Towards the Detection of Isolation-Aware Malware

Rodríguez, Ricardo J.; Gaston, Inaki Rodriguez; Alonso, Javier

doi:10.1109/tla.2016.7437254

Cited by 10 publications

(19 citation statements)

References 25 publications

(25 reference statements)

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…Dentres suas vantagens frente a outras técnicas de análise, o autor destaca que ela: (i) não requer qualquer preparação prévia para análise no programa cliente -programa a ser instrumentado -, como injeção de bibliotecas ou alterações no código binário da aplicação cliente; (ii) cobre naturalmente, com a análise, todo o código da aplicação cliente, o que pode não ser possível nas análises estáticas, especialmente quando a aplicação gera códigos dinamicamente; (iii) não requer acesso ao código fonte da aplicação cliente ou recompilação da mesma. Rodriguez et al (2016) acrescentam ainda: (i) ser independente de linguagem de programação e compilador utilizados para a geração da aplicação cliente; e (ii) possuir controle absoluto sobre a execução da aplicação a ser analisada.…”

Section: Instrumentação Binária Dinâmicaunclassified

“…A Instrumentação Binária Dinâmica (Dynamic Binary Instrumentation), ou simplesmente DBI, vem sendo empregada em diversas soluções de segurança, como taint analysis [Stamatogiannakis et al, 2015], unpacker de malwares [Mariani et al, 2016], proteção da transparência de máquinas virtuais [Gilboy, 2016;Rodriguez et al, 2016] e análise de malwares [Kulakov, 2017]. Por permitir a análise em tempo de execução de aplicações, a nível binário, através da inserção de instruções arbitrárias (de análise) no código da aplicação, a instrumentação binária dinâmica auxília na análise de segurança do comportamento de aplicações, inspecionando estruturas como registradores e a pilha do processo, dentre outras capacidades.…”

Section: Introductionunclassified

“…Para tanto, foi empregada uma ferramenta capaz de detectar e mitigar comportamentos evasivos de aplicações maliciosas, conhecida como PinVMShield [Rodriguez et al, 2016]. Uma vez que essa ferramenta foi desenvolvida com uma arquitetura de plugins, foi possível extendermos as funcionalidades da ferramenta com as nossas contramedidas.…”

Section: Introductionunclassified

See 2 more Smart Citations

Reduzindo a Superfície de Ataque dos Frameworks de Instrumentação Binária Dinâmica

Filho¹

2019

Anais Do XIX Simpósio Brasileiro De Segurança Da Informação E De Sistemas Computacionais (SBSeg 2019)

View full text Add to dashboard Cite

Este artigo propõe contramedidas para mitigar técnicas de antiinstrumentação, em especial as que exploram o aumento da superfície de ataque produzido por ferramentas de instrumentação binária dinâmica, permitindo ataques como a execução de código arbitrário. Provas de conceito foram desenvolvidas e testadas em ambiente controlado com um conjunto de técnicas anti-instrumentação. Como resultado, é apresentado que é possível reduzir a superfície de ataque explorável das ferramentas DBI através da mitigação das técnicas anti-instrumentação.

show abstract

Section: Instrumentação Binária Dinâmicaunclassified

Section: Introductionunclassified

See 1 more Smart Citation

Reduzindo a Superfície de Ataque dos Frameworks de Instrumentação Binária Dinâmica

Filho¹

2019

Anais Do XIX Simpósio Brasileiro De Segurança Da Informação E De Sistemas Computacionais (SBSeg 2019)

View full text Add to dashboard Cite

show abstract

“…A taxonomy and non-exhaustive survey on techniques used for detecting analysis environments were introduced in [12]. Besides, a tool was provided to trick an anti-analysis malware sample running on a virtual environment as running on a real environment.…”

Section: Related Workmentioning

confidence: 99%

“…Malware with capabilities of analysis detection are named as analysis-aware or split personality malware [1,8]. These detection mechanisms are mainly based either on indirect techniques (i.e., time or event triggered) or on direct techniques as binary analysis, sandboxing, or virtual and memory analysis [12].…”

Section: Introductionmentioning

confidence: 99%

Empirical Study to Fingerprint Public Malware Analysis Services

Botas

Rodríguez

Olivera

et al. 2017

International Joint Conference SOCO’17-CISIS’17-ICEUTE’17 León, Spain, September 6–8, 2017, Proceeding

View full text Add to dashboard Cite

The evolution of malicious software (malware) analysis tools provided controlled, isolated, and virtual environments to analyze malware samples. Several services are found on the Internet that provide to users automatic system to analyze malware samples, as VirusTotal, Jotti, or ClamAV, to name a few. Unfortunately, malware is currently incorporating techniques to recognize execution onto a virtual or sandbox environment. When analysis environment is detected, malware behave as a benign application or even show no activity. In this work, we present an empirical study and characterization of automatic public malware analysis services. In particular, we consider 26 different services. We also show a set of features that allow to easily fingerprint these services as analysis environments. Finally, we propose a method to mitigate fingerprinting.

show abstract

Reducing the Attack Surface of Dynamic Binary Instrumentation Frameworks

Filho

Rodríguez

Feitosa

2019

Smart Innovation, Systems and Technologies

View full text Add to dashboard Cite

Malicious applications pose as one of the most relevant issues in today's technology scenario, being considered the root of many Internet security threats. In part, this owes the ability of malware developers to promptly respond to the emergence of new security solutions by developing artifacts to detect and avoid them. In this work, we present three countermeasures to mitigate recent mechanisms used by malware to detect analysis environments. Among these techniques, this work focuses on those that enable a malware to detect dynamic binary instrumentation frameworks, thus increasing their attack surface. To ensure the effectiveness of the proposed countermeasures, proofs of concept were developed and tested in a controlled environment with a set of anti-instrumentation techniques. Finally, we evaluated the performance impact of using such countermeasures.

show abstract

Towards the Detection of Isolation-Aware Malware

Cited by 10 publications

References 25 publications

Reduzindo a Superfície de Ataque dos Frameworks de Instrumentação Binária Dinâmica

Reduzindo a Superfície de Ataque dos Frameworks de Instrumentação Binária Dinâmica

Empirical Study to Fingerprint Public Malware Analysis Services

Reducing the Attack Surface of Dynamic Binary Instrumentation Frameworks

Contact Info

Product

Resources

About