PDF Editor
PDF Converter
Image Converter
Video Converter
Audio Converter
File Compressor
ruxcon courtesy of google images metamorphic template

RUXCON Courtesy of google images Metamorphic template with - PowerPoint PPT Presentation

Aug 04, 2023 •253 likes •701 views

Oct, 2016 Senior Malware Scientist ,Trend Micro spark@trendmicro.com RUXCON Courtesy of google images Metamorphic template with parameters #1 Original Code

  1. Oct, ¡2016 ¡ Senior ¡Malware ¡Scientist ¡,Trend ¡Micro ¡ spark@trendmicro.com ¡ ¡ RUXCON ¡

  2. Courtesy ¡of ¡google ¡images ¡

  4. — Metamorphic ¡template ¡with ¡parameters ¡#1 ¡ Original ¡Code ¡ — Metamorphic ¡template ¡with ¡parameters ¡#2 ¡ Original ¡Code ¡

  9. — Malware ¡mostly ¡delivered ¡through ¡email ¡outbreaks ¡ — An ¡outbreak ¡lasts ¡days ¡or ¡a ¡couple ¡of ¡weeks ¡ — The ¡same ¡metamorphic ¡template ¡used ¡during ¡a ¡ campaign ¡ — Early ¡deep ¡learning ¡will ¡block ¡entire ¡campaign ¡ — Sometimes ¡the ¡same ¡metamorphic ¡template ¡used ¡ across ¡several ¡different ¡campaigns ¡due ¡to ¡the ¡high ¡dev ¡ cost ¡ — Early ¡deep ¡learning ¡will ¡block ¡multiple ¡campaigns ¡

  11. — Key ¡challenges ¡ — Different ¡SHA1 ¡for ¡each ¡sample ¡ — Significantly ¡different ¡in ¡lengths ¡and ¡locations ¡ — Easy ¡to ¡change ¡template ¡parameters ¡resulting ¡in ¡ superficially ¡different ¡patterns ¡

  12. — Static ¡signature ¡ — Histograms/frequencies ¡ — API ¡call ¡distribution ¡ — Entropy ¡ — Machine ¡learning ¡algorithms ¡with ¡binary ¡ classification ¡

  14. — All ¡parsed ¡functions ¡and ¡code ¡blocks ¡including ¡those ¡ hidden ¡

  15. — Reduce ¡noise ¡by ¡using ¡opcode ¡

  17. — Experiment ¡shows ¡it ¡works ¡to ¡a ¡degree. ¡ — But, ¡it ¡is ¡ unable ¡to ¡characterise ¡functions ¡that ¡possess ¡the ¡ same ¡metamorphism ¡

  19. Courtesy ¡of ¡http://mriquestions.com/fourier-­‑transform-­‑ft.html ¡

  20. 1 ¡ 2 ¡ 3 ¡ 4 ¡ 5 ¡ 6 ¡ 7 ¡ 8 ¡ 9 ¡ 10 ¡ 11 ¡ 12 ¡ 13 ¡ 14 ¡ 15 ¡ 16 ¡

  21. 1 ¡ 2 ¡ 3 ¡ 4 ¡ 5 ¡ 6 ¡ 7 ¡ 8 ¡ 9 ¡ 10 ¡ 11 ¡ 12 ¡ 13 ¡ 14 ¡ 15 ¡ 16 ¡

  26. Instructions ¡ 55 8b ec 83 ec 08 (push ebp/mov ebp, esp/sub esp,8) Normalised ¡opcode ¡ 580,442,326 (push, mov, sub) Raw ¡FFT ¡ 0.23,0.24,0.10 Interpolated ¡& ¡ 3,45,12,113,156,255,238,… quantised ¡FFT ¡ Binarised ¡FFT ¡ 10111001010101110101000…

  27. — Auto-­‑Encoder ¡ — De-­‑noising ¡ — Restricted ¡Boltzmann ¡Machine ¡ — Convolutional ¡layer ¡ 1024 neurons 2048 neurons Courtesy ¡of ¡https://github.com/sjchoi86/Tensorflow-­‑101, ¡http://deeplearning.net/tutorial/dA.html#daa ¡

