execscent mining for new c c domains in live networks
play

ExecScent: Mining for New C&C Domains in Live Networks - PowerPoint PPT Presentation

May 06, 2023 •161 likes •506 views

ExecScent: Mining for New C&C Domains in Live Networks with Adap?ve Control Protocol Templates Terry Nelms 1,2 , Roberto Perdisci 3,2 , Mustaque Ahamad 2,4 1

  1. ExecScent: ¡Mining ¡for ¡New ¡C&C ¡Domains ¡ in ¡Live ¡Networks ¡with ¡Adap?ve ¡Control ¡ Protocol ¡Templates ¡ Terry ¡Nelms 1,2 , ¡Roberto ¡Perdisci 3,2 , ¡Mustaque ¡Ahamad 2,4 ¡ 1 Damballa ¡Inc. ¡ 2 Georgia ¡Ins?tute ¡of ¡Technology, ¡College ¡of ¡Compu?ng ¡ 3 University ¡of ¡Georgia ¡– ¡Dept. ¡of ¡Computer ¡Science ¡ 4 New ¡York ¡University ¡Abu ¡Dhabi ¡

  2. Modern Malware Networking C&C Web Proxy badguy.com Enterprise Network 192.168.1.2 8/23/13 ¡ 2 ¡

  3. Malware Network Detection Methods • Anomaly-­‑Based ¡ • Domain-­‑Based ¡ • URL-­‑Regex ¡ ¡ 8/23/13 ¡ 3 ¡

  4. ExecScent Goals & Observations • Goals: ¡ – Network ¡detec?on ¡domains ¡& ¡hosts. ¡ – Malware ¡family ¡aWribu?on. ¡ • Observa?ons: ¡ – C&C ¡protocol ¡changes ¡infrequently. ¡ – HTTP ¡C&C ¡applica?on ¡layer ¡protocol. ¡ ¡ 8/23/13 ¡ 4 ¡

  5. Adaptive Control Protocol Templates • Structure ¡of ¡the ¡protocol. ¡ ¡ • Self-­‑tuning. ¡ • En?re ¡HTTP ¡request. ¡ 8/23/13 ¡ 5 ¡

  6. ExecScent Overview Adaptive (self-tuning) Malware Traffic Traces Control Protocol Templates ExecScent ... (learning) Background Network Traffic Enterprise Network 8/23/13 ¡ 6 ¡

  7. ExecScent Overview Adaptive (self-tuning) Malware Traffic Traces Control Protocol Templates ExecScent ... (learning) Background template Network Traffic matching HTTP(S) Traffic C&C Web Proxy Enterprise Network 8/23/13 ¡ 7 ¡

  8. ExecScent Overview Adaptive (self-tuning) Malware Traffic Traces Control Protocol Templates ExecScent ... (learning) Similarity Background template Network Traffic matching Specificity HTTP(S) Traffic C&C Web Proxy Enterprise Network 8/23/13 ¡ 8 ¡

  9. ExecScent Overview Adaptive (self-tuning) Malware Traffic Traces Control Protocol Templates ExecScent ... (learning) Infected Hosts Background template Network Traffic matching C&C Domains HTTP(S) Traffic C&C Web Proxy Enterprise Network 8/23/13 ¡ 9 ¡

  10. Template Learning Process Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 10 ¡

  11. Malware C&C Traces Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 11 ¡

  12. Request Generalization Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 12 ¡

  13. Request Generalization (a) Request 1 : GET /Ym90bmV0DQo=/cnc.php?v=121&cc=IT Host: www.bot.net User-Agent: 680e4a9a7eb391bc48118baba2dc8e16 ... Request 2 : GET /bWFsd2FyZQ0KDQo=/cnc.php?v=425&cc=US Host: www.malwa.re User-Agent: dae4a66124940351a65639019b50bf5a ... (b) Request 1 : GET /<Base64;12>/cnc.php?v=<Int;3>&cc=<Str;2> Host: www.bot.net User-Agent: <Hex;32> ... Request 2 : GET /<Base64;16>/cnc.php?v=<Int;3>&cc=<Str;2> Host: www.malwa.re User-Agent: <Hex;32> ... 8/23/13 ¡ 13 ¡

