Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Ismeretlen malware detekciója bootlog analízis segítségével

KiadtaJakab Nagy Megváltozta több, mint 9 éve

Hasonló előadás

Az előadások a következő témára: "Ismeretlen malware detekciója bootlog analízis segítségével"— Előadás másolata:

1 Ismeretlen malware detekciója bootlog analízis segítségével
Ács-Kurucz Gábor – AHUPUO Konzulensek: Dr. Félegyházi Márk és Pék Gábor Szakdolgozat 2014 – BME VIK

2 Motiváció Sok a célzott támadás A víruskeresők még nem hatékonyak
Statikus elemzés hátrányai IDS / IPS rendszerek kijátszhatósága Dinamikus elemzés lehetőségei

3 Metodológia Rendszerközpontúság „AccessMiner” bootlogokra
Nem a programokat figyeljük, hanem a rendszert „AccessMiner” bootlogokra Modell betanítása tiszta programokkal Hozzáférésekből egy fa felépítése A fa leveleihez tokenek rendelése A fa redukálása Detektálás Még nem létező hozzáférések gyanúsak

4 Általánosítások A telepítések nagyon különbözhetnek
Különbségek elfedése: Meghajtóbetűjelek összeolvasztása GUID-ok összeolvasztása 64 / 32 bit fájlrendszer (Program Files (x86)) Felhasználónevek Windows XP – Windows 7 különbségek

5 Keretrendszer Cuckoo Sandbox Procmon
Windows 7 Cuckoo kiegészítések Procmon Bootlog-készítés Automatizálás Sok minta futtatása automatizáltan

6 Bootlogok gyűjtése Malware minták Tiszta programok
Egy rendelkezésre álló halmazból válogattam Futtatható fájlok Különböző családok Tiszta programok Ninite segítségével Telepítő szkript

7 Eredmények False pozitív eredmények hatékony szűrése 222 minta
43%-os detektálási arány Nem szükséges mindent megtalálnia Kombinálva egyéb eszközökkel hatékony lehet

8 Gyengepontok és fejlesztési lehetőségek
Nem perzisztens malware minták Egyszerű, legitim módon viselkedő minták Fejlesztési lehetőségek Saját kernel driver Pontosabb modell (több tiszta alkalmazásból) Memóriahasználat figyelése Internet emulálása

9 Köszönöm a figyelmet! Kérdések?

10 Bírálói kérdések 1 A bootlog analízis eredményei alapján mely malware fajták azonosítására alkalmasabb az eljárás? A rootkit típusú malware azonosítására, vagy azon malware-ekre, amelyek legitim programnak álcázzák magukat, illetve a perzisztencia módszerük is a legitim programokra hasonlít?

11 Bírálói kérdések 2 A bootlog analízis eljárás hatékonyságának tesztelése során hogyan lehetne hatékonyan szűrni, hogy a vizsgált malware sikeresen települt-e?

Letölteni ppt "Ismeretlen malware detekciója bootlog analízis segítségével"

Hasonló előadás

A PC gépek szoftverei Kérdés: Mi az elefánt? Válasz: Egér operációs rendszerrel.

A PC gépek szoftverei Kérdés: "Mi az elefánt?" Válasz: "Egér operációs rendszerrel."
SZAKDOLGOZAT a tudományos munka iskolája

SZAKDOLGOZAT a tudományos munka iskolája
Vírusok, vírusvédelem.

Vírusok, vírusvédelem.
Az egészségstílus Szegmentáció és barométer a hatékony egészségügyi kommunikáció támogatásához Szonda Ipsos.

Az egészségstílus Szegmentáció és barométer a hatékony egészségügyi kommunikáció támogatásához Szonda Ipsos.
Jövő Internet technológiák és alkalmazások kutatása Magyarországon A Magyar Tudomány Hónapja Jövő Internet technológiák és alkalmazások kutatása Magyarországon.

Jövő Internet technológiák és alkalmazások kutatása Magyarországon A Magyar Tudomány Hónapja Jövő Internet technológiák és alkalmazások kutatása Magyarországon.
Microsoft Forefront biztonsági megoldások

Microsoft Forefront biztonsági megoldások
Vírusok, férgek szerepe az informatikai hadviselésben

Vírusok, férgek szerepe az informatikai hadviselésben
Ekler Péter Budapesti Műszaki és Gazdaságtudományi Egyetem

Ekler Péter Budapesti Műszaki és Gazdaságtudományi Egyetem
A felügyelet kihívásai A Windows Intune WIKlasszikus Központi frissítés kezelés Malware védelem Hardver, szoftver és licensz leltár Remote Assistance.

A felügyelet kihívásai A Windows Intune WIKlasszikus Központi frissítés kezelés Malware védelem Hardver, szoftver és licensz leltár Remote Assistance.
Programozási alapismeretek 9. előadás. ELTE Horváth-Papné-Szlávi-Zsakó: Programozási alapismeretek 9. előadás2/362014. 07. 14.2014. 07. 14.2014. 07. 14.

Programozási alapismeretek 9. előadás. ELTE Horváth-Papné-Szlávi-Zsakó: Programozási alapismeretek 9. előadás2/
Bevezetés a Java programozásba

Bevezetés a Java programozásba
Az operációs rendszerek

Az operációs rendszerek
A projekttervezés első lépései

A projekttervezés első lépései
Iskolai Hálózat Létrehozása

Iskolai Hálózat Létrehozása
Előadó: Kárpáti Péter (karpati.peter@fornax.hu) Üzleti folyamatvezérlés nagyvállalati környezetben (BizTalk Server 2004, Office InfoPath 2003 és Windows.

Előadó: Kárpáti Péter Üzleti folyamatvezérlés nagyvállalati környezetben (BizTalk Server 2004, Office InfoPath 2003 és Windows.
Számítógép memória jellemzői

Számítógép memória jellemzői
23.07.2014 Összekapcsolható funkciók Címek Időpontok Projektek Számlák Dokumentumok Cikkek Értékesítési lehetőségek Feladatok Telefonhívások.

Összekapcsolható funkciók Címek Időpontok Projektek Számlák Dokumentumok Cikkek Értékesítési lehetőségek Feladatok Telefonhívások.
Module 1: A Microsoft Windows XP Professional telepítése

Module 1: A Microsoft Windows XP Professional telepítése
Miskolci Egyetem Informatikai Intézet Általános Informatikai Tanszé k Pance Miklós Adatstruktúrák, algoritmusok előadásvázlat Miskolc, 2004 Technikai közreműködő:

Miskolci Egyetem Informatikai Intézet Általános Informatikai Tanszé k Pance Miklós Adatstruktúrák, algoritmusok előadásvázlat Miskolc, 2004 Technikai közreműködő:
Operációs rendszerek gyakorlat 4. Gyakorlat Vakulya Gergely.

Operációs rendszerek gyakorlat 4. Gyakorlat Vakulya Gergely.

Hasonló előadás

Google Hirdetések