a bug or malware catastrophic consequences either way
play

A Bug or Malware? Catastrophic consequences either way. Ben - PowerPoint PPT Presentation

Aug 24, 2023 •263 likes •687 views

A Bug or Malware? Catastrophic consequences either way. Ben Holland, Suresh Kothari Iowa State University but not necessarily in that order ;) DARPAs APAC

  1. A ¡Bug ¡or ¡Malware? ¡ ¡ Catastrophic ¡consequences ¡either ¡way. Ben ¡Holland, ¡Suresh ¡Kothari ¡ Iowa ¡State ¡University ¡

  7. …but ¡not ¡necessarily ¡in ¡that ¡order ¡;) ¡

  10. DARPA’s ¡APAC ¡Program • Automated ¡Program ¡Analysis ¡For ¡Cybersecurity ¡(APAC) ¡ • Scenario: ¡Hardened ¡devices, ¡internal ¡app ¡store, ¡untrusted ¡ contractors, ¡expert ¡adversaries ¡ • Focused ¡on ¡Android ¡

  11. DARPA’s ¡APAC ¡Program • Automated ¡Program ¡Analysis ¡For ¡Cybersecurity ¡(APAC) ¡ • Scenario: ¡Hardened ¡devices, ¡internal ¡app ¡store, ¡untrusted ¡ contractors, ¡expert ¡adversaries ¡ • Focused ¡on ¡Android ¡ Need ¡precision ¡tools ¡to ¡detected ¡ novel ¡and ¡ sophis*cated ¡malware ¡in ¡advance! ¡

  12. What ¡have ¡we ¡learned?

  13. What ¡to ¡expect ¡in ¡this ¡talk… • This ¡talk ¡does ¡not ¡have ¡all ¡the ¡answers… ¡ • Step ¡back ¡and ¡ask ¡some ¡fundamental ¡quesMons ¡ • Let’s ¡start ¡a ¡discussion ¡

  14. Ice ¡Breaker: ¡Do ¡you ¡agree? • AnMvirus ¡protects ¡us ¡from ¡modern ¡malware. ¡ • AnMvirus ¡protects ¡us ¡from ¡yesterday’s ¡threats. ¡ • AnMvirus ¡protects ¡us ¡from ¡last ¡year’s ¡threats. ¡ • AnMvirus ¡is ¡totally ¡worthless. ¡

  15. Exercise: ¡Refactoring ¡CVE-­‑2012-­‑4681 • “Allows ¡remote ¡aRackers ¡to ¡execute ¡arbitrary ¡code ¡via ¡a ¡craSed ¡ applet ¡that ¡bypasses ¡SecurityManager ¡restricMons…” ¡ • CVE ¡Created ¡August ¡27th ¡2012 ¡(~2 ¡years ¡ago…) ¡ • github.com/benjholla/CVE-­‑2012-­‑4681-­‑Armoring ¡ ¡ ¡Sample ¡Notes ¡Score ¡(posi*ve ¡detec*ons) ¡Original ¡Sample ¡hRp://pasMe.org/4594319 ¡ ¡30/55 ¡Technique ¡A ¡Changed ¡Class/Method ¡names ¡28/55 ¡Techniques ¡A ¡and ¡B ¡Obfuscate ¡strings ¡16/55 ¡Techniques ¡A-­‑C ¡Change ¡Control ¡Flow ¡16/55 ¡Techniques ¡A-­‑D ¡ReflecMve ¡invocaMons ¡(on ¡sensiMve ¡APIs) ¡3/55 ¡Techniques ¡A-­‑E ¡Simple ¡XOR ¡Packer ¡0/55

  16. Let’s ¡define ¡malware • Bad ¡(malicious) ¡soSware ¡ • Examples: ¡Viruses, ¡Worms, ¡Trojan ¡ Horses, ¡Rootkits, ¡Backdoors, ¡ Adware, ¡Spyware, ¡Keyloggers, ¡ Dialers, ¡Ransomware… ¡