  14. Request Clustering Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 14 ¡

  15. Labeled C&C Domains Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 15 ¡

  16. Labeled C&C Domains Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 16 ¡

  17. Generating CPTs Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 17 ¡

  18. Generating CPTs Malware-A Unlabeled Unlabeled Unlabeled Unlabeled Malware-C Malware-F Malware-D Malware-B Malware-E Unlabeled Unlabeled 8/23/13 ¡ 18 ¡

  19. Labeled CPTs Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 19 ¡

  20. Labeled CPT 1 ) Median URL path : /<Base64;14>/cnc.php 2 ) URL query component : {v=<Int,3>, cc=<String;2>} 3 ) User Agent : {<Hex;32>} 4 ) Other headers : {(Host;13), (Accept-Encoding;8)} 5 ) Dst nets : {172.16.8.0/24, 10.10.4.0/24, 192.168.1.0/24} Malware family : { Trojan-A , BotFamily-1 } URL regex : GET /.*\?(cc|v)= Background traffic profile : specificity scores used to adapt the CPT to the deployment environment 8/23/13 ¡ 20 ¡

  21. Template Matching • Similarity ¡ ¡ Input: ¡ ¡ req, ¡CPT ¡ ¡ – Measures ¡likeness ¡ Similarity: ¡ ¡ s (req i , ¡CPT i ), ¡ ¡ ¡ ¡ – Components ¡ for ¡each ¡component ¡ i ¡ – Weighted ¡average ¡ ¡ – Match ¡threshold ¡ Specificity: ¡ ¡ δ (req i , ¡CPT i ), ¡ for ¡each ¡component ¡ i ¡ • Specificity ¡ ¡ ¡ – Measures ¡uniqueness ¡ Match-­‑Score: ¡ ¡ f (sim, ¡spec) ¡ ¡ – Dynamic ¡weights ¡ If ¡Match-­‑Score ¡> ¡Θ: ¡ – Self-­‑tuning ¡ ¡ ¡ ¡ ¡return ¡C&C ¡Request ¡ 8/23/13 ¡ 21 ¡

  22. Similarity & Specificity Examples • Example ¡A ¡(High ¡Similarity, ¡Low ¡Specificity): ¡ – /index.html ¡-­‑ ¡Request ¡ – /index.html ¡ -­‑ ¡CPT ¡ • Example ¡B ¡(Low ¡Similarity, ¡High ¡Specificity): ¡ – /downloads/9908-­‑7623-­‑0098/images ¡ -­‑ ¡Request ¡ ¡ – /VGVycnkgTmVsbXMK ¡(<Base64, ¡16>) ¡ -­‑ ¡CPT ¡ • Example ¡C ¡(High ¡Similarity, ¡High ¡Specificity) ¡ – /Ui4gUGVyZGlzY2kK ¡(<Base64, ¡16>) -­‑ ¡Request ¡ – /VGVycnkgTmVsbXMK ¡(<Base64, ¡16>) -­‑ ¡CPT ¡ 8/23/13 ¡ 22 ¡

  23. Evaluation Deployment Networks UNetA UNetB FNet Distinct Src IPs 7 , 893 27 , 340 7 , 091 HTTP Requests 34 , 871 , 003 66 , 298 , 395 58 , 019 , 718 Distinct Domains 149 , 481 238 , 014 113 , 778 • Evalua?on ¡ran ¡for ¡two ¡weeks. ¡ ¡ • CPTs ¡updated ¡daily ¡beginning ¡two ¡weeks ¡ prior ¡to ¡evalua?on. ¡ 8/23/13 ¡ 23 ¡

  24. Ground Truth • Commercial ¡C&C ¡blacklist. ¡ • Pruned ¡Alexa ¡top ¡1 ¡million. ¡ • Professional ¡threat ¡analysts. ¡ 8/23/13 ¡ 24 ¡

  25. Finding C&C Domains 80 ¡ 70 ¡ FP ¡≈ ¡.02% ¡ 60 ¡ FP ¡≈ ¡.015% ¡ 50 ¡ C&C ¡Domains ¡ FP ¡≈ ¡.01% ¡ UNetA ¡ 40 ¡ UNetB ¡ FP ¡= ¡0.0% ¡ Fnet ¡ 30 ¡ 20 ¡ 10 ¡ 0 ¡ 0.62 ¡ 0.65 ¡ 0.73 ¡ 0.84 ¡ Match ¡Threshold ¡ 8/23/13 ¡ 25 ¡

