Paper auf der ARES 2019

01.09.2019

Für die ARES 2019 wurde unser Paper “Towards Efficient Reconstruction of Attacker Lateral Movement” angenommen. Dieses Paper liefert zwei Kernbeiträge: ein Netzwerkmodell zur Erfassung von Angreiferinteresse in Hosts sowie ein Algorithmus der auf Basis dieses Modells potentiell kompromittierte Rechner ermittelt und somit den forensischen Prozess unterstützt.

Basierend auf drei Angreifermodellen, werden zwei Heuristiken zur Rekostruktion der Angreiferbewegung durch das Netzwerk beschrieben, eine mittels Random Walks und eine mittels k-shortest Paths. Mithilfe derer kann die Liste der Systeme, die vermutlich kompromittiert worden sind, approximiert werden, um bei der manuellen Untersuchung die verfügbaren menschlischen Ressourcen effizient einsetzen zu können.

Wir werden unsere Ergebnisse am 28.09.19 auf der ARES 2019 in Canterbury, UK vorstellen und den Austausch mit internationalen Forschern suchen.

Abstract:

Organization and government networks are a target of Advanced Persistent Threats (APTs), i.e., stealthy attackers that infiltrate networks slowly and usually stay undetected for long periods of time. After an attack has been discovered, security administrators have to manually determine which hosts were compromised to clean and restore them. For that, they have to analyze a large number of hosts.

In this paper, we propose an approach to efficiently reconstruct the lateral movement of attackers from a given set of indicators of compromise (IoCs) that can help security administrators to identify and prioritize potentially compromised hosts. To reconstruct attacker paths in a network, we link hosts with IoCs via two methods: k-shortest-paths and biased random walks. To evaluate the accuracy of these approaches in reconstructing attack paths, we introduce three models of attackers that differ in their network knowledge.

Our results indicate that we can approximate the lateral movement of the three proposed attacker models, even when the attacker significantly deviates from them. For insider attackers that deviate up to 75% from our models, the method based on k-shortest-paths achieves a true positive rate of 88% and can significantly narrow down the set of nodes to analyse to 5% of all network hosts.


Update nach der Konferenz:

Nach der Reise nach Canterbury zur ARES 2019 und wertvollem Austausch mit Wisschenschaftlern aus der IT-Sicherheit kann die Konferenz als voller Erfolg betrachtet werden. Auch die Abendveranstaltungen waren mit einer Führung durch die Stadt Canterbury und dem Konferenzdinner in der Stadthalle von Dover sehr schön gestaltet. Nach anregenden Diskussionen und neuen Kontakten, freuen wir uns vielleicht auch auf der ARES 2020 in Dublin vertreten zu sein.

Eindrücke von der ARES 2019