Process Classification via Process Events

Master Studiengang Information Security

Dipl.-Ing. Sebastian Eresheim, BSc

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage

Zielgerichtete Angriffe auf Computersysteme sind heutzutage leider keine Seltenheit mehr. Mehrere, vermutlich staatlich gesponserte, Gruppen, denen oftmals Nähe zu gewissen Geheimdiensten nachgesagt wird, arbeiten tagtäglich daran, fremde Netzwerke zu unterwandern und sich permanent Zugriff zu verschaffen. Ihr Motiv dabei ist meistens das Sammeln von spezifischen Informationen über ihr Ziel. Um sich permanenten Zugriff zu einem Netzwerk zu verschaffen, müssen die Angriffe lange Zeit unbemerkt bleiben; AngreiferInnen müssen daher ihre Spuren verschleiern und Einbruchsindikatoren verstecken.

Eine Technik, die ihnen dabei zugutekommt, ist das sogenannte Prozessaushöhlen. Dabei werden unbedenkliche Prozesse (wie zum Beispiel explorer.exe) gestartet, jedoch der Code im Speicher des Prozesses durch den Schadcode, der versteckt bleiben soll, ersetzt. Das Resultat ist ein Prozess, der von außen betrachtet harmlos aussieht, in Wahrheit allerdings potenziell schadhafte Aktionen am System oder im Netzwerk durchführen kann.

Erkannt werden können solche Techniken am veränderten Verhalten und der dadurch generierten Ereignisse am System. Prozessaushöhlen ist nur eine von vielen Varianten, bei denen Prozesse ihr Verhalten ändern, nachdem sie kompromittiert worden sind und anschließend unüblich Ereignisse erzeugen. Wichtig ist, zu verstehen, dass nicht nur das Auftreten von „bösartigen“ Ereignissen, sondern auch das Fehlen von üblichen Ereignissen als Grundlage dient.

Ziel

Das Ziel dieser Arbeit ist, festzustellen, inwieweit sich Prozesse anhand der von ihnen generierten Ereignisse identifizieren lassen. Dies kann dann einerseits selbst schon als Erkennungswerkzeug von bestimmten Angriffen dienen, andererseits kann es als Grundlage für ein Anomalieerkennungssystem verwendet werden. Außerdem ist so ein System hilfreich bei der Einschätzung von unbekannten Prozessen, indem es Ähnlichkeiten zu bereits bekannten Prozessen aufzeigen kann.

Ergebnis

Im Zuge dieser Arbeit konnte festgestellt werden, dass es mit Hilfe von Methoden aus der Statistik in Kombination mit maschinellem Lernen tatsächlich möglich ist, Prozesse anhand der von ihnen generierten Ereignisse zu klassifizieren. Des Weiteren wurden optimale Parameter festgestellt, zueinander in Beziehung gesetzt und daraus Interpretationen abgeleitet.