  26. New vs. Blacklist Domains 100% ¡ 90% ¡ 80% ¡ 70% ¡ 60% ¡ Blacklist ¡C&C ¡ 50% ¡ New ¡C&C ¡ 40% ¡ 30% ¡ 20% ¡ 10% ¡ 0% ¡ UNetA ¡ UNetB ¡ Fnet ¡ 8/23/13 ¡ 26 ¡

  27. New vs. Blacklist Infected Hosts 100% ¡ 90% ¡ 80% ¡ 70% ¡ 60% ¡ Blacklist ¡Infec?ons ¡ 50% ¡ New ¡Infec?ons ¡ 40% ¡ 30% ¡ 20% ¡ 10% ¡ 0% ¡ UNetA ¡ UNetB ¡ Fnet ¡ 8/23/13 ¡ 27 ¡

  28. ISP Deployment • Deployed ¡the ¡ 65 ¡ newly ¡discovered ¡C&C ¡ domains ¡on ¡ 6 ¡ISP ¡networks ¡for ¡one ¡week. ¡ • Counted ¡the ¡number ¡of ¡dis?nct ¡source ¡IP ¡ addresses ¡contac?ng ¡the ¡domains ¡daily. ¡ • Iden?fied ¡ 25,584 ¡new ¡poten?al ¡malware ¡ infec?ons. ¡ 8/23/13 ¡ 28 ¡

  29. Model Comparison - True Positives 8/23/13 ¡ 29 ¡

  30. Model Comparison – False Positives 8/23/13 ¡ 30 ¡

  31. Limitations • Dependence ¡on ¡malware ¡traces ¡and ¡labeled ¡ domains. ¡ ¡ • Implement ¡a ¡new ¡protocol ¡when ¡the ¡C&C ¡domain ¡ or ¡IP ¡address ¡changes. ¡ • Blend ¡into ¡background ¡traffic. ¡ • Inject ¡noise ¡into ¡the ¡protocol. ¡ 8/23/13 ¡ 31 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Domains of Warfare Space Sp ace Cybe Cy ber- Air ir Sp Space ace Five Fi Domains of

Domains of Warfare Space Sp ace Cybe Cy ber- Air ir Sp Space ace Five Fi Domains of

Domains of Warfare Space Sp ace Cybe Cy ber- Air ir Sp Space ace Five Fi Domains of Doma of Warfar are Lan and Se Sea Joint M ultinational Combined Arms Live-Fire Exercise Camp Grayling-Alpena CRTC 2010-2018 NORTHERN

310 views • 4 slides
Mining Heterogeneous Mining Heterogeneous Information Networks Information Networks Xifeng Yan

Mining Heterogeneous Mining Heterogeneous Information Networks Information Networks Xifeng Yan

ACM SIGKDD Conference Tutorial, Washington, D.C., July 25, 2010 Mining Heterogeneous Mining Heterogeneous Information Networks Information Networks Xifeng Yan Jiawei Han Yizhou Sun Philip S. Yu University of Illinois at Urbana

2.29k views • 176 slides
Mining Large Single Networks under Subgraph Mining Large Single Networks under Subgraph

Mining Large Single Networks under Subgraph Mining Large Single Networks under Subgraph

Mining Large Single Networks under Subgraph Mining Large Single Networks under Subgraph Homomorphism Homomorphism Mostafa H. Chehreghani Jan Ramon Thomas Fannes 12/13/13 Overview Introduction Problem definition and preliminaries

547 views • 13 slides
Think You Know Fast-Flux Domains? Think Again. New

Think You Know Fast-Flux Domains? Think Again. New

Think You Know Fast-Flux Domains? Think Again. New Trends in Fast-Flux Domains Wei Xu, Xinran Wang Palo Alto Networks What we used

453 views • 23 slides
Web Mining Web Mining Web Mining Web Mining Web mining is the use of data mining techniques

Web Mining Web Mining Web Mining Web Mining Web mining is the use of data mining techniques

What is Web Mining? Wh t i W b Mi i What is Web Mining? Wh t i W b Mi i ? ? Web Mining Web Mining Web Mining Web Mining Web mining is the use of data mining techniques to automat cally d scover and extract nformat on automatically

774 views • 20 slides
Why Complex Analysis Pseudoconvex Domains: Where Holomorphic Functions Live Beautiful theory

Why Complex Analysis Pseudoconvex Domains: Where Holomorphic Functions Live Beautiful theory

