Attribution von verdeckten (Informations-)Kanälen im Bereich kritischer Infrastrukturen und Potentiale für Prävention und Reaktion (ATTRIBUT)
Weitere Informationen befinden sich auf unserem Mastodon-Kanal!
20.09.2024
Pressemitteilung: ATTRIBUT – Innovationen für die Aufklärung von verdeckten Schadcodeangriffen im Cyber- und Informationsraum – Erforschung von neuen Fähigkeiten in der Attribution und Detektion erlaubt auch bessere Prävention und Reaktion
Es geht in die nächste Phase und wir sind dabei! Ende August fiel die Entscheidung beim ersten Großprojekt der Cyberagentur, die Projekte ATTRIBUT der Uni Magdeburg und SOVEREIGN der Uni Hamburg qualifizierten sich für die nächste Forschungsphase im Rahmen des Forschungswettbewerbs zu „Existenzbedrohende Risiken aus dem Cyber- und Informationsraum“ der Agentur für Innovation in der Cybersicherheit GmbH (Cyberagentur), siehe auch in https://www.cyberagentur.de/cyberagentur-entscheidet-sich-fuer-projekte-der-unis-magdeburg-und-hamburg/.
ATTRIBUT konnte mit den innovativen Konzepten und der wissenschaftlichen Exzellenz bei der Expertenjury überzeugen. Unter Leitung der Otto-von-Guericke-Universität Magdeburg konnten zusammen mit den Unterauftragnehmer:Innen: Hochschule Worms, Technische Hochschule Brandenburg, Martin-Luther-Universität Halle-Wittenberg und Hochschule für den öffentlichen Dienst in Bayern bereits vielversprechende Ergebnisse erzielt werden.
Der Forschungsgegenstand von ATTRIBUT ist so genannte Stego-Malware. Dabei handelt es sich um einen aktuellen Trend bei Computerviren und anderen Schadprogrammen, um Informationen unbemerkt mittels Information Hiding (auch Steganographie genannt) zu infiltrieren, zu exfiltrieren oder Command & Control-Kommunikation selbst in gut gesicherten Systemen zu verbergen. Die Aktvitäten der Angreifer sind in unverdächtigen anderen digitalen Informationen, wie z.B. Bildern, Audios oder e-Mail Texten enthalten. Dieser Trend stellt eine wachsende Bedrohung für die Cybersicherheit dar, da aktuelle Schutzmethoden wie Anti-Viren-Schutzprogramme damit umgangen werden können.
Das Projekt ATTRIBUT zielt darauf ab, solche verdeckten Bedrohungen frühzeitig zu identifizieren und die digitalen Angriffe zuverlässig den Urhebern zuzuordnen. ATTRIBUT verfolgt ausschließlich friedliche Ziele und leistet einen Beitrag zu einer sicheren, nachhaltigen, friedlichen und demokratischen Welt.
Prof. Jana Dittmann vom Team Magdeburg spricht von einem der spannendsten Forschungsprojekte unserer Zeit: „Alle Forscher waren von Anfang an mit vollem Enthusiasmus dabei. Im ersten Jahr unseres Forschungsprojekts konnten wir bereits vielversprechende Ergebnisse erzielen. Wir haben gezeigt, dass es möglich ist, individuelle Merkmale in den Spuren von Schadcode zu erkennen und diese exakt zu beschreiben.“ Diese Merkmale sind oft gut verborgen und erfordern eine genaue Analyse, um eine verlässliche Attribution zu ermöglichen. Sind sie aber gefunden, kann eine verbesserte Detektion als auch Reaktion und Prävention erfolgen. Das Team in Bayern unterstützt hier zum Beispiel mit der Analyse von möglichen Maßnahmen in Reaktion und Prävention aus der Perspektive der Strafverfolgungsbehörden.
Die Forscher haben sich verschiedene Trägermedien, in denen sich der Schadcode verstecken kann, unter die Lupe genommen. So forscht Prof. Wendzel aus Worms mit seinem Team an Standard-Internetprotokollen wie dem Domain Name Service DNS, das Team Brandenburg mit Prof. Vielhauer und Prof. Pilgermann hat sich Industriesteuerungen sowie das Trägermedium Bild vorgenommen, das Halle-Team mit Dr. Wefel analysiert textbasiertes Verstecken und in Magdeburg werden Industriesteuerungen mit Ausrichtung auf kritischer Anwendungen sowie Audiodaten betrachtet. Jedes der Trägermedien hat seine Spezifika und die individuellen Spurenlagen müssen entsprechend strukturiert und systematisiert werden. Eine der größten Herausforderungen dabei ist die enorme Vielfalt an potenziellen Versteckmöglichkeiten, die es Angreifern erlaubt, ihre Spuren auf unterschiedlichste Weise zu verschleiern.
