Successfully reported this slideshow.
Your SlideShare is downloading. ×

Malware classification

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Loading in …3
×

Check these out next

1 of 28 Ad
Advertisement

More Related Content

Advertisement

Malware classification

  1. 1. Moderne Malwareklassifikation Sebastian Porst, zynamics GmbH sebastian.porst@zynamics.com sebastian.porst@zynamics.com
  2. 2. 40.000+ neue 15.0 Mio 14.5 Mio Malwaredateien pro Tag 1.8 Mio 0.2 Mio 2006 2007 2008 2009 Quelle: Kaspersky Security Bulletin 2009. Malware Evolution 2009
  3. 3. Was tun? Erkennung Analyse Klassifikation
  4. 4. Funktionsaufrufe Dynamisch Systemänderungen Klassifikation n-Gramme Statisch Bloom Filter Strukturell
  5. 5. Dynamisch Programmverhalten wird berücksichtigt Statisch Programmstruktur wird berücksichtigt
  6. 6. Dynamisch Funktionsaufrufe Mit bekannter Programm Funktionsaufrufe Malware Ausführen protokollieren vergleichen
  7. 7. Dynamisch Funktionsaufrufe ReadFile Process32First Funktionsaufrufe protokollieren = lstrcpy …
  8. 8. Dynamisch Funktionsaufrufe Sequenzen von Funktionsaufrufen Mit bekannter Bibliothek Malware vergleichen = aufbauen Editierdistanz
  9. 9. Dynamisch Funktionsaufrufe Vorteile Nachteile Einfach zu realisieren Programme müssen ausgeführt werden Überwachung erfolgt prozessübergreifend Anfällig für Täuschungsversuche
  10. 10. Dynamisch Systemänderungen Systemveränderungen Mit bekannter Programm Ausführen protokollieren Malware vergleichen
  11. 11. Dynamisch Systemänderungen Datei C:windowsfoo.exe wurde geschrieben Server an Port 80 angemeldet Veränderungen protokollieren = Lädt Datei von IRC Server runter …
  12. 12. Dynamisch Systemänderungen Sequenzen von Systemänderungen Mit bekannter Malware vergleichen = Bibliothek aufbauen Editierdistanz
  13. 13. Dynamisch Systemänderungen Vorteile Nachteile Einfach zu realisieren Programme müssen ausgeführt werden Überwachung erfolgt prozessübergreifend Weniger anfällig für Täuschungsversuche
  14. 14. Statisch n-Gramme Mit bekannter Programm n-Gramme Malware disassemblieren berechnen vergleichen
  15. 15. Statisch n-Gramme Programm disassemblieren n-Gramme berechnen = Befehle erkennen Mnmemonic- Sequenzen zählen
  16. 16. Statisch n-Gramme n-Gramme berechnen Mit bekannter Bibliothek Malware = vergleichen aufbauen Cosinus
  17. 17. Statisch n-Gramme Vorteile Nachteile Einfach und schnell In der Praxis nur für kleine n möglich Berücksichtigt gesamte Datei Anfällig gegenüber Compileränderungen Robust gegenüber Codebewegungen Kann sehr leicht getäuscht werden
  18. 18. Statisch Bloom Filter Mit bekannter Programm Bloom Filter Malware disassemblieren berechnen vergleichen
  19. 19. Statisch Bloom Filter Datei disassemblieren Basic Blocks erkennen Bloom Filter berechnen = Basic Blocks hashen Hashwerte in Vektor speichern
  20. 20. Statisch Bloom Filter Bloom Filter berechnen Mit bekannter Bibliothek Malware = vergleichen aufbauen Vektorvergleich
  21. 21. Statisch Bloom Filter Vorteile Nachteile Skaliert wunderbar Entwicklung der Hashfunktion sehr schwierig Hashfunktion ist anfällig für kleine Änderungen
  22. 22. Statisch Strukturell Mit bekannter Programm Flussgraphen Malware disassemblieren berechnen vergleichen
  23. 23. Statisch Strukturell Datei disassemblieren Funktionen erkennen Flussgraphen berechnen = Flussgraph erstellen Graphstruktur hashen
  24. 24. Statisch Strukturell Flussgraphen berechnen Mit bekannter Bibliothek Malware = vergleichen aufbauen Hashvergleich
  25. 25. Statisch Strukturell Vorteile Nachteile Berücksichtigt das komplette Programm Vollständiges Disassembly wird benötigt Robust gegenüber Änderungen Zu langsam für Endnutzergeräte
  26. 26. Resultate
  27. 27. Weitere Ideen Kombinationen Andere Methoden Signaturgeneration Angriffe korrelieren

×