Sicherheit in vernetzten Systemen E-Book

Organisation

Im Namen des DFN-Vereins, dem DFN-CERT und des Programm-Komitees präsentieren wir Ihnen den Konferenzband zur 26. DFN-Konferenz "Sicherheit in vernetzten Systemen" in Hamburg. Seit 1993 jährlich stattfindend, hat sich diese Konferenz (ehemals DFN-Workshop) mit seiner betont technischen und wissenschaftlichen Ausrichtung als eine der größten deutschen Sicherheitstagungen etabliert.

Programmkomitee

Ingmar Camphausen, Freie Universität Berlin

Matthias Fischer, Universität Hamburg

Ulrich Flegel, Infineon Technologies

Rainer W. Gerling, Max-Planck-Gesellschaft

Oliver Göbel, RUS-CERT

Ralf Gröper, DFN-Verein

Peter Gutmann, University of Auckland

Jens Hektor, RZ RWTH Aachen

Marc Heuse, Baseline Security Consulting

Wolfgang Hommel, Universität der Bundeswehr München

Stefan Kelm, DFN-CERT Services GmbH

Klaus-Peter Kossakowski, HAW Hamburg

Dankmar Lauter, DFN-CERT Services GmbH

Achim Leitner, Linux Information Systems AG

Michael Meier, GI FB Sicherheit

Helmut Reiser, Leibniz-Rechenzentrum

Rüdiger Riediger, Bombardier Transportation

Stefan Ritter, Bundesamt für Sicherheit in der Informationstechnik

Gerd Sokolies, Internet Society German Chapter e.V.

Thomas Schreck, Siemens

Andreas Schuster, DCSO Deutsche Cyber-Sicherheitsorganisation

Marco Thorbrügge, Security-Experte

Veranstaltungsleitung

Klaus-Peter Kossakowski, DFN-CERT & HAW Hamburg Dankmar Lauter, DFN-CERT (Programmkomiteevorsitzender)

Hinweis

Für den Inhalt der Beiträge sind die genannten Autoren verantwortlich. Die DFN-CERT Services GmbH wählt mit Unterstützung des Programm-Komitees geeignete Einreichungen für die Veranstaltung bzw. den Konferenzband aus. Die Beiträge werden dann in diesem Konferenzband veröffentlicht, ohne die Inhalte zu verändern.

Inhaltsverzeichnis

Vorwort zur 26. DFN-Konferenz

Nils Rogmann:

Automatisierte Erkennung von netzwerk-steganographischer Daten-Exfiltration

Tanja Hanauer, Wolfgang Hommel und Christoph Wüstner:

VESPER

—

a tool for managing Vulnerabilities and Exploits in Software with Portscan-Endorsed Results

Christian S. Fötinger und Sabine Schnitzler:

Einführung eines ISMS und Sicherheitskonzepts an Hochschulen und Universitäten

Dennis-Kenji Kipker:

Internationale Cybersecurity-Regulierung

Markus Schäffter:

Informationssicherheit und Datenschutz: Synergien heben, Dualismus leben

Tobias Müller und Marius Stübs:

Another Nail in the Coffin: OpenPGP Key Servers Gone Rogue

Rainer W. Gerling:

Angriffe auf Raspberry Pis: Anatomie eines Vorfalls

Anhang:

Informationen zu den Diensten DFN-CERT und DFN-PKI

Vorwort zur 26. DFN-Konferenz

Ganz herzlich begrüße ich Sie zum 26. DFN-Workshop „Sicherheit in vernetzten Systemen". In all diesen Jahren konnten wir bei allen Workshops interessante Themen und Trends anbieten, dank der vielen Einreichungen und der tatkräftigen Mithilfe des Programmkomitees. Für beides möchten ich allen Beteiligten besonders danken! Wie immer haben wir versucht, ein interessantes Programm zusammenzustellen, das sowohl Beiträge zu aktuellen Forschungsaktivitäten als auch praxisorientierte Vorträge rund um das Thema Informationssicherheit umfasst. Wir wissen, dass diese Mischung für Sie den Reiz dieser Veranstaltung ausmachen, und damit das so bleibt, werden wir an diesem Erfolgsrezept festhalten.

Wie immer ist das Vorwort fast das letzte, das fertig wird. Es ist fast auch immer das letzte, was quasi am Ende des Jahres kurz vor Weihnachten, an Weihnachten (nun ja) oder gar kurz danach geschrieben wird.

