large scale drive by download detec4on visit n process
play

Large-scale drive-by download detec4on: visit n . process. - PowerPoint PPT Presentation

Sep 15, 2023 •21 likes •391 views

Large-scale drive-by download detec4on: visit n . process. analyse. report. Adriaan Dens Mar4jn Bogaard Students Master of System and Network

  1. Large-­‑scale ¡drive-­‑by ¡download ¡detec4on: ¡ ¡ visit n . ¡process. ¡analyse. ¡report. ¡ Adriaan ¡Dens ¡ Mar4jn ¡Bogaard ¡ ¡ Students ¡Master ¡of ¡System ¡and ¡Network ¡Engineering ¡ ¡ Under ¡supervision ¡of: ¡ ¡ ¡

  2. Source: ¡hFp://www.bleepsta4c.com/Host/uploads/2/cryptolocker-­‑2.0.jpg ¡ 2 ¡

  3. Drive-­‑by ¡downloads ¡ • Vulnerable ¡browsers ¡and ¡plugins ¡ – Remote ¡code ¡execu4on ¡ • Malver4sing ¡ • Hard ¡to ¡detect ¡ Source: ¡hFp://blog.armorize.com/2011/04/newest-­‑adobe-­‑flash-­‑0-­‑day-­‑used-­‑in-­‑new.html ¡(modified) ¡ 3 ¡

  4. 4 ¡

  5. Challenges ¡current ¡systems ¡ • Slow ¡ • Single ¡website ¡at ¡a ¡4me ¡ • Hard ¡to ¡maintain ¡ ¡ 5 ¡

  6. Challenges ¡current ¡systems ¡ • Slow ¡ • Single ¡website ¡at ¡a ¡4me ¡ • Hard ¡to ¡maintain ¡ • Have ¡we ¡already ¡said ¡they’re ¡slow? ¡ ¡ 6 ¡

  7. Challenges ¡current ¡systems ¡ • Slow ¡ • Single ¡website ¡at ¡a ¡4me ¡ • Hard ¡to ¡maintain ¡ • Have ¡we ¡already ¡said ¡they’re ¡slow? ¡ – But ¡that’s ¡not ¡really ¡their ¡fault, ¡it ¡was ¡ never ¡designed ¡for ¡this ¡purpose ¡ 7 ¡ ¡

  8. Research ¡ques4on ¡ How ¡can ¡we ¡concurrently ¡visit ¡mul4ple ¡URLs ¡and ¡ s4ll ¡be ¡able ¡to ¡determine ¡which ¡URL ¡was ¡ responsible ¡for ¡malicious ¡ac4vi4es? ¡ 8 ¡

  9. Research ¡ques4on ¡ How ¡can ¡we ¡ concurrently ¡ visit ¡mul4ple ¡URLs ¡and ¡ s4ll ¡be ¡able ¡to ¡determine ¡ which ¡URL ¡ was ¡ responsible ¡for ¡malicious ¡ac4vi4es? ¡ 9 ¡

  10. The ¡Goal ¡ ��������������������� ������������ ������������ ������������ ���������������������� ���������������������� ���������������������� ��������������������������������� ������������������������������������������ �������� ����������� ����������������������������������������� ������������������������ ������������������������������ ���������������������������� �������������������� 10 ¡

  11. Algorithm ¡ • Pladorm ¡independent ¡ – PoC ¡for ¡Windows ¡7 ¡ • Browser ¡independent ¡ – PoC ¡for ¡Internet ¡Explorer ¡8 ¡ • Fast(er) ¡ • Limited ¡maintenance ¡needed ¡ 11 ¡

  12. Determine ¡malware ¡origin ¡ • One ¡website ¡ – Many ¡HTTP ¡requests ¡ • Easy ¡solu4ons: ¡ – Modify ¡web ¡browser ¡and ¡add ¡logging ¡ – Monitor ¡network ¡ • Scalable ¡solu4on: ¡ – Observing ¡API ¡calls ¡ – Includes ¡thread ¡and ¡process ¡context ¡ 12 ¡