  28. — Deep ¡Auto-­‑Encoder ¡ ¡ — Dimensionality ¡reduction ¡ à ¡represented ¡as ¡a ¡fixed ¡size ¡‘code’. ¡ — Deep ¡auto-­‑encoder ¡performs ¡non-­‑linear ¡mapping ¡ 2048 reconstructed input 1024 neurons 512 neurons 128 neurons bit code 512 neurons 1024 neurons 2048 bit vectors (FFT for each function)

  31. — Dataset ¡ — ~2000 ¡unique ¡ransomware ¡binaries ¡ — Each ¡binary ¡was ¡sampled ¡from ¡a ¡unique ¡outbreak ¡ — Each ¡sampled ¡binary ¡can ¡take ¡millions ¡of ¡different ¡forms ¡within ¡ the ¡outbreak ¡ — ~1000 ¡exe/dll ¡from ¡windows/system32/ ¡ — Semantic ¡Hash ¡ — Malware ¡gets ¡detected ¡when ¡semantic ¡hash ¡is ¡identical. ¡ — An ¡identical ¡semantic ¡hash ¡detects ¡samples ¡with ¡different ¡ size ¡and ¡function ¡layouts ¡ — Malware ¡gets ¡detected ¡when ¡hamming ¡distance ¡of ¡the ¡ semantic ¡hash, ¡DC, ¡mean ¡and ¡STD ¡are ¡close. ¡

  37. — Layered ¡Executables ¡ — .NET ¡ — VBA ¡ — Self-­‑extracting ¡archives ¡(INNO/NSIS, ¡RAR, ¡ZIP, ¡…) ¡ — Py2Exe ¡ — +more ¡ — Hide ¡in ¡plain ¡sight ¡ — Exploit ¡the ¡assumptions ¡deployed ¡in ¡my ¡approach ¡

  40. ... ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡7 ¡Chunks ¡of ¡size ¡2097152 ¡totalling ¡14.00MiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡8 ¡Chunks ¡of ¡size ¡8388608 ¡totalling ¡64.00MiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡2 ¡Chunks ¡of ¡size ¡204800000 ¡totalling ¡390.62MiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡1 ¡Chunks ¡of ¡size ¡409600000 ¡totalling ¡390.62MiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡5 ¡Chunks ¡of ¡size ¡819200000 ¡totalling ¡3.81GiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:692] ¡1 ¡Chunks ¡of ¡size ¡820948992 ¡totalling ¡782.92MiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:696] ¡Sum ¡Total ¡of ¡in-­‑use ¡chunks: ¡5.42GiB ¡ I ¡tensorflow/core/common_runtime/bfc_allocator.cc:698] ¡Stats: ¡ ¡ Limit: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡5828558848 ¡ InUse: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡5819909888 ¡ MaxInUse: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡5819909888 ¡ NumAllocs: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡99 ¡ MaxAllocSize: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡820948992 ¡

  41. — Too ¡many ¡functions ¡in ¡dataset ¡ — Even ¡for ¡a ¡small ¡dataset ¡(3000 ¡samples), ¡total ¡function ¡ count ¡exceeds ¡1million! ¡ ¡ — GPU ¡memory ¡exhaustion ¡ — Batch ¡processing ¡(reconstruct/evaluate) ¡ — Even ¡predictions ¡shouldn't ¡be ¡defined ¡as ¡an ¡array ¡ — System ¡memory ¡ — Do ¡your ¡math ¡between ¡pickled ¡dataset ¡file ¡size ¡and ¡ your ¡system ¡memory ¡ — Consider ¡reading ¡'Reading ¡Data' ¡section ¡of ¡tensorflow ¡

  42. — Transform ¡arbitrary ¡signal ¡into ¡frequency ¡domain ¡ — Why ¡is ¡it ¡effective ¡for ¡code ¡pattern ¡similarity ¡detection? ¡ — Each ¡code ¡uniquely ¡identifiable ¡ — Transformed ¡frequency ¡spectrum ¡retains ¡original ¡data ¡ information ¡(We ¡have ¡inverse ¡Fourier ¡transform) ¡ — Fourier ¡transform ¡of ¡the ¡code ¡is ¡resilient ¡to ¡noise ¡ — Slight ¡distortion ¡in ¡original ¡code ¡won't ¡affect ¡the ¡characteristics ¡of ¡ ¡ frequency ¡spectrum ¡much. ¡ — It ¡is ¡difficult ¡to ¡create ¡a ¡code ¡sequence ¡that ¡has ¡different ¡ semantics ¡but ¡has ¡the ¡same ¡frequency ¡spectrum. ¡

