large scale drive by download detec4on visit n process
play

Large-scale drive-by download detec4on: visit n . process. - PowerPoint PPT Presentation

Sep 15, 2023 •21 likes •391 views

Large-scale drive-by download detec4on: visit n . process. analyse. report. Adriaan Dens Mar4jn Bogaard Students Master of System and Network

  1. Large-­‑scale ¡drive-­‑by ¡download ¡detec4on: ¡ ¡ visit n . ¡process. ¡analyse. ¡report. ¡ Adriaan ¡Dens ¡ Mar4jn ¡Bogaard ¡ ¡ Students ¡Master ¡of ¡System ¡and ¡Network ¡Engineering ¡ ¡ Under ¡supervision ¡of: ¡ ¡ ¡

  2. Source: ¡hFp://www.bleepsta4c.com/Host/uploads/2/cryptolocker-­‑2.0.jpg ¡ 2 ¡

  3. Drive-­‑by ¡downloads ¡ • Vulnerable ¡browsers ¡and ¡plugins ¡ – Remote ¡code ¡execu4on ¡ • Malver4sing ¡ • Hard ¡to ¡detect ¡ Source: ¡hFp://blog.armorize.com/2011/04/newest-­‑adobe-­‑flash-­‑0-­‑day-­‑used-­‑in-­‑new.html ¡(modified) ¡ 3 ¡

  4. 4 ¡

  5. Challenges ¡current ¡systems ¡ • Slow ¡ • Single ¡website ¡at ¡a ¡4me ¡ • Hard ¡to ¡maintain ¡ ¡ 5 ¡

  6. Challenges ¡current ¡systems ¡ • Slow ¡ • Single ¡website ¡at ¡a ¡4me ¡ • Hard ¡to ¡maintain ¡ • Have ¡we ¡already ¡said ¡they’re ¡slow? ¡ ¡ 6 ¡

  7. Challenges ¡current ¡systems ¡ • Slow ¡ • Single ¡website ¡at ¡a ¡4me ¡ • Hard ¡to ¡maintain ¡ • Have ¡we ¡already ¡said ¡they’re ¡slow? ¡ – But ¡that’s ¡not ¡really ¡their ¡fault, ¡it ¡was ¡ never ¡designed ¡for ¡this ¡purpose ¡ 7 ¡ ¡

  8. Research ¡ques4on ¡ How ¡can ¡we ¡concurrently ¡visit ¡mul4ple ¡URLs ¡and ¡ s4ll ¡be ¡able ¡to ¡determine ¡which ¡URL ¡was ¡ responsible ¡for ¡malicious ¡ac4vi4es? ¡ 8 ¡

  9. Research ¡ques4on ¡ How ¡can ¡we ¡ concurrently ¡ visit ¡mul4ple ¡URLs ¡and ¡ s4ll ¡be ¡able ¡to ¡determine ¡ which ¡URL ¡ was ¡ responsible ¡for ¡malicious ¡ac4vi4es? ¡ 9 ¡

  10. The ¡Goal ¡ ��������������������� ������������ ������������ ������������ ���������������������� ���������������������� ���������������������� ��������������������������������� ������������������������������������������ �������� ����������� ����������������������������������������� ������������������������ ������������������������������ ���������������������������� �������������������� 10 ¡

  11. Algorithm ¡ • Pladorm ¡independent ¡ – PoC ¡for ¡Windows ¡7 ¡ • Browser ¡independent ¡ – PoC ¡for ¡Internet ¡Explorer ¡8 ¡ • Fast(er) ¡ • Limited ¡maintenance ¡needed ¡ 11 ¡

  12. Determine ¡malware ¡origin ¡ • One ¡website ¡ – Many ¡HTTP ¡requests ¡ • Easy ¡solu4ons: ¡ – Modify ¡web ¡browser ¡and ¡add ¡logging ¡ – Monitor ¡network ¡ • Scalable ¡solu4on: ¡ – Observing ¡API ¡calls ¡ – Includes ¡thread ¡and ¡process ¡context ¡ 12 ¡

