.Run und Hybrid Analysis. Um eine Gegenüberstellung der Sanbox Systeme zu ermöglichen, wurden diverse Metriken verwendet. Zu diesen Metriken zählen unter anderem genutzte Anti-Evasion Techniken und die Möglichkeit einer URL Analyse. Nach umfassender Nutzung aller drei Sandbox Systeme, wurde eine Vergleichmatrix mit den bereits erwähnten Metriken erstellt. Anhand dieser konnten die Vor- und Nachteile der Sandbox Systeme gegeneinander abgewogen werden.
Die Bachelorarbeit behandelt die automatische Überprüfung hinsichtlich "Indicators of Compromisse" auf Linux-Systemen.
Sie beschreibt die Anfertigung eines forensischen Hilfstools welches die Aufgabe der automatisierten Überprüfung so weit wie möglich übernehmen soll. Hierbei waren 26 Indicators of Compromise als Grundlage gegeben, welche im Rahmen der Arbeit betrachtet werden. Das forensische Hilfstool setzt sich im Ergebnis aus zwei Hauptskripten zusammen, wovon eines zur Datenerhebung auf dem zu untersuchenden System dient, das andere zur Datenanalyse auf einem separaten Analysesystem. Die Arbeit stellt für jeden der betrachteten Indikatoren ausführlich dar wie eine automatisierte Überprüfung erfolgt, und falls nicht möglich ist, wodurch diese eingeschränkt wird und welche Schritte manuell erfolgen müssen. Als Endergebnis der Arbeit wird festgehalten, dass für alle Indikatoren mindestens eine Teilautomatisierung umsetzbar ist. Eine komplette Automatisierung für alle Indikatoren ist nicht möglich. Jedoch gelingt es durch das Hilfstool die manuelle Arbeit entscheidend zu verkürzen und zu erleichtern.
In dieser Arbeit soll festgestellt werden, wie die künstliche Intelligenz als Schadsoftware funktioniert. Unter anderem werden das Cyber-Angriff-Modell und das IT-Sicherheitsprozess vom Bundesamt für Informationstechnik und Sicherheit vorgestellt. Anschließend werden die mit der automatisierten Malware einhergehenden Sicherheitsrisiken und die Auswirkung der künstlichen Intelligenz als Schadsoftware auf das Cyber-Angriff-Modell und das IT-Sicherheitsprozess überprüft.
Kategorisierung der Malware
(2017)
Diese Bachelorarbeit beschäftigt sich mit der Kategorisierung der Malware. Dabei werden verschiedene, vorhandene Konzepte vorgestellt sowie ein Eigenkonzept in Hinblick auf die deutsche Gesetzgebung entwickelt. Die Vorstellung von anderen Kategorisierungsmodellen gibt einen kurzen Einblick in das umfassende Thema der Malware-Kategorisierung. Es gibt viele unterschiedliche Konzepte zur Kategorisierung der Malware, jedoch war der Fokus bisher immer auf spezifische Komponenten der Malware selbst gerichtet. Im vorgestellten Eigenonzept zur Kategorisierung der Malware liegt der Fokus auf dem Payload und der Rückkopplung der einzelnen Malware-Typen. Dieses neu geschaffene Kategorisierungsmodell ermöglicht einen anderen Blickwinkel zum Kategorisieren von Schadsoftware, da sich dieses Modell mit den Wirkprinzipien beschäftigt und dabei rechtliche Aspekte mit einbezieht. Mit allgemeinen Definitionen der einzelnen Typen der Malware kann anhand ihrer speziellen Charakteristiken ein grober Überblick über existierende Computerschädlinge geschaffen werden. Um schließlich einen Bezug zur derzeitigen Gesetzgebung herzustellen, werden relevante Gesetze vorgestellt sowie mögliche rechtliche Lücken aufgezeigt.
Ransomware-Angriffe konnten in den letzten Jahren einen starken Anstieg zu verzeichnen. Unternehmen müssen dieser Bedrohung gewappnet sein. Eine Möglichkeit, um Angriffe in einer IT-Infrastruktur frühzeitig zu erkennen, ist der Einsatz von SIEM-Tools. Diese sind mittlerweile ein wichtiger Bestandteil in einem SOC. In dieser Masterarbeit wird die Ransomware-Detektion mittels SIEM-Tools ausgetestet. Hierbei wurde mit dem kommerziellen SIEM-Tool Splunk und dem Open-Source-SIEM-Tool Wazuh gearbeitet. Es wurde ein Regelkatalog erstellt, der es ermöglichen soll, Ransomware zu erkennen. Insgesamt wurden 30 Ransomware-Proben auf einem überwachten Windows-System ausgeführt. Bei jeder Ransomware-Ausführung wurde die ungefähre Verschlüsselungsdauer erfasst. Anschließend wurde ein Vergleich zwischen den beiden SIEM-Tools anhand eines zuvor erstellten Kriterienkatalogs gezogen. Dabei wurde erkannt, dass es bezüglich der Ransomware-Erkennung keine großen Unterschiede zwischen den beiden Tools gab. Splunk weist zwar eine deutlich bessere Performance auf, doch Wazuh stellt eine gute kostenlose Alternative für den Einsatz in kleineren Unternehmen dar. Allerdings ist neuere Ransomware darauf ausgelegt, den Verschlüsselungsprozess zu beschleunigen und die Weiterleitung der Logdaten an das SIEM zu unterbinden, um eine Detektion zu umgehen. Dies zeigt, dass SIEM-Systeme alleinig nicht ausreichend sind, um Ransomware effektiv zu erkennen.
Ransomware ist eine Schadsoftware, die als Erpressersoftware Daten verschlüsselt und eine Lösegeldforderung stellt. Um Ransomware-Sample vor der Detektion zu schützen, werden sogenannte Packer eingesetzt. Dabei wird die schädliche Routine einer Ransomware gepackt und bei Ausführung automatisch entpackt. Während Ransomware in den letzten Jahren stark weiterentwickelt wurde, sind einige der Methoden zum Entpacken teilweise bedeutend älter. Diese Arbeit untersucht, inwiefern, mithilfe vom Einsatz von Debuggern, aktuelle Ransomware-Samples mit solchen Methoden entpackt werden können. Dafür wird zuerst recherchiert, welche gängigen Methoden zum Entpacken gepackter Schadsoftware unter Verwendung eines Debuggers bestehen. Diese Methoden werden auf eine Auswahl von aktuellen Ransomware-Samples angewendet und die Ergebnisse analysiert. Dadurch entsteht am Ende der Arbeit eine Übersicht darüber bestehen, mit welchen Methoden aktuelle Ransomware-Samples noch entpackt werden und somit Analysen von Ransomware unterstützen können.