Detecção de variantes metamórficas de Malware por Comparação de Códigos Normalizados / Detecting metamorphic Malware Using Code Normalization

Cozzolino, Marcelo Freire

27 February 2012

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2012-05-03T13:37:09Z No. of bitstreams: 1 2012_MarceloFreireCozzolino.pdf: 1250185 bytes, checksum: 05ca5f0495dc6b026246a64538ad2612 (MD5) / Approved for entry into archive by Marília Freitas(marilia@bce.unb.br) on 2012-05-11T15:21:08Z (GMT) No. of bitstreams: 1 2012_MarceloFreireCozzolino.pdf: 1250185 bytes, checksum: 05ca5f0495dc6b026246a64538ad2612 (MD5) / Made available in DSpace on 2012-05-11T15:21:08Z (GMT). No. of bitstreams: 1 2012_MarceloFreireCozzolino.pdf: 1250185 bytes, checksum: 05ca5f0495dc6b026246a64538ad2612 (MD5) / Malware é um termo usado para descrever todos os tipos de software maliciosos como vírus, worms ou trojan horses. Para combater tais ameaças, muitas técnicas e ferramentas têm sido empregadas como os anti-* (anti-virus, anti-malware, anti-phishing), os firewalls, sistemas de detecção de intrusão, entre outras. Contudo, novos artifícios têm sido empregados pelos desenvolvedores de malware para dificultar o processo de detecção. Um desses artifícios é proporcionar a alteração do código do malware à medida que sua propagação ocorre. Tal técnica, conhecida como “metamorfismo”, visa dificultar o processo de detecção por assinatura. Essas versões metamórficas do malware são usualmente geradas automaticamente por um componente do código (engine de metamorfismo) incorporado no próprio malware. Detecção de malware metamórfico é um desafio. O problema com scanner baseados em assinatura é que mesmo pequenas alterações no código do malware podem conduzir a falhas no processo de detecção e a base de assinaturas requer constante atualização para inserir as variantes recém-criadas. Este trabalho propõe uma metodologia que permite, a partir de um malware conhecido, reconhecer variantes metamórficas deste. O método proposto reverte às ações de metamorfismo para obter a versão original e, assim, facilitar o processo de identificação do mesmo. Um processo de comparação é feito visando determinar se o programa testado possui o malware buscado. Os resultados alcançados mostram a viabilidade da metodologia proposta, tendo identificado 100% dos malware testados sem a ocorrência de falsos positivos. ______________________________________________________________________________ ABSTRACT / Malware is a term used to describe all types of malicious software such as viruses, worms or, Trojan horses. To combat these threats, many techniques and tools have been used as anti-* (anti-virus, anti-malware, anti-phishing), firewalls, intrusion detection systems, among others. However, new approaches have been used by malware developers to make them more difficult the detection process. One of them is to provide the code change every time it copies itself. This technique is known as "metamorphism" and aims to defeat string signature based detection. These versions of metamorphic malware are usually generated automatically by a component of the code (metamorphic engine) that is incorporated in the malware itself. Detection of metamorphic malware is a challenge. The problem with simple signature-based scanning is that even small changes in the malware code may cause a scanner to fail and the signature database requires constant updates to detect newly variants. This work proposes a methodology that allows, from a known malware, recognizing its metamorphic variants. The proposed method reverses the actions of metamorphism for the original version, and thus facilitates the process of identifying the same. A comparison process is done to determine if the tested file has the malware sought. To demonstrate the feasibility, the proposed methodology was applied to set metamorphic variants of a malware, which identified 100% of malware tested without the occurrence of false positives. Moreover, we also compare our approach with commercial antivirus and show that our approach is more effective than existing classification systems.