  13. Web ¡browser ¡process ¡model ¡ 13 ¡ Source: ¡hFp://blogs.msdn.com/b/ie/archive/2008/03/11/ie8-­‑and-­‑loosely-­‑coupled-­‑ie-­‑lcie.aspx ¡

  14. Web ¡browser ¡network ¡stack ¡ 14 ¡ Source: ¡hFps://msdn.microsoi.com/en-­‑us/library/windows/desktop/aa383766%28v=vs.85%29.aspx ¡

  15. Source: ¡hFp://newgre.net/node/5 ¡ API ¡hooking ¡ 15 ¡

  16. Connec4ng ¡the ¡dots… ¡ 16 ¡

  17. Algorithm ¡in ¡4 ¡simple ¡steps ¡ • Visit ¡(the ¡URLs) ¡ ¡ • Process ¡(the ¡data) ¡ ¡ • Analyse ¡(the ¡graph) ¡ • Report ¡(the ¡findings) ¡ 17 ¡

  18. Analyse ¡graph ¡ ��������������������� ������������ ������������ ������������ ���������������������� ���������������������� ���������������������� ��������������������������������� ������������������������������������������ �������� ����������� ����������������������������������������� ������������������������ ������������������������������ ���������������������������� �������������������� 18 ¡

  19. Proof ¡of ¡Concept ¡ • Cuckoo ¡ – Support ¡for ¡analysis ¡of ¡single ¡website ¡ – Cuckoomon ¡(API ¡hooking) ¡ • Windows ¡7 ¡+ ¡IE ¡8 ¡ • Actual ¡detec4on ¡is ¡out ¡of ¡scope ¡ – And ¡up ¡to ¡the ¡user ¡in ¡exis4ng ¡solu4ons ¡ 19 ¡

  20. Running ¡it… ¡ 20 ¡

  21. Proof ¡of ¡Concept ¡ 21 ¡

  22. Proof ¡of ¡Concept ¡ 22 ¡

  23. Proof ¡of ¡Concept ¡ 23 ¡

  24. Proof ¡of ¡Concept ¡ 24 ¡

  25. Proof ¡of ¡Concept ¡ 25 ¡

  26. Proof ¡of ¡Concept ¡ 26 ¡

  27. 27 ¡

  28. 28 ¡

  29. 29 ¡

  30. 30 ¡

  31. But ¡is ¡it ¡also ¡faster? ¡ 31 ¡

  32. Benchmarks ¡ 32 ¡

  33. 100,000" 90,000" 80,000" 70,000" 60,000" Seconds( Anubis" 50,000" Cuckoo" 40,000" Roadrunner" 30,000" 20,000" 10,000" 0" 1" 5" 10" 25" 50" 100" 250" 500" 1000" URLs( Comparison ¡of ¡benchmark ¡results ¡ 33 ¡

  34. Research ¡ques4on ¡ How ¡can ¡we ¡ concurrently ¡ visit ¡mul4ple ¡URLs ¡ and ¡s4ll ¡be ¡able ¡to ¡determine ¡ which ¡URL ¡ was ¡ responsible ¡for ¡malicious ¡ac4vi4es? ¡ ¡ -­‑ Use ¡tabbed ¡browsing ¡ -­‑ Make ¡use ¡of ¡modern ¡browser ¡architectures ¡ -­‑ In-­‑depth ¡process ¡monitoring ¡(API ¡Hooking) ¡ -­‑ Graph ¡based ¡analysis ¡ 34 ¡

  35. Future ¡Work ¡ • Finishing ¡touch ¡PoC ¡ – Stability ¡ – Known ¡false ¡posi4ves ¡ – Correctly ¡crea4ng ¡the ¡graph ¡is ¡hard ¡ • But ¡all ¡data ¡is ¡available ¡for ¡manual ¡analysis ¡like ¡before ¡ – And ¡now ¡you ¡know ¡where ¡to ¡start ¡looking ¡ ¡ • BeFer ¡analysis ¡ – Machine ¡learning? ¡ 35 ¡