  17. Let’s ¡define ¡a ¡“bug” • UnintenMonal ¡error, ¡flaw, ¡failure, ¡ fault ¡ • Examples: ¡Rounding ¡errors, ¡null ¡ pointers, ¡infinite ¡loops, ¡stack ¡ overflows, ¡race ¡condiMons, ¡memory ¡ leaks, ¡business ¡logic ¡flaws… ¡ • Is ¡a ¡soSware ¡bug ¡malware? ¡ • What ¡if ¡I ¡added ¡the ¡bug ¡intenMonally? ¡

  18. A ¡bug ¡or ¡malware? • Context: ¡Found ¡in ¡a ¡CVS ¡commit ¡to ¡the ¡Linux ¡Kernel ¡source ¡ ¡ Hint: ¡This ¡never ¡executes… ¡ "=" ¡vs. ¡"==“ ¡is ¡a ¡subtle ¡yet ¡important ¡difference! ¡ Would ¡grant ¡root ¡privilege ¡to ¡any ¡user ¡that ¡knew ¡ how ¡to ¡trigger ¡this ¡condiMon. ¡

  19. Malware: ¡Linux ¡Backdoor ¡AVempt ¡(2003) • hRps://freedom-­‑to-­‑Mnker.com/blog/felten/the-­‑linux-­‑backdoor-­‑ aRempt-­‑of-­‑2003/ ¡ ¡ Hint: ¡This ¡never ¡executes… ¡ "=" ¡vs. ¡"==“ ¡is ¡a ¡subtle ¡yet ¡important ¡difference! ¡ Would ¡grant ¡root ¡privilege ¡to ¡any ¡user ¡that ¡knew ¡ how ¡to ¡trigger ¡this ¡condiMon. ¡

  20. A ¡bug ¡or ¡malware?

  21. A ¡bug ¡or ¡malware? Always ¡goto ¡fail ¡ Never ¡does ¡the ¡check ¡to ¡ verify ¡server ¡authenMcity… ¡

  22. Bug?: ¡Apple ¡SSL ¡CVE-­‑2014-­‑1266 • Should ¡have ¡been ¡ caught ¡by ¡automated ¡ tools ¡ • Survived ¡almost ¡a ¡ year ¡ • Affected ¡OSX ¡and ¡iOS ¡ Always ¡goto ¡fail ¡ Never ¡does ¡the ¡check ¡to ¡ verify ¡server ¡authenMcity… ¡

  23. A ¡bug ¡or ¡malware? Hint: ¡More ¡SSL ¡fun… ¡

  24. Bug ¡(I ¡hope): ¡Heartbleed • Much ¡less ¡obvious ¡ • Survived ¡several ¡ code ¡audits ¡ • Live ¡for ¡~2 ¡years ¡ Heartbeat ¡message ¡size ¡ "Catastrophic" ¡is ¡the ¡right ¡ controlled ¡by ¡the ¡aRacker… ¡ word. ¡On ¡the ¡scale ¡of ¡1 ¡to ¡10, ¡ this ¡is ¡an ¡11. ¡ Response ¡size ¡also ¡controlled ¡ ¡-­‑Bruce ¡Schneier ¡ by ¡the ¡aRacker… ¡ Reads ¡too ¡much ¡data! ¡

  25. A ¡bug ¡or ¡malware? Hint… ¡ … ¡ Fix ¡adds: ¡ ¡ Missing ¡some ¡input ¡validaMon ¡checks… ¡

  26. Bug ¡(probably): ¡Shellshock ¡CVE-­‑2014-­‑6271/7169 • Bug ¡is ¡the ¡due ¡to ¡the ¡absence ¡of ¡code ¡(validaMon ¡checks) ¡ • Present ¡for ¡25 ¡years!? ¡ • Even ¡more ¡complicated ¡to ¡find ¡ • SMll ¡learning ¡the ¡extent ¡of ¡this ¡bug ¡