Der ATTRIBUT-Ansatz erfordert nicht nur die technische Fähigkeit zur Detektion, sondern auch die Verknüpfung der digitalen Spuren mit den realen Identitäten der Täter. Dies ist besonders komplex, da Angreifer ausgeklügelte Methoden nutzen, um ihre wahre Identität zu verschleiern. Unser Ziel ist es, diese Verbindungen trotz Fehlern, Verlusten und Unsicherheiten belastbar zu erkennen und zu dokumentieren.
Das Projekt ATTRIBUT bietet das Potenzial, sicherheitskritische Infrastrukturen besser zu schützen und die digitalen Angreifer rechtlich zur Verantwortung zu ziehen. Die Arbeit, die wir leisten, könnte die Forschung im Bereich der inneren und äußeren Souveränität nachhaltig beeinflussen und unsere digitale Welt sicherer machen.
Informationen und erste Ergebnisse zum Projekt: https://attribut.cs.uni-magdeburg.de/
Folgen Sie uns auf Mastodon https://sparrow.cs.uni-magdeburg.de/@ATTRIBUT Hier finden Sie auch unsere ATTRIBUT-Erklärvideos.
03.09.2024
Entscheidung beim ersten Großprojekt der Cyberagentur gefallen - Im Rahmen des Forschungswettbewerbs zu „Existenzbedrohende Risiken aus dem Cyber- und Informationsraum“ der Agentur für Innovation in der Cybersicherheit GmbH (Cyberagentur) haben sich die Projekte ATTRIBUT und SOVEREIGN durchgesetzt.
Das Projekt ATTRIBUT geht in die nächste Forschungsphase.
Pressemitteilungen dazu:
20.08.2024
Wir freuen uns auf unsere Teilnahme am Symposium zur Vorstellung der Zwischenergebnisse im Projekt "Existenzbedrohende Risiken aus dem Cyber- und Informationsraum - Hochsicherheit in sicherheitskritischen und verteidigungsrelevanten Szenarien (HSK)"
Wir sind sehr erfreut am 20.08.2024 unsere Ergebnisse beim Symposium zur Vorstellung der Zwischenergebnisse im Projekt "Existenzbedrohende Risiken aus dem Cyber- und Informationsraum - Hochsicherheit in sicherheitskritischen und verteidigungsrelevanten Szenarien (HSK)" der Agentur für Innovation in der Cybersicherheit GmbH präsentieren zu dürfen.
16.08.2024
ATTRIBUT war Thema auf den Krumbacher Stego-Tagen
Drei Tage lang besprachen wir an einem Kurort in Schwaben Cybersecurity-Themen. Der heutige Tag war dem Projekt ATTRIBUT gewidmet und befasste sich mit Stegomalware-Attribution.
Links:
https://sparrow.cs.uni-magdeburg.de/@ATTRIBUT/112970645569906845
https://dju.social/@cdpxe/112962343014464343
31.07.2024
ATTRIBUT auf dem 8th International Workshop on Cyber Use of Information Hiding (CUIng) im Rahmen der International Conference on Availability, Reliability and Security (ARES 2024)
Im Vortrag "A Case Study on the Detection of Hash-Chain-based Covert Channels Using Heuristics and Machine Learning" von Prof. Steffen Wendzel wurde u..a. auch das ATTRIBUT Projekt vorgestellt.
23.04.2024
VIER BEITRÄGE AUS DEM ATTRIBUT-TEAM AUF DEM 12TH ACM WORKSHOP ON INFORMATION HINDING AND MULTIMEDIA SECURITY (24.-26.06.2024)
Das ATTRIBUT-Team wird mit vier Beiträgen auf dem diesjährigen ACM IH&MMSec-Workshop (24.-26.06. in Parador de Baiona, Spanien) vertreten sein.
Der ACM IH&MMSec-Workshop ist eine der wichtigsten Veranstaltungen auf dem Gebiet der Multimedia-Sicherheit und konzentriert sich auf Themen des Verstecken von Informationen, wie Steganographie, Steganalyse, digitale Wasserzeichen, Anonymität, schwer abhörbare Kommunikation und verdeckte Kanäle. Die Beiträge befassen sich sowohl mit theoretischen Aspekten des Fachgebiets als auch mit industriellen und kommerziellen Anwendungen von Techniken und Algorithmen, die auf diesem Gebiet entwickelt wurden.