Why Complex Analysis Pseudoconvex Domains: Where Holomorphic Functions Live Beautiful theory Applications to Pure Math (PDEs, Geometry, Number Theory, . . . ) S onmez S ahuto glu Applications to Applied Math (Fourier Analysis,

315 views • 7 slides
Web Mining Web Mining Web mining is the use of data mining techniques to automatically

Web Mining Web Mining Web mining is the use of data mining techniques to automatically

What is Web Mining? What is Web Mining? Web Mining Web Mining Web mining is the use of data mining techniques to automatically discover and extract information from Web documents/services (Etzioni, 1996, CACM 39(11)) Web mining aims to

566 views • 22 slides
We Cant Live Without Them! App Developers Adoption of Ad Networks and Their

We Cant Live Without Them! App Developers Adoption of Ad Networks and Their

We Cant Live Without Them! App Developers Adoption of Ad Networks and Their Considerations of Consumer Risks Abraham Mhaidli, Yixin Zou, Florian Schaub University of Michigan School of Information 50% of mobile apps use ads (and

460 views • 30 slides
Data Mining Lecture Notes for Chapter 4 Artificial Neural Networks Introduction to Data Mining ,

Data Mining Lecture Notes for Chapter 4 Artificial Neural Networks Introduction to Data Mining ,

Data Mining Lecture Notes for Chapter 4 Artificial Neural Networks Introduction to Data Mining , 2 nd Edition by Tan, Steinbach, Karpatne, Kumar Introduction to Data Mining, 2 nd Edition 10/12/2020 1 1 Artificial Neural Networks (ANN)

447 views • 13 slides
Mining temporal networks Aristides Gionis Department of Computer Science, Aalto University

Mining temporal networks Aristides Gionis Department of Computer Science, Aalto University

Mining temporal networks Aristides Gionis Department of Computer Science, Aalto University users.ics.aalto.fi/gionis Nov 14, 2016 networks a simple abstraction used to model many different real-world datasets social networks

812 views • 59 slides
Modeling Data Correlations in Private Data Mining with Markov Model and Markov Networks Yang Cao

Modeling Data Correlations in Private Data Mining with Markov Model and Markov Networks Yang Cao

Modeling Data Correlations in Private Data Mining with Markov Model and Markov Networks Yang Cao Emory University 2017.11.15 Outline Data Mining with Di ff erential Privacy (DP) Scenario: Spatiotemporal Data Mining using DP Markov

801 views • 37 slides
Bi-Continuous Domains and Some Old Problems in Domain Theory Talk at Domains IX Klaus Keimel

Bi-Continuous Domains and Some Old Problems in Domain Theory Talk at Domains IX Klaus Keimel

Bi-Continuous Domains and Some Old Problems in Domain Theory Talk at Domains IX Klaus Keimel October 21, 2008 Warning: These Notes contain the contents of my Talk at Domains IX. There may be mistakes. References are incomplete. Comments are

142 views • 11 slides
APPLICATIONS OF MINING HETEROGENEOUS INFORMATION NETWORKS Yizhou Sun College of Computer and

APPLICATIONS OF MINING HETEROGENEOUS INFORMATION NETWORKS Yizhou Sun College of Computer and

APPLICATIONS OF MINING HETEROGENEOUS INFORMATION NETWORKS Yizhou Sun College of Computer and Information Science Northeastern University yzsun@ccs.neu.edu July 25, 2015 Heterogeneous Information Networks Multiple object types and/or

1.23k views • 64 slides
Mining Heavy Subgraphs in Time-Evolving Networks Petko Bogdanov (petko@cs.ucsb.edu) Misael

Mining Heavy Subgraphs in Time-Evolving Networks Petko Bogdanov (petko@cs.ucsb.edu) Misael

Mining Heavy Subgraphs in Time-Evolving Networks Petko Bogdanov (petko@cs.ucsb.edu) Misael Mongiov Ambuj Singh Department of Computer Science University of California Santa Barbara Traffic networks ICDM 2011 2 Images from

1.23k views • 34 slides
Fast and Accurate Mining of Evolving &amp; Trajectory Networks Manos Papagelis York University,

Fast and Accurate Mining of Evolving &amp; Trajectory Networks Manos Papagelis York University,

Fast and Accurate Mining of Evolving &amp; Trajectory Networks Manos Papagelis York University, Toronto, Canada Current Research focus A. Network Representation Learning B. Trajectory Network Mining C. Streaming &amp; Dynamic Graphs D.

