APTs Way: Evading your EBNIDS Ali Abbasi Jos Wetzels - PowerPoint PPT Presentation

APTs ¡Way: ¡Evading ¡your ¡EBNIDS ¡ Ali ¡Abbasi ¡ Jos ¡Wetzels ¡

Who ¡we ¡are? ¡ • Ali ¡Abbasi : ¡ ¡ PhD ¡student ¡in ¡Distributed ¡and ¡Embedded ¡System ¡Security ¡Group ¡at ¡University ¡of ¡Twente. ¡ – Researching ¡on ¡embedded ¡systems ¡security ¡related ¡to ¡criDcal ¡infrastructures. ¡Got ¡M.Sc. ¡at ¡ Tsinghua ¡University ¡in ¡China, ¡and ¡was ¡working ¡as ¡head ¡of ¡vulnerability ¡analysis ¡and ¡ penetraDon ¡tesDng ¡group ¡at ¡Iran ¡NaDonal ¡CERT ¡in ¡Sharif ¡University ¡of ¡Technology ¡in ¡Tehran. ¡ ¡ Jos ¡Wetzels : ¡ ¡ • M.Sc. ¡Student ¡and ¡a ¡research ¡assistant ¡with ¡the ¡Services, ¡Cyber ¡security ¡and ¡Safety ¡research ¡ – group ¡at ¡the ¡University ¡of ¡Twente. ¡Currently ¡working ¡on ¡projects ¡aimed ¡at ¡on-‑the-‑fly ¡ detecDon ¡and ¡containment ¡of ¡unknown ¡malware ¡and ¡Advanced ¡Persistent ¡Threats, ¡where ¡we ¡ focus ¡on ¡malware ¡analysis, ¡intrusion ¡detecDon, ¡and ¡evasion ¡techniques. ¡Assisted ¡teaching ¡ hands-‑on ¡offensive ¡security ¡classes ¡for ¡graduate ¡students ¡at ¡the ¡Dutch ¡Kerckhoffs ¡InsDtute ¡for ¡ several ¡years. ¡

Plan ¡of ¡Talk ¡ • History ¡of ¡ExploitaDon ¡and ¡Shellcodes ¡ • Intro ¡to ¡EmulaDon ¡Based ¡NIDS ¡Approach ¡ • AdaptaDon ¡ • DetecDon ¡Techniques ¡and ¡HeurisDcs ¡ • Evasions ¡ • QuesDons? ¡

History ¡ Morris ¡Worm ¡1988 ¡used ¡Buffer ¡overflow ¡on ¡“finger” ¡service ¡on ¡VAX ¡systems. ¡ • Morris ¡fingerd ¡ In ¡1990 ¡first ¡polymorphic ¡virus ¡designed ¡by ¡Washburn ¡ shellcode ¡ • pushl ¡$68732f ¡’/sh\0’ ¡ ¡ pushl ¡$6e69622f ¡’/ In ¡2001 ¡K2 ¡introduced ¡ADMmutate ¡a ¡polymorphic ¡engine ¡ • bin’ ¡ ¡ movl ¡sp, ¡r10 ¡ ¡to ¡generate ¡shellcodes ¡ pushl ¡$0 ¡ ¡ ¡ pushl ¡$0 ¡ ¡ In ¡2008 ¡Conficker ¡worm ¡with ¡one ¡byte ¡XORed ¡shellcode ¡ • pushl ¡r10 ¡ ¡ pushl ¡$3 ¡ ¡ ¡ movl ¡sp,ap ¡ ¡ ¡ chmk ¡$3b ¡ ¡

Signature ¡Based ¡IDS ¡ • Typical ¡Exploit ¡Code: ¡ Exploit ¡the ¡ Padding ¡ JUNK ¡ Shellcode ¡ Overwrite ¡RET ¡ InstrucDon ¡(NOP) ¡ System ¡ DetecDon ¡based ¡on: ¡ – Return ¡Addresses ¡ – NOP ¡InstrucDons ¡(\x90) ¡ – Shellcode ¡signatures ¡ – DetecDng ¡polymorphic ¡encoder ¡signatures ¡ 17/10/14 5

LimitaIons ¡of ¡Signature ¡based ¡NIDS ¡ Akackers ¡change ¡a ¡byte ¡of ¡the ¡payload ¡and ¡evade ¡detecDon. ¡ ¡ • Polymorphic ¡shellcodes ¡with ¡custom ¡encoders/decoders ¡will ¡evade ¡ • detecDon. ¡ Encrypted ¡ Decryptor ¡ Payload ¡ ¡ You ¡must ¡always ¡update ¡and ¡maintain ¡your ¡signatures. ¡ • ¡

