- LSF(todo)
- Moodle(todo)
Die Unterlagen zum Seminar finden Sie in unserem Moodlekurs.
Malware Analysis and Communication
Malwareanalyse und -kommunikation ist ein dynamisches Forschungsfeld, das sich auf die tiefgehende technische Untersuchung von Schadsoftware konzentriert, mit einem besonderen Schwerpunkt darauf, wie Malware kommuniziert. Das Verständnis der komplexen Kommunikationsprotokolle, Tarntechniken und der von Malware genutzten Infrastruktur ist grundlegend, um Bedrohungen zu erkennen, ihre Auswirkungen zu analysieren und wirksame Gegenmaßnahmen zu entwickeln. Dieses Seminar zielt daher darauf ab, den Studierenden die Fähigkeiten zu vermitteln, diese komplexen Kommunikationsmechanismen zu analysieren, zu verstehen und die Schadsoftware, die sie einsetzt, zu untersuchen.
In diesem Seminar tauchen wir in den Kern von Malware-Operationen ein. Sie werden eine Vielzahl fortgeschrittener Themen erforschen, wie die Architektur von Command-and-Control (C2)-Systemen, hochentwickelte Malware-Protokolle und Techniken wie Traffic Morphing und Code-Verschleierung (Obfuskation), die dazu dienen, sich der Erkennung zu entziehen. Über das rein Technische hinaus betrachten wir auch menschliche Faktoren, wie die Benutzerfreundlichkeit (Usability) der Analysewerkzeuge, auf die sich Sicherheitsexperten bei der Untersuchung dieser Bedrohungen verlassen. Das primäre Lernziel ist es, Fähigkeiten im wissenschaftlichen Forschen und Schreiben zu entwickeln. Sie lernen, Forschungsergebnisse zu strukturieren, eine qualitativ hochwertige Arbeit zu verfassen und Ihre Ergebnisse effektiv zur Diskussion zu stellen.
Die zentrale Aufgabe dieses Seminars besteht darin, ein fortgeschrittenes Thema zu recherchieren, eine Seminararbeit zu verfassen und unter unserer Anleitung eine Präsentation vorzubereiten. Ihre abschließende Bewertung basiert auf der Qualität Ihrer schriftlichen Ausarbeitung, Ihrer mündlichen Präsentation und Ihrer aktiven Teilnahme an den Diskussionen und spiegelt somit sowohl Ihre Forschungs- als auch Ihre Kommunikationskompetenzen wider.
Die folgende Liste beschreibt die Themenbereiche. Die tatsächlich zu bearbeitenden Themen sind Teil dieser Gebiete und werden individuell über Moodle vergeben.
Dieser Forschungsbereich untersucht die Evolution von Command-and-Control-Infrastrukturen von Malware. Frühe Malware setzte auf einfache, zentralisierte Modelle wie IRC oder HTTP, was sie anfällig für Takedowns durch Single-Points-of-Failure machte. Moderne Malware hingegen nutzt weitaus widerstandsfähigere und getarnte Kommunikationsstrategien. Die Forschung in diesem Bereich untersucht dezentrale Peer-to-Peer (P2P)-Botnetze, denen ein zentraler Server fehlt, die Nutzung legitimer Onlinedienste (z. B. soziale Medien, Cloud-Speicher, Code-Repositories) als C2-Kanäle sowie den Aufstieg von Fast-Flux-Netzwerken. Das Ziel ist zu verstehen, wie diese Architekturen funktionieren, wie sie Widerstandsfähigkeit gegen Takedown-Versuche bieten und neue Methoden zum Verfolgen (Tracking), Kartieren (Mapping) und Stören dieser fortschrittlichen C2-Netzwerke zu entwickeln.
Dieses Thema konzentriert sich auf die Methoden, die Malware einsetzt, um ihre Kommunikation vor Netzwerksicherheits-Tools wie Firewalls und Intrusion Detection Systems (IDS) zu verbergen. Die zentrale Herausforderung für Verteidiger besteht darin, bösartigen von legitimem Datenverkehr zu unterscheiden. Dieser Forschungsbereich untersucht Techniken wie eigene Verschlüsselungsprotokolle zur Verbergung von C2-Befehlen, Traffic Morphing, um die Signatur der Kommunikation ständig zu verändern, und Domain Generation Algorithms (DGAs), die Tausende potenzieller C2-Domains erzeugen, was Blacklisting ineffektiv macht. Die Analyse dieser Techniken erfordert ein tiefes Verständnis von Kryptografie, Netzwerkprotokollen und Reverse Engineering, um die zugrunde liegenden Muster aufzudecken und intelligentere Erkennungssysteme zu entwickeln.
Während es bei C2 um die Steuerung von Malware geht, befasst sich die Datenexfiltration mit dem Diebstahl von Informationen. Dieser Forschungsbereich untersucht „verdeckte Kanäle“, das sind Kommunikationsmethoden, die legitime Protokolle auf unbeabsichtigte Weise missbrauchen, um Daten aus einem Netzwerk zu schleusen. Dazu gehören Techniken wie DNS-Tunneling, bei dem Daten in DNS-Anfragen versteckt werden, oder ICMP-Tunneling, das in der Regel Ping-Anfragen nutzt. Fortgeschrittenere Methoden können sogar Steganografie beinhalten, bei der Daten in den Headern und sonstigen Traffic-Eigenschaften gewöhnlich aussehender Netzwerkpakete oder in Bildern und anderen Mediendateien versteckt werden. Der Fokus liegt auf der Erkennung dieser „Low-and-Slow“-Datenlecks, die darauf ausgelegt sind, unter dem Radar der traditionellen Sicherheitsüberwachung zu bleiben.
Selbst mit den besten automatisierten Werkzeugen ist ein menschlicher Analyst oft die letzte Verteidigungslinie, um eine komplexe Malware-Kampagne zu verstehen. Dieses Thema untersucht die Schnittstelle zwischen der Analyse von Malware-Kommunikation und der Mensch-Computer-Interaktion. Es untersucht die Benutzerfreundlichkeit (Usability) und die kognitive Belastung von netzwerkforensischen Werkzeugen (wie Wireshark oder Suricata), die Wirksamkeit verschiedener Datenvisualisierungstechniken zur Identifizierung bösartiger Muster in Netzwerkverkehr sowie die mentalen Modelle, die Analysten verwenden, um Angreifer zu verfolgen. Das Ziel ist es, bessere Werkzeuge und Prozesse zu entwerfen, die die Ermüdung der Analysten verringern, menschliche Fehler minimieren und den Prozess beschleunigen, Rohdaten aus dem Netzwerk in handlungsrelevante Threat Intelligence umzuwandeln.
Nächster Veranstaltungsbeginn: WiSe 2025/26
Turnus: jedes 2. Semester
Ort: tbd
Zeit: tbd
ECTS: 4
Seminar: (2 SWS); Schriftliche Seminararbeit, Präsentationsunterlagen und Präsentation im Rahmen eines Seminarvortrags
Anmeldung über das zentrale Seminarvergabetool auf Moodle (todo) bis zum tbd.
Die tatsächliche Themenvergabe erfolgt in unserem internen Moodle (todo) Kurs.
Bachelor: vorzugsweise Englisch
Master: Englisch
Die Themen können nur alleine bearbeitet werden. Zur Erlangung des Leistungsnachweises ist die Anfertigung einer Seminararbeit sowie einer Präsentation mit anschließender Diskussion notwendig.
Studiengänge: Jeweils B.Sc. und M.Sc. Informatik, Medieninformatik, Software Engineering
Die Unterlagen zum Seminar finden Sie in unserem Moodlekurs.