Vírus de computador

ASAT: Uma ferramenta para detecção de novos vírus

Mazza Batista, Eduardo

31 January 2008

Made available in DSpace on 2014-06-12T15:51:13Z (GMT). No. of bitstreams: 1 license.txt: 1748 bytes, checksum: 8a4605be74aa9ea9d79846c1fba20a33 (MD5) Previous issue date: 2008 / Conselho Nacional de Desenvolvimento Científico e Tecnológico / O termo vírus de computador pode ser utilizado para definir de maneira geral qualquer programa que possua intenções maliciosas. É de interesse que, desde grandes empresas até usuários domésticos, exista proteção contra tais ameaças virtuais. A informação atualmente é vista como um bem muito valioso e de total importãncia. Existem vários casos de prejuízos causados devido a danos em informação confidenciais de empresas. Os ataques de vírus visam prejudicar de alguma forma esse patrimônio, seja danificando-o, por remoção ou alteração, ou até mesmo roubando-o e em alguns casos seqüestrando-o. Diversas medidas de segurança podem ser adotadas com o objetivo de proteger a informação, como é o caso de realização de cópias de segurança. Umas das medidas mais utilizadas para prevenir os ataques de vírus ainda consiste nos programas de detecção de vírus que funcionam através da análise do código de máquina dos executáveis. Com o intuito de enganar os programas de antivírus os criadores de vírus estão sempre criando novas versões de seus vírus com modificações em seus códigos, fazendo com que a taxa de detecção dos antivírus seja reduzida para vírus desconhecidos. Visando resolver este problema nosso trabalho propõe ASAT, uma ferramenta para detecção de novos vírus que funciona baseada em estatísticas calculadas utilizando o código de máquina de arquivos executáveis. O trabalho inclui também uma comparação dos resultados obtidos por ASAT com o desempenho de ferramentas de antivírus comerciais

Vírus de computador

Antivírus

kits de construção de vírus

The administration of the information and its safety against attacks of computer virus received from the electronic mail. / O gerenciamento da informação e sua segurança contra ataques de vírus de computador recebidos por meio de correio eletrônico

Júlio César Gonçalves

25 May 2002

This research, on the Information and the Information Safety, makes a study of the concept Information and its applications, initially in the organizations, reflecting about topics as strategy, information systems and the importance for the competitiveness to the business market, pointing out the fragility of the existent information in the corporations - stored in data servers computers on Computers Centers - which are vulnerable to the attack from computer virus transmited by electronic mail. This work aims to propose the implementation of an Information Safety Policy in a company, giving emphasis to the protection against virus attacks received from electronic mail. This is a critical problem of great proportions, that can cause great damages to organizations and companies as a whole. The Safety Policy tries to point out means and guidelines to provide reliable, safe, information, that contributes positively to the decision marketing process. This dissertation tends to evaluate how the corporations are dealing with the problem of the information safety against electronic mail virus, how the leaders have been concerned about the loss, integrity and the destruction of the stored data, to enumerate the main means and technological implementations to minimize the risks with the lack of safety of these data and to point out the importance of the implementation of this Politicy (aiming to provide) with the intention of providing resources, technology and reliable information to the business. / Esta pesquisa sobre a Informação e a Segurança da Informação, efetua um estudo do conceito Informação e as suas aplicações nas organizações, refletindo sobre tópicos como estratégia, sistemas de informação e a importância para a competitividade frente ao mercado empresarial, evidenciando a fragilidade da informação existente nas corporações armazenada nos servidores de dados dos Centros de Informática e vulneráveis a ataques de vírus de computador que possam ter como meio de transmissão o correio eletrônico. O objetivo deste trabalho é propor a implementação de uma Política de Segurança da Informação em uma indústria, dando ênfase à proteção contra ataques de vírus recebidos por meio do correio eletrônico. Este é um problema crítico e de grandes proporções, que pode gerar grandes prejuízos às organizações e empresas em geral. A Política de Segurança procura evidenciar meios e diretrizes que possam prover uma informação confiável, segura e que contribua positivamente no processo da tomada de decisões. Esta dissertação tende a avaliar como as corporações estão enfrentando o problema da segurança da informação contra vírus do correio eletrônico, como os dirigentes têm conduzido a preocupação com a perda, integridade e a destruição dos dados armazenados, a enumerar os principais meios e implementações tecnológicas para se minimizar os riscos com a falta de segurança destes dados e evidenciar a importância da implementação desta Política, com o intuito de prover recursos, tecnologia e informação confiável ao negócio.