Das letzte Jahr hat bestätigt, was wir schon lange ahnen und wovor wir auch an verschiedenen Stellen gewarnt haben: Es wird nicht besser! Jedenfalls nicht von alleine. Und deswegen sind wir froh über Initiativen wie die vom VDE, die Arbeit von Produktsicherheitsteams im Rahmen eines eigenen CERTs zu unterstützen und zu fördern. Die Funktionen eines CERTs, von der Produktentwicklung bis zum Transfer, wie kritische Warnungen besser, schneller und auch zielgerichteter an die richtigen Ansprechpartner geliefert werden können, sind unersetzlich. Dies ist heute so wichtig, wie vor 25 Jahren. Und immer noch nötig, auch wenn viele Systeme heute „automatisch" die Sicherheitsupdates abrufen.

Es geht um Transparenz, und die gibt es immer weniger. In fast allen Entwicklungsfeldern geht der stärkste Wandel vom Verschwinden menschlicher Operateure oder Kontrolleure aus. Embedded Systems und Augmented Reality, Internet of Things, Smart Home, oder wie auch immer alle diese neuen Anwendungen beworben werden. Die Systeme funktionieren weitgehend ohne uns. Und schlimmer – wir als Techniker und „Schöpfer" solcher Systeme sind an der Schwelle, das wir im Einzelnen kaum und in der Kombination oft gar nicht mehr nachvollziehen können, was – und warum überhaupt – ein verteiltes System für uns so entschieden hat, wie es entschieden hat. Und wie bei einer Black-Box, in die wir nicht hineinschauen können, machen wir uns ein Modell und leben mit diesem. Bleibt am Ende nur, zu glauben, dass wir es verstanden haben – und zu hoffen, das auch alles gut wird!

Ich muss sagen, dass ich zwar rational verstehe, dass uns andere (Erziehungs-) Wissenschaftler deswegen nahelegen, wir müssten genau aus diesem Grund nicht mehr Fakten, sondern weniger, vermitteln. Doch fällt es mir schwer, diesen Rat anzunehmen. Bilder sagen mehr als tausend Worte, aber ein Bild von einer Black Box bleibt nun einmal schwarz – und damit undurchschaubar. Und wenn wir die Box bunt anmalen, einen Smiley drauf machen? Das System bleibt, was es ist, und macht nicht, was wir wollen, sondern wofür es programmiert wurde. Im besten Fall ist es also eine Box, im schlimmsten Fall die Büchse der Pandora.

Die Büchse der Pandora war für die antiken Zeitgenossen eine apokalyptische Vorstellung. Aber uns Heutigen macht sie keine Gänsehaut, denn die Büchse aus dem antiken Mythos war nicht vernetzt, nicht ans Internet angeschlossen und speicherte auch keine Daten in der Cloud. Sie war ein isoliertes Problem – wie läppisch. Da konnte ein Mensch noch einen Deckel drauf machen ... und fertig! Doch wie schon damals die Neugierde lässt uns heute nichts ruhen, bis alles vernetzt ist, und dann kann der sichtbare Deckel ruhig drauf sein: das, wovor wir Respekt haben sollten, ist potentiell überall und lässt sich nicht mehr einfangen.

Mein ganz besonderer Dank gilt den Mitarbeiterinnen und Mitarbeitern des DFN-Vereins und der DFN-CERT Services GmbH, die durch ihre engagierte Arbeit unsere Dienste, die Veranstaltungen und das DFN-CERT überhaupt erst jeden Tag möglich machten und machen. Und die immer wieder in die Boxen hineinschauen, Fakten suchen und diese vermitteln.

Und ich wünsche Ihnen und uns einige informative Stunden, entweder direkt auf dem Workshop oder aber bei der Lektüre dieses Tagungsbandes zu einem späteren Zeitpunkt, und das Sie die Fakten oder Erfahrungen finden, die Ihre Arbeit erleichtern oder erst möglich machen!

