[AI-announce] G DATA Security Labs: Praktika/Abschlussarbeiten/Werksstudent Large Scale Malware Analysis

[Tilman Frosch]

Liebe AI-Fraktion,

untenstehend leite ich ein Stellenangebot aus den G DATA Security Labs
weiter. Kontakt bei Interesse am besten direkt über Stefan Hausotte
(stefan.hausotte at gdata.de).

Viele Grüße,
Tilman Frosch

------------------------------------------------


Hi AI-Studis,
ich suche für mein Team bei G DATA Studenten für Praktika,
Abschlussarbeiten oder als Werksstudent. Mein Team beschäftigt sich mit
automatischer Malware-Analyse und Risikobewertung.
Anbei ein paar Themenvorschläge. Sollten ihr eigene Ideen im Umfeld von
Malware-Analyse haben, nehmen wir auch gerne Vorschläge an.


==Automatische Semantische Analyse (Semantic Tagging)==

Hierbei geht es darum ein System zu implementieren was aus
Verhaltensanalysedaten (Netzwerkverkehr, Programmablauf, Dateizugriffe
usw.) eine Abstraktion liefert welche zu einer Verhaltensbeschreibung
von Schadsoftware genutzt werden kann.
Als Beispiel sei das Verhalten eines Banking-Trojaners genannt:
- Mach sich persistent (Autostart)
- Frag bei seinem C&C Server nach
- Setzt sich im Browser fest
Dabei spielt es keine Rolle, auf welche Weise der Autostart erreicht
wird, oder mit welchem Protokoll mit dem C&C Server kommuniziert wird.
Ebenso gibt es viele Methoden sich im Browser einzuklinken, interessant
ist jedoch nur die Abstraktion vom technischem Detail hin zur
semantischen Beschreibung der Aktion.
Ein System, was für Schadsoftware eine Liste mit semantischen Aktionen
automatisiert erstellen kann, erlaub das blocken von Schadcode durch
reine Verhaltensanalyse ohne jemals auf Signaturen angewiesen zu sein.
Da das Verhalten von Schadsoftwarefamilien sehr ähnlich ist, jedoch die
Signaturen sich stetig ändern, verkürzt dies die Reaktionszeit bei der
Erkennung neuer Bedrohungen erheblich.
Zeitraum: min. 6 Monate
Geeignet für: Masterarbeit
Vorwissen:
- Wissen über die Funktionsweise von Schadsoftware
- Reverse-Engineering
- Gute Kenntnis von der Windows API und Windows Interna
- Gute Programmierkenntnisse
- Optional: Kenntnisse über Maschinelles Lernen


==Domain Generierungsalgorithmus Klassifikation (DGA Classification)==

Moderne Schadsoftware ist abhängig von externen Servern welche zur
Steuerung und Kommunikation genutzt werden können. Da, sobald die
Domains der Server bekannt werden, diese geblockt werden können, setzten
Schadsoftwareentwickler auf Algorithmen zur Generierung von Domains umso
die Menge an Domains in die Höhe zu treiben und das blocken und
vorhersagen von Domains zu erschweren. Charakteristisch dabei ist, dass
eine Schadsoftwarefamilie immer den gleichen Algorithmus verwendet. Das
ermöglicht es, anhand der Domain zu erkennen, zu welcher Familie eine
Domain gehört und diese zu blocken.
Hier soll ein System implementiert werden, was anhand von Beispiel
Domains aus einer Familie automatisch berechnen kann, wie andere Domains
der gleichen Familie aussehen werden. So kann z.B. eine
Schadsoftwaregruppe immer Domains der Form
"alice.[A-Za-z0-9]{10}.(ru|net)" anfragen.
Die erkannten DGA Klassifikationen können dann auf Firewall/Intrusion
Detection Systemen eingesetzt werden um bösartigen Netzwerkverkehr zu
unterbinden. Auf diese Weise kann großer Schaden durch z.B.
Banking-Trojaner oder Ransomware verhindert werden.
Zeitraum: 3-6 Monate
Geeignet für: Bachelorarbeit
Vorwissen:
- Grundwissen über Netzwerkprotokolle
- Grundwissen über Schadsoftware
- Programmierkenntnisse
- Optional: Kenntnisse über Maschinelles Lernen


==Deep Packet Inspection / TLS Decryption==

Zur Analyse von Schadsoftware wird der Netzwerkverkehr auf bösartiges
oder bekanntes Verhalten untersucht. Da Schadsoftware oft von den
Standard Ports abweicht ist eine Deep Packet Inspection nötig um den
Inhalt der Netzwerkpakete analysieren zu können.
Bei diesem Projekt soll eine High-Performance Deep Packet Inspection
Lösung implementiert werden, welche ohne nennenswerte Latenzen
Netzwerkverkehr analysieren kann. Ebenso kann darüber nachgedacht werden
automatisiert verschlüsselte Verbindungen aufzubrechen und so auch
verschlüsselten Netzwerkverkehr von Schadsoftware analysieren zu können.
Jegliche Anwendung von Deep Packet Inspection findet im Labor unter
kontrollierten Bedingungen statt.
Zeitraum: 3-6 Monate
Geeignet für: Bachelor-/Masterarbeit
Vorwissen:
- Gute Kenntnisse über Netzwerkprotokolle und das OSI Modell
- Gute Programmierkenntnisse

-- 
M.Sc. Stefan Hausotte
Team-Lead: Automated Malware Analysis

T.: +49 (0) 234 / 9762-130
Mail: stefan.hausotte at gdata.de

G DATA Software AG • G DATA Campus • Königsallee 178
D-44799 Bochum, Germany • http://www.gdata.de

Postfach 100 868 • D-44708 Bochum, Germany
HRB Bochum 6886 • UStIdNr.: DE 127 065 359 • St.-Nr.: 350/5716/0773

Vorstand: Kai Figge, Andreas Lüning, Walter Schumann
Aufsichtsratsvorsitzender: Dr. Holger Bergmann

G DATA | SIMPLY SECURE