  13. Web ¡browser ¡process ¡model ¡ 13 ¡ Source: ¡hFp://blogs.msdn.com/b/ie/archive/2008/03/11/ie8-­‑and-­‑loosely-­‑coupled-­‑ie-­‑lcie.aspx ¡

  14. Web ¡browser ¡network ¡stack ¡ 14 ¡ Source: ¡hFps://msdn.microsoi.com/en-­‑us/library/windows/desktop/aa383766%28v=vs.85%29.aspx ¡

  15. Source: ¡hFp://newgre.net/node/5 ¡ API ¡hooking ¡ 15 ¡

  16. Connec4ng ¡the ¡dots… ¡ 16 ¡

  17. Algorithm ¡in ¡4 ¡simple ¡steps ¡ • Visit ¡(the ¡URLs) ¡ ¡ • Process ¡(the ¡data) ¡ ¡ • Analyse ¡(the ¡graph) ¡ • Report ¡(the ¡findings) ¡ 17 ¡

  18. Analyse ¡graph ¡ ��������������������� ������������ ������������ ������������ ���������������������� ���������������������� ���������������������� ��������������������������������� ������������������������������������������ �������� ����������� ����������������������������������������� ������������������������ ������������������������������ ���������������������������� �������������������� 18 ¡

  19. Proof ¡of ¡Concept ¡ • Cuckoo ¡ – Support ¡for ¡analysis ¡of ¡single ¡website ¡ – Cuckoomon ¡(API ¡hooking) ¡ • Windows ¡7 ¡+ ¡IE ¡8 ¡ • Actual ¡detec4on ¡is ¡out ¡of ¡scope ¡ – And ¡up ¡to ¡the ¡user ¡in ¡exis4ng ¡solu4ons ¡ 19 ¡

  20. Running ¡it… ¡ 20 ¡

  21. Proof ¡of ¡Concept ¡ 21 ¡

  22. Proof ¡of ¡Concept ¡ 22 ¡

  23. Proof ¡of ¡Concept ¡ 23 ¡

  24. Proof ¡of ¡Concept ¡ 24 ¡

  25. Proof ¡of ¡Concept ¡ 25 ¡

  26. Proof ¡of ¡Concept ¡ 26 ¡

  27. 27 ¡

  28. 28 ¡

  29. 29 ¡

  30. 30 ¡

  31. But ¡is ¡it ¡also ¡faster? ¡ 31 ¡

  32. Benchmarks ¡ 32 ¡

  33. 100,000" 90,000" 80,000" 70,000" 60,000" Seconds( Anubis" 50,000" Cuckoo" 40,000" Roadrunner" 30,000" 20,000" 10,000" 0" 1" 5" 10" 25" 50" 100" 250" 500" 1000" URLs( Comparison ¡of ¡benchmark ¡results ¡ 33 ¡

  34. Research ¡ques4on ¡ How ¡can ¡we ¡ concurrently ¡ visit ¡mul4ple ¡URLs ¡ and ¡s4ll ¡be ¡able ¡to ¡determine ¡ which ¡URL ¡ was ¡ responsible ¡for ¡malicious ¡ac4vi4es? ¡ ¡ -­‑ Use ¡tabbed ¡browsing ¡ -­‑ Make ¡use ¡of ¡modern ¡browser ¡architectures ¡ -­‑ In-­‑depth ¡process ¡monitoring ¡(API ¡Hooking) ¡ -­‑ Graph ¡based ¡analysis ¡ 34 ¡

  35. Future ¡Work ¡ • Finishing ¡touch ¡PoC ¡ – Stability ¡ – Known ¡false ¡posi4ves ¡ – Correctly ¡crea4ng ¡the ¡graph ¡is ¡hard ¡ • But ¡all ¡data ¡is ¡available ¡for ¡manual ¡analysis ¡like ¡before ¡ – And ¡now ¡you ¡know ¡where ¡to ¡start ¡looking ¡ ¡ • BeFer ¡analysis ¡ – Machine ¡learning? ¡ 35 ¡

