Master PSE ‚IT-Sicherheit‘ im SS2017

Master PSE ‚IT-Sicherheit‘ im SS2017

Im Sommersemester 2017 bietet die Arbeitsgruppe für Biometrie und Internetsicherheit ein Master Projekt Systementwicklung zu verschiedenen Aspekten der IT-Sicherheit an. Die Vorbesprechung mit Vergabe der Themen findet am Donnerstag, 06.04.2017, um 10.15 Uhr in Raum D19/2.03a statt.

Es stehen folgende Themen zur Auswahl, die in Untergruppen bearbeitet werden können:

Digital forensic image generation

Dieses Projekt ist Teil des Forensic Labs, das zur Zeit am Fachbereich Informatik aufgebaut wird. Ziel ist es, eine Umgebung zu konzipieren, zu implementieren und zu validieren, um automatisiert Images von Datenträgern zu erzeugen. Darüber hinaus soll es möglich sein, individuelle Tokens auf unterschiedlichen Abstraktionsebenen in das Datenträgerabbild einzufügen. Beispielsweise auf Datenträgerebene (Partitionstabellen oä.) oder internen Dateisystemstrukturen (FAT, NTFS). Es kann auf Ergebnisse von bisherigen MPSEs aufgebaut werden.

  • Erstellung von pathologischen Images (MPSE 15/16)
  • Individualisierung von Datenträgerabbilder
  • Zugriff auf Datenstrukturen unterschiedlicher Abstraktionsebenen

Open security experimentation framework — STORM

Verteilte Angriffe auf Infrastrukturen von Internet Service Provider (ISP) sind in den letzten Jahren für Ausfälle von IT-Systemen mit steigender Tendenz verantwortlich. Botnetze wie z.B. das Mirai-Botnetz treten hierbei immer stärker in den Vordergrund. Wir haben uns die Frage gestellt, wie ein Betreiber einer Netzwerkinfrastruktur, eine qualitative Aussage über Mitigation- und Reaktionsmaßnahmen im eigenen Netz treffen kann. Hierzu entstand die Idee für das Framework „STORM“, mit dem es möglich sein soll, gezielte Messungen durchzuführen um das Verhalten eines Netzwerks zu analysieren. Im Wintersemester 2016/17 wurden im Master Projekt Systementwicklung Angriffswerkzeuge für Distributed Denial of Service (DDoS) und Distributed Reflection Denial of Service (DrDoS) realisiert. Ziel des Projekts für das Sommersemester 2017 ist die Realisierung einer virtuellen ISP-Testumgebung auf Basis von Software Defined Networking (SDN) mittels ONOS (http://onosproject.org) und Mininet (http://mininet.org). Es sollen Angriffsszenarien innerhalb der Testumgebung durchgeführt werden und darin aufgezeichnete Messdaten ausgewertet werden. Für die Aufzeichnung und Auswertung von Messdaten sollen weitere Tools für das Framework erstellt werden.

Kurzübersicht der Aufgaben über den Inhalt des Projekts:

  • Konzeption von Angriffsszenarien
  • Aufbau einer virtuellen SDN-Umgebung mit verschiedenen ISPs
  • Durchführung von DDoS- und DrDoS-Angriffen in virtuellen Netzwerken
  • Entwicklung von Tools für das Messen und Auswerten von Angriffsdaten auf Hosts
  • Dokumentation und Präsentation der Ergebnisse

Malware Analyse System

Durch die Vielzahl an verschiedenen Verschleierungsmöglichkeiten ist die Statische Analyse von Malware teilweise sehr aufwendig. Bei einer Dynamischen Analyse von Malware wird die Schadsoftware während der Ausführung analysiert. Diese Ausführung erfolgt oftmals in geschützten und virtualisierten Umgebungen.

Das langfristige Ziel dieses Themas ist die Konzipierung und Implementierung eines „Malware-Analyse-Systems“, beispielsweise basierend auf DRAKVUF [1,2]. Innerhalb des Systems sollen mehrere virtuelle Maschinen verwaltet werden können und zunächst „gutartige“ Programme darin zur Ausführung gebracht werden. Während der Ausführung der Programme sollen relevante Speicherbereiche automatisch akquiriert werden. Die Akquise soll dabei anhand spezifischer Trigger-Funktionen durchgeführt werden. Diese Trigger könnten beispielsweise anhand der Ausführungszeit oder bestimmter Systemzustände definiert werden. Langfristig sollen auch Schadprogramme mit Hilfe des Frameworks ausgeführt und analysiert werden können.

Konkrete Anforderungen an das System im Rahmen des MPSE:

  • Verwaltung und Installation von virtuellen Maschinen
  • Automatisches Laden von Programmen in das Gastsystem
  • Automatische Ausführung der geladenen Programme
  • Sequentielle Akquise des Hauptspeichers eines Gastsystems
  • Definition von Trigger-Sequenzen

Lerninhalte und vermittelte Kenntnisse

  • Kenntnisse über XEN/Virtualisierung
  • Kenntnisse über Virtual Machine Introspection
  • Kenntnisse Linux/Unix
  • Dynamische Analyse von Malware
Literatur:

[1] Lengyel, Tamas K., et al. "Scalability, fidelity and stealth in the DRAKVUF dynamic malware analysis system." Proceedings of the 30th Annual Computer Security Applications Conference. ACM, 2014.
https://drakvuf.com/

[2] Kreibich, Christian, et al. "GQ: Practical containment for measuring modern malware systems." Proceedings of the 2011 ACM SIGCOMM conference on Internet measurement conference. ACM, 2011.

[3] Rossow, Christian, et al. "Prudent practices for designing malware experiments: Status quo and outlook." Security and Privacy (SP), 2012 IEEE Symposium on. IEEE, 2012.