Efficient and effective response to computer security incidents and cybercrime : system-level defenses against USB-based attacks

Abstract

Die Sicherheit von Computersystemen wird seit jeher nach dem Vorbild von Burgen entworfen und entwickelt ein Angreifer ist dabei gezwungen Perimeter für Perimeter zu überwinden. Netwerkanschlüsse sind hervorragend abgesicherte und überwachte Eintrittspunkte in die Sicherheit von Systemen, da sich netzwerkbasierte Sicherheitsstrategien im Laufe der Zeit konstant verbessert haben. Im Gegensatz dazu, bieten USB Anschlüsse häufig unüberwachten Zutritt für Angreifer. Hierbei ist es Angreifern möglich bösartige oder sogar kriminelle Handlungen aus dem Inneren des Netzwerks heraus zu starten, außer Reichweite eines schützenden und überwachten Perimeters. Dieser Umstand macht Betriebssysteme, welche die Daten angeschlossener USB Geräte verarbeiten zur letzten Verteidigungslinie. Jedoch, auch im Fall einer Erkennung einzelner Ereignisse sind sogenannte Computer Security Incident Response Teams (CSIRTs) überschwemmt mit der Flut an Daten, welche ausgewertet werden müssten, um tatsächliche Angriffe zu erkennen, zu mitigieren und die Sicherheit der Systeme und Netzwerke wiederherstellen zu können. In dieser Arbeit werden allumfassende Verteidigungsstrategien gegen USB-basierte Angriffe auf Betriebssystemebene entworfen, entwickelt als auch evaluiert. Der Fokus liegt dabei auf drei Angriffsflächen: (i) Datenexfiltration durch unverwaltete Dateien auf USB Massenspeichergeräten; (ii) Datenverschleierung in Dateisystemmetadaten; als auch (iii) Kompromittierung von Systemen durch USB Geräte mit veränderter Firmware. Die hier vorliegende Arbeit verbessert die Widerstandsfähigkeit moderner Betriebssysteme gegen USB-basierte Attacken und die Erkennung von derartigen Ereignissen in einem Unternehmensnetzwerk signifikant. Zudem wird eine automatisierte Methode zur Verhinderung dieser Art von Attacken beschrieben, welche den Benutzer nicht in die Sicherheitsentscheidung miteinbezieht.

Security of computer systems is designed and engineered over the years using castle analogies and perimeter defenses. Network ports are well-monitored and protected entry points for system security and network-based defenses steadily improve over time. In contrast, USB ports remain more often than not an unmonitored entry point for malevolent actors. In this setting, malicious or even criminal actions can be launched internally, beyond the reach of network perimeter defenses, rendering the operating systems that interface the USB ports as the last line of defense. Even if such actions are detected in first place, incident response teams are overwhelmed with the amount of information that must be analyzed to detect, mitigate and recover from the attacks. In this thesis, we design, engineer, and evaluate holistic operating system-level defenses against USB-based attacks. We focus on three attack surfaces: (i) data leakage through unmanaged USB storage media files; (ii) information hiding in filesystem metadata; and (iii) system compromise through fake USB devices with modified firmware. The contributions of this thesis significantly improve both the resilience of modern operating systems against USB attacks and the response time once an incident arises in an enterprise environment. We also invent automated defense techniques that can proactively protect end users without involving them in the trust decision.