ruxcon courtesy of google images metamorphic template
play

RUXCON Courtesy of google images Metamorphic template with - PowerPoint PPT Presentation

Aug 04, 2023 •253 likes •701 views

Oct, 2016 Senior Malware Scientist ,Trend Micro spark@trendmicro.com RUXCON Courtesy of google images Metamorphic template with parameters #1 Original Code

  1. Oct, ¡2016 ¡ Senior ¡Malware ¡Scientist ¡,Trend ¡Micro ¡ spark@trendmicro.com ¡ ¡ RUXCON ¡

  2. Courtesy ¡of ¡google ¡images ¡

  4. — Metamorphic ¡template ¡with ¡parameters ¡#1 ¡ Original ¡Code ¡ — Metamorphic ¡template ¡with ¡parameters ¡#2 ¡ Original ¡Code ¡

  9. — Malware ¡mostly ¡delivered ¡through ¡email ¡outbreaks ¡ — An ¡outbreak ¡lasts ¡days ¡or ¡a ¡couple ¡of ¡weeks ¡ — The ¡same ¡metamorphic ¡template ¡used ¡during ¡a ¡ campaign ¡ — Early ¡deep ¡learning ¡will ¡block ¡entire ¡campaign ¡ — Sometimes ¡the ¡same ¡metamorphic ¡template ¡used ¡ across ¡several ¡different ¡campaigns ¡due ¡to ¡the ¡high ¡dev ¡ cost ¡ — Early ¡deep ¡learning ¡will ¡block ¡multiple ¡campaigns ¡

  11. — Key ¡challenges ¡ — Different ¡SHA1 ¡for ¡each ¡sample ¡ — Significantly ¡different ¡in ¡lengths ¡and ¡locations ¡ — Easy ¡to ¡change ¡template ¡parameters ¡resulting ¡in ¡ superficially ¡different ¡patterns ¡

  12. — Static ¡signature ¡ — Histograms/frequencies ¡ — API ¡call ¡distribution ¡ — Entropy ¡ — Machine ¡learning ¡algorithms ¡with ¡binary ¡ classification ¡

  14. — All ¡parsed ¡functions ¡and ¡code ¡blocks ¡including ¡those ¡ hidden ¡

  15. — Reduce ¡noise ¡by ¡using ¡opcode ¡

  17. — Experiment ¡shows ¡it ¡works ¡to ¡a ¡degree. ¡ — But, ¡it ¡is ¡ unable ¡to ¡characterise ¡functions ¡that ¡possess ¡the ¡ same ¡metamorphism ¡

  19. Courtesy ¡of ¡http://mriquestions.com/fourier-­‑transform-­‑ft.html ¡

  20. 1 ¡ 2 ¡ 3 ¡ 4 ¡ 5 ¡ 6 ¡ 7 ¡ 8 ¡ 9 ¡ 10 ¡ 11 ¡ 12 ¡ 13 ¡ 14 ¡ 15 ¡ 16 ¡

  21. 1 ¡ 2 ¡ 3 ¡ 4 ¡ 5 ¡ 6 ¡ 7 ¡ 8 ¡ 9 ¡ 10 ¡ 11 ¡ 12 ¡ 13 ¡ 14 ¡ 15 ¡ 16 ¡

  26. Instructions ¡ 55 8b ec 83 ec 08 (push ebp/mov ebp, esp/sub esp,8) Normalised ¡opcode ¡ 580,442,326 (push, mov, sub) Raw ¡FFT ¡ 0.23,0.24,0.10 Interpolated ¡& ¡ 3,45,12,113,156,255,238,… quantised ¡FFT ¡ Binarised ¡FFT ¡ 10111001010101110101000…

  27. — Auto-­‑Encoder ¡ — De-­‑noising ¡ — Restricted ¡Boltzmann ¡Machine ¡ — Convolutional ¡layer ¡ 1024 neurons 2048 neurons Courtesy ¡of ¡https://github.com/sjchoi86/Tensorflow-­‑101, ¡http://deeplearning.net/tutorial/dA.html#daa ¡

