© kasezo, 123RF

Die Black Hat Europe 2018 zog Anfang Dezember Hacker aus Europa und Übersee nach London. Ein Ergebnis: Der Hacker und auch seine Gegner arbeiten heute mit Deep-Learning-Software.

Die Black Hat Europe [1] ist eine zweitägige Security-Konferenz ohne besondere Extras und lässt sich daher auch nur schlecht mit dem Chaos-Kongress-Spektakel vergleichen, das Ende 2018 wieder in Leipzig stattfinden wird. Trotz der zeitlichen Nähe zog es dennoch wieder eine Menge Hacker und Security-Profis nach London.

Laut Black-Hat-Gründer Jeff Moss (Abbildung 1) sei Infosec wichtiger geworden. Für die Politik seien hackende Nationen inzwischen ein Thema, für Hacker bedeute die Anerkennung mehr Arbeit und Kommunikation mit CEOs und Vorständen. Laut Moss sei die Community inzwischen breiter aufgestellt, gewachsen, ausdifferenzierter und aufgrund der vielen Aufgaben “super optimistisch”, aber zugleich “super gestresst”.

Abbildung 1: Laut Jeff Moss schwanke die Hacker-Community zurzeit zwischen “super optimistisch” und “super gestresst”.

Ein dominantes Subjekt in diesem Jahr waren neuronale Netze. Das Hype-Thema bot nicht nur Grund zum Lästern, sondern warf auch Fragen zum Stand des Hackens auf. So diskutierte das Podium am Ende der Konferenz darüber, ob die IT-Sicherheit nicht zu komplex werde. Dies mache es nicht nur Einsteigern schwer, sondern bereite auch Probleme, die eingesetzten Verfahren und Folgen umfassend zu beurteilen.

Einig war sich die Diskussionsrunde, dass man neue Hype-Technologien wie Blockchain und Deep Learning kritischer hinterfragen und ihre Behauptungen stärker mit Zahlen überprüfen müsse.

Deep Phishing

Dennoch drehten sich gleich mehrere Vorträge der Veranstaltung um Machine und Deep Learning. Alejandro Correa Bahnsen von Cyxtera zeigte, wie sich Deep Learning erfolgreich gegen Phishing einsetzen lässt [2]. Das ist relevant, weil 91 Prozent aller Angriffe gegen Netzwerke mit Phishing-Mails beginnen. Bahnsen hat ein Recurrent Neural Network (RNN) darauf trainiert, die obligatorischen Links in den Phishing-Mails im Netzwerk-Traffic zu erkennen. Die Trefferwahrscheinlichkeit liegt immerhin bei 98 Prozent.

Sie fällt allerdings auf etwa 80 Prozent, wenn die Angreifer HTTPS verwenden und die Netzwerk-Verbindungen auf diese Weise verschlüsseln. Das passiere immer häufiger. Um solche Angriffe zu enttarnen, konzentrieren sich Bahnsen und sein Team nun auf HTTPS-Zertifikate. Bei Phishing-Zertifikaten machen sich viele Angreifer nämlich nicht die Mühe, fein säuberlich falsche Informationen einzutragen, sondern verwenden Datenmüll. Allerdings dürfte diese Methode schon recht bald an ihre Grenzen stoßen, vermutet Bahnsen.

Er zeigte auch, welche neuen Möglichkeiten Angreifer dank Deep Learning haben. Zusammen mit Kollegen hat er ein Paper [3] über einen RNN-Algorithmus namens Deep Phish verfasst. Der soll mit Deep Learning trainierte Anti-Phishing-Software umgehen. Dazu wirft er zunächst viele Malware-URLs auf die Phishing-Erkennung. Der gelingt es zwar oft, bösartige URLs zu erkennen, aber ein paar flutschen ihr durch.

Mit diesen trainieren die Angreifer dann ihren eigenen Deep-Phish-Algorithmus, um URLs zu generieren, die die gegnerische AI nicht erkennt. Die Erfolgsquote liegt bei diesem Ansatz deutlich höher als beim traditionellen Phishen, ein Wettrüsten der Deep-Learning-Algorithmen scheint absehbar.