  27. Bug ¡(probably): ¡Shellshock ¡CVE-­‑2014-­‑6271/7169

  28. A ¡bug ¡or ¡malware?

  29. Malware: ¡VM ¡escape ¡using ¡bit ¡flips • Govindavajhala, ¡S.; ¡Appel, ¡AW., ¡"Using ¡memory ¡errors ¡to ¡aRack ¡a ¡virtual ¡machine," ¡ ¡Proceedings ¡ ¡ of ¡IEEE ¡Symposium ¡on ¡Security ¡and ¡Privacy, ¡ pp.154-­‑165, ¡May ¡2003. ¡ Wait ¡for ¡a ¡bit ¡flip ¡to ¡obtain ¡two ¡pointers ¡of ¡incompaMble ¡types ¡that ¡ ¡ point ¡to ¡the ¡same ¡locaMon ¡to ¡circumvent ¡the ¡type ¡system ¡and ¡execute ¡ ¡ arbitrary ¡code ¡in ¡the ¡program ¡address ¡space. ¡

  30. So ¡what’s ¡your ¡point? • Both ¡bugs ¡and ¡malware ¡have ¡catastrophic ¡consequences ¡ • Some ¡bugs ¡are ¡indisMnguishable ¡from ¡malware ¡ • Plausible ¡deniability, ¡malicious ¡intent ¡cannot ¡be ¡determined ¡from ¡code ¡ • Some ¡issues ¡can ¡be ¡found ¡automaMcally, ¡but ¡not ¡all ¡ • Novel ¡aRacks ¡can ¡be ¡extremely ¡hard ¡to ¡detect ¡ Are ¡we ¡doing ¡ourselves ¡a ¡ AnMvirus ¡ Program ¡Analysis ¡ disservice ¡by ¡labeling ¡these ¡ looking ¡for ¡malice ¡ looking ¡for ¡bugs… ¡ as ¡separate ¡problems? ¡ ¡ Next ¡Mme ¡you ¡own ¡a ¡box ¡ try ¡dropping ¡a ¡program ¡ with ¡an ¡exploitable ¡“bug” ¡

  31. So ¡what ¡can ¡we ¡do ¡about ¡it? • Growing ¡infrastructure ¡ • Complexity ¡of ¡systems ¡keeps ¡increasing ¡ • Manual ¡work ¡is ¡expensive ¡ • Cost ¡of ¡soSware ¡is ¡increasing ¡while ¡hardware ¡costs ¡decrease ¡ • We ¡obviously ¡can’t ¡automate ¡it ¡all ¡ • Malware ¡is ¡a ¡cat ¡and ¡mouse ¡game ¡ • Tricky ¡bugs ¡are ¡tricky… ¡ Need ¡a ¡process ¡to ¡increase ¡human ¡producMvity… ¡

  32. OODA ¡and ¡You • “Security ¡is ¡a ¡process, ¡not ¡a ¡product” ¡– ¡Bruce ¡Schneier ¡

  33. OODA ¡and ¡You Our ¡opponent ¡ • Time ¡ • EvoluMon ¡of ¡malware ¡ You ¡ Opponent ¡ “...IA ¡> ¡AI, ¡that ¡is, ¡that ¡intelligence ¡amplifying ¡ systems ¡can, ¡at ¡any ¡given ¡level ¡of ¡available ¡ systems ¡technology, ¡beat ¡AI ¡systems. ¡That ¡is, ¡ a ¡machine ¡and ¡a ¡mind ¡can ¡beat ¡a ¡mind-­‑ imitaMng ¡machine ¡working ¡by ¡itself.” ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ – ¡Fred ¡Brooks ¡

  34. Speeding ¡through ¡OODA ¡with ¡Atlas Program ¡DeclaraMons, ¡Control ¡Flow, ¡and ¡Data ¡Flow ¡ Queryable ¡Graph ¡Database ¡ 2-­‑way ¡Source ¡Correspondence ¡ ¡ ¡