  28. — Deep ¡Auto-­‑Encoder ¡ ¡ — Dimensionality ¡reduction ¡ à ¡represented ¡as ¡a ¡fixed ¡size ¡‘code’. ¡ — Deep ¡auto-­‑encoder ¡performs ¡non-­‑linear ¡mapping ¡ 2048 reconstructed input 1024 neurons 512 neurons 128 neurons bit code 512 neurons 1024 neurons 2048 bit vectors (FFT for each function)

  31. — Dataset ¡ — ~2000 ¡unique ¡ransomware ¡binaries ¡ — Each ¡binary ¡was ¡sampled ¡from ¡a ¡unique ¡outbreak ¡ — Each ¡sampled ¡binary ¡can ¡take ¡millions ¡of ¡different ¡forms ¡within ¡ the ¡outbreak ¡ — ~1000 ¡exe/dll ¡from ¡windows/system32/ ¡ — Semantic ¡Hash ¡ — Malware ¡gets ¡detected ¡when ¡semantic ¡hash ¡is ¡identical. ¡ — An ¡identical ¡semantic ¡hash ¡detects ¡samples ¡with ¡different ¡ size ¡and ¡function ¡layouts ¡ — Malware ¡gets ¡detected ¡when ¡hamming ¡distance ¡of ¡the ¡ semantic ¡hash, ¡DC, ¡mean ¡and ¡STD ¡are ¡close. ¡

  37. — Layered ¡Executables ¡ — .NET ¡ — VBA ¡ — Self-­‑extracting ¡archives ¡(INNO/NSIS, ¡RAR, ¡ZIP, ¡…) ¡ — Py2Exe ¡ — +more ¡ — Hide ¡in ¡plain ¡sight ¡ — Exploit ¡the ¡assumptions ¡deployed ¡in ¡my ¡approach ¡

  40. ... ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡7 ¡Chunks ¡of ¡size ¡2097152 ¡totalling ¡14.00MiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡8 ¡Chunks ¡of ¡size ¡8388608 ¡totalling ¡64.00MiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡2 ¡Chunks ¡of ¡size ¡204800000 ¡totalling ¡390.62MiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡1 ¡Chunks ¡of ¡size ¡409600000 ¡totalling ¡390.62MiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡5 ¡Chunks ¡of ¡size ¡819200000 ¡totalling ¡3.81GiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡1 ¡Chunks ¡of ¡size ¡820948992 ¡totalling ¡782.92MiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:696] ¡Sum ¡Total ¡of ¡in-­‑use ¡chunks: ¡5.42GiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:698] ¡Stats: ¡ ¡ Limit: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡5828558848 ¡ InUse: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡5819909888 ¡ MaxInUse: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡5819909888 ¡ NumAllocs: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡99 ¡ MaxAllocSize: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡820948992 ¡

  41. — Too ¡many ¡functions ¡in ¡dataset ¡ — Even ¡for ¡a ¡small ¡dataset ¡(3000 ¡samples), ¡total ¡function ¡ count ¡exceeds ¡1million! ¡ ¡ — GPU ¡memory ¡exhaustion ¡ — Batch ¡processing ¡(reconstruct/evaluate) ¡ — Even ¡predictions ¡shouldn't ¡be ¡defined ¡as ¡an ¡array ¡ — System ¡memory ¡ — Do ¡your ¡math ¡between ¡pickled ¡dataset ¡file ¡size ¡and ¡ your ¡system ¡memory ¡ — Consider ¡reading ¡'Reading ¡Data' ¡section ¡of ¡tensorflow ¡

