Iskra: Bare-metal windows malware dynamic analysis framework
Iskra: Dinamik zararlı yazılım platformu
- Tez No: 642107
- Danışmanlar: PROF. DR. ERKAY SAVAŞ
- Tez Türü: Yüksek Lisans
- Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
- Anahtar Kelimeler: Belirtilmemiş.
- Yıl: 2020
- Dil: İngilizce
- Üniversite: Sabancı Üniversitesi
- Enstitü: Mühendislik ve Fen Bilimleri Enstitüsü
- Ana Bilim Dalı: Siber Güvenlik Ana Bilim Dalı
- Bilim Dalı: Siber Güvenlik Bilim Dalı
- Sayfa Sayısı: 66
Özet
Siber saldırganların yer aldığı yeraltı ekonomisinde siber suç servisleri yaygınlaşmıştır. Bu yeni ekonomik sistemde saldırganların yeni kurbanlar elde etmesinin yanı sıra hali hazırda erişim elde ettikleri kurban sistemler üzerinde erişimlerini korumaları da saldırganlar için son derece önem arz eden bir duruma gelmiştir. Geçmiş dönemde zararlı yazılımların saldırının ilk anında güvenlik ürünleri tarafından tespit edilemez olmaları önemliyken, artık sistemi ele geçirdikten sonra da bu tespit edilemezliklerini korumaları gerekmektedir. Sayıları gitgide artan ve elle (İng. manual) incelenmeleri bir hayli vakit alan bu zararlı yazılımları incelemek için analistler genellikle dinamik analiz platformlarını kullanmaktadırlar. Ancak bu platformlar, saldırganlar tarafından sürekli yenilenen/güncellenen/iyileştirilen atlatma yöntemleri nedeniyle yetersiz kalmaktadırlar. Zararlı yazılımlar, bu platformlar içerisinde analiz edildiklerini tespit edebilmekte ve gerçek amaçlarını gizlemek üzere davranışlarını değiştirebilmektedirler. Bu nedenle dinamik analiz platformları zararlı yazılımları başarı ile sınıflandırabilseler dahi zararlı yazılımın gerçek davranışını gözlemleyemedikleri vakalar oluşmaktadır. Platformların bu yetersizlikleri nedeniyle analistler gün sonunda yine elle analize mecbur kalmaktadırlar. Bu çalışmada sunduğumuz ISKRA isimli hipervizör tabanlı dinamik analiz platformu, fiziksel bilgisayar üzerinde zararlı yazılımlar tarafından tespit edilmeden sistem çağrılarının toplanmasına ve zararlı yazılımların analiz edilmesine imkân sağlamaktadır. Kolay kurulabilir ve değiştirilebilir olan bu platform fiziksel ve sanal sistemlerde çalışabilmesinin yanı sıra hali hazırda çalışan bir sistemi analiz ortamına dönüştürebilmektedir. Böylelikle çalışan bir sistem üzerinde canlı olay müdahalesi yapılmasına imkân sağlamaktadır. Dolayısıyla olay müdahale ekipleri vaka yaşanan sistemi analiz ortamına dönüştürüp zararlı yazılım tarafından tespit edilmeden delil toplama, inceleme ve tedavi yapabilmektedirler. Çalışmamız kapsamında öne sürdüğümüz platformu geliştirdik ve makina öğrenmesi ile yeni zararlı yazılım saldırılarını tespit etmek üzere deneyler gerçekleştirdik. Gerçekleştirdiğimiz deneyler platformumuzun düşük sistem yükü ve yüksek doğruluk oranıyla diğer dinamik analiz platformlarının tespit edemediği güncel zararlı yazılım saldırılarını tespit edebildiğini göstermiştir.
Özet (Çeviri)
With the proliferation of ''cyber-crime as a service'' economy, besides gaining new victims, providing permanence on them has been one of the key points of profit for attackers. Thus, hiding malicious presence while operating is now more important for malware than being fully undetectable when it is first distributed. Due to the increasing number of malware attacks and prohibitively long hours required for manual inspection, analysts often use dynamic analysis platforms to investigate malware samples. However, these platforms have been repeatedly shown to fail to combat evasion methods that are constantly updated by attackers. Even if malware is correctly classified by the existing dynamic analysis platforms, which are widely deployed in the cyber security industry, it has been frequently observed that the malware detects the analysis environment and behaves differently to evade inspection; consequently the malicious code targeted by the attacker does not execute. In this case, the inspection, which will make the malicious code run and be examined, has to be done by the analyst manually. In this study, we present the bare metal hypervisor-based framework for dynamic analysis, ISKRA, which facilitates system calls to be collected and analyzed without being detected by malware. ISKRA is a portable and easily modifiable framework and not only allows any system to be easily transformed into an analysis environment, regardless of the virtual machine or bare metal; but also allows for forensics to be run without being detected in live systems. This way, incident response specialists can quickly transform the system under inspection into an analysis environment and can collect evidence, examine and remedy the system without being detected by the attacker. We designed, implemented and experimented with the framework, which employs machine learning algorithms to learn from new attack campaigns. Our work shows that the framework leads to negligibly low overhead and provides a high detection rate for the most current malware campaigns that evade dynamic inspection by other frameworks.
Benzer Tezler
- An Experimental study on seismic strengthening of rc joints using adhesively bonded steel plates
Betonarme kiriş kolon birleşim yerlerinin çelik lamalar yapıştırılarak deprem yüklerine karşı güçlendirilmesi
ALİ MUTLU KÖYLÜOĞLU
- Assessment of transport-related social exclusion among thedutch elderly: A comparative mixed method approach
Başlık çevirisi yok
İKRA DURMUŞ
- İsra ve Lokman Surelerindeki imani ve ahlaki ilkeler bağlamında ilgili ayetlerin karşılaştırmalı olarak incelenmesi
Comparative examination of the relevant verses in the context of faith and moral principles in the Sures of İsra and Lokman
HABİBE KELEŞ
Yüksek Lisans
Türkçe
2022
DinOrdu ÜniversitesiTemel İslam Bilimleri Ana Bilim Dalı
PROF. DR. SADIK KILIÇ
- Kuşadası'nda konuttaki dönüşümlerin saptanmasına yönelik tipolojik bir araştırma
Typological research for determining the transformation of housing in Kuşadası
İSRA MAHMUTOĞLU
Yüksek Lisans
Türkçe
2022
MimarlıkDokuz Eylül ÜniversitesiMimarlık Ana Bilim Dalı
PROF. DR. TUTKU DİDEM ALTUN
- سة الأساليبالطلبيةودلالاتهاالبلاغيةفي سورة الإسراء
İsra Suresi örneğinde talep ifade eden üsluplar ve balağata dair işaretler
MONA MOHAMED MOHAMED YOUSSEF
Yüksek Lisans
Arapça
2023
DilbilimArdahan ÜniversitesiTemel İslam Bilimleri Ana Bilim Dalı
DR. ÖĞR. ÜYESİ ABDULHALİM ABDULLAH