Cristian Munteanu nach der erfolgreichen Verteidigung seiner Doktorarbeit. Foto: MPI-INF/Bertram Somieski
Am 10. Dezember verteidigte Cristian Munteanu erfolgreich seine Dissertation mit dem Titel "Getting to the root of SSH Compromises: A Multi-Dimensional Characterization of the SSH Threat Landscape". Cristian Munteanu war seit März 2021 als Doktorand am Max-Planck-Institut für Informatik und der Universität des Saarlandes. Seine Doktorarbeit wurde von Prof. Dr. Anja Feldmann, Direktorin der Abteilung "Internet Architecture" und Prof. Dr. Georgios Smaragdakis, Professor für Cybersicherheit an der TU Delft, betreut. Der Doktorgrad wird von der Universität des Saarlandes verliehen.
Zusammenfassung der Dissertation:
Das Internet hat sich zu einer kritischen Infrastruktur entwickelt und bietet einen Raum für eine Vielzahl von Aktivitäten an, so auch für bösartige Akteure. Das Secure Shell-Protokoll (SSH), der Nachfolger von Telnet, wurde für sichere Maschine-zu-Maschine-Kommunikation entwickelt und ist eines der am weitesten verbreiteten Protokolle im Internet. Aufgrund seiner Allgegenwärtigkeit ist SSH zu einem bevorzugten Ziel für Angreifer geworden. Im Laufe der Jahre haben sich SSH-Angriffe weiterentwickelt, und ihre Häufigkeit hat stetig zugenommen.
In dieser Arbeit untersuchen wir die Eigenschaften dieser Angriffe, einschließlich ihrer Ursprünge, Methoden und Zielsysteme. Wir führen sowohl eine retrospektive Untersuchung als auch eine longitudinale Analyse unter Verwendung einer umfangreichen Honeyfarm durch, ergänzt durch eine aktive Analyse zur Identifikation kompromittierter SSH-Server. Über ein globales Netzwerk von Honeypots analysieren wir etwa 750 Millionen SSH-Sitzungen über einen Zeitraum von drei Jahren. Der Datensatz, gesammelt von 221 Honeypots in 55 Ländern, zeigt deutliche Unterschiede in Aktivitäten. Einige Honeypots registrieren Millionen von Verbindungen, während andere nur wenige Tausend verzeichnen. Wir analysieren auch das Verhalten der Angreifer und stellen dabei eine Verschiebung hin zu explorativeren Angriffen sowie zunehmende Aufklärungsaktivitäten fest.
Zudem nutzen Angreifer vermehrt kürzlich registrierte Autonome Systeme (ASes), um bösartige Dateien zu speichern und zu verbreiten. Unsere Ergebnisse deuten darauf hin, dass Angreifer sich zunehmend der Präsenz von Honeypots bewusst sind, einige versuchen sogar aktiv, einer Erkennung zu entgehen.
Zur Erweiterung unserer Analyse schlagen wir eine Methode zur Identifikation kompromittierter SSH-Server im großen Maßstab vor. Dabei machen wir uns das Authentifizierungsverhalten von SSH zunutze: Eine Herausforderung für den Schlüsselaustausch wird nur dann aufgegeben, wenn ein öffentlicher Schlüssel installiert ist. Dieser Ansatz gewährt weder Zugang zu kompromittierten Systemen (anders als das Testen bekannter Angreifer-Passwörter), noch erfordert er privilegierten Zugriff zur Überprüfung. Durch Anwendung dieser Methode auf einen umfangreichen Internetscan identifizieren wir über 21.700 kompromittierte Systeme in 1.649 ASes in 144 Ländern. Darunter befinden sich auch kritische Infrastrukturen, auf denen Angreifer mindestens einen von 52 verifizierten, von einem Threat-Intelligence-Unternehmen bereitgestellten, bösartigen SSH-Schlüsseln installiert haben. Unsere Untersuchung liefert darüber hinaus Einblicke in bösartige Kampagnen wie das IoT-Botnetz "fritzfrog" und Akteure wie "teamtnt".
Zudem arbeiten wir mit einem nationalen CSIRT und der Shadowserver Foundation zusammen, um betroffene Einrichtungen zu benachrichtigen und Maßnahmen zur Schadensbegrenzung zu ermöglichen. Unsere Messungen laufen kontinuierlich, und Benachrichtigungen werden automatisch geteilt.