ruxcon courtesy of google images metamorphic template
play

RUXCON Courtesy of google images Metamorphic template with - PowerPoint PPT Presentation

Aug 04, 2023 •253 likes •701 views

Oct, 2016 Senior Malware Scientist ,Trend Micro spark@trendmicro.com RUXCON Courtesy of google images Metamorphic template with parameters #1 Original Code

  1. Oct, ¡2016 ¡ Senior ¡Malware ¡Scientist ¡,Trend ¡Micro ¡ spark@trendmicro.com ¡ ¡ RUXCON ¡

  2. Courtesy ¡of ¡google ¡images ¡

  4. — Metamorphic ¡template ¡with ¡parameters ¡#1 ¡ Original ¡Code ¡ — Metamorphic ¡template ¡with ¡parameters ¡#2 ¡ Original ¡Code ¡

  9. — Malware ¡mostly ¡delivered ¡through ¡email ¡outbreaks ¡ — An ¡outbreak ¡lasts ¡days ¡or ¡a ¡couple ¡of ¡weeks ¡ — The ¡same ¡metamorphic ¡template ¡used ¡during ¡a ¡ campaign ¡ — Early ¡deep ¡learning ¡will ¡block ¡entire ¡campaign ¡ — Sometimes ¡the ¡same ¡metamorphic ¡template ¡used ¡ across ¡several ¡different ¡campaigns ¡due ¡to ¡the ¡high ¡dev ¡ cost ¡ — Early ¡deep ¡learning ¡will ¡block ¡multiple ¡campaigns ¡

  11. — Key ¡challenges ¡ — Different ¡SHA1 ¡for ¡each ¡sample ¡ — Significantly ¡different ¡in ¡lengths ¡and ¡locations ¡ — Easy ¡to ¡change ¡template ¡parameters ¡resulting ¡in ¡ superficially ¡different ¡patterns ¡

  12. — Static ¡signature ¡ — Histograms/frequencies ¡ — API ¡call ¡distribution ¡ — Entropy ¡ — Machine ¡learning ¡algorithms ¡with ¡binary ¡ classification ¡

  14. — All ¡parsed ¡functions ¡and ¡code ¡blocks ¡including ¡those ¡ hidden ¡

  15. — Reduce ¡noise ¡by ¡using ¡opcode ¡

  17. — Experiment ¡shows ¡it ¡works ¡to ¡a ¡degree. ¡ — But, ¡it ¡is ¡ unable ¡to ¡characterise ¡functions ¡that ¡possess ¡the ¡ same ¡metamorphism ¡

  19. Courtesy ¡of ¡http://mriquestions.com/fourier-­‑transform-­‑ft.html ¡

  20. 1 ¡ 2 ¡ 3 ¡ 4 ¡ 5 ¡ 6 ¡ 7 ¡ 8 ¡ 9 ¡ 10 ¡ 11 ¡ 12 ¡ 13 ¡ 14 ¡ 15 ¡ 16 ¡

  21. 1 ¡ 2 ¡ 3 ¡ 4 ¡ 5 ¡ 6 ¡ 7 ¡ 8 ¡ 9 ¡ 10 ¡ 11 ¡ 12 ¡ 13 ¡ 14 ¡ 15 ¡ 16 ¡

  26. Instructions ¡ 55 8b ec 83 ec 08 (push ebp/mov ebp, esp/sub esp,8) Normalised ¡opcode ¡ 580,442,326 (push, mov, sub) Raw ¡FFT ¡ 0.23,0.24,0.10 Interpolated ¡& ¡ 3,45,12,113,156,255,238,… quantised ¡FFT ¡ Binarised ¡FFT ¡ 10111001010101110101000…

  27. — Auto-­‑Encoder ¡ — De-­‑noising ¡ — Restricted ¡Boltzmann ¡Machine ¡ — Convolutional ¡layer ¡ 1024 neurons 2048 neurons Courtesy ¡of ¡https://github.com/sjchoi86/Tensorflow-­‑101, ¡http://deeplearning.net/tutorial/dA.html#daa ¡

  28. — Deep ¡Auto-­‑Encoder ¡ ¡ — Dimensionality ¡reduction ¡ à ¡represented ¡as ¡a ¡fixed ¡size ¡‘code’. ¡ — Deep ¡auto-­‑encoder ¡performs ¡non-­‑linear ¡mapping ¡ 2048 reconstructed input 1024 neurons 512 neurons 128 neurons bit code 512 neurons 1024 neurons 2048 bit vectors (FFT for each function)

