Exemplarische Erzeugung von Cyber Threat Intelligence (CTI) aus einer Exploit-Analyse und deren Integration in die Malware Information Sharing Platform (MISP)

Abstract

Das Ziel der Arbeit ist die Vorstellung eines entwickelten Prototyps zur automatisierten Erzeugung von Cyber Threat Intelligence (CTI) durch eine Exploit-Analyse und ihre Integration in die Malware Information Sharing Platform (MISP). Zunächst ist der Begriff CTI detailliert beschrieben und zeigt weitere Kategorien davon auf. Weiterhin ist eine Vorstellung von MISP für den direkten Austausch gewonnener Analyseergebnisse gegeben. Überdies sind die Zielgruppen von CTI ausführlich beschrieben. Im Kern geht die Arbeit der Frage nach, ob Indikatoren zur Identifizierung von Sicherheitsvorfällen aus der Analyse von Exploits gewonnen werden können. Wenn dies der Falls ist, sind sie als CTI anzusehen, sodass die verschiedenen Zielgruppen davon profitieren können. Außerdem stellt die Vorstellung eines Anwendungsfalls einen praktischen Nutzen einiger gewonnener Ergebnisse vor. Dabei wird gezeigt, ob das Advisory-System des DFN-CERT Inkonsistenzen bzgl. der Bewertung von Schwachstellen und Advisories aufweist. Zur Beantwortung dieser und weiterer Fragen, ist der Entwurf und die Entwicklung eines Prototyps genau aufgeführt. Die Entwicklung des Prototyps hat gezeigt, dass eine Exploit-Analyse möglich ist und verschiedene Indikatoren gewonnen werden konnten. Es wurde deutlich, dass dies ca. 30% aller extrahierten Ergebnisse sind. Durch ihre Einsortierung in die Kategorien Technical und Tactical Threat Intelligence, können alle Zielgruppen davon profitieren. Die Analyse des Anwendungsfalls zeigt zusätzlich, dass das Advisory-System verschiedene Inkonsistenzen in der Bewertung aufweist. Letztlich zeigt sich insgesamt ein steigendes Interesse an der Verwendung von CTI, sodass die Weiterentwicklung und Optimierung dieses Prototyps sinnvoll ist.

The aim of the thesis is to present the development of a prototype for the automated creation of Cyber Threat Intelligence (CTI) through an exploit analysis and its integration into the Malware Information Sharing Platform (MISP). First, the term CTI is described in detail and shows more categories thereof. Furthermore, MISP is presented as a direct exchange tool of analytical results. Moreover, the target groups of CTI are described in detail. In essence, the work addresses the question of wether indicators for identifying security incidents can be obtained from the analyses of exploits. If this is the case, they should be considered as CTI, so that the different target groups have a benefit. Moreover, a use case presents a practical benefit of some results. It shows wether the advisory system of DFN-CERT has inconsistencies in terms of the evaluation of vulnerabilities and advisories. To answer these and other questions, the design and development of a prototype is described in detail. The development of the prototype has shown that the exploit analysis is possible and various indicators could be obtained. It became clear that this is about 30% of all extracted results. By sorting them into the categories Technical and Tactical Threat Intelligence, all target groups profit. The use case analysis also shows that the advisory system has various inconsistencies in the evaluation. Finally, there is a growing interest in the use of CTI, so that a further development and optimization of this prototype is reasonable.