EmulaIon-‑Based ¡NIDS, ¡a ¡Giant ¡Leap ¡ EmulaDon-‑Based ¡NIDSes ¡emulate ¡suspicious ¡ • payloads. ¡ Meant ¡to ¡solve ¡the ¡problem ¡of ¡detecDng ¡ • polymorphic ¡shellcodes. ¡ EmulaDon-‑Based ¡NIDSes ¡are ¡a ¡great ¡step ¡ • forward: ¡ Detect ¡polymorphic ¡shellcodes ¡regardless ¡of ¡ – which ¡type ¡of ¡encoding ¡technique ¡is ¡used. ¡ Can ¡detect ¡0-‑day ¡exploits. ¡ – Do ¡not ¡rely ¡on ¡any ¡specific ¡vulnerability ¡ – (signatures). ¡ Uses ¡heurisDcs, ¡a ¡behavior ¡black ¡lisDng ¡ – technique. ¡

How ¡EmulaIon ¡Based ¡NIDS ¡Works? ¡

EmulaIon ¡Based ¡Technique ¡Adopted ¡ NEMU ¡

EmulaIon ¡Based ¡NIDS ¡ • Nemu: ¡ The ¡state ¡of ¡the ¡art ¡in ¡emulaDon ¡based ¡network ¡intrusion ¡detecDon ¡because ¡of ¡its ¡broad ¡ • range ¡of ¡heurisDcs. ¡ Libemu: ¡ ¡ • A ¡simple ¡shellcode ¡detecDon ¡engine ¡(used ¡in ¡several ¡Honeynet ¡projects). ¡ •

Pre-‑Processing ¡ Looking ¡for ¡GetPC ¡seeding ¡instrucDon. ¡ • /* emulate.c Heuristic detection trigger*/ – Call ¡instrucIons ¡ if ((tc[prev_PC].inst.type == INSTRUCTION_TYPE_CAL if ¡(inst_trace[x].getpc ¡== ¡1) ¡{ ¡ jmp ¡ startup ¡ ¡ ¡/* ¡getPC ¡write ¡*/ ¡ (tc[prev_PC].inst.type == Getpc: ¡ fprinu(trace_fp, ¡"\033[1;31m ¡w ¡\033[0m"); ¡ INSTRUCTION_TYPE_FSTENV)) { ¡ ¡ ¡ mov ¡ ( %esp ) , ¡%eax ¡ has_getpc = 1; ¡ ¡ ¡ ¡ ¡ ¡}else ¡if ¡(inst_trace[x].getpc ¡== ¡2) ¡{ ¡ EXECTRACE_CMD(inst_trace[num_exec].getpc ¡ ¡ ¡ ret ¡ ¡ ¡/* ¡getPC ¡read ¡*/ ¡ = 1);} startup : ¡ fprinu(trace_fp, ¡"\033[1;31m ¡r ¡\033[0m"); ¡ ¡ ¡ ¡ ¡ ¡ ¡} ¡ call ¡getpc ¡ ¡ ¡ – FPU ¡InstrucIons ¡ /* ¡1 ¡if ¡call/fstenv, ¡2 ¡if ¡PC ¡read, ¡0 ¡if ¡none ¡*/ ¡ if ¡((tc[prev_PC].inst.type ¡==INSTRUCTION_TYPE_CALL) ¡|| ¡ 00C67000 ¡D9 ¡EE ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡fldz ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ (tc[prev_PC].inst.type ¡== ¡INSTRUCTION_TYPE_FSTENV)) ¡ ¡ 00C67002 ¡D9 ¡74 ¡24 ¡F4 ¡ ¡ ¡ ¡ ¡ ¡fnstenv ¡ ¡ ¡ ¡ ¡ [ esp-‑0Ch ] ¡ ¡ { ¡ 00C67006 ¡5B ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡pop ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ebx ¡ ¡ has_getpc ¡= ¡1; ¡ ¡ EXECTRACE_CMD(inst_trace[num_exec].getpc ¡= ¡1);} ¡

EmulaIon ¡ • Create ¡possibility ¡to ¡track ¡the ¡behavior ¡of ¡the ¡emulated ¡CPU ¡during ¡ execuDon ¡ ¡ Emulate ¡X86 ¡instrucDon ¡sets ¡ • Emulate ¡FPU ¡InstrucDons ¡ • make ¡a ¡generic ¡memory ¡image ¡for ¡some ¡local ¡variables ¡ •