  31. — Dataset ¡ — ~2000 ¡unique ¡ransomware ¡binaries ¡ — Each ¡binary ¡was ¡sampled ¡from ¡a ¡unique ¡outbreak ¡ — Each ¡sampled ¡binary ¡can ¡take ¡millions ¡of ¡different ¡forms ¡within ¡ the ¡outbreak ¡ — ~1000 ¡exe/dll ¡from ¡windows/system32/ ¡ — Semantic ¡Hash ¡ — Malware ¡gets ¡detected ¡when ¡semantic ¡hash ¡is ¡identical. ¡ — An ¡identical ¡semantic ¡hash ¡detects ¡samples ¡with ¡different ¡ size ¡and ¡function ¡layouts ¡ — Malware ¡gets ¡detected ¡when ¡hamming ¡distance ¡of ¡the ¡ semantic ¡hash, ¡DC, ¡mean ¡and ¡STD ¡are ¡close. ¡

  37. — Layered ¡Executables ¡ — .NET ¡ — VBA ¡ — Self-­‑extracting ¡archives ¡(INNO/NSIS, ¡RAR, ¡ZIP, ¡…) ¡ — Py2Exe ¡ — +more ¡ — Hide ¡in ¡plain ¡sight ¡ — Exploit ¡the ¡assumptions ¡deployed ¡in ¡my ¡approach ¡

  40. ... ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡7 ¡Chunks ¡of ¡size ¡2097152 ¡totalling ¡14.00MiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡8 ¡Chunks ¡of ¡size ¡8388608 ¡totalling ¡64.00MiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡2 ¡Chunks ¡of ¡size ¡204800000 ¡totalling ¡390.62MiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡1 ¡Chunks ¡of ¡size ¡409600000 ¡totalling ¡390.62MiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡5 ¡Chunks ¡of ¡size ¡819200000 ¡totalling ¡3.81GiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡1 ¡Chunks ¡of ¡size ¡820948992 ¡totalling ¡782.92MiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:696] ¡Sum ¡Total ¡of ¡in-­‑use ¡chunks: ¡5.42GiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:698] ¡Stats: ¡ ¡ Limit: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡5828558848 ¡ InUse: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡5819909888 ¡ MaxInUse: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡5819909888 ¡ NumAllocs: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡99 ¡ MaxAllocSize: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡820948992 ¡

  41. — Too ¡many ¡functions ¡in ¡dataset ¡ — Even ¡for ¡a ¡small ¡dataset ¡(3000 ¡samples), ¡total ¡function ¡ count ¡exceeds ¡1million! ¡ ¡ — GPU ¡memory ¡exhaustion ¡ — Batch ¡processing ¡(reconstruct/evaluate) ¡ — Even ¡predictions ¡shouldn't ¡be ¡defined ¡as ¡an ¡array ¡ — System ¡memory ¡ — Do ¡your ¡math ¡between ¡pickled ¡dataset ¡file ¡size ¡and ¡ your ¡system ¡memory ¡ — Consider ¡reading ¡'Reading ¡Data' ¡section ¡of ¡tensorflow ¡

  42. — Transform ¡arbitrary ¡signal ¡into ¡frequency ¡domain ¡ — Why ¡is ¡it ¡effective ¡for ¡code ¡pattern ¡similarity ¡detection? ¡ — Each ¡code ¡uniquely ¡identifiable ¡ — Transformed ¡frequency ¡spectrum ¡retains ¡original ¡data ¡ information ¡(We ¡have ¡inverse ¡Fourier ¡transform) ¡ — Fourier ¡transform ¡of ¡the ¡code ¡is ¡resilient ¡to ¡noise ¡ — Slight ¡distortion ¡in ¡original ¡code ¡won't ¡affect ¡the ¡characteristics ¡of ¡ ¡ frequency ¡spectrum ¡much. ¡ — It ¡is ¡difficult ¡to ¡create ¡a ¡code ¡sequence ¡that ¡has ¡different ¡ semantics ¡but ¡has ¡the ¡same ¡frequency ¡spectrum. ¡

  43. Senior ¡Malware ¡Scientist ¡, ¡Trend ¡Micro ¡ spark@trendmicro.com

Recommend

The Golden Age of Russian Lit A century of realism and reflection When exactly was "The

The Golden Age of Russian Lit A century of realism and reflection When exactly was "The

Courtesy of Google Images The Golden Age of Russian Lit A century of realism and reflection When exactly was "The "Golden Age"? 1830's - 1917 Courtesy of Google Images Most Notable Writers Pushkin - National Poet Gogol -

512 views • 14 slides
Working Without a Net: http://timkellyphotographycanada.com/ Source: Google Images Source: Google

Working Without a Net: http://timkellyphotographycanada.com/ Source: Google Images Source: Google

Source: Google Images Working Without a Net: http://timkellyphotographycanada.com/ Source: Google Images Source: Google Images 1. Canola 2. Lipid Research and Utilization 3. Polyol 4. Bio Based Chemicals in Alberta 5. Import Replacement Program

356 views • 18 slides
I get my culture in london my life is so full I dont have time to discover new things.