In diesem Sinne Ihr,

Dr. Klaus-Peter Kossakowski,

DFN-CERT Services GmbH (Geschäftsführer) & HAW Hamburg

Kurzbiographien der Autoren

Nils Rogmann:

Nils Rogmann ist bei der Controlware GmbH, einem Systemintegrator und Managed Service Provider, als Security Consultant tätig. Seine tägliche Arbeit besteht in der Identifizierung von Sicherheitslücken und Schwachstellen in Netzwerken, der Absicherung von komplexen Infrastrukturen sowie in der Analyse von interessanter Schadsoftware. Während seines dualen Studiums an der Hochschule Darmstadt fokussierte sich Nils bereits auf verschiedene Arten der Malware-Analyse, der Erkennung fortgeschrittener Angreifertechniken im Netzwerk sowie Konzepten des maschinellen Lernens. Im Jahr 2016 erweiterte er im Zuge seiner Bachelorthesis die quelloffene Cuckoo Sandbox um Techniken zur statischen und dynamischen Analyse von Linux-Malware. Daran anknüpfend entwickelte er während seines dualen Masterstudiums einen Software-Prototyp, der auf Basis von statistischer Analyse sogenannte Infection Proxys zur automatisierten Kompromittierung unverschlüsselter Dateidownloads erkennen kann. Im Jahr 2017 beendete Nils sein Studium mit einer Masterarbeit, dessen zentrale Ergebnisse in dem Paper innerhalb dieses Konferenzbands zusammengefasst werden.

Tanja Hanauer:

Tanja Hanauer arbeitet am LRZ in Garching im Bereich IT Sicherheit, ist zertifizierter CISSP und promoviert derzeit zu auf Visualisierung basierender Verbesserung von IT Sicherheitsmanagement und Operations.

Wolfgang Hommel:

Wolfgang Hommel hat seit 2016 die Professur für IT-Sicherheit von Software und Daten an der Universität der Bundeswehr München inne. Am Forschungszentrum Cyber-Defence forscht und lehrt er mit seinem Team mit den Schwerpunkten sichere Softwareentwicklung und Sicherheitsmanagement. Er hat an der Technischen Universität München Informatik studiert und an der Ludwig-Maximilians-Universität München promoviert und habilitiert.

Christoph Wüstner:

Christoph Wüstner arbeitet als studentische Hilfskraft am LRZ in Garching.

Christian S. Fötinger:

Christian S. Fötinger, MSc. absolvierte berufsbegleitend sein Masterstudium Informationssicherheitsmanagement' an der DONAU Universität Krems 2005. Vor dem Masterabschluss war Herr Fötinger 20 Jahre im technischen Bereich der IT als Softwareentwickler, Netzwerk-, System- und Datenbankadministrator tätig. Nach dem Abschluss war er als selbständiger Unternehmensberater tätig und begleitete Informationssicherheitszertifizierungsprojekte bei der Telekom Austria und der Österreichischen Bundesbahn und wird ISO27001 Lead Auditor. Er hielt Vorträge bei der RSA Conference in Barcelona und an der DONAU Universität. Schwerpunkt der folgenden Berufserfahrung war im Finanzsektor wo er beratend im gesamten deutschsprachigen Raum tätig war. 2012 wurde er diplomierter Mediator und Konfliktmanager. Seit 2016 hat er die Funktion der Stabstelle Informationssicherheit bayerischer Universitäten und Hochschulen inne und berät bayerische Hochschuleinrichtungen bei der methodischen Einführung eines ISMS.

Sabine Schnitzler:

Sabine Schnitzler, MSc. studierte nach sieben Jahren Polizeivollzugsdienst, im mittleren und gehobenen Dienst, an der Hochschule Augsburg Wirtschaftsinformatik. Für ihren Forschungsmaster wählte Sie den Schwerpunkt Informationssicherheit und ihre 2. Forschungsarbeit setzte sich mit der Analyse passender ISMS Standards im Hochschulbereich auseinander. Die anschließende Masterthese war eine Fortführung zu diesem Thema und Sie entwickelte aus den Standards ein für Hochschulen anwendbares ISMS und Risikomanagement. Sie ist heute als Information Security Manager bei FUJITSU tätig.

Dennis-Kenji Kipker:

Dr. Dennis-Kenji Kipker studierte Rechtswissenschaften und Informatik an der Universität Bremen und ist dort zurzeit wissenschaftlicher Geschäftsführer des Institutes für Informations-, Gesundheits- und Medizinrecht (IGMR). Seine Arbeits- und Forschungsschwerpunkte liegen an der Schnittstelle zwischen Recht und Technik vor allem im Bereich des IT-Sicherheitsrechts sowie des öffentlichen Datenschutzes. Neben seiner Tätigkeit an der Universität Bremen ist Kipker ferner Geschäftsführer der certavo compliance management GmbH, Projektmanager beim VDE e.V. in Frankfurt am Main, CERT@,VDE und Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin. Dr. Kipker berät verschiedene öffentliche und private Einrichtungen in Datenschutz- und IT-Sicherheitsfragen, so bereits die Max-Planck-Gesellschaft und das Bundesministerium der Verteidigung, darüber hinaus hält er Lehraufträge im IT-Recht an verschiedenen Hochschulen. 2018 war er Gastprofessor an der Universität der Völkerfreundschaft in Moskau.