vírus de computador

política de segurança

sistemas de informação

criptografia

ADMINISTRACAO DE SETORES ESPECIFICOS

Uma Estratégia para Sistemas de Detecção e Prevenção de Intrusão Baseada em Software Livre / A Strategy for Detection Systems and Intrusion Prevention Based on Free Software

Martins, Daniel Mourão

January 2012

MARTINS, Daniel Mourão. Uma Estratégia para Sistemas de Detecção e Prevenção de Intrusão Baseada em Software Livre. 2012. 100 f. : Dissertação (mestrado) - Universidade Federal do Ceará, Centro de Ciências, Departamento de Computação, Fortaleza-CE, 2012. / Submitted by guaracy araujo (guaraa3355@gmail.com) on 2016-06-15T19:37:51Z No. of bitstreams: 1 2012_dis_dmmartins.pdf: 1662213 bytes, checksum: a7c95d868daa750f552c44e3d55a3afe (MD5) / Approved for entry into archive by guaracy araujo (guaraa3355@gmail.com) on 2016-06-15T19:38:36Z (GMT) No. of bitstreams: 1 2012_dis_dmmartins.pdf: 1662213 bytes, checksum: a7c95d868daa750f552c44e3d55a3afe (MD5) / Made available in DSpace on 2016-06-15T19:38:36Z (GMT). No. of bitstreams: 1 2012_dis_dmmartins.pdf: 1662213 bytes, checksum: a7c95d868daa750f552c44e3d55a3afe (MD5) Previous issue date: 2012 / Due to the constant increase of the use of information systems and the potential impact that these intrusions can cause in all spheres of society a Intrusion Detection and Prevention System (IDPS) has become a necessity for network ans services security from various world organizations. These systems usually depends of prior knowledge of the patterns of attacks in order to detect them. This work presents an strategy to scenarios with computational and financial resources limited, using only opensource software for intrusion detection. This proposal is the creation of one flexible and scalable IDPS, with software integration, implementation of alerts correlation rules and a signatures generator module for Snort, that can increase its efficiency enabling it to produce knowledge for preventing the recurrence of some intrusion attacks not constant in original database, thus minimizing the detection problem for these attacks. To validate this proposal, a testing scenario was implemented with three server machines, one with the solution manager module and one with Snort. The results confirmed that this strategy meets the proposed requisites in a satisfactorily way being an important contribution to researchs about the theme. / Devido ao aumento constante da utilização dos sistemas de informação em todas as esferas da sociedade e o potencial impacto que intrusões a esses sistemas podem causar, um Sistema de Detecção e Prevenção de Intrusão (IDPS) tornou-se uma necessidade para segurança da infraestrutura de rede e serviços das mais diversas organizações. Normalmente, esses sistemas dependem de conhecimento prévio dos padrões dos ataques para poder detectá-los. Este trabalho apresenta uma estratégia adequada, utilizando exclusivamente software livre, para a detecção de intrusões em cenários com escassez de recursos computacionais e financeiros. Esta proposta consiste na criação de um IDPS flexível e escalável que, com a integração de sistemas, implementação de regras de correlação de alertas e um módulo gerador de assinaturas para o Snort, pode-se aumentar a sua eficácia habilitando-o a produzir conhecimento para a prevenção da repetição de ataques intrusivos não constantes de sua base de dados original. Assim, minimiza-se a problemática de detecção desses ataques. Para validar essa proposta, implementou-se um cenário de testes com três máquinas servidoras, uma com o módulo gerenciador da solução e outra com o Snort. Os resultados obtidos confirmaram que a estratégia atende aos quesitos propostos de maneira satisfatória sendo uma importante contribuição para as pesquisas sobre o tema.