  36. Thanks! ¡ • Our ¡great ¡supervisors ¡from ¡the ¡NCSC ¡ – Jop ¡van ¡der ¡Lelie ¡& ¡Wouter ¡Katz ¡ • The ¡Cuckoo ¡developers ¡ – Especially ¡Jurriaan ¡Bremer ¡for ¡helping ¡us ¡in ¡ understanding ¡Cuckoo ¡and ¡solving ¡our ¡own ¡ introduced ¡bugs ¡ 36 ¡

  37. Ques4ons? ¡ Adriaan ¡Dens ¡ ¡ adriaan.dens@os3.nl ¡ ¡ Mar4jn ¡Bogaard ¡ ¡ mar4jn.bogaard@os3.nl ¡ ¡ ¡ Check ¡it ¡out ¡now: ¡ hFps://github.com/Mar4jnB/cuckoo/tree/mul4-­‑url ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

FINANCING LARGE SCALE SOLAR Large Scale Solar Conference - Sydney Gloria Chan Director, Large

FINANCING LARGE SCALE SOLAR Large Scale Solar Conference - Sydney Gloria Chan Director, Large

FINANCING LARGE SCALE SOLAR Large Scale Solar Conference - Sydney Gloria Chan Director, Large Scale Solar Lead April 2017 CONTENTS 1. Introduction to CEFC 2. Investment trends 3. The future of large scale solar 4. Pathway to sustainable

664 views • 21 slides
A large-scale chemical data integration system Gaia Paolini Pfizer Confidential 1 Large-Scale

A large-scale chemical data integration system Gaia Paolini Pfizer Confidential 1 Large-Scale

A large-scale chemical data integration system Gaia Paolini Pfizer Confidential 1 Large-Scale Chemical Data Integration Summary Current situation Business case Aims The design process Functionality Applications

261 views • 25 slides
Inject the future Process technologies and automated production cells for large-scale

Inject the future Process technologies and automated production cells for large-scale

Inject the future Process technologies and automated production cells for large-scale manufacturing of lightw eight thermoplastic composites for automotive applications Georg Steinbichler ENGEL AUSTRIA GmbH | EU Technology transfer

487 views • 11 slides
Exploring Sequence-Based Approaches Using Process Data in Large-Scale Assessments Qiwei Britt He

Exploring Sequence-Based Approaches Using Process Data in Large-Scale Assessments Qiwei Britt He

Opportunity versus Challenge Next Generation Psychometrics and Data Exploring Usage of Log-File and Process Data in International Large Science Center Scale Assessments Conference/Workshop Educational Testing Service Exploring Sequence-Based

668 views • 53 slides
Large-Scale Survey Interviewing Following Large Scale Survey Interviewing Following the 2008

Large-Scale Survey Interviewing Following Large Scale Survey Interviewing Following the 2008

Large-Scale Survey Interviewing Following Large Scale Survey Interviewing Following the 2008 WenChuan Earthquake Zhang Huafeng and Jon Pedersen International Blaise Users Conference (IBUC) Baltimore, USA , 1 Introduction Two household

711 views • 22 slides
INCORPORATING LARGE-SCALE CITIZEN INCORPORATING LARGE-SCALE CITIZEN DELIBERATION INTO

INCORPORATING LARGE-SCALE CITIZEN INCORPORATING LARGE-SCALE CITIZEN DELIBERATION INTO

INCORPORATING LARGE-SCALE CITIZEN INCORPORATING LARGE-SCALE CITIZEN DELIBERATION INTO ENVIRONMENTAL CONFLICT RESOLUTION America Speaks presentation to the 2008 ECR Conference Table Introductions Please form groups of 4-5 and give: Your name

848 views • 41 slides
Large-scale production of graphene: Introduction Large-scale production of graphene: what is

Large-scale production of graphene: Introduction Large-scale production of graphene: what is

Large-scale production of graphene: Introduction Large-scale production of graphene: what is graphene? Graphene is a truly 2D system made of Carbon atoms arranged in an honeycomb hexagonal lattice Zero-gap semiconductor with a low-energy linear

