Modeling and Detection of Cyberattacks by Advanced Persistent Threats (APT)

In den vergangenen 10 Jahren lässt sich eine Zunahme an Cyberattacken und deren Professionalisierung sowohl von organisierter Kriminalität als auch von mutmaßlichen Staatsakteuren, sogenannten Advanced-Persistent-Thread-Gruppen (APT-Gruppen) beobachten. Einen besonderen Anstieg konnte hierzu im Zusammenhang mit dem aktiven Krieg in der Ukraine beobachtet werden [5,6], genauso wie auch schon im Vorfeld des Krieges mit Industroyer und BlackEnergy das ukrainische Stromnetz mehrfach Opfer von anspruchsvollen Angriffen wurde [7, 8]. Eine übliche Verteidigung im Allgemeinen gegen Angriffe ist der Einsatz von Intrusion Detection Systemen (IDS) und/oder Security Incident and Event Monitoring (SIEM) Systemen.
... mehr

Diese Systeme haben allerdings die Nachteile, dass für deren effektiven Einsatz ein Team an Security Analysten benötigt wird, die zahlreichen Alarme sichten und entscheiden, ob es sich dabei um einen relevanten oder echten Alarm handelt. Dies kann zu dem Effekt bekannt als alert fatique führen. Zudem basieren diese Systeme oft auf Signaturdatenbanken und fest definierten Regeln, um Anomalien zu erkennen. Das führt dazu, dass durch ein Wettrüsten zwischen Angreifenden und Verteidigenden diese Systeme einen hohen Wartungsaufwand erfordern, da Malware zunächst entdeckt und zu der Datenbank hinzugefügt, sowie unerkannte Incidents gefunden, mit Regelnvorschriften abgedeckt und die Regeln ausgerollt werden müssen. Zudem basieren viele Systeme darauf, dass zum Einrichtungszeitpunkt das eigene Netzwerk noch nicht kompromittiert wurde, um ein Normalverhaltenbasierend auf der Beobachtung des Systems über beispielsweise 1-2 Wochen hinweg zu lernen. Zudem können oft in Zusammenhang stehende Alarme nicht direkt verknüpft werden, was die Detektion von sogenannten \emph{low and slow} Angriffen, wie sie für APT-Gruppen typisch sind, sehr schwierig macht.

Für das Problem der Detektion von APT-Angriffen existieren in der wissenschaftlichen Literatur Ansätze. Allerdings besteht ein signifikanter Aufwand, diese Ansätze unabhängig auf ihre Wirksamkeit und Funktionsfähigkeit zu evaluieren. Forschungsteams stehen zudem vor der Aufgabe, zuvor eine Infrastruktur für die Ausführung und Evaluation von Detektionsprogrammen aufzubauen und zudem die zu evaluierenden Programme auf dieser spezifischen Infrastruktur zur Ausführung zu bringen.

Diese Thesis hat zum Ziel, zunächst vorhandene Ansätze zur Erkennung von Angriffen von APT-Gruppen zu reproduzieren. Parallel dazu werden vorhandene Datensätze, in denen solche Angriffe aufgezeichnet worden sind, untersuchen. Eine Einordnung der Datensätze hinsichtlich der darin enthaltenen Angriffsschritte sowie Aufzeichnungsverfahren wird erstellt. Es soll auch evaluiert werden, wie unterschiedliche Ansätze auf diesen Datensätzen angewandt werden kann.

[5] https://services.google.com/fh/files/blogs/google_fog_of_war_research_report.pdf, Whitepaper, (Abgerufen 2024-07-12)
[6] https://www.blackhat.com/us-22/briefings/schedule/#real-cyber-war-espionage-ddos-leaks-and-wipers-in-the-russian-invasion-of-ukraine-27206, (Abgerufen 2024-07-12)
[7] https://www.blackhat.com/us-17/briefings.html#industroyer-crashoverride-zero-things-cool-about-a-threat-group-targeting-the-power-grid, (Abgerufen 2024-07-12)
[8] https://www.blackhat.com/us-22/briefings/schedule/#industroyer-sandworms-cyberwarfare-targets-ukraines-power-grid-again-27832, (Abgerufen 2024-07-12)

In the past 10 years, an increase in cyberattacks and their professionalisation, both by organised crime and suspected state actors, known as Advanced Persistent Threat (APT) groups, can be observed. A particular rise has been noted in connection with the active war in Ukraine [1,2], just as the Ukrainian power grid had already become victim of sophisticated attacks multiple times before the outbreak of the war with incidents like Industroyer and BlackEnergy [3,4]. A common defence against such attacks is the use of Intrusion Detection Systems (IDS) and/or Security Incident and Event Monitoring (SIEM) systems.
... mehr

However, these systems have the drawback that their effective use requires a team of security analysts to review numerous alarms and decide whether they represent a relevant threat. This can lead to the effect known as alert fatigue. Additionally, these systems often rely on signature databases and predefined rules to detect anomalies. This results in a high maintenance effort due to the arms race between attackers and defenders, as malware must first be detected and added to the database, and undetected incidents must be covered by rule updates, which then need to be rolled out. Furthermore, many systems assume that the network was not compromised at the time of setup in order to learn normal behaviour based on system observation over, for example, 1-2 weeks. Additionally, alarms that are related are often not directly correlated, making the detection of so-called \emph{low and slow} attacks, which are typical for APT groups, very difficult.

There are approaches in the scientific literature to tackle the problem of detecting APT attacks. However, a significant effort is required to independently evaluate the effectiveness and functionality of these approaches. Research teams are also faced with the challenge of first setting up an infrastructure to execute and evaluate detection programs, and then bringing the programs to execution on this specific infrastructure.

This thesis aims to first reproduce existing approaches to detecting attacks from APT groups. Additionally, existing datasets that have recorded such attacks will be examined. A categorisation of the datasets in terms of the attack steps they contain and the recording methods will be created. It will also be evaluated how different approaches can be applied to these datasets.

[1] https://services.google.com/fh/files/blogs/google_fog_of_war_research_report.pdf, Whitepaper, (Accessed 2024-07-12)
[2] https://www.blackhat.com/us-22/briefings/schedule/#real-cyber-war-espionage-ddos-leaks-and-wipers-in-the-russian-invasion-of-ukraine-27206, (Accessed 2024-07-12)
[3] https://www.blackhat.com/us-17/briefings.html#industroyer-crashoverride-zero-things-cool-about-a-threat-group-targeting-the-power-grid, (Accessed 2024-07-12)
[4] https://www.blackhat.com/us-22/briefings/schedule/#industroyer-sandworms-cyberwarfare-targets-ukraines-power-grid-again-27832, (Accessed 2024-07-12)