ETH Zürich und Armasuisse entwickeln neuen Ansatz zur Erkennung von gezielten Cyber-Angriffen

Hintergrund der Entwicklung ist, dass staatliche Stellen und Firmen zunehmend durch Cyber-Angreifer bedroht werden, deren Ziel es ist, sensitive Daten zu stehlen. Der kürzlich erfolgte Angriff auf die RUAG ist ein typisches Beispiel für solch eine Attacke. Die Angreifer infizierten einen firmeninternen PC und verwendeten dann diesen, um das interne IT-Netzwerk zu analysieren und massenhaft Daten zu stehlen.
Solche sogenannten Advanced Persistent Threat (APT) Angriffe sind mit aktuellen Sicherheitslösungen sehr schwierig zu erkennen. Es dauere oft Monate oder Jahre bis eine Organisation realisiere, dass sich Angreifer in ihrem IT-Netzwerk eingenistet haben, heisst es.

Vincent Lenders (Armasuisse Wissenschaft und Technologie) sowie Pavlos Lamprakis, Ruggiero Dargenio, David Gugelmann, Markus Happe und Laurent Vanbever (ETH Zürich) haben eine neue neuartige Methode entwickelt, die Kommunikationskanäle zwischen Malware auf infizierten PCs und den Steuerungsservern der Angreifer aufspürt. Der vorgestellte Ansatz kann dabei HTTP basierte Kommunikationskanäle (C&C-Channels) von regulärer und APT Malware innerhalb von wenigen Stunden erkennen.

Die dazu erscheinende Publikation "Unsupervised Detection of APT C&C Channels using Web Request Graphs" soll Anfang Juli auf der DIMVA Konferenz in Bonn präsentiert werden. Die DIMVA Konferenz wurde vor 14 Jahren ins Leben gerufen und wird von der Special Interest Group Security – Intrusion Detection (Sidar) und der Gesellschaft für Informatik (GI) organisiert. Die Konferenz gilt als eine der führenden Konferenzen im Bereich der Intrusion- und Malware-Detektion und Schwachstellenanalyse. Jedes Jahr treffen sich dort internationale Experten aus der Wissenschaft, Industrie und Staatlichen Behörden, um sich über ihre Forschungsergebnisse auszutauschen.