Markus Schäffter:

Prof. Dr. rer. nat. Markus Schäffter ist Professor für Datenschutz und Informationssicherheit an der Hochschule Ulm. Nach Mathematikstudium und anschließender Promotion in Diskreter Algorithmischer Mathematik an der Technischen Universität Berlin arbeitete er als Spezialist für IT- und Internetsicherheit in verschiedenen Branchen und Städten, zuletzt als Unternehmensberater in München, bevor er im Jahr 2006 den Ruf an die Hochschule Ulm annahm.

Tobias Müller:

Tobias Müller received a Master's degree from the Dublin City University and a Diplom from the University of Hamburg. He worked at SAP Research and in Huawei's German Research Centre before joining the Security and Privacy team in Hamburg in 2017. His research interests include:

Decentralised PKIs,

Usabilitiy of Security Software,

Applied Cryptography,

Secure Systems.

Marius Stübs:

Marius Stübs is a researcher and PhD student in the Security in Distributed Systems (SVS) research group at University of Hamburg. His focus is security management of renewable energy systems. This comprises the topics of

resilience of distributed control algorithms,

privacy-preserving identity management and

distributed trust.

He graduated in Computer Science at the University of Hamburg with a diploma thesis on DNSSEC.

Rainer W. Gerling:

Studium der Physik an der Universität Dortmund und Promotion an der Universität Erlangen- Nürnberg. Von 1993 bis 2013 Datenschutzbeauftragter und seit 2006 IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft. Daneben Honorarprofessor für IT- Sicherheit an der Hochschule München. Mitglied der Herausgeber-Beiräte mehrerer Zeitschriften und Autor zahlreicher Veröffentlichungen. Stellvertretender Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD). Mitbegründer und Vorsitzender des Arbeitskreises Informationssicherheit der deutschen Forschungseinrichtungen (AKIF). Mitglied des Ausschusses für Recht und Sicherheit (ARuS) und des Verwaltungsrats des DFN-Vereins.

Automatisierte Erkennung von netzwerk-steganographischer Daten-Exfiltration

Nils Rogmann Controlware GmbH Waldstraße 92 63128 [email protected]

Zusammenfassung

Zur Exfiltration von sensiblen Informationen kommen zunehmend fortgeschrittene Exfiltrationstechniken zum Einsatz, die von traditionellen Sicherheitslösungen bisher nicht zuverlässig detektiert werden können. Mit dieser wissenschaftlichen Arbeit wird ein neuartiges Verfahren zur zuverlässigen Erkennung von netzwerksteganographischen Daten-Exfiltrationen vorgestellt. Dieses basiert im Wesentlichen auf statistischer Analyse und Methoden des überwachten maschinellen Lernens. Unter Verwendung des entwickelten Verfahrens kann zunächst in einer Lernphase mithilfe von bekannten Mustern bestehend aus extrahierten Merkmalen von legitimer Kommunikation ein Modell erzeugt werden. Dieses erlaubt dem speziell für diese Arbeit angepassten einklassigen naiven Bayes-Klassifikator innerhalb einer Arbeitsphase die Erkennung von unbekannten Mustern einer DNS- oder ICMP-basierten Daten-Exfiltration.

1 Einleitung

Weltweit kommt es trotz des Betriebs von aktueller IT-Sicherheitsinfrastruktur und der Etablierung verschiedener Schutzmaßnahmen immer häufiger zu Sicherheitsvorfällen wie beispielsweise Systemeinbrüchen [1], [2]. Ziel dieser Einbrüche ist es mitunter, die Systeme innerhalb eines Netzwerks mit Schadsoftware zu infizieren sowie kritische Unternehmensdaten auf den Systemen zu suchen und über das Internet zu stehlen. Bereits während der ersten sechs Monate des Jahres 2016 wurden basierend auf den Hochrechnungen der IT-Sicherheitsfirma Risk Based Security als Folge von weltweit ungefähr 1.800 öffentlich gewordenen Sicherheitsvorfällen über 1,1 Milliarden Datensätze unbemerkt von mehreren Organisationen entwendet. Hiervon sind alleine 957 Millionen auf Systemeinbrüche und den Einsatz von Schadsoftware zurückzuführen [3]. Bei den Datensätzen handelte es sich überwiegend um E-Mail-Adressen und Passwörter sowie Namen, Anschriften und Kreditkartendaten.

