Evaluation of modern detection techniques on evasive malware

Abstract

Zararlı yazılımlar hala en güvenli sistemlere dahi sızma yolları bulabilmektedir.Klasik imza tabanlı, buluşsal tabanlı, statik ve dinamik teknikler, yeni oluşturulmuşatlatma özelliklerine karşı yetersiz kalmaktadır. Zararlı yazılım tespiti için makineöğrenmesi gibi modern teknikler umut vaat etmekte ve hali hazırda ticari alanda dakullanılmaktadır.Zararlı yazılım tespit performansı ölçümleri için fiili standart, farklı zararlı yazılımkategorileri ile sistemin test edilmesi üzerinedir. Bu araştırma zararlı yazılım ailesinegöre kategorize edilmiş kümelerin yeterli test alanını kapsayamadığını iddiaetmektedir. Klasik test yöntemlerinin yanı sıra, atlatma tekniklerine göre kategorizeetme yaklaşımları gereklidir.Bu tez çalışması kapsamında, yeni bir kod karıştırma odaklı test mekanizmasıönerilmektedir. Otomatik kaynak kodu mutasyonları aracılığıyla oluşturulan düşmanörnekler, buluşsal/makine öğrenmesi çözümlerini test amacıyla kullanılmakta vegizlenme kategorilerine göre bulunan zafiyetler ele alınmaktadır.Tez çalışmasının bir diğer amacı hedefli saldırılar ve sıfırıncı gün saldırıları için birbenzetim mekanizması oluşturmaktır. Çıktılar zararlı yazılım tespit sistemlerininsaldırı yüzeyini küçültmek ve kör noktaları yok etmek amacıyla kullanılabilir.

Malware still finds its way into the most secure systems. Classical signature based,heuristic based, static and dynamic malware detection methodologies are susceptibleto newly created evasion techniques. Modern technologies such as machine learningfor malware detection looks promising and already commercially used.In order to evaluate malware detection performance, it is de-facto standard to conducttests with various malware categories. This research claims family-categorizedmalware sets are insufficient to cover the test surface. In addition to classical testmethods, an evasion-categorical approach is required.Within scope of this thesis, a novel obfuscation centric test mechanism is proposed.Using automated source code mutations, crafted adversarial samples are used toevaluate performance of heuristic/machine learning solutions and weaknesses perobfuscation category are discussed.Another aim of this thesis is to propose a testbed which simulates `0-day` and/ortargeted malware attacks. Evaluation output can be used to minimize attack surface ofmalware detection solutions and eliminate blind spots.