Ciência da Computação

Detecção, Prevenção e Intrusão

Software - Proteção

Software Livre

Vírus de Computador

Uma estratégia para sistemas de detecção e prevenção de intrusão baseada em software livre / A Strategy for detection systems and intrusion prevention based on free software

Martins, Daniel Mourão

January 2012

MARTINS, Daniel Mourão. Uma estratégia para sistemas de detecção e prevenção de intrusão baseada em software livre. 2012. 100 f. Dissertação (Mestrado em ciência da computação)- Universidade Federal do Ceará, Fortaleza-CE, 2012. / Submitted by Elineudson Ribeiro (elineudsonr@gmail.com) on 2016-07-11T12:42:46Z No. of bitstreams: 1 2012_dis_dmmartins.pdf: 1662213 bytes, checksum: a7c95d868daa750f552c44e3d55a3afe (MD5) / Approved for entry into archive by Rocilda Sales (rocilda@ufc.br) on 2016-07-15T12:46:01Z (GMT) No. of bitstreams: 1 2012_dis_dmmartins.pdf: 1662213 bytes, checksum: a7c95d868daa750f552c44e3d55a3afe (MD5) / Made available in DSpace on 2016-07-15T12:46:01Z (GMT). No. of bitstreams: 1 2012_dis_dmmartins.pdf: 1662213 bytes, checksum: a7c95d868daa750f552c44e3d55a3afe (MD5) Previous issue date: 2012 / Due to the constant increase of the use of information systems and the potential impact that these intrusions can cause in all spheres of society a Intrusion Detection and Prevention System (IDPS) has become a necessity for network ans services security from various world organizations. These systems usually depends of prior knowledge of the patterns of attacks in order to detect them. This work presents an strategy to scenarios with computational and financial resources limited, using only opensource software for intrusion detection. This proposal is the creation of one flexible and scalable IDPS, with software integration, implementation of alerts correlation rules and a signatures generator module for Snort, that can increase its efficiency enabling it to produce knowledge for preventing the recurrence of some intrusion attacks not constant in original database, thus minimizing the detection problem for these attacks. To validate this proposal, a testing scenario was implemented with three server machines, one with the solution manager module and one with Snort. The results confirmed that this strategy meets the proposed requisites in a satisfactorily way being an important contribution to researchs about the theme. / Devido ao aumento constante da utilização dos sistemas de informação em todas as esferas da sociedade e o potencial impacto que intrusões a esses sistemas podem causar, um Sistema de Detecção e Prevenção de Intrusão (IDPS) tornou-se uma necessidade para segurança da infraestrutura de rede e serviços das mais diversas organizações. Normalmente, esses sistemas dependem de conhecimento prévio dos padrões dos ataques para poder detectá-los. Este trabalho apresenta uma estratégia adequada, utilizando exclusivamente software livre, para a detecção de intrusões em cenários com escassez de recursos computacionais e financeiros. Esta proposta consiste na criação de um IDPS flexível e escalável que, com a integração de sistemas, implementação de regras de correlação de alertas e um módulo gerador de assinaturas para o Snort, pode-se aumentar a sua eficácia habilitando-o a produzir conhecimento para a prevenção da repetição de ataques intrusivos não constantes de sua base de dados original. Assim, minimiza-se a problemática de detecção desses ataques. Para validar essa proposta, implementou-se um cenário de testes com três máquinas servidoras, uma com o módulo gerenciador da solução e outra com o Snort. Os resultados obtidos confirmaram que a estratégia atende aos quesitos propostos de maneira satisfatória sendo uma importante contribuição para as pesquisas sobre o tema.

Ciência da computação

Detecção, Prevenção e Intrusão

Software - Proteção

Software livre

Vírus de computador