Automatisierte Signaturgenerierung für Malware-Stämme - Zynamics
Automatisierte Signaturgenerierung für Malware-Stämme - Zynamics
Automatisierte Signaturgenerierung für Malware-Stämme - Zynamics
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
14 2 Begriffe, Konzepte und Verfahren<br />
1 EVENT LoginFailure {<br />
2 // Jeder auftretende Einzelschritt löst eine<br />
3 // LoginFailure-Ereignis aus.<br />
4 STEP failure529 INITIAL EXIT TYPE EVENTID529 // Anmeldeereignis 529<br />
5 // ...<br />
6 STEP failure539 INITIAL EXIT TYPE EVENTID539 // Anmeldeereignis 539<br />
7 FEATURES<br />
8 hostname = (failure529.host | ... | failure539.host),<br />
9 username = (failure529.user | ... | failure539.user),<br />
10 // ...<br />
11 }<br />
Listing 2.1: SHEDEL-Signatur <strong>für</strong> fehlgeschlagene Anmeldeversuche<br />
1 EVENT AdministratorFailedLogin {<br />
2 STEP failure INITIAL EXIT TYPE LoginFailure<br />
3 CONDITIONS<br />
4 // Nur fehlerhafte Anmeldungen des Administrators<br />
5 failure.username == "Administrator"<br />
6 FEATURES<br />
7 // ...<br />
8 }<br />
Listing 2.2: Spezialisierung einer SHEDEL-Signatur<br />
Benutzernamen und Kennwort oder ein abgelaufenes Kennwort eingegeben hat, oder<br />
ob das Benutzerkonto gesperrt oder abgelaufen ist. Die direkte Überprüfung auf jede<br />
einzelne dieser Ereigniskennungen <strong>für</strong> die bedingte Generierung eines Alarms (etwa<br />
<strong>für</strong> die Bedingung „drei fehlgeschlagene Anmeldeversuche in den letzten 30 Sekunden“)<br />
erfordert das Testen von neun Signaturen. SHEDEL erlaubt hier die Definition einer<br />
Verallgemeinerung – die oben genannten Ereignisse können wie in Listing 2.1 zu dem<br />
Ereignis LoginFailure zusammengefasst werden.<br />
Für den Fall, dass nur fehlgeschlagene Anmeldeversuche <strong>für</strong> einen bestimmten Benutzer<br />
(etwa „Administrator“) einen Alarm generieren sollen, ist eine Spezialisierung des LoginFailure-Ereignisses<br />
möglich (siehe Listing 2.2).<br />
Eine ausführliche Beschreibung der Sprachelemente von SHEDEL ist in [44] zu finden.