Geri Dön

Iskra: Bare-metal windows malware dynamic analysis framework

Iskra: Dinamik zararlı yazılım platformu

PDF İndir

  1. Tez No: 642107
  2. Yazar: YUSUF ARSLAN POLAT
  3. Danışmanlar: PROF. DR. ERKAY SAVAŞ
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2020
  8. Dil: İngilizce
  9. Üniversite: Sabancı Üniversitesi
  10. Enstitü: Mühendislik ve Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Siber Güvenlik Ana Bilim Dalı
  12. Bilim Dalı: Siber Güvenlik Bilim Dalı
  13. Sayfa Sayısı: 66

Özet

Siber saldırganların yer aldığı yeraltı ekonomisinde siber suç servisleri yaygınlaşmıştır. Bu yeni ekonomik sistemde saldırganların yeni kurbanlar elde etmesinin yanı sıra hali hazırda erişim elde ettikleri kurban sistemler üzerinde erişimlerini korumaları da saldırganlar için son derece önem arz eden bir duruma gelmiştir. Geçmiş dönemde zararlı yazılımların saldırının ilk anında güvenlik ürünleri tarafından tespit edilemez olmaları önemliyken, artık sistemi ele geçirdikten sonra da bu tespit edilemezliklerini korumaları gerekmektedir. Sayıları gitgide artan ve elle (İng. manual) incelenmeleri bir hayli vakit alan bu zararlı yazılımları incelemek için analistler genellikle dinamik analiz platformlarını kullanmaktadırlar. Ancak bu platformlar, saldırganlar tarafından sürekli yenilenen/güncellenen/iyileştirilen atlatma yöntemleri nedeniyle yetersiz kalmaktadırlar. Zararlı yazılımlar, bu platformlar içerisinde analiz edildiklerini tespit edebilmekte ve gerçek amaçlarını gizlemek üzere davranışlarını değiştirebilmektedirler. Bu nedenle dinamik analiz platformları zararlı yazılımları başarı ile sınıflandırabilseler dahi zararlı yazılımın gerçek davranışını gözlemleyemedikleri vakalar oluşmaktadır. Platformların bu yetersizlikleri nedeniyle analistler gün sonunda yine elle analize mecbur kalmaktadırlar. Bu çalışmada sunduğumuz ISKRA isimli hipervizör tabanlı dinamik analiz platformu, fiziksel bilgisayar üzerinde zararlı yazılımlar tarafından tespit edilmeden sistem çağrılarının toplanmasına ve zararlı yazılımların analiz edilmesine imkân sağlamaktadır. Kolay kurulabilir ve değiştirilebilir olan bu platform fiziksel ve sanal sistemlerde çalışabilmesinin yanı sıra hali hazırda çalışan bir sistemi analiz ortamına dönüştürebilmektedir. Böylelikle çalışan bir sistem üzerinde canlı olay müdahalesi yapılmasına imkân sağlamaktadır. Dolayısıyla olay müdahale ekipleri vaka yaşanan sistemi analiz ortamına dönüştürüp zararlı yazılım tarafından tespit edilmeden delil toplama, inceleme ve tedavi yapabilmektedirler. Çalışmamız kapsamında öne sürdüğümüz platformu geliştirdik ve makina öğrenmesi ile yeni zararlı yazılım saldırılarını tespit etmek üzere deneyler gerçekleştirdik. Gerçekleştirdiğimiz deneyler platformumuzun düşük sistem yükü ve yüksek doğruluk oranıyla diğer dinamik analiz platformlarının tespit edemediği güncel zararlı yazılım saldırılarını tespit edebildiğini göstermiştir.

Özet (Çeviri)

With the proliferation of ''cyber-crime as a service'' economy, besides gaining new victims, providing permanence on them has been one of the key points of profit for attackers. Thus, hiding malicious presence while operating is now more important for malware than being fully undetectable when it is first distributed. Due to the increasing number of malware attacks and prohibitively long hours required for manual inspection, analysts often use dynamic analysis platforms to investigate malware samples. However, these platforms have been repeatedly shown to fail to combat evasion methods that are constantly updated by attackers. Even if malware is correctly classified by the existing dynamic analysis platforms, which are widely deployed in the cyber security industry, it has been frequently observed that the malware detects the analysis environment and behaves differently to evade inspection; consequently the malicious code targeted by the attacker does not execute. In this case, the inspection, which will make the malicious code run and be examined, has to be done by the analyst manually. In this study, we present the bare metal hypervisor-based framework for dynamic analysis, ISKRA, which facilitates system calls to be collected and analyzed without being detected by malware. ISKRA is a portable and easily modifiable framework and not only allows any system to be easily transformed into an analysis environment, regardless of the virtual machine or bare metal; but also allows for forensics to be run without being detected in live systems. This way, incident response specialists can quickly transform the system under inspection into an analysis environment and can collect evidence, examine and remedy the system without being detected by the attacker. We designed, implemented and experimented with the framework, which employs machine learning algorithms to learn from new attack campaigns. Our work shows that the framework leads to negligibly low overhead and provides a high detection rate for the most current malware campaigns that evade dynamic inspection by other frameworks.

Benzer Tezler

  1. Tez No

    112161

    An Experimental study on seismic strengthening of rc joints using adhesively bonded steel plates

    Betonarme kiriş kolon birleşim yerlerinin çelik lamalar yapıştırılarak deprem yüklerine karşı güçlendirilmesi

    ALİ MUTLU KÖYLÜOĞLU

    Doktora

    İngilizce

    İngilizce

    2001

    İnşaat MühendisliğiBoğaziçi Üniversitesi

    PROF. DR. GÜLAY ALTAY

  2. Tez No

    772148

    Assessment of transport-related social exclusion among thedutch elderly: A comparative mixed method approach

    Başlık çevirisi yok

    İKRA DURMUŞ

    Yüksek Lisans

    İngilizce

    İngilizce

    2022

    Şehircilik ve Bölge PlanlamaUniversity of Twente

    DR. J.G. BRUSSEL

  3. Tez No

    790315

    İsra ve Lokman Surelerindeki imani ve ahlaki ilkeler bağlamında ilgili ayetlerin karşılaştırmalı olarak incelenmesi

    Comparative examination of the relevant verses in the context of faith and moral principles in the Sures of İsra and Lokman

    HABİBE KELEŞ

    Yüksek Lisans

    Türkçe

    Türkçe

    2022

    DinOrdu Üniversitesi

    Temel İslam Bilimleri Ana Bilim Dalı

    PROF. DR. SADIK KILIÇ

  4. Tez No

    792130

    Kuşadası'nda konuttaki dönüşümlerin saptanmasına yönelik tipolojik bir araştırma

    Typological research for determining the transformation of housing in Kuşadası

    İSRA MAHMUTOĞLU

    Yüksek Lisans

    Türkçe

    Türkçe

    2022

    MimarlıkDokuz Eylül Üniversitesi

    Mimarlık Ana Bilim Dalı

    PROF. DR. TUTKU DİDEM ALTUN

  5. Tez No

    792915

    سة الأساليبالطلبيةودلالاتهاالبلاغيةفي سورة الإسراء

    İsra Suresi örneğinde talep ifade eden üsluplar ve balağata dair işaretler

    MONA MOHAMED MOHAMED YOUSSEF

    Yüksek Lisans

    Arapça

    Arapça

    2023

    DilbilimArdahan Üniversitesi

    Temel İslam Bilimleri Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ ABDULHALİM ABDULLAH

Geri Dön