Eine stetig wachsende Herausforderung stellt insbesondere die Verwendung steganographischer Exfiltrationstechniken dar. So exfiltrieren verschiedene Malware-Varianten bereits heute unbemerkt Daten mittels maliziöser DNS- oder ICMP-Kommunikation. Ein einschlägiges Beispiel für die bisher unzureichenden Möglichkeiten einer zuverlässigen Detektion bietet die Malware FrameworkPOS. Diese hat im Jahr 2014 in einem Zeitraum von mehreren Monaten unbemerkt 56 Millionen Kreditkartendaten des amerikanischen Unternehmens The Home Depot über das DNS-Protokoll exfiltriert [4]. Neben den auf Datendiebstahl spezialisierten Malware-Familien existieren außerdem frei verfügbare sowie ohne besonderes Expertenwissen einsetzbare Software-Werkzeuge. Diese bieten auch der Allgemeinheit verschiedene Möglichkeiten zur verdeckten, bisher nicht zuverlässig detektierbaren Daten-Exfiltration.

Ein vielversprechender Erkennungsansatz, der im Zuge einer vorangegangenen Masterarbeit im Detail herausgearbeitet wurde und in dieser Ausarbeitung zusammenfassend dargestellt wird, besteht in der Kombination von statistischer Analyse und maschinellem Lernen [5]. Diese soll es ermöglichen, die verhaltensbasierten Muster einer legitimen Kommunikation innerhalb von dedizierten Netzwerken durch die Extraktion statistischer Merkmale automatisiert zu erlernen. Hierdurch wird die Realisierung einer automatisierten Unterscheidung des legitimen Netzwerkverkehrs von potentiell unbekannten Mustern einer Daten-Exfiltration angestrebt.

Nachfolgend wird einleitend eine Übersicht der zurzeit weltweit beobachteten Techniken zur Daten-Exfiltration gegeben. Hierbei erfolgt eine Einschätzung hinsichtlich der aktuellen Möglichkeiten und Grenzen zur Detektion bzw. Prävention dieser Exfiltrationstechniken. Daran anknüpfend werden die aktuellen Herausforderungen zur zuverlässigen Erkennung von Netzwerk-Steganographie herausgearbeitet sowie vor dem aktuellen Stand der Technik und der Wissenschaft diskutiert. Im nächsten Schritt gilt es, das grundlegende Konzept und die Realisierung des neuartigen Erkennungsverfahrens basierend auf statistischer Analyse und maschinellem Lernen vorzustellen. Abgeschlossen wird diese wissenschaftliche Ausarbeitung durch ein Fazit sowie einen Ausblick hinsichtlich möglicher Folgearbeiten.

2 Daten-Exfiltration

Bei einer Daten-Exfiltration handelt es sich im Allgemeinen um einen nicht autorisierten Datentransfer zwischen zwei oder mehreren Systemen. In der Fachliteratur erfolgt in diesem Kontext typischerweise eine Klassifizierung zwischen offenen und verdeckten Kanälen, welche einem Angreifer unter Anwendung verschiedener Techniken einen Datendiebstahl ermöglichen [6].

Bei offenen Kanälen (engl. overt Channels) handelt es sich um legitime Kommunikationswege und Protokolle, die innerhalb eines Systems oder Netzwerks verwendet werden [7]. Diese ermöglichen einem Angreifer allgemein eine Exfiltration mit hoher Bandbreite, lassen sich jedoch in der Regel mit traditionellen Sicherheitslösungen überwachen oder einschränken.

Verdeckte Kanäle (engl. covert Channels) werden im Allgemeinen von Angreifern zur unbemerkten und innerhalb von legitimer Kommunikation versteckten Datenübertragung eingesetzt. Während der Grad der Verborgenheit einer Exfiltration durch Mitbenutzung oder Zweckentfremdung eines zulässigen Netzwerkprotokolls im Wesentlichen erhöht wird, erfolgt hierdurch im Gegensatz zur Verwendung von offenen Kommunikationswegen eine Einschränkung der zur Verfügung stehenden Bandbreite [6].