  42. — Transform ¡arbitrary ¡signal ¡into ¡frequency ¡domain ¡ — Why ¡is ¡it ¡effective ¡for ¡code ¡pattern ¡similarity ¡detection? ¡ — Each ¡code ¡uniquely ¡identifiable ¡ — Transformed ¡frequency ¡spectrum ¡retains ¡original ¡data ¡ information ¡(We ¡have ¡inverse ¡Fourier ¡transform) ¡ — Fourier ¡transform ¡of ¡the ¡code ¡is ¡resilient ¡to ¡noise ¡ — Slight ¡distortion ¡in ¡original ¡code ¡won't ¡affect ¡the ¡characteristics ¡of ¡ ¡ frequency ¡spectrum ¡much. ¡ — It ¡is ¡difficult ¡to ¡create ¡a ¡code ¡sequence ¡that ¡has ¡different ¡ semantics ¡but ¡has ¡the ¡same ¡frequency ¡spectrum. ¡

  43. Senior ¡Malware ¡Scientist ¡, ¡Trend ¡Micro ¡ spark@trendmicro.com

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

The Golden Age of Russian Lit A century of realism and reflection When exactly was "The

The Golden Age of Russian Lit A century of realism and reflection When exactly was "The

Courtesy of Google Images The Golden Age of Russian Lit A century of realism and reflection When exactly was "The "Golden Age"? 1830's - 1917 Courtesy of Google Images Most Notable Writers Pushkin - National Poet Gogol -

512 views • 14 slides
Working Without a Net: http://timkellyphotographycanada.com/ Source: Google Images Source: Google

Working Without a Net: http://timkellyphotographycanada.com/ Source: Google Images Source: Google

Source: Google Images Working Without a Net: http://timkellyphotographycanada.com/ Source: Google Images Source: Google Images 1. Canola 2. Lipid Research and Utilization 3. Polyol 4. Bio Based Chemicals in Alberta 5. Import Replacement Program

356 views • 18 slides
I get my culture in london my life is so full I dont have time to discover new things.

I get my culture in london my life is so full I dont have time to discover new things.

Images Courtesy instagram.com I get my culture in london my life is so full I dont have time to discover new things. not even digitally Images Courtesy Land Rover, Chloe Poulter Images Courtesy Woking Borough Council, The Lightbox

290 views • 8 slides
Google Slides Voluntary Product Accessibility Template (VPAT) Date: 11/2014 Name of

Google Slides Voluntary Product Accessibility Template (VPAT) Date: 11/2014 Name of

Google Slides Voluntary Product Accessibility Template (VPAT) Date: 11/2014 Name of Product: Google Slides Point of Contact: Richard Wu Summary Table Supporting Criteria Remarks features Section 1194.21 Software Applications and

123 views • 9 slides
The Team Northern Alberta Tar Sands * Images courtesy of Syncrude Inc. and Shell Scotford

The Team Northern Alberta Tar Sands * Images courtesy of Syncrude Inc. and Shell Scotford

The Team Northern Alberta Tar Sands * Images courtesy of Syncrude Inc. and Shell Scotford Northern Alberta Tailings Ponds *Image courtesy of Syncrude Inc . Analogy Motility The Bacuum Cleaner Locomotion Regulation

482 views • 36 slides
Google Slides Lots of options to start Lots of template options to start with. Try to keep it

Google Slides Lots of options to start Lots of template options to start with. Try to keep it

Google Slides Lots of options to start Lots of template options to start with. Try to keep it clean and simple 1 G OOGLE S LIDES Google Slides Basic formatting Choose your theme, add some content and name your presentation. Presentations are

553 views • 11 slides
The 4 th Industrial Revolution and you Paolo Gallo Courtesy of cargocollective Courtesy of

The 4 th Industrial Revolution and you Paolo Gallo Courtesy of cargocollective Courtesy of

The 4 th Industrial Revolution and you Paolo Gallo Courtesy of cargocollective Courtesy of creative cauldren Photo: Archive Photos/Getty Images WikiCommons The 4 th Industrial Revolution https://www.youtube.com/watch?v=Ko2esJeGsrI

337 views • 32 slides
1 (images courtesy shorpy.com) Telecommunications Attorney Specialty in Public/Private