  43. Senior ¡Malware ¡Scientist ¡, ¡Trend ¡Micro ¡ spark@trendmicro.com

Recommend

Carbon Capture, Utilization, and Storage Presentation to the USEA Courtesy NREL Courtesy GRC

Carbon Capture, Utilization, and Storage Presentation to the USEA Courtesy NREL Courtesy GRC

Carbon Capture, Utilization, and Storage Presentation to the USEA Courtesy NREL Courtesy GRC Courtesy GRC Courtesy RAM Power Courtesy CPike/ACEP Judi Greenwald , Deputy Director for Climate, Environment, and Energy Efficiency and Senior

2.69k views • 10 slides
Low Tide Courtesy: Interboro Rebuild by Design Team Courtesy: Interboro Rebuild by Design Team

Low Tide Courtesy: Interboro Rebuild by Design Team Courtesy: Interboro Rebuild by Design Team

High Tide Low Tide Courtesy: Interboro Rebuild by Design Team Courtesy: Interboro Rebuild by Design Team Courtesy: Interboro Rebuild by Design Team Courtesy: Interboro Rebuild by Design Team Courtesy: Interboro Rebuild by Design Team

391 views • 20 slides
RPC Metrics at Google JBD, Google (@rakyll) gRPC Metrics at Google JBD, Google (@rakyll)

RPC Metrics at Google JBD, Google (@rakyll) gRPC Metrics at Google JBD, Google (@rakyll)

RPC Metrics at Google JBD, Google (@rakyll) gRPC Metrics at Google JBD, Google (@rakyll) Request Metrics at Google JBD, Google (@rakyll) "100% is the wrong reliability target for basically everything." -- Benjamin Treynor

452 views • 20 slides
Metamorphic Rocks Basement of Parashant Geological Adventures at Parashant Lesson 4

Metamorphic Rocks Basement of Parashant Geological Adventures at Parashant Lesson 4

Metamorphic Rocks Basement of Parashant Geological Adventures at Parashant Lesson 4 Objectives Metamorphism changes one kind of rock into another kind of rock. Several ways that heat and pressure change rocks. Metamorphic

277 views • 16 slides
Engineering Geology Metamorphic Rocks Hussien Al - deeky 1 Engineering Geology Definition

Engineering Geology Metamorphic Rocks Hussien Al - deeky 1 Engineering Geology Definition

Engineering Geology Metamorphic Rocks Hussien Al - deeky 1 Engineering Geology Definition Metamorphic rock is the result of the transformation of an existing rock type, the protolith ( parent rock ) , in a process called metamorphism, which means

805 views • 23 slides
The Remote Metamorphic Engine Detecting, Evading, Attacking the AI and Reverse Engineering Amro

The Remote Metamorphic Engine Detecting, Evading, Attacking the AI and Reverse Engineering Amro

The Remote Metamorphic Engine Detecting, Evading, Attacking the AI and Reverse Engineering Amro Abdelgawad / REcon 2016 line46_1: mov ecx, [esp] nop nop mov dl, 0xe9 test edx, edx mov byte [ecx], dl The Remote Metamorphic Engine xor eax, 0

683 views • 50 slides
Working Without a Net: http://timkellyphotographycanada.com/ Source: Google Images Source: Google

Working Without a Net: http://timkellyphotographycanada.com/ Source: Google Images Source: Google

Source: Google Images Working Without a Net: http://timkellyphotographycanada.com/ Source: Google Images Source: Google Images 1. Canola 2. Lipid Research and Utilization 3. Polyol 4. Bio Based Chemicals in Alberta 5. Import Replacement Program

356 views • 18 slides
Modern Modern Template Techniques Template The Simplest Function Template

Modern Modern Template Techniques Template The Simplest Function Template

Modern Modern Template Techniques Template The Simplest Function Template CRTPStatic Polymorphism Techniques Type TraitsBasic Metaprogramming Compile-time Conditionals Policy Classes Perfect Forwarding

1.29k views • 42 slides
Websites from Presentation Search Engines Google https://www.google.com/ Google Scholar

Websites from Presentation Search Engines Google https://www.google.com/ Google Scholar