Bezugnehmend auf eine Illustration innerhalb einer Forschungsarbeit der Lancaster Universität – jedoch zur Vereinheitlichung abstrahiert und neu strukturiert – sind in Abb. 1 zur Übersicht verschiedene häufig von Angreifern zur Exfiltration verwendete Kanäle dargestellt [6]:

Die in der Abbildung dargestellten offenen Kanäle lassen sich im Allgemeinen bereits durch traditionelle Sicherheitslösungen überwachen und grundlegend einschränken. Diese Lösungen umfassen unter anderem Antivirus-Software, Firewalls, Proxy-Server sowie Systeme zur Intrusion oder Breach Detection. Weiterhin existieren speziell zur Vermeidung von Datendiebstählen entwickelte Data Leakage Prevention-Systeme (DLP).

Zur Erkennung oder Unterbindung einer fortgeschrittenen Daten-Exfiltration über verdeckte Kanäle sind traditionelle Sicherheitslösungen hingegen in der Regel nicht ausreichend. Werden die zu exfiltrierenden Daten vor dem Transport verschlüsselt oder codiert, ist beispielsweise eine Erkennung durch DLP–Lösungen meist technisch nicht mehr realisierbar [8]. Weiterhin kann eine auf Basis von Mustern und statischen Regeln funktionierende Intrusion Detection durch unbekannte oder modifizierte Kommunikationsmuster – zum Beispiel durch eine Variation von Paketgrößen oder Sendeintervallen zwischen Paketen – umgangen und eine Exfiltration somit mit geringem Aufwand unbemerkt durchgeführt werden [9]. Auch eine Detektion von Timing-Kanälen kann nach dem aktuellen Stand der Technik nicht zuverlässig von Intrusion Detection-Lösungen oder Breach Detection-Systemen geleistet werden [10].

Vielversprechender sind hingegen einige Erkennungsansätze aus der aktuellen Forschung. Als ein neuartiger Ansatz zur Detektion von Timing-Kanälen wurde im Oktober 2014 die Time-Deterministic Replay-Technik (TDR) vorgestellt [11]. Weiterhin existieren Forschungsarbeiten, die der Identifizierung von TCP/IP-basierter Exfiltration mittels Timing-Kanälen gewidmet sind [12]. Auch die aktuellen Techniken zur Erkennung von Bild-Steganographie wurden im Zuge einer wissenschaftlichen Arbeit vorgestellt und in einer neuartigen Software kombiniert [13].

Ebenso erfolgte in einer wissenschaftlichen Untersuchung aus dem Jahr 2013 eine Klassifizierung etablierter Verfahren zur Daten-Exfiltration mittels VoIP-Steganographie [14]. Nicht zuletzt sind auch hinsichtlich verschiedener Techniken des Protokoll-Tunnelings einschlägige Veröffentlichungen zu finden. Unter anderem hat das Sysadmin, Networking and Security-Institut (SANS) eine Zusammenfassung verschiedener statistischer Metriken, welche zur Detektion von DNS-Tunneling nutzbar sind, veröffentlicht [15]. Darüber hinaus existiert ein vielversprechender Ansatz, der durch ein statistisches Fingerprinting typischer Protokolle getunnelte Verbindungen identifizieren soll [16].

Im Bereich der Netzwerk-Steganographie sind in der Vergangenheit mehrere wissenschaftliche Arbeiten mit Fokus auf der Erkennung von versteckten Informationen innerhalb von verschiedenen Protokoll-Headern veröffentlicht worden. In diesem Kontext wurde unter anderem der Einsatz von Active Wardens, welche im Wesentlichen eine Deep Packet Inspection (DPI) zur Identifizierung von Header-Anomalien durchführen sollen, diskutiert [17]. Weiterhin wurde im Jahr 2012 eine wissenschaftliche Ausarbeitung veröffentlicht, die sich der Erkennung von steganographischen Verfahren zur Daten-Exfiltration mittels Internet Control Message Protocol (ICMP) widmet [18]. Als Möglichkeit zur Detektion erfolgte hierbei jedoch ausschließlich der Verweis auf den Einsatz von IDS-Lösungen, welche in diesem Kontext nur eingeschränkt zur Erkennung herangezogen werden können. Somit ist die Frage nach Möglichkeiten einer zuverlässigen Identifizierung von ICMP-Steganographie offen gelassen worden. Auch hinsichtlich des verdeckten Datendiebstahls mittels DNS-Steganographie findet lediglich eine Diskussion über Exfiltrationstechniken statt, während im Wesentlichen keine Möglichkeiten zur Detektion aufgezeigt werden [19], [20]. In letzterer der beiden genannten Quellen wird ferner explizit darauf hingewiesen, dass aktuell ohne dedizierte Filter oder der Entwicklung einer speziellen Erkennungssoftware eine zuverlässige Identifizierung dieser fortgeschrittenen Techniken nahezu unmöglich ist [20].

