Advanced Attribution of an Attacker‘s Network Infrastructure using Passive DNS Data

Master Studiengang Information Security

Dipl.-Ing. Alexander Kolmann, BSc (Jg. 2014/2016)

Betreuer: Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage

In den letzten Jahren verwenden AngreiferInnen immer häufiger bösartige Software (Malware), welche stark auf DNS (Domain Name System) vertraut. Das große Problem hierbei ist, dass das Domain Name System nicht dazu verwendet werden kann, um historische Informationen abzufragen. Daher ist es mit dem klassischen DNS zum Beispiel nicht möglich, herauszufinden, auf welche IP-Adresse eine Domain in der Vergangenheit aufgelöst worden ist. Bereits vor mehr als zehn Jahren hat Florian Weimer eine Technik namens „Passive DNS Replication“ vorgestellt, welche dieses Problem behebt. Mittlerweile gibt es zahlreiche passive DNS-Datenbanken, welche helfen können, Fragen zu beantworten, die mit dem Standard-DNS-Protokoll nicht beantwortet werden können. In den meisten Fällen verwendet ein/e Angreifer/in zahlreiche unterschiedliche IP-Adressen beziehungsweise Domainnamen. Wird in einem Netzwerk eine bösartige IP-Adresse oder Domain identifiziert und geblockt, so ist es wahrscheinlich, dass der Angreifende einen Wechsel vornimmt. Daher ist es notwendig, möglichst vollständig die gesamte Netzwerkinfrastruktur des Angreifenden aufzudecken.

Ziel

Das Ziel dieser Diplomarbeit ist es, einen Prozess zu entwerfen, welcher die Netzwerkinfrastruktur eines/einer Angreifenden identifiziert, von dem/der eine IP-Adresse oder

ein Domainname bekannt ist. Dabei sollen IP-Adressen und Domainnamen, welche für bösartige Zwecke verwendet werden, dementsprechend klassifiziert werden. Dazu werden Informationen aus passiven DNS-Datenbanken sowie weiteren öffentlichen Quellen wie WHOIS verwendet. Des Weiteren ist es notwendig, den Prozess so zu designen, dass die Analyse in entsprechender Zeit durchgeführt werden kann.

Ergebnis

Im Rahmen der Diplomarbeit wurden zwei Prozesse zur Attributierung entworfen: Einerseits der „Basic“-Prozess, welcher sehr rudimentär ist und hauptsächlich auf Daten aus passiven DNS-Datenbanken zurückgreift. Andererseits der „Advanced“-Prozess, welcher den „Basic“-Prozess um zusätzliche Schritte, wie zum Beispiel das Extrahieren von Attributen, welche für die Klassifizierung von Domainnamen notwendig sind, erweitert. Ein Training-Set an Domainnamen, welche als gutartig beziehungsweise bösartig angesehen werden können, inklusive Attributen, wurde zusammengestellt. Unterschiedliche Klassifizierungen wurden eingesetzt, um einen Domainnamen entsprechend zu klassifizieren. Die beste Performance erzielte der Decision Tree mit einer True Positive Rate von rund 98 Prozent.