This technical report is about the architecture and integration of commercial UAVs in Search and Rescue missions. We describe a framework that consists of heterogeneous UAVs, a UAV task planner, a bridge to the UAVs, an intelligent image hub, and a 3D point cloud generator. A first version of the framework was developed and tested in several training missions in the EU project TRADR.
Diese Arbeit bietet einen Überblick über das Thema der ereignisbasierten Systemüberwachung von Windows-PCs. Die frühe Erkennung von Angriffen und der Ausführung von Schadsoftware auf Windows-Clients bedingt Sensor-Technologien, die Systemereignisse erkennen und protokollieren. Anhand bestimmter Ereignisse oder komplexerer Ereignismuster können illegitime Vorgänge auf Computersystemen erkannt werden. Der Fokus dieser Arbeit liegt darauf einen detaillierten Überblick über diese ereignisbasierte Sensorik für Windows-Endpunkte zu geben, die Systemereignisse erkennt und Ereignis-Objekte mit beschreibenden Attributen liefert. Im Gegensatz dazu wird die Interpretation der bereitgestellten Ereignisdaten und der Musterabgleich in dieser Arbeit nicht behandelt. Zu Beginn werden dafür die elementaren Aspekte und Begriffe einer solchen Sensor-Technologie allgemein erklärt. Dabei werden einige charakterisierende Grundeigenschaften erläutert, anhand derer solche Senor-Verfahren eingeordnet werden können. Zudem wird auf Basis durchgeführter Messungen eine Abschätzung bezüglich der Auftrittsfrequenzen verschiedener Systemereignisse geliefert. Im Hauptteil werden die zwei ereignisbasierten Monitoring-Systeme Event-Tracing-for-Windows (ETW) und Sysmon vorgestellt. Die Funktionalität, Architektur und interne Funktionsweise der beiden Systeme wird detailliert erläutert. Zudem werden ihre charakterisierenden Basiseigenschaften herausgearbeitet, um Stärken und Schwächen zu erkennen. Der ETW-basierte Sensor und SIGMA-Regelscanner Nextron Aurora, der Sysmon-ähnliche Ereignisdaten bereitstellt, wird ebenfalls behandelt.
Einsatz hardwaregestützter Virtualisierungstechnologien in der Malwareanalyse und Angriffserkennung
(2021)
Diese Arbeit ist das Ergebnis einer Recherche in den technischen Themengebieten hardwaregestützten Systemvirtualisierung, Virtual-Machine-Introspection (VMI) und VM-Erkennungsmechanismen sowie deren Abwehr. Dabei liegt der Fokus auf dem Einsatz dieser Technologien in der Malwareanalyse oder der Angriffserkennung im Kontext einer EDR-Sensorik. Es werden die grundlegenden Konzepte und Begriffe Systemvirtualisierung eingeführt, erklärt und zu verwandten Gebieten abgegrenzt. Der Weg über die Erweiterung bestehender Schutz-Konzepte moderner CPUs und Betriebssysteme wird beschrieben hin zu Befehlssatzerweiterungen, welche die Hypervisor-Software bei der Bildung der Abstraktionsebenen unterstützen. Dabei wird die Verwendung der Virtualisierungserweiterungen VT-x und AMD-V für die IA32/AMD64-ISA erklärt einschließlich verschiedener Methoden zur Virtualisierung des Paging-Systems. Ein besonderer Fokus liegt dabei auf dem „Second Level Address Translation“-Konzept (SLAT). Neben der Betrachtung der PC-Prozessoren wird auch die Virtualisierungsfunktionalitäten der ARMv8-Architektur erläutert und deren Verwendung beispielhaft beschrieben. Im Kontext der Malwareanalyse und Angriffserkennung ist es besonders relevant, dass Virtualisierungs- und Analyseumgebungen nicht erkannt werden können. Es werden verschiedene Erkennungsansätze und Verfahren diese abzuwehren beschrieben. Um Malware unbemerkt analysieren zu können bietet sich die Analyse über den Hypervisor mittels Virtual-Machine-Introspection (VMI) an. Diese wird erklärt, deren Schwierigkeiten bezüglich des Semantic-Gaps benannt und Möglichkeiten aufgezeigt, diesen Problemen zu begegnen. Zudem werden einige wichtige VMI-Bibliotheken und Verfahren beschrieben. Abschließend werden noch zwei recht unterschiedliche Beispiellösungen kurz betrachtet. Diese sind Drakvuf als Beispiel für eine Malwareanalyse-Sandbox auf Basis von VMI und SimpleVisor, ein minimaler Modell-Hypervisor, der das Hyperjacking-Prinzip verwendet.
Abstract:
Virtual Machine Introspection (VMI) is a powerful technology used to detect and analyze malicious software inside Virtual Machines (VMs) from outside. Asynchronously accessing the VM ’s memory can be insufficient for efficiently monitoring what is happening inside of a VM. Active VMI introduces breakpoints to intercept VM execution at relevant points. Especially for frequently visited breakpoints, and even more so for production systems, it is crucial to keep their performance overhead as low as possible. In this paper, we provide a systematization of existing VMI breakpoint implementation variants, propose workloads to quantify the different performance penalties of breakpoints, and implement them in the benchmarking application bpbench. We used this benchmark to measure that, on an Intel Core i5 7300U, SmartVMI’s breakpoints take around 81 μs to handle, and keeping the breakpoint invisible costs an additional 21 μs per read access. The availability of bpbench facilitates the comparison of disparate breakpoint mechanisms and their performance optimization with immediate feedback.