Websites from Presentation Search Engines Google https://www.google.com/ Google Scholar https://scholar.google.com/ Google Advanced Search https://www.google.com/advanced_search USA.gov https://www.usa.gov/ Duck Duck Go

224 views • 4 slides
BRAINJAR HOW GOOGLE THINKS AND DISPELLING 3 GOOGLE MYTHS (& 6 TIPS!) BRAINJAR HOW GOOGLE

BRAINJAR HOW GOOGLE THINKS AND DISPELLING 3 GOOGLE MYTHS (& 6 TIPS!) BRAINJAR HOW GOOGLE

BRAINJAR HOW GOOGLE THINKS AND DISPELLING 3 GOOGLE MYTHS (& 6 TIPS!) BRAINJAR HOW GOOGLE THINKS AND DISPELLING 3 GOOGLE MYTHS (& 6 TIPS!) MOBILEGEDDON! HOW GOOGLE THINKS AND DISPELLING 3 GOOGLE MYTHS (& 6 TIPS!) 60% BRAINJARS

695 views • 50 slides
Containers At Scale At Google, the Google Cloud Platform and Beyond Joe Beda jbeda@google.com

Containers At Scale At Google, the Google Cloud Platform and Beyond Joe Beda jbeda@google.com

Containers At Scale At Google, the Google Cloud Platform and Beyond Joe Beda jbeda@google.com @jbeda google.com/+JoeBeda Senior Staff Software Engineer, Google Cloud Platform GlueCon - May 22, 2014 Google and Containers Everything

574 views • 18 slides
CS4495/6495 Introduction to Computer Vision 2A-L1 Images as functions Images as functions Images

CS4495/6495 Introduction to Computer Vision 2A-L1 Images as functions Images as functions Images

CS4495/6495 Introduction to Computer Vision 2A-L1 Images as functions Images as functions Images as functions Images as functions Images as functions Quiz An image can be thought of as: a) A 2-dimensional array of numbers ranging from some

523 views • 27 slides
business need? improve image courtesy of iStockphoto recurrent image courtesy of Microsoft

business need? improve image courtesy of iStockphoto recurrent image courtesy of Microsoft

team small BIG impact Christina Grimsley, Ph.D. Monitronics, International business need? improve image courtesy of iStockphoto recurrent image courtesy of Microsoft Clipart image courtesy of Microsoft Clipart image courtesy of

1.29k views • 116 slides
Courtesy: SCAPE / Landscape Architecture Rebuild by Design Team Courtesy: SCAPE / Landscape

Courtesy: SCAPE / Landscape Architecture Rebuild by Design Team Courtesy: SCAPE / Landscape

Courtesy: SCAPE / Landscape Architecture Rebuild by Design Team Courtesy: SCAPE / Landscape Architecture Rebuild by Design Team Courtesy: SCAPE / Landscape Architecture Rebuild by Design Team Courtesy: SCAPE / Landscape Architecture Rebuild by

241 views • 10 slides
Courtesy: MIT CAU + ZUS + URBANISTEN Rebuild by Design Team Courtesy: MIT CAU + ZUS + URBANISTEN

Courtesy: MIT CAU + ZUS + URBANISTEN Rebuild by Design Team Courtesy: MIT CAU + ZUS + URBANISTEN

Courtesy: MIT CAU + ZUS + URBANISTEN Rebuild by Design Team Courtesy: MIT CAU + ZUS + URBANISTEN Rebuild by Design Team Courtesy: MIT CAU + ZUS + URBANISTEN Rebuild by Design Team Courtesy: MIT CAU + ZUS + URBANISTEN Rebuild by Design Team

802 views • 22 slides
arXiv:1706.03762v5 [cs.CL] 6 Dec 2017 Llion Jones Aidan N. Gomez ukasz Kaiser

arXiv:1706.03762v5 [cs.CL] 6 Dec 2017 Llion Jones Aidan N. Gomez ukasz Kaiser

Attention Is All You Need Ashish Vaswani Noam Shazeer Niki Parmar Jakob Uszkoreit Google Brain Google Brain Google Research Google Research avaswani@google.com noam@google.com nikip@google.com usz@google.com

295 views • 15 slides
Proio: YAIO! David Blyth Introduction A new IO scheme has been written, and its called proio .

Proio: YAIO! David Blyth Introduction A new IO scheme has been written, and its called proio .