  35. Speeding ¡through ¡OODA ¡with ¡Atlas SoSware ¡ Accept ¡or ¡ Android ¡ Analyst ¡ Reject ¡ Evidence ¡ App ¡ Analysis ¡ Analysis ¡ Query ¡ Result ¡ Security ¡ Atlas ¡ ¡ ¡ Toolbox ¡ SoSware ¡

Recommend

Likelihood Consequences Insignificant Minor Moderate Major Catastrophic No injuries First

Likelihood Consequences Insignificant Minor Moderate Major Catastrophic No injuries First

Likelihood Consequences Insignificant Minor Moderate Major Catastrophic No injuries First Aid Some First Aid required External Medical Extensive injuries Death or Major injuries No Enviro Damage Low Enviro Damage Medium Enviro Damage

114 views • 7 slides
JReFrameworker: One Year Later ben-holland.com (daedared) jreframeworker.com I Derbycon

JReFrameworker: One Year Later ben-holland.com (daedared) jreframeworker.com I Derbycon

JReFrameworker: One Year Later ben-holland.com (daedared) jreframeworker.com I Derbycon Derbycon 3.0: My first con ever! Loved it. Derbycon 4.0: A Bug or Malware? Catastrophic consequences either way. How would you detect the

627 views • 43 slides
Minimum energy catastrophic disruptions D.J. Scheeres The University of Michigan Catastrophic

Minimum energy catastrophic disruptions D.J. Scheeres The University of Michigan Catastrophic

Minimum energy catastrophic disruptions D.J. Scheeres The University of Michigan Catastrophic Disruption Workshop Alicante, June 2007 D.J. Scheeres, Associate Professor of Aerospace Engineering, The University of Michigan Angular Momentum of

515 views • 23 slides
Malware What is malware? Malware: malicious software worm ransomware adware

Malware What is malware? Malware: malicious software worm ransomware adware

Malware What is malware? Malware: malicious software worm ransomware adware virus trojan horse etc. and how do we fight it? AV software Firewalls Filtering Patching Writing more secure software

570 views • 22 slides
Malware What is malware? Malware: malicious software worm ransomware adware

Malware What is malware? Malware: malicious software worm ransomware adware

Malware What is malware? Malware: malicious software worm ransomware adware virus trojan horse etc. and how do we fight it? AV software Firewalls Filtering Patching Writing more secure software

540 views • 42 slides
Android Malware Analysis on Attacks and Defense Android malware Android malware With the

Android Malware Analysis on Attacks and Defense Android malware Android malware With the

Android Malware Analysis on Attacks and Defense Android malware Android malware With the explosive growth of mobile device market and usage, there is an increasing number of malicious mobile applications targeting these devices and

819 views • 44 slides
Entrapment: Tricking Malware with Transparent, Scalable Malware Analysis Paul Royal

Entrapment: Tricking Malware with Transparent, Scalable Malware Analysis Paul Royal

Entrapment: Tricking Malware with Transparent, Scalable Malware Analysis Paul Royal paul@gtisc.gatech.edu Agenda Modern Malware Obfuscations, Server-side Polymorphism, Collection Volume Malware Analysis Detection

504 views • 27 slides
Getting started with malware analysis Judith van Stegeren Definitions Malware : any software that

Getting started with malware analysis Judith van Stegeren Definitions Malware : any software that

Getting started with malware analysis Judith van Stegeren Definitions Malware : any software that does something that causes harm to a user, computer or network, including viruses, trojan horses, worms, rootkits, scareware and spyware. Malware

119 views • 9 slides
GOODWARE DRUGS FOR MALWARE: ON-THE-FLY MALWARE ANALYSIS AND CONTAINMENT DAMIANO BOLZONI

GOODWARE DRUGS FOR MALWARE: ON-THE-FLY MALWARE ANALYSIS AND CONTAINMENT DAMIANO BOLZONI

GOODWARE DRUGS FOR MALWARE: ON-THE-FLY MALWARE ANALYSIS AND CONTAINMENT DAMIANO BOLZONI CHRISTIAAN SCHADE TWENTE SECURITY LAB UNIVERSITY OF TWENTE THE NETHERLANDS AGENDA Something about malware Malware internals Current analysis