Basic Heuristics Detection ¡ GetPC ¡Code: ¡ ¡ • – detect ¡invoking ¡CALL ¡or ¡FPU ¡instrucDons ¡and ¡check ¡if ¡the ¡emulator ¡started ¡from ¡the ¡seeding ¡GetPC ¡ code. ¡ ¡ Payload ¡Read : ¡ ¡ • – detect ¡polymorphic ¡shellcode ¡by ¡observing ¡in ¡an ¡execuDon ¡trace ¡some ¡form ¡of ¡GetPC ¡code ¡followed ¡ by ¡a ¡number ¡of ¡unique ¡memory ¡reads ¡exceeding ¡so-‑called ¡PRT. ¡ ¡ Write-‑Execute ¡InstrucIons : ¡ ¡ • – Check ¡in ¡the ¡areas ¡that ¡emulator ¡performed ¡write ¡instrucDons ¡how ¡many ¡executed ¡X ¡instrucDons ¡get ¡ emulated. ¡If ¡this ¡X ¡instrucDons ¡pass ¡certain ¡value ¡then ¡the ¡payload ¡will ¡be ¡flagged ¡as ¡Non-‑self-‑ contained ¡shellcode. ¡

Additional Heuristics ¡ • Kernel32.dll ¡based ¡address ¡resoluDon ¡ SEH-‑based ¡GetPC ¡code ¡ • Process ¡Memory ¡Scanning ¡ •

PEB ¡Based ¡Kernel32.dll ¡ResoluIon ¡

BCKWD ¡Kernel32.dll ¡ResoluIon ¡

SEH ¡GetPC ¡

Syscall ¡Process ¡Memory ¡Scanning ¡

Evasions ¡ ImplementaIon ¡ Intrinsic ¡ Pre-‑Processing ¡ ✗ ¡ EmulaDon ¡ ✗ ¡ ✗ ¡ HeurisDcs ¡ ✗ ¡

Intrinsic ¡LimitaIons ¡ • Unavailable ¡context ¡data ¡ – EmulaDon-‑based ¡NIDSes ¡cannot ¡have ¡a ¡complete ¡memory ¡image ¡of ¡all ¡possible ¡ targets. ¡ – Context ¡keying. ¡ – Non-‑self ¡contained ¡shellcodes. ¡ ExecuDon ¡threshold ¡ • – The ¡emulator ¡needs ¡to ¡stop ¡at ¡some ¡point, ¡the ¡akacker ¡can ¡wait. ¡ Cannot ¡deal ¡with ¡fragmented ¡shellcode ¡ • – Send ¡the ¡shellcode ¡payload ¡in ¡mulDple ¡(non-‑consecuDve) ¡fragments. ¡

Unavailable ¡Context ¡Data ¡ • Non-‑self ¡contained ¡shellcodes ¡ ¡ • Context ¡Keying ¡ – CKPE ¡ • Using CPUID, values present at static memory addresses, system time or file information as a key. ¡

Context ¡Keyed ¡Payload ¡Encoding ¡

ExecuIon ¡Threshold ¡ • Using ¡Dme ¡consuming ¡loops ¡to ¡evade ¡the ¡threshold ¡of ¡execuDon ¡ while ¡(++num_exec ¡< ¡exec_threshold); ¡ STATS_CMD(if ¡(num_exec ¡>= ¡exec_threshold) ¡stop_cond ¡= ¡S_THRESH); ¡ ¡ Opaque ¡loop ¡ Intensive ¡loop ¡ Integrated ¡loop ¡ RDA ¡ Nemu ¡ 9/9 ¡ 9/9 ¡ 0/9 ¡ 0/9 ¡ Libemu ¡ 0/1 ¡ 0/1 ¡ 0/1 ¡ 0/1 ¡

ExecuIon ¡Threshold ¡Random ¡ DecrypIon ¡Algorithm ¡(RDA) ¡

APTs Way: Evading your EBNIDS Ali Abbasi Jos Wetzels - PowerPoint PPT Presentation

APTs Way: Evading your EBNIDS Ali Abbasi Jos Wetzels Who we are? Ali Abbasi : PhD student in Distributed and Embedded System Security Group

APTS Applied Stochastic Processes Markov chains and reversibility Renewal processes and

APTS Applied Stochastic Processes Nicholas Georgiou 1 & Matt Roberts 2

Statistical Inference https://people.bath.ac.uk/masss/APTS/apts.html Simon Shaw University of

EVADING DEEP INSPECTION FOR FUN AND SHELL Who we are

Optimal Evading Strategies and Task Allocation in Multi-Pursuer Single-Evader Problems Venkata

Evading&Android&Run?me&Analysis& via&& Sandbox&Detec?on&

Bruteforcing in the Shadows Evading Automated Detection Martin Draar, Jan Vykopal

Your state is not mine: a closer look at evading stateful internet censorship Zhongjie Wang, Yue

Du Cercle The APTs That Werent La cuadrature du cercle La cuadratura del circulo Die

