Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules

Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules

Τα τελευταία χρόνια έχει σημειωθεί σημαντική πρόοδος στην ανίχνευση επιθέσεων έγχυσης κώδικα σε επίπεδο δικτύου. Οι κύριες τεχνικές που χρησιμοποιούνται για τον εντοπισμό άγνωστου πολυμορφικού shellcode (κακόβουλου λογισμικού που εκμεταλλεύεται αδυναμίες υπηρεσιών), διακρίνονται στη στατική ανάλυση,...

Πλήρης περιγραφή

Λεπτομέρειες βιβλιογραφικής εγγραφής
Κύριος συγγραφέας: Ανδρώνη, Αικατερίνη
Άλλοι συγγραφείς: Androni, Aikaterini
Γλώσσα:Greek
Έκδοση: 2022
Θέματα:
Ασφάλεια
Κακόβουλο λογισμικό
YARA
SEDUCE
Shellcode
Διαθέσιμο Online:http://hdl.handle.net/10889/16436
id nemertes-10889-16436
record_format dspace
spelling nemertes-10889-164362022-09-05T06:58:33Z Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules Distributed modern shellcode detection system to support YARA rules Ανδρώνη, Αικατερίνη Androni, Aikaterini Ασφάλεια Κακόβουλο λογισμικό YARA SEDUCE Shellcode Τα τελευταία χρόνια έχει σημειωθεί σημαντική πρόοδος στην ανίχνευση επιθέσεων έγχυσης κώδικα σε επίπεδο δικτύου. Οι κύριες τεχνικές που χρησιμοποιούνται για τον εντοπισμό άγνωστου πολυμορφικού shellcode (κακόβουλου λογισμικού που εκμεταλλεύεται αδυναμίες υπηρεσιών), διακρίνονται στη στατική ανάλυση, μέσω αποσυναρμολόγησης και ανάλυσης της ροής δεδομένων, και στην εκτέλεση των εισερχόμενων αιτήσεων σε εικονικό περιβάλλον. Για τις περιπτώσεις όπου συναντάμε απειλές που είναι ήδη γνωστές μπορεί να χρησιμοποιηθεί μια πιο απλή τεχνική, με τη χρήση κανόνων YARA, που βασίζεται στην ανίχνευση ορισμένων χαρακτηριστικών που συναντώνται σε αυτές τις απειλές. Η εφαρμογή SEDUCE NIDS αποτελεί ένα αποκεντρωμένο NIDS σύστημα για τον εντοπισμό σε δικτυακό επίπεδο shellcode. Κύριος στόχος του SEDUCE είναι ο εντοπισμός πολυμορφικού shellcode κάνοντας εξομοίωση της εκτέλεσης. Στην παρούσα διπλωματική εργασία γίνεται προσθήκη στο SEDUCE για την υποστήριξη εντοπισμού κακόβουλου λογισμικού με τη χρήση κανόνων YARA. In recent years, significant progress has been made in detecting code injection attacks at the network level. The main techniques used to detect previously unknown polymorphic shellcode (malware exploiting a software vulnerability) are static analysis, through disassembly and analysis of the data flow information, and execution each incoming requests in a virtual environment as if it was executable code. For the cases where we encounter threats that are already known, a simpler technique can be used, YARA rules, based on the detection of certain characteristics found in these threats. The SEDUCE NIDS application is a decentralized NIDS system for network-level shellcode detection. SEDUCE's main goal is to detect polymorphic shellcode by simulating execution. In this thesis, support for malware detection using YARA rules is implemented in SEDUCE. 2022-07-11T06:28:30Z 2022-07-11T06:28:30Z 2022-07-07 http://hdl.handle.net/10889/16436 gr application/pdf
institution UPatras
collection Nemertes
language Greek
topic Ασφάλεια
Κακόβουλο λογισμικό
YARA
SEDUCE
Shellcode
spellingShingle Ασφάλεια
Κακόβουλο λογισμικό
YARA
SEDUCE
Shellcode
Ανδρώνη, Αικατερίνη
Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules
description Τα τελευταία χρόνια έχει σημειωθεί σημαντική πρόοδος στην ανίχνευση επιθέσεων έγχυσης κώδικα σε επίπεδο δικτύου. Οι κύριες τεχνικές που χρησιμοποιούνται για τον εντοπισμό άγνωστου πολυμορφικού shellcode (κακόβουλου λογισμικού που εκμεταλλεύεται αδυναμίες υπηρεσιών), διακρίνονται στη στατική ανάλυση, μέσω αποσυναρμολόγησης και ανάλυσης της ροής δεδομένων, και στην εκτέλεση των εισερχόμενων αιτήσεων σε εικονικό περιβάλλον. Για τις περιπτώσεις όπου συναντάμε απειλές που είναι ήδη γνωστές μπορεί να χρησιμοποιηθεί μια πιο απλή τεχνική, με τη χρήση κανόνων YARA, που βασίζεται στην ανίχνευση ορισμένων χαρακτηριστικών που συναντώνται σε αυτές τις απειλές. Η εφαρμογή SEDUCE NIDS αποτελεί ένα αποκεντρωμένο NIDS σύστημα για τον εντοπισμό σε δικτυακό επίπεδο shellcode. Κύριος στόχος του SEDUCE είναι ο εντοπισμός πολυμορφικού shellcode κάνοντας εξομοίωση της εκτέλεσης. Στην παρούσα διπλωματική εργασία γίνεται προσθήκη στο SEDUCE για την υποστήριξη εντοπισμού κακόβουλου λογισμικού με τη χρήση κανόνων YARA.
author2 Androni, Aikaterini
author_facet Androni, Aikaterini
Ανδρώνη, Αικατερίνη
author Ανδρώνη, Αικατερίνη
author_sort Ανδρώνη, Αικατερίνη
title Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules
title_short Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules
title_full Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules
title_fullStr Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules
title_full_unstemmed Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules
title_sort κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη yara rules
publishDate 2022
url http://hdl.handle.net/10889/16436
work_keys_str_mv AT andrōnēaikaterinē katanemēmenosystēmaentopismousynchronoushellcodesynkekrimenōnmodulesgiatēnypostērixēyararules
AT andrōnēaikaterinē distributedmodernshellcodedetectionsystemtosupportyararules
_version_ 1771297171473170432

Παρόμοια τεκμήρια