  36. Thanks! ¡ • Our ¡great ¡supervisors ¡from ¡the ¡NCSC ¡ – Jop ¡van ¡der ¡Lelie ¡& ¡Wouter ¡Katz ¡ • The ¡Cuckoo ¡developers ¡ – Especially ¡Jurriaan ¡Bremer ¡for ¡helping ¡us ¡in ¡ understanding ¡Cuckoo ¡and ¡solving ¡our ¡own ¡ introduced ¡bugs ¡ 36 ¡

  37. Ques4ons? ¡ Adriaan ¡Dens ¡ ¡ adriaan.dens@os3.nl ¡ ¡ Mar4jn ¡Bogaard ¡ ¡ mar4jn.bogaard@os3.nl ¡ ¡ ¡ Check ¡it ¡out ¡now: ¡ hFps://github.com/Mar4jnB/cuckoo/tree/mul4-­‑url ¡

Recommend

FINANCING LARGE SCALE SOLAR Large Scale Solar Conference - Sydney Gloria Chan Director, Large

FINANCING LARGE SCALE SOLAR Large Scale Solar Conference - Sydney Gloria Chan Director, Large

FINANCING LARGE SCALE SOLAR Large Scale Solar Conference - Sydney Gloria Chan Director, Large Scale Solar Lead April 2017 CONTENTS 1. Introduction to CEFC 2. Investment trends 3. The future of large scale solar 4. Pathway to sustainable

664 views • 21 slides
A large-scale chemical data integration system Gaia Paolini Pfizer Confidential 1 Large-Scale

A large-scale chemical data integration system Gaia Paolini Pfizer Confidential 1 Large-Scale

A large-scale chemical data integration system Gaia Paolini Pfizer Confidential 1 Large-Scale Chemical Data Integration Summary Current situation Business case Aims The design process Functionality Applications

261 views • 25 slides
Inject the future Process technologies and automated production cells for large-scale

Inject the future Process technologies and automated production cells for large-scale

Inject the future Process technologies and automated production cells for large-scale manufacturing of lightw eight thermoplastic composites for automotive applications Georg Steinbichler ENGEL AUSTRIA GmbH | EU Technology transfer

487 views • 11 slides
Exploring Sequence-Based Approaches Using Process Data in Large-Scale Assessments Qiwei Britt He

Exploring Sequence-Based Approaches Using Process Data in Large-Scale Assessments Qiwei Britt He

Opportunity versus Challenge Next Generation Psychometrics and Data Exploring Usage of Log-File and Process Data in International Large Science Center Scale Assessments Conference/Workshop Educational Testing Service Exploring Sequence-Based

668 views • 53 slides
Large-Scale Survey Interviewing Following Large Scale Survey Interviewing Following the 2008

Large-Scale Survey Interviewing Following Large Scale Survey Interviewing Following the 2008

Large-Scale Survey Interviewing Following Large Scale Survey Interviewing Following the 2008 WenChuan Earthquake Zhang Huafeng and Jon Pedersen International Blaise Users Conference (IBUC) Baltimore, USA , 1 Introduction Two household

711 views • 22 slides
INCORPORATING LARGE-SCALE CITIZEN INCORPORATING LARGE-SCALE CITIZEN DELIBERATION INTO

INCORPORATING LARGE-SCALE CITIZEN INCORPORATING LARGE-SCALE CITIZEN DELIBERATION INTO

INCORPORATING LARGE-SCALE CITIZEN INCORPORATING LARGE-SCALE CITIZEN DELIBERATION INTO ENVIRONMENTAL CONFLICT RESOLUTION America Speaks presentation to the 2008 ECR Conference Table Introductions Please form groups of 4-5 and give: Your name

848 views • 41 slides
Large-scale production of graphene: Introduction Large-scale production of graphene: what is

Large-scale production of graphene: Introduction Large-scale production of graphene: what is

Large-scale production of graphene: Introduction Large-scale production of graphene: what is graphene? Graphene is a truly 2D system made of Carbon atoms arranged in an honeycomb hexagonal lattice Zero-gap semiconductor with a low-energy linear