Automatically Evading Classifiers A Case Study on PDF Malware Classifiers Weilin Xu

Survival Analysis APTS 2015/16 Ingrid Van Keilegom Institut de statistique, biostatistique et

Evading/Attacking NIDS Insertion, Evasion, DoS Attacks Proposed Solutions Traf fi c

Hunting and detecting APTs using Sysmon and PowerShell logging TOM UELTSCHI BOTCONF 2018 C:>

Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship Zhongjie Wang , Yue

Command and Control Mechanism Trends in Exploit Kits, RATs, APTs, and Other Malware January 13,

Compsci 201 201 Exam 2 2 Re Review, C , Compar arat ator ors, A , APTs Par art 1 1 of

On the Effectiveness of Distributed Worm Monitoring Moheeb Abu Rajab Fabian Monrose Andreas

WORKFORCE INNOVATION THROUGH TECHNICAL EDUCATION SD Technical Institutes Presentation to Joint

PROMOTING ANAEROBIC DIGESTION OF MUNICIPAL SOLID WASTE IN INDONESIA Mohammad Helmy Senior

Trust Decanting: Flexibility and Danger Achieving Tax Benefits, Revising Fiduciary Powers, and

COVID-19 UPDATE June 23, 2020 1 COVID-19 Update Overview Welcome Public Health

DAN Research Project 2009 February until May Introduction DCS without bubbles Bubbles

Apply & Innovate 2014 Karlsruhe (Germany) Automated Testing of the Diagnostic Protocol and

Understanding Trauma Mission: Activating Communities to Heal E vent Actual experience or

APTs Way: Evading your EBNIDS Ali Abbasi Jos Wetzels - PowerPoint PPT Presentation

APTs Way: Evading your EBNIDS Ali Abbasi Jos Wetzels Who we are? Ali Abbasi : PhD student in Distributed and Embedded System Security Group

APTS Applied Stochastic Processes Markov chains and reversibility Renewal processes and

APTS Applied Stochastic Processes Nicholas Georgiou 1 &amp; Matt Roberts 2

Statistical Inference https://people.bath.ac.uk/masss/APTS/apts.html Simon Shaw University of

EVADING DEEP INSPECTION FOR FUN AND SHELL Who we are

Optimal Evading Strategies and Task Allocation in Multi-Pursuer Single-Evader Problems Venkata

Evading&amp;Android&amp;Run?me&amp;Analysis&amp; via&amp;&amp; Sandbox&amp;Detec?on&amp;

Bruteforcing in the Shadows Evading Automated Detection Martin Draar, Jan Vykopal

Your state is not mine: a closer look at evading stateful internet censorship Zhongjie Wang, Yue

Du Cercle The APTs That Werent La cuadrature du cercle La cuadratura del circulo Die

Automatically Evading Classifiers A Case Study on PDF Malware Classifiers Weilin Xu

Survival Analysis APTS 2015/16 Ingrid Van Keilegom Institut de statistique, biostatistique et

Evading/Attacking NIDS Insertion, Evasion, DoS Attacks Proposed Solutions Traf fi c

Hunting and detecting APTs using Sysmon and PowerShell logging TOM UELTSCHI BOTCONF 2018 C:&gt;

Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship Zhongjie Wang , Yue

Command and Control Mechanism Trends in Exploit Kits, RATs, APTs, and Other Malware January 13,

Compsci 201 201 Exam 2 2 Re Review, C , Compar arat ator ors, A , APTs Par art 1 1 of

On the Effectiveness of Distributed Worm Monitoring Moheeb Abu Rajab Fabian Monrose Andreas

WORKFORCE INNOVATION THROUGH TECHNICAL EDUCATION SD Technical Institutes Presentation to Joint

PROMOTING ANAEROBIC DIGESTION OF MUNICIPAL SOLID WASTE IN INDONESIA Mohammad Helmy Senior

Trust Decanting: Flexibility and Danger Achieving Tax Benefits, Revising Fiduciary Powers, and

COVID-19 UPDATE June 23, 2020 1 COVID-19 Update Overview Welcome Public Health

DAN Research Project 2009 February until May Introduction DCS without bubbles Bubbles

Apply &amp; Innovate 2014 Karlsruhe (Germany) Automated Testing of the Diagnostic Protocol and

Understanding Trauma Mission: Activating Communities to Heal E vent Actual experience or

APTS Applied Stochastic Processes Nicholas Georgiou 1 & Matt Roberts 2

Evading&Android&Run?me&Analysis& via&& Sandbox&Detec?on&

Hunting and detecting APTs using Sysmon and PowerShell logging TOM UELTSCHI BOTCONF 2018 C:>

Apply & Innovate 2014 Karlsruhe (Germany) Automated Testing of the Diagnostic Protocol and