In der von Claus Vielhauer (THBRB) und Steffen Wendzel (HSW) organisierten Special Session "Stego-Malware: Attribution, Analysis and Detection" werden folgende Beiträge präsentiert:
- Jana Dittmann, Christian Kraetzer, Jost Alemann und Bernhard Birnbaum, „Forensic Trace Analysis for MP3 based Stego-Malware: Exemplary Study for Stego-Algorithm and Capacity Attribution to derive YARA Rules for Malware Identification“
- Sebastian Zillien, Denis Petrov, Pascal Ruffing und Friedrich Gross, „A TCP/IP Network Steganography Malware Detection Framework“
- Mandy Knöchel und Sebastian Karius, „Text Steganography Methods and their Influence in Malware: A Comprehensive Overview and Evaluation“
- Eine Arbeit, die die Spurensuche zusammen mit Studierenden in der Lehre für Bildmaterial zusammenfaßt, wird von Stefan Kiltz, Jana Dittmann, Fabian Loewe, Christian Heidecke, Max John, Jonas Maedel and Fabian Preissler unter dem Titel „Forensic Image Trace Map for Image-Stego-Malware Analysis: Validation of the effectiveness with Structured Image Sets“ präsentiert.
24.01.2024
ATTRIBUT AUF DER GI SICHERHEIT 2024 IN WORMS
Das Autorinnen- und Autoren-Team Jana Dittmann, Christian Krätzer, Stefan Kiltz und Robert Altschaffel (Otto-von-Guericke-Universität); Claus Vielhauer (TH Brandenburg); Steffen Wendzel (HS Worms); Sandro Wefel (MLU Halle-Wittenberg); Holger Nitsch (HFOED Bayern) aus dem ATTRIBUT-Projekt freut sich über die Annahme des Beitrags „Attribution von verdeckten (Informations-)Kanälen im Bereich kritischer Infrastrukturen und Potentiale für Prävention und Reaktion (ATTRIBUT)“ auf der GI Sicherheit an der Hochschule Worms.
Die „SICHERHEIT“ ist die regelmäßig stattfindende Fachtagung des Fachbereichs „Sicherheit - Schutz und Zuverlässigkeit“ der Gesellschaft für Informatik e.V. Sie bietet einem Publikum aus Forschung, Entwicklung und Anwendung ein Forum zur Diskussion von Herausforderungen, Trends, Techniken und neuesten wissenschaftlichen und industriellen Ergebnissen.
Auf der Tagung (09.04.-11.04.2024) wird das Team Motivation, Perspektiven und Möglichkeiten der Attribution bei StegoMalware im Projekt ATTRIBUT vorstellen. Da der Einsatz steganographischer Methoden die Leistungsfähigkeit von Sicherheitsmechanismen wie Antiviren-Schutzprogrammen und Firewalls reduziert und Steganographie-Komponenten als fertig nutzbare Bausteine mittlerweile online bereitgestellt werden, ergibt sich eine erhöhte Bedrohungslage, die weitere Forschung zur Aufklärung von Vorfällen und zu zukunftsfähigen Sicherheitslösungen notwendig macht. Das Projekt ATTRIBUT fokussiert auf Stego-Malware und erforscht für diese die Attribution von verdeckten (Informations-)Kanälen, sowie Potentiale für Prävention und Reaktion. IT-Sicherheitsvorfälle müssen dabei unter verschiedenen Gesichtspunkten untersucht werden. Eine wichtiger Aspekt ist die Attributierung, d.h. die Feststellung, wer bzw. was den Sicherheitsvorfall ausgelöst hat. Im Projekt ATTRIBUT soll dabei im Fokus stehen, Vorfälle einem System-of-Origin zuzuordnen und damit Angreifersignaturen erkennen zu können.
Zudem wurde ein Poster mit dem Titel "StegoMalware - Scores from MITRE" auf einer parallelen Session des Zentrums für Technologie und Transfer der Hochschule Worms präsentiert.
17.11.2023
FORSCHUNGSTAG 2023 DER HS WORMS
Die Arbeiten der HS Worms im Kontext von ATTRIBUT wurden mit einem Poster mit dem Titel "ATTRIBUT Phase II" auf dem Forschungstag 2023 vorgestellt.
06.07.2023
INFORMATIKER DER UNI MAGDEBURG WOLLEN CYBERANGRIFFE FRÜHZEITIG ERKENNEN
Forschungsprojekt zur Cybersicherheit erfolgreich im Wettbewerb um Forschungsförderung
Das Forschungsprojekt ATTRIBUT zum Thema Cybersicherheit der Otto-von-Guericke-Universität Magdeburg hat im Wettbewerb „Existenzbedrohende Risiken aus dem Cyber- und Informationsraum – Hochsicherheit in sicherheitskritischen und verteidigungsrelevanten Szenarien“ der Agentur für Innovation in der Cybersicherheit GmbH (Cyberagentur) eine weitere Runde geschafft und erhält eine Forschungsförderung von fast 2,5 Mio. Euro.
Die Arbeitsgruppe „Multimedia und Security“ um Prof. Jana Dittmann von der Fakultät Informatik erhielt von der Fachjury eine hervorragende Bewertung und wurde als eins von drei weiteren Forschungsprojekten ausgewählt, sich an der zweiten geförderten Phase des Wettbewerbs zu beteiligen. Alle drei Forschungsgruppen setzen nun weiter ihre Projektkonzepte um. Nach einem Jahr werden sie wieder evaluiert und zwei Projekte werden für die dritte Phase ausgewählt.