Proio: YAIO! David Blyth Introduction A new IO scheme has been written, and its called proio . Proio is a language-neutral IO scheme that utilizes Googles Protobuf, and was inspired by ProMC and EicMC. This presentation will

694 views • 24 slides
DAY TWO Developed by Kaseya University Powered by IT Scholars Kaseya Version 6.2 Last updated

DAY TWO Developed by Kaseya University Powered by IT Scholars Kaseya Version 6.2 Last updated

Kaseya Advanced Workshop DAY TWO Developed by Kaseya University Powered by IT Scholars Kaseya Version 6.2 Last updated on June 25, 2012 1 Roadmap! Day One Day One Advanced Agent Procedures

600 views • 27 slides
Less is More: Accelerating Deep Neural Networks with Micro-Batching 1 Yosuke Oyama 1, a , Tal

Less is More: Accelerating Deep Neural Networks with Micro-Batching 1 Yosuke Oyama 1, a , Tal

Less is More: Accelerating Deep Neural Networks with Micro-Batching 1 Yosuke Oyama 1, a , Tal Ben-Nun 2 , Torsten Hoefler 2 , Satoshi Matsuoka 1 1) Tokyo Institute of Technology, 2) ETH Zurich a) oyama.y.aa@m.titech.ac.jp, Presenter 162

551 views • 26 slides
Building Asynchronous SNMP Agents Presented by Ilya Etingof <etingof@gmail.com> Why SNMP

Building Asynchronous SNMP Agents Presented by Ilya Etingof <etingof@gmail.com> Why SNMP

Building Asynchronous SNMP Agents Presented by Ilya Etingof <etingof@gmail.com> Why SNMP SNMP is old, complicated and has many competitors SNMP is still ubiquitous in monitoring SNMP is well-understood by many We have

275 views • 3 slides
Cluster 2010 Presentation Optimization Techniques at the I/O Forwarding Layer Kazuki Ohta

Cluster 2010 Presentation Optimization Techniques at the I/O Forwarding Layer Kazuki Ohta

Cluster 2010 Presentation Optimization Techniques at the I/O Forwarding Layer Kazuki Ohta (presenter) : Preferred Infrastructure, Inc., University of Tokyo Dries Kimpe, Jason Cope, Kamil Iskra, Robert Ross: Argonne National Laboratory Yutaka

667 views • 27 slides
ARA: Automatic Instance-Level Analysis in Real- Time Systems Gerion Entrup , Benedikt Steinmeier,

ARA: Automatic Instance-Level Analysis in Real- Time Systems Gerion Entrup , Benedikt Steinmeier,

ARA: Automatic Instance-Level Analysis in Real- Time Systems Gerion Entrup , Benedikt Steinmeier, Christian Dietrich Leibniz Universitt Hannover July 9, 2019 supported by A Hard Beginning Repository size: 65 MiB Time Systems Motivation

519 views • 35 slides
Linux perf_events status update Stephane Eranian Google Petascale Tools Workshop 2014 Google

Linux perf_events status update Stephane Eranian Google Petascale Tools Workshop 2014 Google

Linux perf_events status update Stephane Eranian Google Petascale Tools Workshop 2014 Google Confidential and Proprietary Agenda new features, updates upcoming features use case Q&A Google Confidential and Proprietary

607 views • 25 slides
MAS MASTE TER R OF OF INTERN INTERNATION TIONAL AL BUSINESS USINESS DU DUAL AL DEGR

MAS MASTE TER R OF OF INTERN INTERNATION TIONAL AL BUSINESS USINESS DU DUAL AL DEGR

MAS MASTE TER R OF OF INTERN INTERNATION TIONAL AL BUSINESS USINESS DU DUAL AL DEGR DEGREE EES Information Session 2 August 2018 MBS.UNIMELB.EDU.AU TWO O OPP PPORTUNITIE UNITIES: S: WHA WHAT T IS IS A DU A DUAL AL DEGR

443 views • 18 slides

More recommend

Logo Sambuz

Unleash a World of Digital Possibilities—Browse, Share, and Explore Content Without Boundaries

Useful Links

About Us Privacy Services FAQ's Contact

Newsletter

Stay Informed & Inspired—Subscribe for the Latest Updates, Tips, and Exclusive Content Directly to Your Inbox.

Mail Us

mail@sambuz.com

2025 SAMBUZ, All right reserved.