TOGBAD : Ein Verfahren zur Erkennung von Routingangriffen in taktischen multi-hop Netzen

Multi-hop Netze sind seit vielen Jahren Forschungsthema. Seit einigen Jahren gibt es auch erste Realisierungen solcher Netze. Sie ermöglichen es, ohne feste Infrastruktur sich selbst organisierende Netze zu realisieren. Dies macht sie für vielfältige zivile wie taktische Szenarien interessant. In der vorliegenden Arbeit liegt der Fokus auf taktischen Szenarien, wie Szenarien der öffentlichen Sicherheit, militärischen oder Katastrophenszenarien. In solchen Szenarien kann für die Kommunikation auf der letzten Meile nicht von existierender Kommunikationsinfrastruktur ausgegangen werden. Taktische multi-hop Netze stellen eine Möglichkeit dar, die Kommunikation auf der letzen Meile trotzdem zu realisieren. Taktische multi-hop Netze sind zunächst einmal drahtlose multi-hop Netze, weisen darüber hinaus jedoch spezielle Eigenschaften auf. Diese speziellen Eigenschaften sind gruppenbasierte Bewegung, heterogene Knoten und eine hohe Relevanz von Sicherheitsbelangen. In taktischen multi-hop Netzen kann die Verletzung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit schwerwiegende Folgen, bis hin zum Verlust von Menschenleben, haben. Eine gut und zuverlässig funktionierende Sicherheitslösung für diese Netze ist also von großer Bedeutung. Dabei ist nicht nur mit Außentätern, sondern auch mit so genannten Innentätern (also im zu schützenden Netz befindlichen Angreifern mit validem Schlüsselmaterial) zu rechnen. Die Selbstorganisationsfähigkeit taktischer multi-hop Netze wird u.a. dadurch erreicht, dass jeder Knoten im Netz in den Routingprozess eingebunden ist. Dies vereinfacht Innentätern so genannte Routingangriffe. Ziel solcher Angriffe ist es, das Netz effektiv zu stören oder abzuhören. In der vorliegenden Arbeit wird mit TOGBAD ein Verfahren zur Detektion solcher Routingangriffe in taktischen multi-hop Netzen entwickelt und bewertet. Dazu werden zunächst die wesentlichen Eigenschaften von taktischen multi-hop Netzen herausgearbeitet. Durch Ausnutzen dieser Eigenschaften und in taktischen multi-hop Netzen anzunehmender Dienste ist es TOGBAD möglich, Synergien zu nutzen, seinen Ressourcenaufwand zu minimieren und intelligent zu verteilen. Dadurch lässt sich sicherstellen, dass TOGBAD auch auf in taktischen multi-hop Netzen zu erwartender Hardware lauffähig ist. Um eine sinnvolle Leistungsbewertung durchführen zu können, wird in der vorliegenden Arbeit auf Basis der herausgearbeiteten Eigenschaften von taktischen multi-hop Netzen eine realitätsnahe Modellierung taktischer Szenarien vorgenommen. Dazu werden sinnvolle Modelle ausgewählt und angemessen parametrisiert. Auf Basis der modellierten Szenarien erfolgt eine Leistungsbewertung von TOGBAD. Teil dieser Leistungsbewertung ist der Vergleich von TOGBAD mit verwandten Arbeiten. Entsprechend wird zunächst der aktuelle Stand der Forschung dargestellt, TOGBAD in die Forschungslandschaft eingeordnet und eine verwandte Arbeit für den Vergleich mit TOGBAD ausgewählt. Das im Rahmen dieser Arbeit entwickelte Verfahren TOGBAD ist als ein Gesamtsystem mit drei Einzeldetektoren konzipiert. Dabei dient jeder Einzeldetektor zur Erkennung eines Merkmals von Routingangriffen in taktischen multi-hop Netzen. Als Gesamtsystem ist TOGBAD mittels seiner Einzeldetektoren TOGBAD-SH, TOGBAD-LQ und TOGBAD-WH in der Lage, sowohl gefälschte Topologieinformationen, als auch gefälschte Linkqualitäten und Wormholes zu erkennen. Dadurch werden alle relevanten Routingangriffe in taktischen multi-hop Netzen von TOGBAD erkannt. Insbesondere gehen die Erkennungsmöglichkeiten von TOGBAD über die verwandter Ansätze hinaus. Zusätzlich ist TOGBAD speziell auf die Gegebenheiten in taktischen multi-hop Netzen angepasst. Es minimiert gezielt ressourcenintensive Aufgaben und verlagert die nötigen ressourcenintensiven Aufgaben auf ressourcenstarke Knoten. Dadurch erreicht TOGBAD im Vergleich mit verwandten Ansätzen ein höheres Sicherheitsniveau bei gleichzeitig niedrigerem Ressourcenverbrauch. Dies wird mittels der im Rahmen der vorliegenden Arbeit durchgeführten Leistungsbewertung gezeigt. Zusätzlich zeigt die Leistungsbewertung, dass TOGBAD sehr robust gegenüber Paketverlusten ist. TOGBAD erreicht sowohl bei idealer, als auch von Paketverlusten betroffener Datenbasis, sehr gute Erkennungsleistungen bezüglich der in taktischen multi-hop Netzen relevanten Routingangriffe. Zusammenfassend lassen sich die folgenden Kernbeiträge der Dissertation benennen: Realistische Modellierung taktischer multi-hop Netze Entwicklung eines zuverlässigen, ressourcenschonenden Verfahrens zur Erkennung von Routingangriffen in taktischen multi-hop Netzen mit einzigartigen Erkennungsmöglichkeiten Leistungsbewertung des Verfahrens und alternativer Ansätze in taktischen multi-hop Netzen TOGBAD ist in sechs im Rahmen der Arbeit entstandenen Veröffentlichungen publiziert worden. Dabei ist zu jedem der Einzelverfahren TOGBAD-SH, TOGBAD-LQ und TOGBAD-WH mindestens eine Veröffentlichung und auch zum TOGBAD-Gesamtsystem eine Veröffentlichung entstanden.</p

