A Generic Binary Analysis Method for Malware

Izumida, Tomonori; Futatsugi, Kokichi; Mori, Akira

doi:10.1007/978-3-642-16825-3_14

Cited by 7 publications

(5 citation statements)

References 13 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…Tuy nhiên, hiện nay signature detection gặp phải khó khăn lớn do những virus thế hệ mới áp dụng những kỹ thuật rắc rối hóa (obfuscation technique) để làm thay đổi chữ ký đặc trƣng [2]. Ý tƣởng chính của emulation là xây dựng một sandbox để khám phá hành vi của malware, bằng cách mô phỏng toàn bộ quá trình thực thi của hệ thống và đặc biệt là hoạt động của APIs [3,15]. Tuy nhiên, đây là một kỹ thuật rất phức tạp, tốn thời gian và đòi hỏi chi phí lớn.…”

Section: Giới Thiệuunclassified

See 1 more Smart Citation

Sử Dụng Phương Pháp Hình Thức Để Nhận Dạng Packer

Hải¹,

Phong²,

Thơ³

2017

Fair - Nghiên Cứu Cơ Bản Và Ứng Dụng Công Nghệ Thông Tin - 2016

View full text Add to dashboard Cite

Từ khóa-Phân tích virus, an toàn thông tin, phương pháp hình thức, packer. I. GIỚI THIỆUMalwares là những chƣơng trình máy tính độc hại xâm nhập vào hệ thống một cách trái phép với mục tiêu là ăn cắp thông tin, phá hủy hay làm hƣ hỏng hệ thống [1]. Những chƣơng trình malware này gây ra những thiệt hại to lớn về mặt tiền bạc đối với các cá nhân, tổ chức và các cơ quan chính phủ. Malware đƣợc chia thành nhiều loại khác nhau nhƣ: virus, trojan horse, spammer…Có 2 phƣơng pháp chính để phát hiện malware, có thể kể đến phƣơng pháp nhận diện chữ ký (signature recognition) và mô phỏng (emulation) quá trình thực thi chƣơng trình trong môi trƣờng có kiểm soát, thƣờng là hộp cát (sandbox). Signature recognition là kỹ thuật nhận diện malare thông qua những cấu trúc mẫu bit đặc trƣng của malware này. Kỹ thuật này đƣợc áp dụng rất rộng rãi trong công nghiệp và đạt đƣợc những thành công to lớn. Tuy nhiên, hiện nay signature detection gặp phải khó khăn lớn do những virus thế hệ mới áp dụng những kỹ thuật rắc rối hóa (obfuscation technique) để làm thay đổi chữ ký đặc trƣng [2]. Ý tƣởng chính của emulation là xây dựng một sandbox để khám phá hành vi của malware, bằng cách mô phỏng toàn bộ quá trình thực thi của hệ thống và đặc biệt là hoạt động của APIs [3,15]. Tuy nhiên, đây là một kỹ thuật rất phức tạp, tốn thời gian và đòi hỏi chi phí lớn.Hầu hết các malware hiện nay đều đƣợc đóng gói bằng các chƣơng trình đóng gói (packer) [4]. Packer là một chƣơng trình chuyển đổi mã nhị phân của chƣơng trình thành một chƣơng trình thực thi khác. Chƣơng trình thực thi mới này vẫn gìn giữ những tính năng nguyên bản nhƣng có nội dung hoàn toàn khác nhau khi đƣợc lƣu trữ. Chính vì điều này đã làm cho kỹ thuật quét signature không thể liên kết giữa 2 phiên bản này. Theo thống kê trên [4], 80% malware đƣợc nén bởi rất nhiều loại packers khác nhau. Những packer thông dụng nhất có thể kể đến UPX 1 , PECOMPACT 2 , TELOCK 3 , FSG 4 và YODA"s Crypter 5 . Đa phần các chƣơng trình nhận dạng packer hiện nay nhƣ Peid 6 đều dựa trên chữ ký để kiểm tra. Tuy nhiên, do các hacker có thể tùy chỉnh (modify) chữ ký của packer, phƣơng pháp này sẽ dễ dàng bị đánh bại khi đƣợc áp dụng trong phân tích malware thực.Trong bài báo này, chúng tôi đề xuất một hƣớng tiếp cận mới để nhận diện packer. Chúng tôi sử dụng phƣơng pháp hình thức nhằm nhận dạng packed malware bằng cách kết hợp giữa hai công cụ, BE-PUM để xây dựng CFG và công cụ kiểm tra mô hình NUSMV. Để kiểm chứng tính hiệu quả của hƣớng tiếp cận này, chúng tôi đã tiến hành thí nghiệm trên tập 3250 malware khác nhau. Cấu trúc bài báo đƣợc mô tả nhƣ sau. Phần 2 giới thiệu ngắn gọn những kiến thức nền tảng về Packer, BE-PUM và công cụ NuSMV. Phần 3 trình bày phƣơng pháp đề xuất để nhận dạng packer. Trong phần 4, chúng tôi giới thiệu về thí nghiệm và phần 5 trình bày kết luận và một số hƣớng nghiên cứu trong tƣơng lai.