Daher wurde mit Fokus auf DNS und ICMP nach einem neuartigen, auf statistischer Analyse und maschinellem Lernen basierenden Verfahren zur Detektion dieser fortgeschrittenen Datendiebstähle unter Einsatz von netzwerk-steganographischen Verfahren geforscht.

3 Netzwerk-Steganographie

Innerhalb dieses Kapitels erfolgt die exemplarische Betrachtung eines generischen Ablaufs und der technischen Umsetzung einer in der realen Welt beobachteten Exfiltrationstechnik unter Verwendung von DNS-Steganographie. Weitere Beispiele für netzwerk-steganographische Daten-Exfiltrationen auf Basis von DNS und ICMP sind in [5] einzusehen.

Die Internet Assigned Number Authority (IANA) gibt vor, dass für jede Webseite mindestens zwei autoritative Nameserver zur Auflösung von Domain-Anfragen in IP-Adressen vorhanden sein müssen. Diese autoritativen Systeme dienen im Wesentlichen dazu, die von nichtautoritativen, rekursiven Nameservern zwecks Auflösung weitergeleiteten DNS-Anfragen verbindlich zu beantworten. Die Weiterleitung der Anfragen erfolgt grundsätzlich, wenn die aufzulösenden Domains den nichtautoritativen Servern entweder unbekannt sind oder die Gültigkeit der Antworten bereits abgelaufen ist. Dieser im DNS-Protokoll etablierte Mechanismus kann zum verdeckten Datendiebstahl missbraucht werden. Hierzu ist lediglich die Kontrolle über die für eine Domain verantwortlichen autoritativen Nameserver notwendig: Codiert ein Angreifer die Daten in eine für den zuständigen rekursiven Nameserver unbekannte DNS-Anfrage, erreicht diese Nachricht zur verbindlichen Auflösung aufgrund der Beschaffenheit des Protokolls automatisch einen zuständigen autoritativen Nameserver. Wird dieser Server von dem Angreifer kontrolliert, ist an dieser Stelle die Decodierung der in der Anfrage übertragenen Daten möglich.

In Abb. 2 wird am Beispiel der Domain malicious.com der generische Ablauf eines verdeckten Datendiebstahls mittels DNS, der bereits unter Verwendung von frei verfügbarer Software wie dnscat2 oder Malware wie FrameworkPOS zu beobachten war [4], dargestellt und nachfolgend im Detail beleuchtet:

Den Ausgangspunkt für die Daten-Exfiltration bildet beispielsweise ein mithilfe von Malware kompromittierter Client innerhalb eines Netzwerks (1). Unter Verwendung dieses Clients erfolgt mit dem Ziel eines unbemerkten Diebstahls von sensiblen Informationen eine Anfrage zur Auflösung der Domain <sub>.malicious.com. Hierzu wird ein DNS-Paket, welches die codierten Daten enthält, zu einem Zielsystem unter Kontrolle des Angreifers gesendet. Bei <sub> handelt es sich typischerweise um eine einzigartige Subdomain, die bisher noch keinem rekursiven Nameserver bekannt ist. Hierdurch soll sichergestellt werden, dass das DNS-Paket zwecks Beantwortung der vermeintlich legitimen Anfrage bis zum Nameserver des Angreifers weitergeleitet wird.

Wie der Abbildung zu entnehmen ist, verfügt der lokale DNS-Server über keine Informationen zu <sub>.malicious.com (2). Daher erfolgt eine Weiterleitung der Anfrage an einen Nameserver im Internet. An dieser Stelle haben die sensiblen Daten trotz des Einsatzes einer Firewall oder anderer Sicherheitssysteme bereits das lokale Netzwerk verlassen.