398 views • 27 slides
A CUCKOOS EGG IN THE MALWARE NEST ON-THE-FLY SIGNATURE-LESS MALWARE ANALYSIS, DETECTION AND

A CUCKOOS EGG IN THE MALWARE NEST ON-THE-FLY SIGNATURE-LESS MALWARE ANALYSIS, DETECTION AND

A CUCKOOS EGG IN THE MALWARE NEST ON-THE-FLY SIGNATURE-LESS MALWARE ANALYSIS, DETECTION AND CONTAINMENT FOR LARGE NETWORKS CHRISTIAAN SCHADE TWENTE SECURITY LAB UNIVERSITY OF TWENTE THE NETHERLANDS MALWARE WARS In the last

313 views • 14 slides
Malware Halting 1. Malware 2. Software diversity Part I: Method Development 3. Computer

Malware Halting 1. Malware 2. Software diversity Part I: Method Development 3. Computer

Overview Malware Halting 1. Malware 2. Software diversity Part I: Method Development 3. Computer immunization Kjell Jrgen Hole Simula@UiB 4. Epidemiological model 5. Malware halting analysis 6. Malware halting method Last updated

672 views • 29 slides
RCPGP Overview Catastrophic Plan Review San Francisco Bay Area Regional Catastrophic

RCPGP Overview Catastrophic Plan Review San Francisco Bay Area Regional Catastrophic

RCPGP Overview Catastrophic Plan Review San Francisco Bay Area Regional Catastrophic Preparedness Grant Program September 2012 Janell Myhre, Regional Program Manager Emergency Plan Relationship FEMA Emergency Plan relationships Other 6 BA

413 views • 9 slides
How does Malware Use RDTSC? A Study on Operations Executed by Malware with CPU Cycle Measurement

How does Malware Use RDTSC? A Study on Operations Executed by Malware with CPU Cycle Measurement

How does Malware Use RDTSC? A Study on Operations Executed by Malware with CPU Cycle Measurement Yoshihiro Oyama University of Tsukuba 1 Background Many malware programs execute operations for analysis evasion Detection of

346 views • 31 slides
Northern California Catastrophic Flood Response Plan (NCCFRP) Overview Why a Catastrophic Flood

Northern California Catastrophic Flood Response Plan (NCCFRP) Overview Why a Catastrophic Flood

Northern California Catastrophic Flood Response Plan (NCCFRP) Overview Why a Catastrophic Flood Plan? Sacramento-San Joaquin Delta Emergency Preparedness Act of 2008 (SB27) Establish Sacramento-San Joaquin Delta Multi-Hazard Task Force

431 views • 31 slides
Anti-anti-malware (part 3) / Stack Smashing 1 last time various kinds of armored malware

Anti-anti-malware (part 3) / Stack Smashing 1 last time various kinds of armored malware

Anti-anti-malware (part 3) / Stack Smashing 1 last time various kinds of armored malware malware that evades analysis 2 logistics: LEX homework detect push ret pattern using fmex probably easier than TRICKY 3 upcoming exam next Wednesday

496 views • 48 slides
Android Malware Adventures Mert Can Cokuner Krat Ouzhan Aknc Android Malware

Android Malware Adventures Mert Can Cokuner Krat Ouzhan Aknc Android Malware

DeepSec IDSC Android Malware Adventures Mert Can Cokuner Krat Ouzhan Aknc Android Malware Adventures Agenda INTRODUCTION ANDROID MALWARE COMMAND & CONTROL QUESTIONS & ANSWERS 2 1 2 3 4 Android Malware