792 views • 52 slides
Graph Data Management Systems for New Applica9on Domains:

Graph Data Management Systems for New Applica9on Domains:

Graph Data Management Systems for New Applica9on Domains: Social Networks &amp; the Web of Data Philippe Cudr-Mauroux Sameh Elnikety University of

902 views • 89 slides
On E-Vote Integrity in the Case of Malicious Voter Computers Sven Heiberg Helger Lipmaa Filip

On E-Vote Integrity in the Case of Malicious Voter Computers Sven Heiberg Helger Lipmaa Filip

Motivation Rage against the Machine Our Solution On E-Vote Integrity in the Case of Malicious Voter Computers Sven Heiberg Helger Lipmaa Filip Van Laenen Cybernetica AS, Estonia Computas AS, Norway September 21, 2010 Heiberg, Lipmaa, Van

464 views • 18 slides
Compact Explanation of Why Malware is Bad Speaker: Wei Chen 1 Joint Work with Charles Sutton 1 ,

Compact Explanation of Why Malware is Bad Speaker: Wei Chen 1 Joint Work with Charles Sutton 1 ,

Compact Explanation of Why Malware is Bad Speaker: Wei Chen 1 Joint Work with Charles Sutton 1 , David Aspinall 1 , Andrew D. Gordon 1 , 2 , Igor Muttik 3 , and Qi Shen 4 App Guarden Project 1 University of Edinburgh 2 Microsoft Research Cambridge

426 views • 31 slides
The POD file NAME iaoptions.config Main (and only) configuration file for JACoW.upload,

The POD file NAME iaoptions.config Main (and only) configuration file for JACoW.upload,

File Upload / Download Perl Scripts The five Perl scripts must be installed on the conference file server to enable authors and editors to upload and download manuscript and talk files. The file server must have an up-to-date version of

272 views • 9 slides
Internet Technology 14. VoIP and NAT Traversal Paul Krzyzanowski Rutgers University Spring 2013

Internet Technology 14. VoIP and NAT Traversal Paul Krzyzanowski Rutgers University Spring 2013

Internet Technology 14. VoIP and NAT Traversal Paul Krzyzanowski Rutgers University Spring 2013 April 29, 2013 2013 Paul Krzyzanowski 1 Session Initiation Protocol (SIP) Dominant protocol for Voice over IP (VoIP) RFC 3261 Allows

572 views • 40 slides
Tor: Anonymous Communications for the Dept of Defense...and you. Roger Dingledine Free Haven

Tor: Anonymous Communications for the Dept of Defense...and you. Roger Dingledine Free Haven

Tor: Anonymous Communications for the Dept of Defense...and you. Roger Dingledine Free Haven Project Electronic Frontier Foundation http://tor.eff.org/ 17 September 2005 Talk Outline Motivation: Why anonymous communication? Myth 1:

703 views • 47 slides
A Moose Once Bit My Honeypot A Story of an Embedded Linux Botnet by Olivier Bilodeau (

A Moose Once Bit My Honeypot A Story of an Embedded Linux Botnet by Olivier Bilodeau (

A Moose Once Bit My Honeypot A Story of an Embedded Linux Botnet by Olivier Bilodeau ( @obilodeau ) $ apropos Embedded Linux Malware Moose DNA (description) Moose Herding (the Operation) Whats New? Take Aways $ whoami Malware

1.19k views • 97 slides
IETF 74 DHC draft-dhankins-softwire-tunnel-option draft-ietf-dhc-option-guidelines

IETF 74 DHC draft-dhankins-softwire-tunnel-option draft-ietf-dhc-option-guidelines

IETF 74 DHC draft-dhankins-softwire-tunnel-option draft-ietf-dhc-option-guidelines draft-ietf-dhc-dhcpinform-clarify David W. Hankins Internet Systems Consortium, Inc. March, 2009 softwire-tunnel-option-03 No material changes.

347 views • 15 slides
Communication Systems Security Overview University of Freiburg Computer Science Computer

Communication Systems Security Overview University of Freiburg Computer Science Computer

Communication Systems Security Overview University of Freiburg Computer Science Computer Networks and Telematics Prof. Christian Schindelhauer Organization I. Data and voice communication in IP networks II. Security issues in

792 views • 25 slides

More recommend