Opcodes histogram for classifying metamorphic portable executables malware

Rad, Babak Bashari; Masrom, Maslin; Ibrahim, Suhaimi

doi:10.1109/icelete.2012.6333411

Cited by 38 publications

(34 citation statements)

References 17 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…Algumas dessas abordagens incluem: a) modelagem estatística dos padrões de código gerados pelos motores metamórficos [5] [6] [7]; b) análise das distribuições das ocorrências de sequências de opcodes de instruções [8]; c) análise estatística composta pela combinação de métodos de ranqueamento de características de grupos de opcodes de instruções [9]; e d) análise de representações intermediárias que expressam as semânticas do código, tais como: grafos de controle de fluxo [10] [11], grafos de chamadas a APIs do sistema [12] e grafos de dependência de dados [13] [4].…”

Section: Introductionunclassified

Improving the detection of metamorphic malware through data dependency graphs indexing

Aguilera¹,

Souto²,

Martins³

2018

J. Inf. Secur. Cryptogr.

View full text Add to dashboard Cite

Abstract-Metamorphism have been successfully used in original malicious code to the creation and proliferation of new malware instances, making them harder to detect. This work presents an approach that identifies metamorphic malware through data dependency graphs comparison. Features are extracted on data dependency graphs to build an index that is used to determine which malware family a suspicious code belongs to. Experimental results on 3045 samples of metamorphic malware showed that our proposed approach obtained accuracy rate higher than most commercial anti-malware tools.Index Terms-malware, metamorfismo, grafos de dependência, engenharia reversa, aprendizagem de máquina. I. INTRODUÇÃOApesar dos crescentes investimentos e esforços realizados pelas companhias de segurança na criação de soluções de detecção de software maliciosos (e.g. antivirus, antispyware e adware), a infecção de malware continua sendo uma das principais ameaças a segurança dos sistemas computacionais no mundo. A sofisticação dos ataques e o aumento cada vez maior das famílias de malware tem tornado a defesa contra cibercriminosos uma tarefa ainda mais difícil. De acordo com a empresa AV-Test [2], considerando somente os anos de 2013 e 2014, a quantidade de novas amostras de malware aumentou de 83 para 142 milhões, representando uma taxa de crescimento superiorà 71%. Um relatório produzido pela Symantec descreve um aumento de 274 milhões de amostras de vírus em 2014 para 357 milhões em 2016 [3]. Esses estudos reconhecem a falta de capacidade das ferramentas de detecção de malware existentes em lidar com as técnicas usadas pelos atacantes para evadir tais ferramentas.Essa dificuldade ocorre principalmente porque os criadores de programas maliciosos empregam várias técnicas de evasão como polimorfismo e metamorfismo de código para criar novas variantes de um malware a partir de uma mesma instância de código original, gerando diversas estruturas e padrões de código aleatórios [4]. Tal nível de variedade pode ser obtido de forma automatizada, a uma taxa exponencial, o que torna a criação de modelos de identificação de malware um processo ainda mais difícil.Este artigo corresponde a uma versão estendida do artigo:"Detecção de malware metamórfico baseada na indexação de grafos Dentre as abordagens citadas, o uso de Grafos de Dependência de Dados (GDDs) se apresenta como uma alternativa promissora para detecção de malware metamórficos, visto que as relações semânticas representadas pelos GDDs se mantêm praticamente inalteradas mesmo quando uma nova versão de malwareé criada. Um GDDé uma representação que usa uma notação baseada em grafos para descrever todas as relações de dependências de dados existentes entre as instruções de um programa de computador. Liu et al. [14] e Kim e Moon [13], por exemplo, demonstraram que possível usar GDDs para identificar efetivamente pelo menos cinco tipos diferentes de técnicas de ofuscação de código: i) alteração de formato; ii) mudança no nome das variáveis; iii) reordenamento de estruturas; iv) troca de estr...

show abstract

Section: Introductionunclassified

Improving the detection of metamorphic malware through data dependency graphs indexing

Aguilera¹,

Souto²,

Martins³

2018

J. Inf. Secur. Cryptogr.

View full text Add to dashboard Cite

show abstract

“…Using a threshold-based method, authors of [31] correctly classify different obfuscated versions of metamorphic viruses; in reference [32] the authors obtain a 100% detection rate using a dataset of 40 malware instances of NGCVK family, 40 benign files and 20 samples classified by authors as other virus files. Compared with our technique, this two works cope with metamorphic malware, while our domain of investigation is Android malware.…”

Section: Related Workmentioning

confidence: 99%

“…In references [31,32] the histograms of opcodes are used as a feature to find whether a file is a morphed version of another. Using a threshold-based method, authors of [31] correctly classify different obfuscated versions of metamorphic viruses; in reference [32] the authors obtain a 100% detection rate using a dataset of 40 malware instances of NGCVK family, 40 benign files and 20 samples classified by authors as other virus files.…”

Section: Related Workmentioning

confidence: 99%

Effectiveness of Opcode ngrams for Detection of Multi Family Android Malware

Canfora

Lorenzo

Medvet

et al. 2015

2015 10th International Conference on Availability, Reliability and Security

View full text Add to dashboard Cite

Abstract-With the wide diffusion of smartphones and their usage in a plethora of processes and activities, these devices have been handling an increasing variety of sensitive resources. Attackers are hence producing a large number of malware applications for Android (the most spread mobile platform), often by slightly modifying existing applications, which results in malware being organized in families.Some works in the literature showed that opcodes are informative for detecting malware, not only in the Android platform. In this paper, we investigate if frequencies of ngrams of opcodes are effective in detecting Android malware and if there is some significant malware family for which they are more or less effective. To this end, we designed a method based on state-of-the-art classifiers applied to frequencies of opcodes ngrams. Then, we experimentally evaluated it on a recent dataset composed of 11120 applications, 5560 of which are malware belonging to several different families.Results show that an accuracy of 97% can be obtained on the average, whereas perfect detection rate is achieved for more than one malware family.

show abstract

“…The method described in [49] used a histogram of instruction opcode frequencies to detect morphed malware. Classification of files as malicious or benign was done y comparing the already built histograms of malware samples.…”

Section: Existing Workmentioning

confidence: 99%

“…[49] Vinod P, Harshit Jain, et.al [27] Quinghua Zhang, Douglas S. Reeves [28] Mohamed R.Chouchane, Arun Lakhotia [29] 1218 benign executables and 868 NGVCK viruses. Generated signatures using semantic summaries of the morphed malwares.…”

mentioning

confidence: 99%

Detecting and Classifying Morphed Malwares: A Survey

Singla¹,

Gandotra²,

Bansal³

et al. 2015

IJCA

View full text Add to dashboard Cite

In this era, most of the antivirus companies are facing immense difficulty in detecting morphed malwares as they conceal themselves from detection. Malwares use various techniques to camouflage themselves so as to increase their lifetime. These obscure methods cannot completely impede analysis, but it prolongs the process of analysis and detection. This paper presents a review on malware detection systems and the progress made in detecting advanced malwares which will serve as a reference to researchers interested in working on advance malware detection systems.

show abstract

Opcodes histogram for classifying metamorphic portable executables malware

Cited by 38 publications

References 17 publications

Improving the detection of metamorphic malware through data dependency graphs indexing

Improving the detection of metamorphic malware through data dependency graphs indexing

Effectiveness of Opcode ngrams for Detection of Multi Family Android Malware

Detecting and Classifying Morphed Malwares: A Survey

Contact Info

Product

Resources

About