I get my culture in london my life is so full I dont have time to discover new things.

Images Courtesy instagram.com I get my culture in london my life is so full I dont have time to discover new things. not even digitally Images Courtesy Land Rover, Chloe Poulter Images Courtesy Woking Borough Council, The Lightbox

290 views • 8 slides
Google Slides Voluntary Product Accessibility Template (VPAT) Date: 11/2014 Name of

Google Slides Voluntary Product Accessibility Template (VPAT) Date: 11/2014 Name of

Google Slides Voluntary Product Accessibility Template (VPAT) Date: 11/2014 Name of Product: Google Slides Point of Contact: Richard Wu Summary Table Supporting Criteria Remarks features Section 1194.21 Software Applications and

123 views • 9 slides
The Team Northern Alberta Tar Sands * Images courtesy of Syncrude Inc. and Shell Scotford

The Team Northern Alberta Tar Sands * Images courtesy of Syncrude Inc. and Shell Scotford

The Team Northern Alberta Tar Sands * Images courtesy of Syncrude Inc. and Shell Scotford Northern Alberta Tailings Ponds *Image courtesy of Syncrude Inc . Analogy Motility The Bacuum Cleaner Locomotion Regulation

482 views • 36 slides
Google Slides Lots of options to start Lots of template options to start with. Try to keep it

Google Slides Lots of options to start Lots of template options to start with. Try to keep it

Google Slides Lots of options to start Lots of template options to start with. Try to keep it clean and simple 1 G OOGLE S LIDES Google Slides Basic formatting Choose your theme, add some content and name your presentation. Presentations are

553 views • 11 slides
The 4 th Industrial Revolution and you Paolo Gallo Courtesy of cargocollective Courtesy of

The 4 th Industrial Revolution and you Paolo Gallo Courtesy of cargocollective Courtesy of

The 4 th Industrial Revolution and you Paolo Gallo Courtesy of cargocollective Courtesy of creative cauldren Photo: Archive Photos/Getty Images WikiCommons The 4 th Industrial Revolution https://www.youtube.com/watch?v=Ko2esJeGsrI

337 views • 32 slides
1 (images courtesy shorpy.com) Telecommunications Attorney Specialty in Public/Private

1 (images courtesy shorpy.com) Telecommunications Attorney Specialty in Public/Private

Rural Health Care Program Healthcare Connect Fund 1 (images courtesy shorpy.com) Telecommunications Attorney Specialty in Public/Private Partnerships and Federal Funding for Rural Broadband Former Director at USAC of the

424 views • 15 slides
Afghanistan Since the First World War by Ambrish Dhaka Photographs Courtesy: Google The

Afghanistan Since the First World War by Ambrish Dhaka Photographs Courtesy: Google The

Kunzru Memorial Lecture 2015 Afghanistan Since the First World War by Ambrish Dhaka Photographs Courtesy: Google The Territory of Afghanistan If one looks to the historic setting of Afghanistan at the dawn of 20 th century, one can see

1.62k views • 15 slides
An Engineer at War November Luncheon Presentation By Ken Philippart Images courtesy of

An Engineer at War November Luncheon Presentation By Ken Philippart Images courtesy of

An Engineer at War November Luncheon Presentation By Ken Philippart Images courtesy of Ken Philippart and Arloe Mayne In recognition of Veterans Day, the Greater Huntsville Section hosted a presentation titled, An Engineer at War

505 views • 3 slides
Adventures in Transport Image courtesy of Google Transport: Destination Shelter In 2017 the THS

Adventures in Transport Image courtesy of Google Transport: Destination Shelter In 2017 the THS

Toronto Humane Society Adventures in Transport Image courtesy of Google Transport: Destination Shelter In 2017 the THS transferred in 1,977 animals : - Dogs, cats, rabbits, rats, guinea pigs and assorted special species - From Ontario (shelters,

871 views • 43 slides
Flux Balance Analysis 1 Images courtesy of T. Shlomi Solutions must obey stoichiometric (mass

Flux Balance Analysis 1 Images courtesy of T. Shlomi Solutions must obey stoichiometric (mass

Flux Balance Analysis 1 Images courtesy of T. Shlomi Solutions must obey stoichiometric (mass balance), thermodynamic, and physiological constraints. Alendronic acid inhibits P. aeruginosa growth in vitro across a wide range of clinical

292 views • 10 slides
Database Overview WebVision2.0 dataset 5,000 categories From Flickr & Google 16M

Database Overview WebVision2.0 dataset 5,000 categories From Flickr & Google 16M

Database Overview WebVision2.0 dataset 5,000 categories From Flickr & Google 16M images 290K validation images 290K test images Dataset Construction Automatic query generation instead of manual way WebVision Dataset

393 views • 25 slides
Inserting images onto a Google Docs presentation You can enhance your document by inserting an