show abstract

Section: Giới Thiệuunclassified

“…Để xử lý 14 kỹ thuật của packer [7,15], hệ thống BE-PUM đƣợc hiện thực và giả lập môi trƣờng thực thi bao gồm bộ nhớ và các thanh ghi:…”

Section: A Phát Triển Hệ Thống Be-pum để Xử Lý Các Packerunclassified

Sử Dụng Phương Pháp Hình Thức Để Nhận Dạng Packer

Hải¹,

Phong²,

Thơ³

2017

Fair - Nghiên Cứu Cơ Bản Và Ứng Dụng Công Nghệ Thông Tin - 2016

View full text Add to dashboard Cite

show abstract

“…Để phát hiện mã độc, thông thƣờng có 2 phƣơng pháp chính, có thể kể đến phƣơng pháp nhận diện chữ ký (signature recognition) [3] và mô phỏng (emulation) [4] quá trình thực thi chƣơng trình trong môi trƣờng có kiểm soát, thƣờng là hộp cát (sandbox). Chữ ký là những cấu trúc mẫu bit đặc trƣng của từng loại malware.…”

Section: Giới Thiệuunclassified

“…Điều này đã gây ra rất nhiều khó khăn trong việc nhận dạng mã độc Avron của phƣơng pháp signature matching truyền thống. [4,5]. Các tập tin mục tiêu có thể đƣợc hiện thực trong một môi trƣờng ảo, hoặc sandbox, để khám phá các hành vi của phần mềm độc hại.…”

Section: Giới Thiệuunclassified

Sử Dụng Phương Pháp Học Sâu Trong Bài Toán Phát Hiện Mã Độc

Hải¹,

Thơ²

2017

Fair - Nghiên Cứu Cơ Bản Và Ứng Dụng Công Nghệ Thông Tin - 2017

View full text Add to dashboard Cite

“…JakStab [6,7], Syman [8] and BINCOA/OSMOSE [9], CodeSurfer/x86 [10], McVeto [11] and a commercial product, IDA Pro which is claimed to be one of the most popular and powerful tools for binary code analysis. However, to the best of our knowledge, we are not aware of existing research on packer identification.…”

Section: Related Workmentioning

confidence: 99%

A Statistical Approach for Packer Identification

Hải¹

2018

JST

View full text Add to dashboard Cite

Most of modern malware are packed by packers which automatically generate a lot of obfuscation techniques to defeat the anti-virus software. To identify packer, most of industry approaches still adopt the well-known technique of signature matching which can be easily evaded. This paper studies the new approach of applying a statistical approach to tackle this problem. We propose a new weight for extracting what obfuscation techniques might be more favourable in packers. We call it obfuscation technique frequency-inverse packer frequency ( ). As the term implies, calculates values for each obfuscation techniques in a packer through an inverse proportion of the frequency of the obfuscation technique in a particular packer to the percentage of packers the obfuscation technique appears in. Obfuscation techniques with high value show a strong relationship with the packer they appear in. Based on this weight, packer is represented by a vector of . Then the used packer is identified by measuring the similarity between vectors of packer and targeted file. For checking the accuracy of our approach, we have performed the experiments of identifying packer on 200 real-world malware for comparing between our approach with the binary signature technique adopted in CFF Explorer. The result shows that our technique produces the better detection.

show abstract

A Generic Binary Analysis Method for Malware

Cited by 7 publications

References 13 publications

Sử Dụng Phương Pháp Hình Thức Để Nhận Dạng Packer

Sử Dụng Phương Pháp Hình Thức Để Nhận Dạng Packer

Sử Dụng Phương Pháp Học Sâu Trong Bài Toán Phát Hiện Mã Độc

A Statistical Approach for Packer Identification

Contact Info

Product

Resources

About