268 views • 6 slides
Ethics in Techniques for large-scale data Graham J.L. Kemp TECHNIQUES FOR LARGE-SCALE DATA

Ethics in Techniques for large-scale data Graham J.L. Kemp TECHNIQUES FOR LARGE-SCALE DATA

Ethics in Techniques for large-scale data Graham J.L. Kemp TECHNIQUES FOR LARGE-SCALE DATA Masters level course: Chalmers MPALG and MPSOF programmes (DAT345) GU Applied Data Science programme (DIT871) Learning outcomes include:

305 views • 18 slides
How do you measure success rate of large scale agile process? [BHAGEERATHI BAI] About me..

How do you measure success rate of large scale agile process? [BHAGEERATHI BAI] About me..

How do you measure success rate of large scale agile process? [BHAGEERATHI BAI] About me.. Bhageerathi Bai , Software Quality Engineer at Intel India Pvt Ltd. 2 Our teams Quality reviews and releases Challenges Solution Success Measure 3

808 views • 31 slides
Finding the Right Media Mix. FAPSC 2012 Visit our website after this presentation to download the

Finding the Right Media Mix. FAPSC 2012 Visit our website after this presentation to download the

Finding the Right Media Mix. FAPSC 2012 Visit our website after this presentation to download the PowerPoint at www.graggadv.com/webinars/ Introduction A (marketing) executive is a mixer of ingredients, who sometimes follows a recipe as he

661 views • 29 slides
Automated Large-Scale Phonetic Analysis: DASS William A. Kretzschmar, Jr., Joseph Stanley,

Automated Large-Scale Phonetic Analysis: DASS William A. Kretzschmar, Jr., Joseph Stanley,

Automated Large-Scale Phonetic Analysis: DASS William A. Kretzschmar, Jr., Joseph Stanley, Katherine Kuiper University of Georgia 1 DASS 64 interviews available on a portable USB drive 370 hours of sound files--c. 200Gb, about

335 views • 12 slides
An Email Contact Protocol Experiment in a Large-Scale Survey of U.S. in a Large Scale Survey of

An Email Contact Protocol Experiment in a Large-Scale Survey of U.S. in a Large Scale Survey of

An Email Contact Protocol Experiment in a Large-Scale Survey of U.S. in a Large Scale Survey of U.S. Government Employees DC-AAPOR Summer Conference Preview/Review Bureau of Labor Statistics Conference Center Washington DC Washington, DC

1.17k views • 25 slides
Schedule & Hotel Schedule Whova (download the app) CE Cards Prizes Visit

Schedule & Hotel Schedule Whova (download the app) CE Cards Prizes Visit

Welcome to the 2017 Educational Congress Tucson, AZ July 26 - 30 Schedule & Hotel Schedule Whova (download the app) CE Cards Prizes Visit Exhibitors Meals and Reception Rest Rooms 2017 Platinum Sponsor

1.83k views • 182 slides
Efficient Large-Scale Graph Processing on Hybrid CPU and GPU Systems A. Gharaibeh, E.

Efficient Large-Scale Graph Processing on Hybrid CPU and GPU Systems A. Gharaibeh, E.

Efficient Large-Scale Graph Processing on Hybrid CPU and GPU Systems A. Gharaibeh, E. Santos-Neto, L. Costa, M. Ripeanu. IEEE TPC, 2014 Sami (sa894) - R244: Large-scale data processing and optimization Efficient Large-Scale Graph Processing on

381 views • 25 slides
Motivation Large-scale distributed systems becoming more common multiple datacenters, cloud

Motivation Large-scale distributed systems becoming more common multiple datacenters, cloud

Census: Location-Aware Membership Management for Large-Scale Distributed Systems James Cowling Dan R. K. Ports Barbara Liskov Raluca Ada Popa Abhijeet Gaikwad* MIT CSAIL *cole Centrale Paris Motivation Large-scale distributed systems