A survey on mobility models for performance analysis in tactical mobile networks, Journal of Telecommunications and Information Technology, 2008, nr 2

In scenarios of military operations and catastrophes – even when there is no infrastructure available or left – there is a need for communication. Due to the specific context the communication systems used in these tactical scenarios need to be as reliable as possible. Thus, the performance of these systems has to be evaluated. Beside field-tests, computer simulations are an interesting alternative concerning costs, scalability, etc. Results of simulative performance evaluation strongly depend on the models used. Since tactical networks consist of, or, at least, contain mobile devices, the mobility model used has a decisive impact. However, in common performance evaluations mainly simple random-based models are used. In the paper we will provide classification and survey of existing mobility models. Furthermore, we will review these models concerning the requirements for tactical scenarios

Host-based code injection attacks: A popular technique used by malware

Common goals of malware authors are detection avoidance and gathering of critical information. There exist numerous techniques that help these actors to reach their goals. One especially popular technique is the Host-Based Code Injection Attack (HBCIA). According to our research 63.94% out of a malware set of 162850 samples use HBCIAs. The act of locally copying malicious code into a foreign process space and subsequently executing it is called a Host-Based Code Injection Attack. In this paper, we define HBCIAs and introduce a taxonomy for HBCIA algorithms. We show that a HBCIA algorithm can be broken down into three steps. In total there are four classes of HBCIA algorithms. Then we examine a huge set of malware samples and estimate the prevalence of HBCIA-employing malware and their target process distribution. Moreover, we analyse Intrusion Prevention System data and show that HBCIA-employing malware prefers network-related processes for its network communication. To the best of our knowledge, we are the first to thoroughly describe and formalize this phenomenon and give an estimation of its prevalence. Thus, we build a solid foundation for future work on this topic

Case study of the Miner Botnet

Malware and botnets are one of the most serious threats to today's Internet security. In this paper, we characterise the so-called "Miner Botnet". It received major media attention after massive distributed denial of service attacks against a wide range of German and Russian websites, mainly during August and September 2011. We use our insights on this botnet to outline current botnet-related money-making concepts and to show that multiple activities of this botnet are actually centred on the virtual anonymised currency Bitcoin, thus justifying the name. Furthermore, we provide a binary-level analysis of the malware's design and components to illustrate the modularity of the previously mentioned concepts. We give an overview of the structure of the command-and-control protocol as well as of the botnet's architecture. Both centralised as well as distributed infrastructure aspects realised through peer-to-peer are present to run the botnet, the latter for increasing its resiliency. Finally, we provide the results of our ongoing tracking efforts that started in September 2011, focusing on the development of the botnet's size and geographic distribution. In addition we point out the challenge that is generally connected with size measurements of botnets due to the reachability of individual nodes and the persistence of IP addresses over time

A Scalable Approach for a Distributed Network of Attack Sensors

Today’s computer systems face a vast array of severe threats that are posed by automated attacks performed by malicious software as well as manual attacks by individual humans. These attacks not only differ in their technical implementation but may also be location-dependent. Consequentially, it is necessary to join the information from heterogeneous and distributed attack sensors in order to acquire comprehensive information on current ongoing cyber attacks

Behavior-Driven Development in Malware Analysis

A daily task of malware analysts is the extraction of behaviors from malicious binaries. Such behaviors include domain generation algorithms, cryptographic algorithms or deinstallation routines. Ideally, this tedious task should be automated. So far scientific solutions have not gotten beyond proof-of-concepts. Malware analysts continue to reimplement behaviors of interest manually. However, often times they merely translate the malicious binary assembler code to a higher-level language. This yields to poorly readable and undocumented code whose correctness is not ensured. Furthermore, the current process that malware analysts are following leads to a suboptimal focusing since they deal with too much binary code at once. In this paper, we aim at overcoming these shortcomings by improving the malware analysis process regarding the reimplementation of malicious behaviors. We achieve this by integrating Behavior-Driven Development in the malware analysis process. We explain in detail how the integration of Behavior-Driven Development into the malware analysis process can be done. In a case study on the highly obfuscated malware Nymaim, we show the feasibility of our approach

A Scalable Approach for a Distributed Network of Attack Sensors

Today’s computer systems face a vast array of severe threats that are posed by automated attacks performed by malicious software as well as manual attacks by individual humans. These attacks not only differ in their technical implementation but may also be location-dependent. Consequentially, it is necessary to join the information from heterogeneous and distributed attack sensors in order to acquire comprehensive information on current ongoing cyber attacks

Towards Sound Forensic Acquisition of Volatile Data

This work discusses shortcomings of current forensic acquisition tools aimed at securing volatile data. Recent developments in the area of anti-forensics have effectively disabled current forensic methods. The development of new methods towards sound forensic acquisition of volatile data is necessary as to keep up with the arms race. After an overview over current hardware-based and software-based acquisition methods, attacks and evasion techniques will be presented. Concluding, novel techniques are discussed to cope with anti-forensics

Malware and Botnet Analysis Methodology

Malware is responsible for massive economic damage. Being the preferred tool for digital crime, botnets are becoming increasingly sophisticated, using more and more resilient, distributed infrastructures based on peer-to-peer (P2P) protocols. On the other side, current investigation techniques for malware and botnets on a technical level are time-consuming and highly complex. Fraunhofer FKIE is addressing this problem, researching new ways of intelligent process automation and information management for malware analysis in order to minimize the time needed to investigate these threats