1 (images courtesy shorpy.com) Telecommunications Attorney Specialty in Public/Private

Rural Health Care Program Healthcare Connect Fund 1 (images courtesy shorpy.com) Telecommunications Attorney Specialty in Public/Private Partnerships and Federal Funding for Rural Broadband Former Director at USAC of the

424 views • 15 slides
Afghanistan Since the First World War by Ambrish Dhaka Photographs Courtesy: Google The

Afghanistan Since the First World War by Ambrish Dhaka Photographs Courtesy: Google The

Kunzru Memorial Lecture 2015 Afghanistan Since the First World War by Ambrish Dhaka Photographs Courtesy: Google The Territory of Afghanistan If one looks to the historic setting of Afghanistan at the dawn of 20 th century, one can see

1.62k views • 15 slides
An Engineer at War November Luncheon Presentation By Ken Philippart Images courtesy of

An Engineer at War November Luncheon Presentation By Ken Philippart Images courtesy of

An Engineer at War November Luncheon Presentation By Ken Philippart Images courtesy of Ken Philippart and Arloe Mayne In recognition of Veterans Day, the Greater Huntsville Section hosted a presentation titled, An Engineer at War

505 views • 3 slides
Adventures in Transport Image courtesy of Google Transport: Destination Shelter In 2017 the THS

Adventures in Transport Image courtesy of Google Transport: Destination Shelter In 2017 the THS

Toronto Humane Society Adventures in Transport Image courtesy of Google Transport: Destination Shelter In 2017 the THS transferred in 1,977 animals : - Dogs, cats, rabbits, rats, guinea pigs and assorted special species - From Ontario (shelters,

871 views • 43 slides
Flux Balance Analysis 1 Images courtesy of T. Shlomi Solutions must obey stoichiometric (mass

Flux Balance Analysis 1 Images courtesy of T. Shlomi Solutions must obey stoichiometric (mass

Flux Balance Analysis 1 Images courtesy of T. Shlomi Solutions must obey stoichiometric (mass balance), thermodynamic, and physiological constraints. Alendronic acid inhibits P. aeruginosa growth in vitro across a wide range of clinical

292 views • 10 slides
Database Overview WebVision2.0 dataset 5,000 categories From Flickr & Google 16M

Database Overview WebVision2.0 dataset 5,000 categories From Flickr & Google 16M

Database Overview WebVision2.0 dataset 5,000 categories From Flickr & Google 16M images 290K validation images 290K test images Dataset Construction Automatic query generation instead of manual way WebVision Dataset

393 views • 25 slides
Inserting images onto a Google Docs presentation You can enhance your document by inserting an

Inserting images onto a Google Docs presentation You can enhance your document by inserting an

Inserting images onto a Google Docs presentation You can enhance your document by inserting an image. 1. With your Google Doc Open, place cursor over to the tab labeled "Insert" it will be at the top. Click the Insert drop-down menu from

329 views • 5 slides
Combining Images Combining Images Blending Seam Carving Corner Detection Today:

Combining Images Combining Images Blending Seam Carving Corner Detection Today:

Combining Images Combining Images Blending Seam Carving Corner Detection Today: Use similar features Based on Richard Szeliski Notes (textbook author) Courtesy: Irfan Essa Challenge: Detect feature points What are Good

479 views • 8 slides
CS201: Computer Vision Lect 06: Face Detection John Magee Slides Courtesy of Diane H. Theriault

CS201: Computer Vision Lect 06: Face Detection John Magee Slides Courtesy of Diane H. Theriault

CS201: Computer Vision Lect 06: Face Detection John Magee Slides Courtesy of Diane H. Theriault Framing In Computer Vision, we want to analyze and interpret images and video First: How are images represented? How are images

489 views • 29 slides
Proio: YAIO! David Blyth Introduction A new IO scheme has been written, and its called proio .

Proio: YAIO! David Blyth Introduction A new IO scheme has been written, and its called proio .