606 views • 48 slides
Pregel Large-Scale Graph Processing William Jones Analysing large graphs is hard. We are

Pregel Large-Scale Graph Processing William Jones Analysing large graphs is hard. We are

Pregel Large-Scale Graph Processing William Jones Analysing large graphs is hard. We are keenly interested in analysing certain very large graphs. (e.g. the Web graph) These graphs are now too large to store and process on one

236 views • 11 slides
First experiences with Cuckoo bags John McHugh - RedJack, LLC and The University of North

First experiences with Cuckoo bags John McHugh - RedJack, LLC and The University of North

First experiences with Cuckoo bags John McHugh - RedJack, LLC and The University of North Carolina Jeff Janies - Redjack LLC Teryl Taylor - Dalhousie University FloCon 2010 New Orleans January 2010 What is a cuckoo bag? SiLK sets and

315 views • 29 slides
9th Grade STEM Program Marking Period One and Two STEM Projects Cube - Visualizing three

9th Grade STEM Program Marking Period One and Two STEM Projects Cube - Visualizing three

9th Grade STEM Program Marking Period One and Two STEM Projects Cube - Visualizing three dimensional space Deck - Designing and constructing a scaled model Wind Turbine (Current) - Maximizing the electrical output of a wind turbine

317 views • 14 slides
Because the FDA Said So Convincing the Non-Believer You are going to impact the timeline w/

Because the FDA Said So Convincing the Non-Believer You are going to impact the timeline w/

Because the FDA Said So Convincing the Non-Believer You are going to impact the timeline w/ this last minute requirement. Everything doesnt need to be Is this really necessary? in a procedure. Why do we have to do this? What do you

368 views • 35 slides
Abstract Supply Chain Cube Cost (SC 3 ) is the cost associated with physical space that must be

Abstract Supply Chain Cube Cost (SC 3 ) is the cost associated with physical space that must be

Abstract Supply Chain Cube Cost (SC 3 ) is the cost associated with physical space that must be bought or rented to move a product from the point of manufacturing to the customer. For typical consumer electronics, the driver of supply chain cube

571 views • 20 slides
EMOMA: Exact Match in One Memory Access Salvatore Pontarelli, Pedro Reviriego, Michael

EMOMA: Exact Match in One Memory Access Salvatore Pontarelli, Pedro Reviriego, Michael

This article has been accepted for publication in a future issue of this journal, but has not been fully edited. Content may change prior to final publication. Citation information: DOI 10.1109/TKDE.2018.2818716, IEEE Transactions on Knowledge and

420 views • 14 slides
BBHS Theatre BOE Presentation December 12, 2016 RECENT PRODUCTIONS SLIDESHOW FALL Drama

BBHS Theatre BOE Presentation December 12, 2016 RECENT PRODUCTIONS SLIDESHOW FALL Drama

BBHS Theatre BOE Presentation December 12, 2016 RECENT PRODUCTIONS SLIDESHOW FALL Drama PRODUCTIONS: The Crucible - 2007 Stage Door - 2008 The Miracle Worker - 2009 Our Town - 2010 The Outsiders - 2011 Fall Productions cont. The Laramie

393 views • 23 slides
GROUP More than just a bird-watching group COG what is it? Dedicated to the

GROUP More than just a bird-watching group COG what is it? Dedicated to the

CANBERRA ORNITHILOGISTS GROUP More than just a bird-watching group COG what is it? Dedicated to the conservation of birds and their habitat 50 years old 30 years of data on birds Contributes to environmentally sensitive

442 views • 17 slides
The Lower San Pedro Valley and Aravaipa: Worthy of Protection The Cascabel Working Group The

The Lower San Pedro Valley and Aravaipa: Worthy of Protection The Cascabel Working Group The

The Lower San Pedro Valley and Aravaipa: Worthy of Protection The Cascabel Working Group The Cascabel Working Group The Cascabel Working Group (CWG) is composed of e ascabe o g oup ( ) s co posed o residents and landowners of the Lower San

357 views • 33 slides

More recommend