armasuisse – ETH Zürich-Team präsentiert neuartigen Ansatz zur Erkennung von gezielten Cyber-Angriffen

Bern, 12.06.2017 – armasuisse Wissenschaft und Technologie und ETH Zürich haben eine neue Methode entwickelt, um gezielte Cyber Angriffe auf IT-Netzwerke aufzuspüren. Die Methode unterstützt die nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS).

Staatliche Stellen und Firmen werden zunehmend durch Cyber-Angreifer bedroht, deren Ziel es ist, sensitive Daten zu stehlen. Der kürzlich erfolgte Angriff auf die RUAG ist ein typisches Beispiel für solch eine Attacke. Die Angreifer infizierten einen firmeninternen PC und verwendeten dann diesen, um das interne IT-Netzwerk zu analysieren und massenhaft Daten zu stehlen.
Solche sogenannten Advanced Persistent Threat (APT) Angriffe sind mit aktuellen Sicherheitslösungen sehr schwierig zu erkennen. Es dauert oft Monate oder Jahre bis eine Organisation realisiert, dass sich Angreifer in ihrem IT-Netzwerk eingenistet haben.

Vincent Lenders (armasuisse Wissenschaft und Technologie) sowie Pavlos Lamprakis, Ruggiero Dargenio, David Gugelmann, Markus Happe und Laurent Vanbever (ETH Zürich) haben eine neue neuartige Methode entwickelt, die Kommunikationskanäle zwischen Malware auf infizierten PCs und den Steuerungsservern der Angreifer aufspürt. Der vorgestellte Ansatz kann dabei HTTP basierte Kommunikationskanäle (C&C-Channels) von regulärer und APT Malware innerhalb von wenigen Stunden erkennen.

Die Publikation «Unsupervised Detection of APT C&C Channels using Web Request Graphs» wird Anfang Juli auf der DIMVA Konferenz in Bonn präsentiert. Die Arbeit ist das Resultat eines Forschungsprojekts zwischen armasuisse Wissenschaft und Technologie und des Zurich Information Security and Privacy Centers (ZISC) an der ETH Zürich. Die Arbeit unterstützt die nationale Strategie zum Schutz der Schweiz vor Cyber Risiken (NCS).

Die DIMVA Konferenz wurde vor 14 Jahren ins Leben gerufen und wird von der Special Interest Group Security – Intrusion Detection (SIDAR) und der Gesellschaft für Informatik (GI) organisiert. Die Konferenz gilt als eine der führenden Konferenzen im Bereich der Intrusion- und Malware-Detektion und Schwachstellenanalyse. Jedes Jahr treffen sich dort internationale Experten aus der Wissenschaft, Industrie und Staatlichen Behörden, um sich über ihre Forschungsergebnisse auszutauschen.

Adresse für Rückfragen

Kaj-Gunnar Sievert
Leiter Kommunikation armasuisse
058 464 62 47

Herausgeber