haku: @supervisor Kantola, Raimo / yhteensä: 339
viite: 5 / 339
Tekijä:Larinkoski, Luukas
Työn nimi:Detecting Encrypted Command & Control Channels with Network Fingerprints
Salattujen komento- ja ohjauskanavien havaitseminen verkkosormenjälkien avulla
Julkaisutyyppi:Diplomityö
Julkaisuvuosi:2016
Sivut:(5) + 74 s. + liitt. 6      Kieli:   eng
Koulu/Laitos/Osasto:Sähkötekniikan korkeakoulu
Oppiaine:Communications Engineering at Eurécom   (S3033)
Valvoja:Kantola, Raimo
Ohjaaja:Leita, Corrado
Elektroninen julkaisu: http://urn.fi/URN:NBN:fi:aalto-201611025398
Sijainti:P1 Ark Aalto  5488   | Arkisto
Avainsanat:malware
intrusion detection system
command and control channel
network fingerprint
haittaohjelma
tunkeilijan havaitsemisjärjestelmä
komento- ja ohjauskanava
verkkosormenjälki
Tiivistelmä (fin):Internetin uhkaympäristön radikaalin kehittymisen myötä edistyksellisiä haittaohjelmia kehittävät kyberrikollisryhmät ovat muuttuneet järjestäytyneiksi ja taloudellista voittoa tavoitteleviksi organisaatioiksi.
Nämä rakenteiltaan ja prosesseiltaan laillisia yrityksiä muistuttavat organisaatiot pyrkivät saastuttamaan suuria määriä tietokoneita ja saavuttamaan yhtämittaisen hallintakyvyn.
Tutkimukset ovat osoittaneet, että tuntemattomien salausmenetelmien ja uusien sovellustason protokollien käyttö haittaohjelmien komento- ja hallintakanavien piilottamiseksi tietoverkoissa ovat kasvussa.
Tämänkaltaiset tekniikat vaikeuttavat oleellisesti perinteisiä toistuviin kuvioihin perustuvia havaitsemismenetelmiä.

Tämä työ esittelee salattujen komento- ja hallintakanavien havaitsemiseen suunnitellun uuden konseptin, verkkosormenjäljet.
Työn tavoitteena oli toteuttaa prototyyppijärjestelmä, joka analysoi ja prosessoi haittaohjelmaliikennettä, sekä kykenee tuottamaan tarkkoja ja tehokkaita haittaohjelmakohtaisia verkkosormenjälkitunnisteita.
Työ selittää verkkosormenjälkien teorian ja käy yksityiskohtaisesti läpi kehitetyn järjestelmän eri osiot ja vaiheet.

Järjestelmästä tuotetut verkkosormenjäljet asennettiin 17 päiväksi oikeisiin tietoverkkoihin osaksi tunkeilijan havaitsemisjärjestelmää.
Testijakso tuotti yhteensä 71 oikeaa haittaohjelmahavaintoa sekä 9 väärää havaintoa.
Menetelmän käyttöönoton vaikutukset tunkeilijan havaitsemisjärjestelmän suorituskykyyn olivat 2-9% kasvu pakettihäviössä ja pieni nousu laskennallisessa kokonaiskuormituksessa.
Tulokset osoittavat, että kehitetty järjestelmä kykenee onnistuneesti analysoimaan haittaohjelmaliikennettä sekä tuottamaan salattuja komento- ja hallintakanavia havaitsevia verkkosormenjälkiä.
Tiivistelmä (eng):The threat landscape of the Internet has evolved drastically into an environment where malware are increasingly developed by financially motivated cybercriminal groups who mirror legitimate businesses in their structure and processes.
These groups develop sophisticated malware with the aim of transforming persistent control over large numbers of infected machines into profit.
Recent developments have shown that malware authors seek to hide their Command and Control channels by implementing custom application layer protocols and using custom encryption algorithms.
This technique effectively thwarts conventional pattern-based detection mechanisms.

This thesis presents network fingerprints, a novel way of performing network-based detection of encrypted Command and Control channels.
The goal of the work was to produce a proof of concept system that is able to generate accurate and reliable network signatures for this purpose.
The thesis presents and explains the individual phases of an analysis pipeline that was built to process and analyze malware network traffic and to produce network fingerprint signatures.

The analysis system was used to generate network fingerprints that were deployed to an intrusion detection system in real-world networks for a test period of 17 days.
The experimental phase produced 71 true positive detections and 9 false positive detections, and therefore proved that the established technique is capable of performing detection of targeted encrypted Command and Control channels.

Furthermore, the effects on the performance of the underlying intrusion detection system were measured.
These results showed that network fingerprints induce an increase of 2-9% to the packet loss and a small increase to the overall computational load of the intrusion detection system.
ED:2016-11-13
INSSI tietueen numero: 54929
+ lisää koriin
INSSI