Die Sicherheitsexpertinnen und -experten der Universität Magdeburg wollen gezielt verdeckte Kommunikation bzw. sogenannte steganographische Kanäle erforschen, um Cyberangriffe frühzeitig zu erkennen. Der Begriff Steganografie bezeichnet die Wissenschaft der verborgenen Speicherung oder Übermittlung von Informationen.
„Immer wieder werden aus den verschiedensten Gründen und Zielsetzungen kritische Infrastrukturen, wie Energie- und Wasserversorger, Krankenhäuser, Unternehmen aus der Nahrungswirtschaft, Behörden oder Banken angegriffen“, so die Informatikerin Jana Dittmann. „Angreifer nutzen dabei oftmals verdeckte Kanäle, um unentdeckt zu bleiben und ungehindert weiter Schadsoftware zu installieren oder heimlich Daten aus dem angegriffenen System abfließen zu lassen. Solche Angriffe zu erkennen, ist schwierig, oft bleiben sie unentdeckt. Unsere Forschungen zielen nun darauf ab, diese verdeckten Kanäle besser zu verstehen“, erläutert Jana Dittmann. „Gelingt es uns frühzeitig, den Ausgangspunkt herausfinden, können ganz neue Werkzeuge zur Detektion, Prävention und Reaktion entstehen.“
Partner der Universität Magdeburg in diesem Forschungsprojekt sind die Hochschule Worms, die Technische Hochschule Brandenburg, die Martin-Luther-Universität Halle-Wittenberg sowie die Hochschule für den öffentlichen Dienst in Bayern.
Pressemitteilung der Cyberagentur: link
Kontakt für die Medien: Prof. Dr.-Ing. Jana Dittmann, Otto-von-Guericke-Universität Magdeburg, Institut für Technische und Betriebliche Informationssysteme
19.04.2023
Am 7. November 2022 wurden im Mitteldeutschen Multimediazentrum in Halle (Saale) die Verträge für Forschung zu „Existenzbedrohenden Risiken aus dem Cyber- und Informationsraum – Hochsicherheit in sicherheitskritischen und verteidigungsrelevanten Szenarien“ mit sechs Forschungsverbünden unterzeichnet. Damit startet die erste Phase des mit 30 Millionen Euro dotierten Forschungsvorhabens der Agentur für Innovation in der Cybersicherheit (Cyberagentur).
Mit dem Forschungsprojekt ATTRIBUT wurde die Arbeitsgruppe "Multimedia and Security" (AG Frau Prof. Dittmann) der FIN / Otto-von-Guericke-Universität Magdeburg als eines von sechs Vorhaben aus einem breiten Bewerberfeld ausgewählt und darf sich nun an dieser ersten geförderten Phase dieses Wettbewerbs beteiligen.
Bildunterschrift: Die Cyberagentur hat einen Forschungsauftrag zum Schutz der kritischen Infrastruktur vergeben. Unter anderem an die Uni Magdeburg: Jörg Wadzack und Jana Dittmann von der Uni Magdeburg und Daniel Mayer und Christian Hummert von der Cyberagentur (v.l.n.r.).
Bildrechte: Cyberagentur / © Gerrit Tharann/Cyberagentur
„Immer wieder werden aus den verschiedensten Gründen und Zielsetzungen kritische Infrastrukturen, wie Energie- und Wasserversorger, Krankenhäuser, Unternehmen aus der Nahrungswirtschaft, Behörden oder Banken angegriffen“, so die Informatikerin Jana Dittmann. „Angreifer nutzen dabei oftmals verdeckte Kanäle, um unentdeckt zu bleiben und ungehindert weiter Schadsoftware zu installieren oder heimlich Daten aus dem angegriffenen System abfließen zu lassen. Solche Angriffe zu erkennen, ist schwierig, oft bleiben sie unentdeckt. Unsere Forschungen zielen nun darauf ab, diese verdeckten Kanäle besser zu verstehen und automatisch zu erkennen“, erläutert Jana Dittmann. „Gelingt uns das frühzeitig, können wir ganz neue Werkzeuge entwickeln, um diese Schadcodemodule, die einen verdeckten Code enthalten, ausfindig zu machen, vor allem aber deren Urheber herausfinden.“
Partner der Universität Magdeburg in diesem Forschungsprojekt sind die Hochschule Worms, die Technische Hochschule Brandenburg, die Martin-Luther-Universität Halle-Wittenberg sowie die Hochschule für den öffentlichen Dienst in Bayern.
Pressemitteilung der OVGU: link
Pressemitteilung der Cyberagentur: link
Berichterstattung MDR: link