Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Ács-Kurucz Gábor – AHUPUO Konzulensek: Dr. Félegyházi Márk és Pék Gábor Szakdolgozat 2014 – BME VIK.

Hasonló előadás


Az előadások a következő témára: "Ács-Kurucz Gábor – AHUPUO Konzulensek: Dr. Félegyházi Márk és Pék Gábor Szakdolgozat 2014 – BME VIK."— Előadás másolata:

1 Ács-Kurucz Gábor – AHUPUO Konzulensek: Dr. Félegyházi Márk és Pék Gábor Szakdolgozat 2014 – BME VIK

2  Sok a célzott támadás  A víruskeresők még nem hatékonyak  Statikus elemzés hátrányai  IDS / IPS rendszerek kijátszhatósága  Dinamikus elemzés lehetőségei

3  Rendszerközpontúság ◦ Nem a programokat figyeljük, hanem a rendszert  „AccessMiner” bootlogokra  Modell betanítása tiszta programokkal ◦ Hozzáférésekből egy fa felépítése ◦ A fa leveleihez tokenek rendelése ◦ A fa redukálása  Detektálás ◦ Még nem létező hozzáférések gyanúsak

4  A telepítések nagyon különbözhetnek  Különbségek elfedése: ◦ Meghajtóbetűjelek összeolvasztása ◦ GUID-ok összeolvasztása ◦ 64 / 32 bit fájlrendszer (Program Files (x86)) ◦ Felhasználónevek ◦ Windows XP – Windows 7 különbségek ◦ …

5  Cuckoo Sandbox ◦ Windows 7 ◦ Cuckoo kiegészítések  Procmon ◦ Bootlog-készítés ◦ Automatizálás  Sok minta futtatása automatizáltan

6  Malware minták ◦ Egy rendelkezésre álló halmazból válogattam ◦ Futtatható fájlok ◦ Különböző családok  Tiszta programok ◦ Ninite segítségével ◦ Telepítő szkript

7  False pozitív eredmények hatékony szűrése  222 minta  43%-os detektálási arány ◦ Nem szükséges mindent megtalálnia ◦ Kombinálva egyéb eszközökkel hatékony lehet

8  Gyengepontok ◦ Nem perzisztens malware minták ◦ Egyszerű, legitim módon viselkedő minták  Fejlesztési lehetőségek ◦ Saját kernel driver ◦ Pontosabb modell (több tiszta alkalmazásból) ◦ Memóriahasználat figyelése ◦ Internet emulálása ◦ …

9

10  A bootlog analízis eredményei alapján mely malware fajták azonosítására alkalmasabb az eljárás? A rootkit típusú malware azonosítására, vagy azon malware-ekre, amelyek legitim programnak álcázzák magukat, illetve a perzisztencia módszerük is a legitim programokra hasonlít?

11  A bootlog analízis eljárás hatékonyságának tesztelése során hogyan lehetne hatékonyan szűrni, hogy a vizsgált malware sikeresen települt-e?


Letölteni ppt "Ács-Kurucz Gábor – AHUPUO Konzulensek: Dr. Félegyházi Márk és Pék Gábor Szakdolgozat 2014 – BME VIK."

Hasonló előadás


Google Hirdetések