Proio: YAIO! David Blyth Introduction A new IO scheme has been written, and its called proio . Proio is a language-neutral IO scheme that utilizes Googles Protobuf, and was inspired by ProMC and EicMC. This presentation will

694 views • 24 slides
DAY TWO Developed by Kaseya University Powered by IT Scholars Kaseya Version 6.2 Last updated

DAY TWO Developed by Kaseya University Powered by IT Scholars Kaseya Version 6.2 Last updated

Kaseya Advanced Workshop DAY TWO Developed by Kaseya University Powered by IT Scholars Kaseya Version 6.2 Last updated on June 25, 2012 1 Roadmap! Day One Day One Advanced Agent Procedures

600 views • 27 slides
Less is More: Accelerating Deep Neural Networks with Micro-Batching 1 Yosuke Oyama 1, a , Tal

Less is More: Accelerating Deep Neural Networks with Micro-Batching 1 Yosuke Oyama 1, a , Tal

Less is More: Accelerating Deep Neural Networks with Micro-Batching 1 Yosuke Oyama 1, a , Tal Ben-Nun 2 , Torsten Hoefler 2 , Satoshi Matsuoka 1 1) Tokyo Institute of Technology, 2) ETH Zurich a) oyama.y.aa@m.titech.ac.jp, Presenter 162

551 views • 26 slides
Building Asynchronous SNMP Agents Presented by Ilya Etingof <etingof@gmail.com> Why SNMP

Building Asynchronous SNMP Agents Presented by Ilya Etingof <etingof@gmail.com> Why SNMP

Building Asynchronous SNMP Agents Presented by Ilya Etingof <etingof@gmail.com> Why SNMP SNMP is old, complicated and has many competitors SNMP is still ubiquitous in monitoring SNMP is well-understood by many We have

275 views • 3 slides
Cluster 2010 Presentation Optimization Techniques at the I/O Forwarding Layer Kazuki Ohta

Cluster 2010 Presentation Optimization Techniques at the I/O Forwarding Layer Kazuki Ohta

Cluster 2010 Presentation Optimization Techniques at the I/O Forwarding Layer Kazuki Ohta (presenter) : Preferred Infrastructure, Inc., University of Tokyo Dries Kimpe, Jason Cope, Kamil Iskra, Robert Ross: Argonne National Laboratory Yutaka

667 views • 27 slides
ARA: Automatic Instance-Level Analysis in Real- Time Systems Gerion Entrup , Benedikt Steinmeier,

ARA: Automatic Instance-Level Analysis in Real- Time Systems Gerion Entrup , Benedikt Steinmeier,

ARA: Automatic Instance-Level Analysis in Real- Time Systems Gerion Entrup , Benedikt Steinmeier, Christian Dietrich Leibniz Universitt Hannover July 9, 2019 supported by A Hard Beginning Repository size: 65 MiB Time Systems Motivation

519 views • 35 slides
Linux perf_events status update Stephane Eranian Google Petascale Tools Workshop 2014 Google

Linux perf_events status update Stephane Eranian Google Petascale Tools Workshop 2014 Google

Linux perf_events status update Stephane Eranian Google Petascale Tools Workshop 2014 Google Confidential and Proprietary Agenda new features, updates upcoming features use case Q&A Google Confidential and Proprietary

607 views • 25 slides
MAS MASTE TER R OF OF INTERN INTERNATION TIONAL AL BUSINESS USINESS DU DUAL AL DEGR

MAS MASTE TER R OF OF INTERN INTERNATION TIONAL AL BUSINESS USINESS DU DUAL AL DEGR

MAS MASTE TER R OF OF INTERN INTERNATION TIONAL AL BUSINESS USINESS DU DUAL AL DEGR DEGREE EES Information Session 2 August 2018 MBS.UNIMELB.EDU.AU TWO O OPP PPORTUNITIE UNITIES: S: WHA WHAT T IS IS A DU A DUAL AL DEGR

443 views • 18 slides

More recommend