Behavior based malicious software detection and classification

Thumbnail
View/Open
Date
2012
Author
Pektaş, Abdurrahman
Metadata
Show full item record
Abstract
Son yıllarda sosyal medyada fazlaca yer alan konulardan biri olan siber saldırılar görünüşe bakılacak olursa önemini arttırarak gündemde kalmaya devam edecek. Siber saldırılarda etkin şekilde kullanılan zararlı yazılımlar siber savaşın vazgeçilmezi haline gelmiştir. Zararlı yazılımlar hassas veri çalma, sistemlere bağlantı için arka kapı oluşturma, servis dışı bırakma saldırılarında kullanılan (ddos) botnetler oluşturma gibi farklı amaçların birine ya da hepsine birden hizmet edebilmekte ve saldırganlar için gerekli ortamı sağlamaktadır. Iran nükleer tesislerine düzenlenen ve daha önce tespit edilmemiş (0-day) 3 tane açıklığı barındıran stuxnet zararlı yazılımı siber saldırı dünyasında zararlı yazılımların ne derece etkin kullanıldığını göstermesi açısından güzel bir örnektir.Bilindiği gibi zararlı yazılımların incelenebilmesi için öncelikle tespit edilmesi ve sınıflandırılması gerekmektedir. İnceleme yöntemleri iki başlık altında toplanır. Bunlar statik ve dinamik analiz yöntemleridir. Bu çalışmada bahsedilen iki yöntem birleştirilerek kademeli yapıda yeni bir zararlı yazılım tespit yöntemi geliştirilmiştir. Çalışmada dinamik analiz yöntemleri kullanılarak zararlı yazılımların tespit edilmesi sağlanmıştır. Zararlı yazılımların sınıflandırılması esnasında zararlı dosyanın statik özellikleri kullanılmıştır.Statik analiz yöntemi zararlı dosyanın çalıştırılmadan sadece statik özellikleri göz önünde bulundurularak gerçekleştirilir. Bu çalışmada zararlı dosyadan elde edilen byte dizileri ile yeni bir sınıflandırma algoritması kullanılmıştır.Dinamik analiz yöntemi zararlı yazılımın davranışını incelediği için zararlı dosyanın güvenli bir ortamda çalıştırılması gerekmektedir. Dinamik analiz aşamasında ağ bağlantıları, dosya sistemi işlemleri, sistem üzerindeki aktif işlemler, vb. objeler takip edilir. Dinamik analizi gerçekleştirebilmek amacıyla çalışma kapsamında DMA adında bir araç gerçekleştirilmiştir. Kullanıcı etkileşimine sahip ve kullanımı oldukça basit olan uygulama Windows işletim sistemi üzerinde sistem tray ikon olarak çalışabilmekte ve her hangi bir zararlı aktivite tespit etmesi durumunda kullanıcıyı uyarma yeteneğine sahiptir.Günümüzde zararlı yazılımların dinamik analiz yöntemi ile tespit edilmesinin önüne geçmek için sanal makina ve hata ayıklayıcı (debugger) tespit eden yöntemler kullanılmaktadır. Çalışmada zararlı yazılımların Vmware sanallaştırma ortamında çalıştırılıp incelenmesi gerçekleştirilmiştir. Zararlı yazılımların sanal makina tespit yöntemini aşmak için Intel tarafından geliştirilen ve uygulamaları yönlendirebilme özelliğine sahip pin aracı kullanılmıştır. Bu araç yardımıyla sanal makina tespitinde kullanılan işlem, dosya, registry anahtarı sorgulama gibi yöntemler alt edilmekte ve zararlı yazılımın gerçek makinada çalıştığını zannetmesini sağlanmaktadır.Davranış analizinde incelenen çalıştırılabilir dosyanın aşağıdaki özellikleri dikkate alınmıştır:Sistem üzerindeki ağ bağlantılarındaki değişikliklerSistem üzerindeki işlemlerdeki değişikliklerRegistry dosyasındaki değişikliklerServislerde gerçekleşen değişikliklerDinamik analiz ile tespit edilen zararlı yazılımlar daha sonra n-gram tabanlı zararlı yazılım sınıflandırma metodu kullanılarak zararlı yazılımın ailesi belirlenmektedir. Bu yöntemde her zararlı yazılım n-gram vektörü (dosyada en fazla bulunan byte dizileri) ile ifade edilmekte ve sınıflandırma işlemi bu vektör üzerinden gerçekleştirilmektedir.Geliştirilen zararlı yazılım tespit ve sınıflandırma modülleri testi için herkese açık Pahadus zararlı yazılım seti kullanılmıştır ve ümit verici sonuçlar elde edilmiştir. Belirtilen zararlı yazılım kümesi üzerinde %86 oranında tespit etme başarısı elde edilmiştir. Zararlı yazılım tespitinden sonra sınıflandırma yöntemi olarak n-gram tabanlı sınıflandırma metodu kullanılmıştır. Sınıflandırma yönteminin öğrenme sürecinde (trainning phase) BILGEM zararlı yazılım yakalama sistemlerinden (honeypot) elde edilen zararlı yazılımlar kullanılmıştır. Sınıflandırma aşamasında seçilen n=4 ve L=60 çifti için başarı oranı %92 olarak elde edilmiştir.
 