268 views • 6 slides
Ethics in Techniques for large-scale data Graham J.L. Kemp TECHNIQUES FOR LARGE-SCALE DATA

Ethics in Techniques for large-scale data Graham J.L. Kemp TECHNIQUES FOR LARGE-SCALE DATA

Ethics in Techniques for large-scale data Graham J.L. Kemp TECHNIQUES FOR LARGE-SCALE DATA Masters level course: Chalmers MPALG and MPSOF programmes (DAT345) GU Applied Data Science programme (DIT871) Learning outcomes include:

305 views • 18 slides
How do you measure success rate of large scale agile process? [BHAGEERATHI BAI] About me..

How do you measure success rate of large scale agile process? [BHAGEERATHI BAI] About me..

How do you measure success rate of large scale agile process? [BHAGEERATHI BAI] About me.. Bhageerathi Bai , Software Quality Engineer at Intel India Pvt Ltd. 2 Our teams Quality reviews and releases Challenges Solution Success Measure 3

808 views • 31 slides
Finding the Right Media Mix. FAPSC 2012 Visit our website after this presentation to download the

Finding the Right Media Mix. FAPSC 2012 Visit our website after this presentation to download the

Finding the Right Media Mix. FAPSC 2012 Visit our website after this presentation to download the PowerPoint at www.graggadv.com/webinars/ Introduction A (marketing) executive is a mixer of ingredients, who sometimes follows a recipe as he

661 views • 29 slides
Automated Large-Scale Phonetic Analysis: DASS William A. Kretzschmar, Jr., Joseph Stanley,

Automated Large-Scale Phonetic Analysis: DASS William A. Kretzschmar, Jr., Joseph Stanley,

Automated Large-Scale Phonetic Analysis: DASS William A. Kretzschmar, Jr., Joseph Stanley, Katherine Kuiper University of Georgia 1 DASS 64 interviews available on a portable USB drive 370 hours of sound files--c. 200Gb, about

335 views • 12 slides
An Email Contact Protocol Experiment in a Large-Scale Survey of U.S. in a Large Scale Survey of

An Email Contact Protocol Experiment in a Large-Scale Survey of U.S. in a Large Scale Survey of

An Email Contact Protocol Experiment in a Large-Scale Survey of U.S. in a Large Scale Survey of U.S. Government Employees DC-AAPOR Summer Conference Preview/Review Bureau of Labor Statistics Conference Center Washington DC Washington, DC

1.17k views • 25 slides
Schedule & Hotel Schedule Whova (download the app) CE Cards Prizes Visit

Schedule & Hotel Schedule Whova (download the app) CE Cards Prizes Visit

Welcome to the 2017 Educational Congress Tucson, AZ July 26 - 30 Schedule & Hotel Schedule Whova (download the app) CE Cards Prizes Visit Exhibitors Meals and Reception Rest Rooms 2017 Platinum Sponsor

1.83k views • 182 slides
Efficient Large-Scale Graph Processing on Hybrid CPU and GPU Systems A. Gharaibeh, E.

Efficient Large-Scale Graph Processing on Hybrid CPU and GPU Systems A. Gharaibeh, E.

Efficient Large-Scale Graph Processing on Hybrid CPU and GPU Systems A. Gharaibeh, E. Santos-Neto, L. Costa, M. Ripeanu. IEEE TPC, 2014 Sami (sa894) - R244: Large-scale data processing and optimization Efficient Large-Scale Graph Processing on

381 views • 25 slides
Motivation Large-scale distributed systems becoming more common multiple datacenters, cloud

Motivation Large-scale distributed systems becoming more common multiple datacenters, cloud

Census: Location-Aware Membership Management for Large-Scale Distributed Systems James Cowling Dan R. K. Ports Barbara Liskov Raluca Ada Popa Abhijeet Gaikwad* MIT CSAIL *cole Centrale Paris Motivation Large-scale distributed systems

606 views • 48 slides
Pregel Large-Scale Graph Processing William Jones Analysing large graphs is hard. We are

Pregel Large-Scale Graph Processing William Jones Analysing large graphs is hard. We are