1.01k views • 64 slides
Malware Defense I TDDD17 Information Security, Second Course Ulf Kargn Department of

Malware Defense I TDDD17 Information Security, Second Course Ulf Kargn Department of

Malware Defense I TDDD17 Information Security, Second Course Ulf Kargn Department of Computer and Information Science Linkping University Malware Defense Agenda 2 Two lectures Lecture I : Malware basics, malware on the PC,

621 views • 40 slides
How to Detect and Decide Who Fits Into the New SABS Framework as Catastrophic Presented by:

How to Detect and Decide Who Fits Into the New SABS Framework as Catastrophic Presented by:

Piecing the Puzzle Together: Catastrophic Claims, Tort Claims and the New SABS Gravenhurst | Thursday, April 21, 2011 How to Detect and Decide Who Fits Into the New SABS Framework as Catastrophic Presented by: LEONARD H. KUNKA 416-868-3185

478 views • 17 slides
FIGHTING MALWARE WITH MACHINE LEARNING Edward Raff Jared Sylvester Mark McLean Need ML for

FIGHTING MALWARE WITH MACHINE LEARNING Edward Raff Jared Sylvester Mark McLean Need ML for

FIGHTING MALWARE WITH MACHINE LEARNING Edward Raff Jared Sylvester Mark McLean Need ML for Malware Amount of malware is growing exponentially Anti-virus and signature based approaches are reactionary, dont work for novel malware

127 views • 11 slides
PURPOSE OF THE PSM STANDARD To prevent or minimizing the consequences of catastrophic releases

PURPOSE OF THE PSM STANDARD To prevent or minimizing the consequences of catastrophic releases

ENSURING WORKER SAFETY AND HEALTH IN WATER / WASTEWATER TREATMENT OPERATIONS PROCESS SAFETY MANAGEMENT OF HIGHLY HAZARDOUS CHEMICALS (PSM) Presented By Gerry Dike, BSChEngg, MBA MIOSHA Statewide Disaster Response Administrator 2011 MWEA/AWWA

508 views • 33 slides
CO 445H MALWARE AND VIRUSES Dr. Benjamin Livshits Malware: Different Types 2 Spyware is

CO 445H MALWARE AND VIRUSES Dr. Benjamin Livshits Malware: Different Types 2 Spyware is

CO 445H MALWARE AND VIRUSES Dr. Benjamin Livshits Malware: Different Types 2 Spyware is software that aids in gathering A virus is a computer program that is information about a person or organization capable of making copies of itself

716 views • 56 slides
CS7038 - Malware Analysis - Wk03.1 Malware Taxonomy and Terminology Coleman Kane

CS7038 - Malware Analysis - Wk03.1 Malware Taxonomy and Terminology Coleman Kane

CS7038 - Malware Analysis - Wk03.1 Malware Taxonomy and Terminology Coleman Kane kaneca@mail.uc.edu January 24, 2017 Why Classification is Important Malware classification helps us in multiple ways. Here are a couple key ways:

787 views • 16 slides
On Static Malware Detection Tayssir Touili LIPN, CNRS & Univ. Paris 13 Motivation: Malware

On Static Malware Detection Tayssir Touili LIPN, CNRS & Univ. Paris 13 Motivation: Malware

On Static Malware Detection Tayssir Touili LIPN, CNRS & Univ. Paris 13 Motivation: Malware Detection The number of new malware exceeds 75 million by the end of 2011, and is still increasing. The number of malware that produced

1.34k views • 91 slides
Introduction to Security Malware Ming Chow (mchow@cs.tufts.edu) Twitter: @0xmchow Learning

Introduction to Security Malware Ming Chow (mchow@cs.tufts.edu) Twitter: @0xmchow Learning

Introduction to Security Malware Ming Chow (mchow@cs.tufts.edu) Twitter: @0xmchow Learning Objectives By the end of this week, you will be able to: Describe types of malware See certain malware behaviors Scan and analyze malware

883 views • 25 slides

More recommend