Zero-Knowledge-Ansatz

Die Japaner Hiroshi Suzuki und Hisao Nashiwa konzentrierten sich hingegen darauf, bösartige Aktivitäten im Netzwerk ohne Vorwissen mit Hilfe von Deep Learning zu entdecken. Als Gründe nennen die beiden Mitarbeiter eines japanischen Internetproviders, dass die traditionellen Methoden durchaus Nachteile haben. Sie würden zum Beispiel keine unbekannte Malware erkennen, zumal Angreifer die Indicators of Compromise (IoCs) recht häufig änderten. Auch seien die Gigabyte-großen Datenmengen, die in den Logfiles anfallen, nur schwer auszuwerten. Mit dem Deep-Learning-Ansatz gelinge dies wesentlich besser.

In ihrem Vortrag [4] zeigten sie, wie sie mit Hilfe eines Convolutional Neural Network (CNN), das eigentlich der Bilderkennung dient, die Netzwerk-Kommunikation überwachen. Zu diesem Zweck verwandeln sie die riesigen Logfiles zunächst in “Bilder”. Konkret extrahieren sie zum Beispiel die Zahl der Kommunikationsversuche pro Client über die Zeit, konvertieren diese Zahlen in eine Matrix, um sie dann vom CNN nach Mustern durchforsten zu lassen. Das klappe recht gut, weil die Malware in der Regel in festen Intervallen mit den Command-&-Control-Servern kommuniziert, sodass sich Muster ergeben.

Die Japaner wählten im Training einen Zero-Knowledge-Ansatz. Ihr Deep-Learning-Netzwerk kennt also keine spezifischen Malware-Vertreter. Dennoch identifizierte es nur aufgrund der Muster alle elf eingesetzten Malware-Familien.

Auch Exploit Kits (EK) versuchten Suzuki und Nashiwa aufzuspüren, diesmal über Deep Neural Networks (DNN). Dazu untersuchten sie zunächst Muster von URLs, über die Exploit Kits per Browserlücken auf den Rechnern landen. Das führte nicht in allen Fällen zum Erfolg, zwei der bekannten Exploit Kits wurden nicht erkannt.

Also wandten sich die beiden Forscher der Interaktion zwischen Browser und einer bösartigen Landing Page zu, also dem Prozess, über den Malware üblicherweise auf einen Rechner gerät. Dabei ergeben sich bestimmte Muster in der Sequenz der verwendeten Datentypen. Während die Landing Page etwa »text/html« verwendet, kommen für die Browser-Exploits Datentypen wie »application/x-shockwave-flash« oder »application/pdf« zum Einsatz. Die RNNs waren in Kombination mit Long Short-Term Memory Units (LSTM) nach einem Training in der Lage, auf Basis der Datentypen-Sequenzen 14 Exploit Kits zu entdecken.

Daten verstecken

In eine ganz andere, aber insbesondere für Linux-Nutzer spannende Richtung ging ein Vortrag von Dominic Schaub [5]. Der Kanadier hat den Prototyp für eine komplizierte Luks/DM-Crypt-basierte Lösung entwickelt, um Daten steganografisch in freien Sektoren der Festplatte zu verstecken. Die Daten sehen zufällig aus, das installierte Hauptsystem wirkt gewöhnlich. Ist genügend Platz auf der Festplatte, überschreibt es auch die versteckten Daten nicht.

Als Nutzer solcher Technologien sieht er Journalisten, Menschenrechtler und NGOs, aber auch Firmen, die ihre Daten über Grenzen mitnehmen wollen, aber Angst vor Spionage haben.

Software wie Veracrypt werbe laut Schaub auf ihrer Webseite mit Plausible Deniability [6] für sich und sei auch gute Software. Aber in einigen Ländern dürfte bereits der Verdacht von Forensikern, dass sich ein verstecktes System auf dem Laptop befindet, unangenehme Folgen haben.

Sein System sieht wie ein gewöhnliches Ubuntu aus. Ein Passwort entschlüsselt die Festplatte, ein anderes das versteckte System. Technisch hält Schaub es für möglich, die Software in Luks/DM-Crypt zu integrieren. Wäre sie künftig einfach zu bedienen und in jede Linux-Distribution integriert, stiege auch die Plausible Deniability. Schaub demonstrierte das System im Anschluss auf seinem Laptop, gab aber zu, dass das Einrichten aktuell noch sehr aufwändig ist.