Pregel Large-Scale Graph Processing William Jones Analysing large graphs is hard. We are keenly interested in analysing certain very large graphs. (e.g. the Web graph) These graphs are now too large to store and process on one

236 views • 11 slides
Large-Scale Electronic Voting Protocols Mike Carpenter Introduction What is meant by large-scale

Large-Scale Electronic Voting Protocols Mike Carpenter Introduction What is meant by large-scale

Large-Scale Electronic Voting Protocols Mike Carpenter Introduction What is meant by large-scale electronic voting protocol: Primarily Internet-based Users voting from their own devices (such as home PC/laptop) Aimed toward actual

721 views • 21 slides
Southwest Anthony Henday Drive Noise Study 1 Introduction to Sound 2 Decibel Scale Noise is

Southwest Anthony Henday Drive Noise Study 1 Introduction to Sound 2 Decibel Scale Noise is

Southwest Anthony Henday Drive Noise Study 1 Introduction to Sound 2 Decibel Scale Noise is measured using a Decibel (dB) Scale The Decibel Scale is a base-10 logarithm scale (similar to Richter Scale) Change of 1-2 dB - threshold

409 views • 26 slides
Internet Topology Generation for Large Scale BGP Simulation Jean-Michel Fourneau - Houssame

Internet Topology Generation for Large Scale BGP Simulation Jean-Michel Fourneau - Houssame

Internet Topology Generation for Large Scale BGP Simulation Jean-Michel Fourneau - Houssame Yahiaoui Outlook BGP: Border Gateway Protocol Large Scale Simulation: motivations Large Scale BGP Simulation Model Realistic Topologies

550 views • 17 slides
E Evolution of NTCIR: l Infrastructure of Large-Scale Infrastructure of Large Scale

E Evolution of NTCIR: l Infrastructure of Large-Scale Infrastructure of Large Scale

E Evolution of NTCIR: l Infrastructure of Large-Scale Infrastructure of Large Scale Information Access Technologies Evaluation and Testing Evaluation and Testing Noriko Kando Noriko Kando National Institute of Informatics, Japan

632 views • 61 slides
Connectivity modeling with Circuitscape download page on Circuitscape.org Kim Hall, The Nature

Connectivity modeling with Circuitscape download page on Circuitscape.org Kim Hall, The Nature

Download Circuitscape 5.0 from Connectivity modeling with Circuitscape download page on Circuitscape.org Kim Hall, The Nature Conservancy & Download test data if you like... Ranjan Anantharaman, MIT & formerly Julia Computing Visit

499 views • 32 slides
Large-Scale Machine Learning at Twitter 2 Large-Scale Machine Learning at Twitter Jimmy Lin and

Large-Scale Machine Learning at Twitter 2 Large-Scale Machine Learning at Twitter Jimmy Lin and

Large-Scale Machine Learning at Twitter 2 Large-Scale Machine Learning at Twitter Jimmy Lin and Alek Kolcz Twitter, Inc. 1 Image source:google.com/images Large-Scale Machine Learning at Twitter Outline Outline Is twitter big data?

582 views • 40 slides
Opportunity versus Challenge: Exploring Usage of Log-File and Process Data in International Large

Opportunity versus Challenge: Exploring Usage of Log-File and Process Data in International Large

Opportunity versus Challenge: Exploring Usage of Log-File and Process Data in International Large Scale Assessments Retrospective Points 1. Items we are analyzing to mine process data were not written to support process data analysis, which

389 views • 15 slides
Large Scale I nternational I Pv6 Pilot Large Scale I nternational I Pv6 Pilot Network (6NET)

Large Scale I nternational I Pv6 Pilot Large Scale I nternational I Pv6 Pilot Network (6NET)

Large Scale I nternational I Pv6 Pilot Large Scale I nternational I Pv6 Pilot Network (6NET) Network (6NET) Athanassios Liakopoulos (aliako@grnet.gr) Greek Research & Technology Network (GRNET) I I I Global I Pv6 Summit November 2004

638 views • 37 slides

More recommend