In recent years, cyber-attack, one of the most apparent subjects in social media, will continue to be on the agenda with increasing its importance. Malicious software which is used heavily in cyber-attacks has become indispensable object of the cyber war. Malicious softwares are used for different purposes such as steal sensitive information, create a backdoor to access system persistently, create a botnet in order to drive distributed denial of service attacks, etc. They may include one or more objectives and the objectives depend on the purpose of the malicious software writer. Stuxnet which contains tree 0-day exploits and target to Iran?s nuclear facilities, is a good example to show us that how malicious software may be used during cyber war.As is knows to all, to analyze malicious software first of all malware analyst need to detect these files and then classify them appropriately. The analysis methods are collected under two headings. These are static and dynamic analysis methods. In this study the new cascade malicious software detection method was developed by combining the mention two methods. In the study the dynamic analysis methods were used in order to detect malicious software. By the way static properties of the file were used during the classification phase.Static analysis method is performed via only the static properties of the file and does not include the execution of the malicious file. In this study, we purpose the new classification algorithm that uses byte sequences (n-gram) of the malicious file.In dynamic analysis the malicious file is need to be executed in secure environment because it investigates the behavior of the malicious software. In dynamic analysis network connections, file system operations, the active processes on the system, etc. are tracked. To carry out the dynamic analysis we created a tool called as Dynamic Malware Analysis (DMA). The developed tool which is quite simple to use, can be run as system tray icon on the Windows operating system and it is capable of alerting the user if there is any malicious activity on the system.Nowadays, malicious softwares use anti-debugger and anti-virtualization technique in order to prevent detection by dynamic analysis methods. In the study the dynamic analysis was performed on VMware virtualization environment. To bypass the anti-virtualization methods used by malwares the Pin tool was used. It is a free tool provided by Intel for the dynamic instrumentation of programs. With the help of this tool the processes, files and registry keys searching methods which are used by malicious software can be bypass.The following features are considered when analyzing malicious software:Network connection changes on the systemRegistry changesProcess changesService changesAfter detection step, the found malicious softwares are classified by using n-gram based malware classification mechanism. In this method, each malicious file is pointed by n-gram vector (byte sequences obtained from malicious file) of the file and the classification is performed over these vectors.To evaluate the developed malicious software detection and classification modules the public Pahadus malware set was used and promising results were obtained. We obtained 86% accuracy over the specified public malware set. After the detection of the file n-gram based classification method was used. In the learning phase of the classification algorithm the malicious softwares which are provided by BILGEM were used. We were obtained 92% success rate when we choose n as 4 and L as 60.
 
URI
https://acikbilim.yok.gov.tr/handle/20.500.12812/87005
Collections
info:eu-repo/semantics/openAccess
Except where otherwise noted, this item's license is described as info:eu-repo/semantics/openAccess