Über das Internet wird eine Weiterleitung der Anfrage an mehrere Nameserver, die in der global aufgestellten DNS-Infrastruktur etabliert sind, durchgeführt. Wenn hierbei keine Antwort geliefert werden kann, erreicht das DNS-Paket zuletzt einen der beiden autoritativen Nameserver, welche für die Domain malicious.com verantwortlich sind (3). Diese befinden sich unter der Kontrolle des Angreifers und ermöglichen somit, die innerhalb des Pakets codierten sensiblen Informationen zu decodieren. Zuletzt wird eine Antwort mit einer oder mehreren beliebigen IP-Adressen generiert und rekursiv über alle kontaktierten DNS-Instanzen zurück an den kompromittierten Client gesendet (4).

Der beschriebene generische Ablauf erlaubt grundsätzlich eine Daten-Exfiltration mittels verschiedener netzwerk-steganographischer Verfahren. Eine aus Perspektive des Angreifers vielversprechende Technik besteht in der Verwendung des in [19] beschriebenen Ansatzes. Hierbei werden die zu transferierenden Daten in das zwei Bytes große Identifier-Feld des DNS-Headers codiert. Dieses wird normalerweise zufällig erzeugt und dient in Kombination mit dem Quell-Port des Absenders einer DNS-Anfrage zur eindeutigen Identifizierung der zugehörigen Antwort, welche einen identischen Wert enthalten muss. Der wesentliche Nachteil dieses Verfahrens besteht in der Größe des Header-Felds. Bei lediglich zwei Bytes, die zur Exfiltration zur Verfügung stehen, würde beispielsweise die Übertragung einer ca. 1.000 Bytes großen /etc/shadow-Datei, welche im Allgemeinen auf jedem Linux-System verfügbar ist und die Hashwerte aller Benutzer-Passwörter enthält, die Erzeugung von wenigstens 500 DNS-Anfragen an Domains der Form <sub>.malicious.com erfordern. Aus diesem Grund wird in der Fachwelt – wie auch im Zuge des thematisierten Sicherheitsvorfalls bei The Home Depot – häufig ein anderer Ansatz, der eine verdeckte Übertragung von sensiblen Daten innerhalb von Subdomains erlaubt, beobachtet [4]:

Eine auf Subdomains basierende Exfiltration kann auf einem kompromittierten System im Normalfall bereits ohne speziell zu diesem Zweck benötigte Software mithilfe von System-Werkzeugen durchgeführt werden. Handelt es sich beispielsweise um ein Linux-System, erlauben die bash-Shell mit root-Berechtigung und der Einsatz des nslookup-Befehls bereits einen codierten Datentransfer mittels DNS-Anfragen (siehe Abb. 3):

Die Abbildung zeigt eine for-Schleife, in der die /etc/shadow-Datei iterativ in 16 Bytes lange hexadezimale Zeichenketten hex zerlegt und jeweils mittels nslookup eine DNS-Anfrage der Form <hex_value>.<counter>.malicious.com durchführt wird. Die autoritativen Nameserver kontrollierend, kann beispielsweise mithilfe eines Python-Skripts das Verhalten eines DNS-Servers nachgebildet und parallel die in den Subdomains codierten Daten zu einer Datei zusammengesetzt werden. Die korrekte Sortierung der einzelnen Zeichenketten erfolgt hierbei unter Verwendung des innerhalb der jeweiligen Anfrage codierten Zählers.

Diese langen, dynamisch erzeugten Subdomains sind nicht intuitiv lesbar und werden daher üblicherweise nicht manuell vergeben. Allerdings verwenden einige Content Delivery Networks (CDNs) wie Amazon Web Services oder Antivirus-Hersteller wie Sophos ebenfalls diese Art der Subdomains für die dynamische Verteilung von Anfragen. Das Aussehen der eingesetzten Subdomains unterscheidet sich hierbei kaum von dem einer Daten-Exfiltration und erschwert infolgedessen unter anderem die Erkennung mittels entropiebasierter Ansätze [15].

4 Erkennungsverfahren

Mit Fokus auf DNS und ICMP wurde nach einem neuartigen, auf statistischer Analyse und (überwachtem) maschinellem Lernen basierenden Verfahren zur Detektion von netzwerk-steganographischen Datendiebstählen geforscht. Die Kombination dieser beiden Themengebiete soll dazu dienen, in einer initialen Lernphase die verhaltensbasierten Muster einer legitimen Kommunikation innerhalb eines dedizierten Netzwerks zunächst automatisiert zu erlernen. Auf diese Weise soll in einer darauf folgenden Arbeitsphase