Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules
Τα τελευταία χρόνια έχει σημειωθεί σημαντική πρόοδος στην ανίχνευση επιθέσεων έγχυσης κώδικα σε επίπεδο δικτύου. Οι κύριες τεχνικές που χρησιμοποιούνται για τον εντοπισμό άγνωστου πολυμορφικού shellcode (κακόβουλου λογισμικού που εκμεταλλεύεται αδυναμίες υπηρεσιών), διακρίνονται στη στατική ανάλυση,...
Κύριος συγγραφέας: | |
---|---|
Άλλοι συγγραφείς: | |
Γλώσσα: | Greek |
Έκδοση: |
2022
|
Θέματα: | |
Διαθέσιμο Online: | http://hdl.handle.net/10889/16436 |
id |
nemertes-10889-16436 |
---|---|
record_format |
dspace |
spelling |
nemertes-10889-164362022-09-05T06:58:33Z Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules Distributed modern shellcode detection system to support YARA rules Ανδρώνη, Αικατερίνη Androni, Aikaterini Ασφάλεια Κακόβουλο λογισμικό YARA SEDUCE Shellcode Τα τελευταία χρόνια έχει σημειωθεί σημαντική πρόοδος στην ανίχνευση επιθέσεων έγχυσης κώδικα σε επίπεδο δικτύου. Οι κύριες τεχνικές που χρησιμοποιούνται για τον εντοπισμό άγνωστου πολυμορφικού shellcode (κακόβουλου λογισμικού που εκμεταλλεύεται αδυναμίες υπηρεσιών), διακρίνονται στη στατική ανάλυση, μέσω αποσυναρμολόγησης και ανάλυσης της ροής δεδομένων, και στην εκτέλεση των εισερχόμενων αιτήσεων σε εικονικό περιβάλλον. Για τις περιπτώσεις όπου συναντάμε απειλές που είναι ήδη γνωστές μπορεί να χρησιμοποιηθεί μια πιο απλή τεχνική, με τη χρήση κανόνων YARA, που βασίζεται στην ανίχνευση ορισμένων χαρακτηριστικών που συναντώνται σε αυτές τις απειλές. Η εφαρμογή SEDUCE NIDS αποτελεί ένα αποκεντρωμένο NIDS σύστημα για τον εντοπισμό σε δικτυακό επίπεδο shellcode. Κύριος στόχος του SEDUCE είναι ο εντοπισμός πολυμορφικού shellcode κάνοντας εξομοίωση της εκτέλεσης. Στην παρούσα διπλωματική εργασία γίνεται προσθήκη στο SEDUCE για την υποστήριξη εντοπισμού κακόβουλου λογισμικού με τη χρήση κανόνων YARA. In recent years, significant progress has been made in detecting code injection attacks at the network level. The main techniques used to detect previously unknown polymorphic shellcode (malware exploiting a software vulnerability) are static analysis, through disassembly and analysis of the data flow information, and execution each incoming requests in a virtual environment as if it was executable code. For the cases where we encounter threats that are already known, a simpler technique can be used, YARA rules, based on the detection of certain characteristics found in these threats. The SEDUCE NIDS application is a decentralized NIDS system for network-level shellcode detection. SEDUCE's main goal is to detect polymorphic shellcode by simulating execution. In this thesis, support for malware detection using YARA rules is implemented in SEDUCE. 2022-07-11T06:28:30Z 2022-07-11T06:28:30Z 2022-07-07 http://hdl.handle.net/10889/16436 gr application/pdf |
institution |
UPatras |
collection |
Nemertes |
language |
Greek |
topic |
Ασφάλεια Κακόβουλο λογισμικό YARA SEDUCE Shellcode |
spellingShingle |
Ασφάλεια Κακόβουλο λογισμικό YARA SEDUCE Shellcode Ανδρώνη, Αικατερίνη Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules |
description |
Τα τελευταία χρόνια έχει σημειωθεί σημαντική πρόοδος στην ανίχνευση επιθέσεων έγχυσης κώδικα σε επίπεδο δικτύου. Οι κύριες τεχνικές που χρησιμοποιούνται για τον εντοπισμό άγνωστου πολυμορφικού shellcode (κακόβουλου λογισμικού που εκμεταλλεύεται αδυναμίες υπηρεσιών), διακρίνονται στη στατική ανάλυση, μέσω αποσυναρμολόγησης και ανάλυσης της ροής δεδομένων, και στην εκτέλεση των εισερχόμενων αιτήσεων σε εικονικό περιβάλλον. Για τις περιπτώσεις όπου συναντάμε απειλές που είναι ήδη γνωστές μπορεί να χρησιμοποιηθεί μια πιο απλή τεχνική, με τη χρήση κανόνων YARA, που βασίζεται στην ανίχνευση ορισμένων χαρακτηριστικών που συναντώνται σε αυτές τις απειλές. Η εφαρμογή SEDUCE NIDS αποτελεί ένα αποκεντρωμένο NIDS σύστημα για τον εντοπισμό σε δικτυακό επίπεδο shellcode. Κύριος στόχος του SEDUCE είναι ο εντοπισμός πολυμορφικού shellcode κάνοντας εξομοίωση της εκτέλεσης. Στην παρούσα διπλωματική εργασία γίνεται προσθήκη στο SEDUCE για την υποστήριξη εντοπισμού κακόβουλου λογισμικού με τη χρήση κανόνων YARA. |
author2 |
Androni, Aikaterini |
author_facet |
Androni, Aikaterini Ανδρώνη, Αικατερίνη |
author |
Ανδρώνη, Αικατερίνη |
author_sort |
Ανδρώνη, Αικατερίνη |
title |
Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules |
title_short |
Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules |
title_full |
Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules |
title_fullStr |
Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules |
title_full_unstemmed |
Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη YARA rules |
title_sort |
κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode συγκεκριμένων modules για την υποστήριξη yara rules |
publishDate |
2022 |
url |
http://hdl.handle.net/10889/16436 |
work_keys_str_mv |
AT andrōnēaikaterinē katanemēmenosystēmaentopismousynchronoushellcodesynkekrimenōnmodulesgiatēnypostērixēyararules AT andrōnēaikaterinē distributedmodernshellcodedetectionsystemtosupportyararules |
_version_ |
1771297171473170432 |