Inserting images onto a Google Docs presentation You can enhance your document by inserting an

Inserting images onto a Google Docs presentation You can enhance your document by inserting an image. 1. With your Google Doc Open, place cursor over to the tab labeled "Insert" it will be at the top. Click the Insert drop-down menu from

329 views • 5 slides
Combining Images Combining Images Blending Seam Carving Corner Detection Today:

Combining Images Combining Images Blending Seam Carving Corner Detection Today:

Combining Images Combining Images Blending Seam Carving Corner Detection Today: Use similar features Based on Richard Szeliski Notes (textbook author) Courtesy: Irfan Essa Challenge: Detect feature points What are Good

479 views • 8 slides
CS201: Computer Vision Lect 06: Face Detection John Magee Slides Courtesy of Diane H. Theriault

CS201: Computer Vision Lect 06: Face Detection John Magee Slides Courtesy of Diane H. Theriault

CS201: Computer Vision Lect 06: Face Detection John Magee Slides Courtesy of Diane H. Theriault Framing In Computer Vision, we want to analyze and interpret images and video First: How are images represented? How are images

489 views • 29 slides
Personal achievements Google images . Awarded by Her Majesty the Queen of England at

Personal achievements Google images . Awarded by Her Majesty the Queen of England at

Personal achievements Google images . Awarded by Her Majesty the Queen of England at Buckingham Palace.2015 Recognized by former President Barrack Obama in USA. 2016 Won the Goldsmiths, University of London Innovation Award. 2017

386 views • 24 slides
Tutorial on using the Google Cloud Platform (GCP) Tutorial on using the Google Cloud Platform

Tutorial on using the Google Cloud Platform (GCP) Tutorial on using the Google Cloud Platform

Tutorial on using the Google Cloud Platform (GCP) Tutorial on using the Google Cloud Platform (GCP) Courtesy to the following helpful resources online: Courtesy to the following helpful resources online: http://cs231n.github.io/gce-tutorial/

551 views • 41 slides
Update on OCTAngiography Robert Chang, MD Images courtesy of Zeiss Additional Disclosures

Update on OCTAngiography Robert Chang, MD Images courtesy of Zeiss Additional Disclosures

Update on OCTAngiography Robert Chang, MD Images courtesy of Zeiss Additional Disclosures Consultant Aerie Consultant Allergan Consultant Genentech Consultant Sight Sciences Consultant Apple Consultant Verana Health Consultant

322 views • 9 slides
Engineering Geology Metamorphic Rocks Hussien Al - deeky 1 Engineering Geology Definition

Engineering Geology Metamorphic Rocks Hussien Al - deeky 1 Engineering Geology Definition

Engineering Geology Metamorphic Rocks Hussien Al - deeky 1 Engineering Geology Definition Metamorphic rock is the result of the transformation of an existing rock type, the protolith ( parent rock ) , in a process called metamorphism, which means

804 views • 23 slides
Modern Modern Template Techniques Template The Simplest Function Template

Modern Modern Template Techniques Template The Simplest Function Template

Modern Modern Template Techniques Template The Simplest Function Template CRTPStatic Polymorphism Techniques Type TraitsBasic Metaprogramming Compile-time Conditionals Policy Classes Perfect Forwarding

1.29k views • 42 slides
Free Family Feud Template Google Slides Couped Cameron spot-checks that permit jellifies stintedly

Free Family Feud Template Google Slides Couped Cameron spot-checks that permit jellifies stintedly

Free Family Feud Template Google Slides Couped Cameron spot-checks that permit jellifies stintedly and barbs staunchly. Is Glen always choppy and foveate when bulldoze some tontine very selflessly and pokily? Pertussal Trip golf fatalistically and

541 views • 5 slides
The Remote Metamorphic Engine Detecting, Evading, Attacking the AI and Reverse Engineering Amro

The Remote Metamorphic Engine Detecting, Evading, Attacking the AI and Reverse Engineering Amro

The Remote Metamorphic Engine Detecting, Evading, Attacking the AI and Reverse Engineering Amro Abdelgawad / REcon 2016 line46_1: mov ecx, [esp] nop nop mov dl, 0xe9 test edx, edx mov byte [ecx], dl The Remote Metamorphic Engine xor eax, 0

683 views • 50 slides
Carbon Capture, Utilization, and Storage Presentation to the USEA Courtesy NREL Courtesy GRC

Carbon Capture, Utilization, and Storage Presentation to the USEA Courtesy NREL Courtesy GRC

Carbon Capture, Utilization, and Storage Presentation to the USEA Courtesy NREL Courtesy GRC Courtesy GRC Courtesy RAM Power Courtesy CPike/ACEP Judi Greenwald , Deputy Director for Climate, Environment, and Energy Efficiency and Senior

2.69k views • 10 slides

More recommend