Presentazione tesi triennale in Ingegneria Elettronica e Informatica Daniele Maijnelli

1. Summary of “MalNet: A binary-centric
network-level profiling of IoT Malware”
UNIVERSITÀ
DEGLI STUDI
DI TRIESTE
Dipartimento di Ingegneria e Architettura
Tesi triennale in Ingegneria Elettronica e Informatica
Laureando:
Daniele Maijnelli
Relatore:
Prof. Alberto Bartoli
Anno Accademico 2022 - 2023
Ali Davanian and Michalis Faloutsos. 2022. MalNet: A binary-centric network-level profiling of IoT Malware. In ACM Internet Measurement
Conference (IMC ’22), October 25–27, 2022, Nice, France. ACM, New York, NY, USA, 16 pages.

2. Introduzione
• Attacker controllano più server C2
• Server C2 inviano comandi ai bot
• I bot attaccano la vittima
Situazione:
Conseguenze:
• Bot compromessi da malware
• Vittima smette di funzionare
temporaneamente

3. Obiettivo
Analizzare Malware IoT
basandosi su:
• Tempestività
• Dinamicità
• File eseguibili
• Livello di rete
Problema: Quante informazioni si possono estrarre da un eseguibile di
malware IoT appena scoperto?

4. Metodologia
• D-Samples: Tutti i malware raccolti
• D-C2s: Indirizzi IP o nomi DNS server C2
• D-PC2: Misurazioni di traffico generato da
server C2
• D-Exploits: Exploits inviati dai malware
• D-DDOS: Comandi per avviare attacchi DDoS

5. 1. Come sono distribuiti i server C2 tra i Sistemi Autonomi?
Profilazione dei server C2 (1)
• Molti server C2 contenuti in pochi Sistemi Autonomi
• I Sistemi Autonomi più popolari sono hosting provider
2. Quanto sono efficaci i servizi che forniscono informazioni
riguardo minacce informatiche?
• Non sono tempestivi
• Non sono completi
• Potrebbero migliorare le blacklist dei dispositivi IoT

6. 3. Quanto e quando sono attivi i server C2?
Profilazione dei server C2 (2)
• Sono attivi per un breve periodo, in media 4 giorni
• Quando attivi, rispondono raramente alle probe

7. 4. Quali caratteristiche hanno le vulnerabilità sfruttate dai malware IoT?
Esistono delle soluzioni?
Profilazione della proliferazione dei malware IoT
• Vulnerabilità scoperte da diversi anni
• Patch di sicurezza potrebbero risolvere il problema

8. 5. Che tipo di attacchi DDoS vengono eseguiti? Quali sono le vittime?
Profilazione degli attacchi DDoS
• 8 tipologie di attacco DDoS
• Vittime principali hosting provider e ISP
• UDP protocollo più popolare
Protocolli utilizzati per
effettuare attacchi DDoS:
 UDP
 TCP
 DNS
 ICMP

9. Conclusione
Rilevanza:
• Malware potrebbero danneggiare i calcolatori compromessi
• Vittime di attacchi DDoS interrompono le normali funzioni
• Dispositivi IoT in genere più vulnerabili
Utilità:
• Aggiornare blacklist e regole di firewall
• ISP potrebbero bloccare i server C2

10. Grazie per l’attenzione