19348

۱۹۳۴۸

ارائه يك روش به منظور كشف و شناسايي رفتار بدافزارهاي مبتني بر كاربر

كارشناسي ارشد

نرم افزار

1394-1396

۱۳۹۷

دكتر سعيد پارسا

كامپيوتر

امروزه بدافزارها نقش مهمي در نفوذ به سيستم¬هاي كامپيوتري بر عهده دارند و روزبه¬روز در حال گسترش، تغيير و افزايش پيچيدگي و هوشمندي هستند. به همين جهت، تشخيص و تحليل بدافزار، يعني فرآيند تعيين رفتار و اهداف مخرب، از اهميت به سزايي برخوردار است. براي تحقق اين امر، معمولاً شركت¬هاي امنيتي و تحليل¬گران، از تحليل پويا بهره مي¬برند. به اين معني كه نمونه مورد نظر را در محيط¬هاي كنترل شده¬اي مثل جعبه¬شني اجرا كرده و رفتار زمان اجراي آن را ثبت مي¬كنند. متاسفانه در بسياري از مواقع تنها زيرمجموعه¬ي كوچكي از رفتارهاي بدخواهانه¬ي بدافزار مشاهده مي-شوند. بدافزارها اغلب دربرگيرنده رفتارهاي پنهاني هستند كه فقط در صورت فراهم شدن محرك¬هاي لازم نمايان مي¬شوند. از جمله اين محرك¬ها مي¬توان به وجود و يا عدم وجود فايل¬ها، كليدهاي رجيستري، اينترنت، شبكه، رويدادهاي¬كاربر، زمان و تاريخ، ويژگي¬هاي محيطي و غيره اشاره كرد كه ممكن است بدافزار با بررسي هر يك از آن‌ها رفتاري متفاوتي از خود نشان دهد كه به اين رفتارهاي نيازمند به ويژگي¬هاي محيطي، رفتار تحريك¬پذير گفته مي¬شود. به منظور آشكارسازي اين قبيل رفتارها، رويكردهايي مثل افزايش پوشش مسير، اجراي نمادين، شبيه¬سازي رويدادهاي كاربر و استفاده از فضاي ابر ارائه شده است. اين روش¬ها از مشكلاتي مثل، انفجار مسير، زمان¬بر بودن تحليل، كامل و دقيق نبودن نتيجه تحليل و در برخي موارد وجود وابستگي به كاربر، رنج مي¬برند. در اين پايان¬نامه، روشي به¬منظور آشكارسازي رفتارهاي پنهان و تحريك¬پذير وابسته به كاربر ارائه شده است. روش پيشنهادي از دو بخش تشكيل شده است. بخش نخست مربوط به اجرا و تحليل نمونه موردنظر در محيط جعبه¬شن Cuckoo است. در اين بخش هدف شبيه¬سازي رفتار كاربر در محيط اجرايي جعبه-شن Cuckoo است. براي اين منظور 46 فعاليت كاربر را شبيه¬سازي كرده¬ايم كه همزمان با اجراي بدافزار، از بين اين فعاليت¬ها با رويكرد تصادفي يا تصادفي وزن¬دار، تعدادي انتخاب شده و به ترتيب اجرا مي¬شوند. همچنين ماژول تعامل با بدافزار ارائه شده است كه وظيفه تعامل با پنجره¬هاي احتمالي نمايش داده شده در هنگام اجراي بدافزار را برعهده دارد. بخش دوم به مقايسه گزارش¬هاي حاصل از تحليل توسط الگوريتم Levenshtein مي¬پردازد. اين مقايسه وجود يا عدم وجود رفتار جديد را مشخص مي¬سازد. در روش پيشنهادي از 550 مورد بدافزار تحليل شده، در 98 نمونه يعني 17.8% از نمونه¬ها، فرآيند جديد در زمان اجرا ايجاد شده است. همچنين در 114 نمونه يعني 20.7% از نمونه¬ها، رفتارها و فراخواني¬هاي سيستمي جديدي نسبت به زمان تحليل بدون ابزار ارائه شده ما انجام شده است.

1397/04/18

A Method for Detection and Identification of User-based Malware Behavior

4/15/2018 12:00:00 AM

Rapidly growth of the number of malicious programs which are generated by altering the functionalities or code structure caused the growth of paying attention to malware behavioral analysis. Security vendors leverage dynamic analysis techniques to screen malware behaviors, but malware use evasion techniques to avoid being monitored by a sandbox. Therefore, a subset of malware behaviors would be captured. Malicious programs show their roguish behavior while specific conditions are triggered. The existence of a file, a registry file, Internet connection, user interactions, date, time or other environmental conditions are various types of these conditions which should be triggered to capture malware roguish behaviors. Related works utilized software testing methods to observe more behavior but path explosion or solver problems cause to be failed. In this work, we studied on user interactions. We implemented 46 user activities to simulate user's interactions. While a malware is analyzed within a sandbox, some of these user's interactions effects on the analysis environments. Then, these user's interaction triggers relevant malware behaviors. We evaluated the work by 550 malicious samples. Comparison with the generated report by the cuckoo sandbox. The generated report by cuckoo sandbox within the proposed user's interaction caused to screen new progress and new system calls on 17.8% and 20.7% of samples respectively.