005.432 LINUX
Refine
Document Type
- Bachelor Thesis (3)
Language
- German (3)
Keywords
- Input-Output-Analyse (1)
- Kernel <Informatik> (1)
- LINUX (1)
- LINUX , Systemprogrammierung , Malware (1)
- Linux (1)
- Malware (1)
- Systemprogrammierung (1)
- Treiber <Programm> (1)
Institute
Die Bachelorarbeit behandelt die automatische Überprüfung hinsichtlich "Indicators of Compromisse" auf Linux-Systemen.
Sie beschreibt die Anfertigung eines forensischen Hilfstools welches die Aufgabe der automatisierten Überprüfung so weit wie möglich übernehmen soll. Hierbei waren 26 Indicators of Compromise als Grundlage gegeben, welche im Rahmen der Arbeit betrachtet werden. Das forensische Hilfstool setzt sich im Ergebnis aus zwei Hauptskripten zusammen, wovon eines zur Datenerhebung auf dem zu untersuchenden System dient, das andere zur Datenanalyse auf einem separaten Analysesystem. Die Arbeit stellt für jeden der betrachteten Indikatoren ausführlich dar wie eine automatisierte Überprüfung erfolgt, und falls nicht möglich ist, wodurch diese eingeschränkt wird und welche Schritte manuell erfolgen müssen. Als Endergebnis der Arbeit wird festgehalten, dass für alle Indikatoren mindestens eine Teilautomatisierung umsetzbar ist. Eine komplette Automatisierung für alle Indikatoren ist nicht möglich. Jedoch gelingt es durch das Hilfstool die manuelle Arbeit entscheidend zu verkürzen und zu erleichtern.
Automatisierte Erkennung von Malware auf Linux Systemen mit Hilfe von Indicators of Compromise
(2017)
Die Bachelorarbeit beschäftigt sich mit der Frage, inwiefern eine automatisierte Suche nach Malwarespuren mit Hilfe von „Indicators of Compromise“ auf Linux-Systemen realisierbar ist. Hierfür wird eine Liste von möglichen Malwareindikatoren in einer Linux Umgebung erstellt. Durch den Autor wurden 25 Indikatoren aufgestellt. Zu jedem Indikator werden zwei Ansätze zur Automatisierung beschrieben. Ein Ansatz bezieht sich auf die automatisierte Datenerhebung. Der andere auf die automatisierte Analyse der erhobenen Daten. Für beide Ansätze werden innerhalb der Beschreibung Tools genannt, die für die Umsetzung in Frage kommen. Um die entwickelten Ansätze zu testen, wurden ausgewählte Indikatoren in einem Skript umgesetzt. Durch das Skript wurde die Erkennung von Malware auf Grundlage von Veränderungen in der Userlandschaft, Code innerhalb des Kernels und der Prozesse getestet. Hierfür wurde der Code auf einer mit Malware infizierten virtuellen Maschine ausgeführt. Die anschließende Überprüfung der erhobenen Daten konnte jedoch keine der getesteten Malware Beispiele anhand von IoCs erkennen. Daher müssen für eine effektive Malware Erkennung weitere Indikatoren hinzugezogen werden. Als Endergebnis der Arbeit konnte gezeigt werden, das eine teil-automatisierte Erkennung von Linux Malware mit Hilfe von IoCs möglich ist. Dabei kann vor allem die Datenerhebung automatisiert werden. Für die Analyse ist eine Automatisierung nur beschränkt möglich