Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması

AKTAN, Ertuğrul; AYGÖR, Derviş

doi:10.17341/gazimmfd.668290

Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması

Derviş AYGÖR, (Bankacılık Düzenleme ve Denetleme Kurumu, Veri ve Sistem Yönetimi Dairesi, İstanbul, Türkiye)

Ertuğrul AKTAN (Bankacılık Düzenleme ve Denetleme Kurumu, Veri ve Sistem Yönetimi Dairesi, İstanbul, Türkiye)

Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi

11 2

Yıl: 2022 Cilt: 37 Sayı: 1 Sayfa Aralığı: 305 - 315 Metin Dili: Türkçe DOI: 10.17341/gazimmfd.668290 İndeks Tarihi: 29-07-2022

Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması

Öz:

Hedef sistemleri manipüle etmek için siber saldırganlar tarafından en çok kullanılan araçlardan biri kötücül yazılımlardır. Mevcut kötücül yazılımlara her geçen gün yenilerinin eklenmesiyle kötücül yazılımların hızlı ve etkin bir şekilde tespit edilmesi zorlaşmaktadır. Kötücül yazılımları tespit etmek ve zararlı etkilerini gidermek amacıyla genel olarak antivirüs yazılımları kullanılmaktadır. Bu çalışmada, birçok antivirüs yazılımı tarafından kullanılan imza ve dinamik analiz temelli tespit yöntemlerinin başarımı incelenmiştir. Sırasıyla kod enjeksiyonu, anti-dinamik modifikasyon ve şifreleme adımlarından oluşan deneysel metotla elde edilmiş bir kötücül yazılımın antivirüs yazılımlarını büyük ölçüde atlatabildiği gösterilmiştir. Kötücül kod üretmek için Metasploit, anti-dinamik modifikasyon için Ollydbg ve antivirüs yazılımlarının başarımını karşılaştırmak için Virustotal platformu kullanılmıştır. Virustotal sonuçlarına bakıldığında; sadece kod enjeksiyonuyla oluşturulmuş kötücül bir yazılımın başlangıçta 30/67 adet antivirüs yazılımı tarafından tespit edilebildiği, fakat söz konusu kötücül koda anti-dinamik modifikasyon ve şifreleme uygulanması hâlinde bu sayının, sırasıyla 9/67 ve 4/66 adede düştüğü gözlenmiştir. Sonuç olarak, ticari birçok antivirüs yazılımının, farklı anti-tespit yöntemleri ile atlatılabildiği anlaşılmıştır. Bu sonuç, mevcut antivirüs çözümlerinin yanı sıra sandbox, uç nokta tehdit algılama ve yanıt, güvenlik bilgi ve olay yönetimi gibi farklı ileri analiz ve güvenlik yaklaşımlarının bütünleşik bir biçimde kullanılmasının gerekliliğini ortaya koymaktadır.

Anahtar Kelime: Kötücül yazılım imza temelli tespit antivirüs antivirüs atlatma teknikleri

The limitations of signature-based and dynamic analysis methods in detecting malwares: A case study

Öz:

To manipulate target systems, malware is one of the most frequently used tool by cyber attackers. As new malware is added to existing malware every day, it becomes difficult to detect malware quickly and effectively. Antivirus software is generally used to detect malware and remove its harmful effects. In this study, the success of signature and dynamic analysis based detection methods used by many antivirus software, was examined. It has been shown that a malware created by experimental method consisting of code injection, anti-dynamic modification and encryption steps respectively, evades many antivirus software to a large extent. To generate malicious code, Metasploit; for anti-dynamic modification, Ollydbg; to compare the performance of antivirus software, Virustotal platform was used. Looking at the Virustotal results; it has been observed that a malware created by only code injection was initially detected by 30/67 antivirus software, but if anti-dynamic modification and encryption were applied to the malicious code, this value decreased to 9/67 and 4/66, respectively. As a result, it has been understood that many commercial antivirus software can be circumvented by different anti-detection methods. This result reveals the need for integrated use of different advanced analysis and security approaches such as sandbox, endpoint detection and response, security information and event management, as well as existing antivirus solutions.

Anahtar Kelime:

Belge Türü: Makale Makale Türü: Araştırma Makalesi Erişim Türü: Erişime Açık

1. Abomhara M., Køien G.M., Cyber Security and the Internet of Things: Vulnerabilities, Threats, Intruders and Attacks, Journal of Cyber Security and Mobility, 4 (4), 65-88, 2015.
2. Görmüş S., Aydın H., Ulutaş G., Security for The Internet of Things: A Survey of Existing Mechanisms, Protocols and Open Research Issues, Journal of the Faculty of Engineering and Architecture of Gazi University, 33 (4), 1247-1272, 2018.
3. Ranveer S., Hiray S., Comparative Analysis of Feature Extraction Methods of Malware Detection, International Journal of Computer Applications, 120 (5), 1-7, 2015.
4. Neumann J.V., Theory of Self-Reproducing Automata, Editör: Burks A.W., University of Illinois Press, Illinois, USA, 1966.
5. Barria C., Cordero D., Cubillos C., Palma M., Proposed Classification of Malware, Based on Obfuscation, 6th International Conference on Computers Communications and Control (ICCCC), OradeaRomania, 37-44, 10-14 May, 2016.
6. Fosnock C., Computer Worms: Past Present and Future, East Carolina University Technical Report, 2005.
7. Imran M., Afzal M.T., Qadir, M.A., A Comparison of Feature Extraction Techniques for Malware Analysis, Turkish Journal of Electrical Engineering and Computer Sciences, 25, 1173-1183, 2017.
8. Hughes L.A., DeLone, G.J., Viruses, Worms, and Trojan Horses: Serious Crimes, Nuisance, or Both?, Social Science Computer Review, 25 (1), 78-98, 2007.
9. Canbek G., Sağıroğlu Ş., Malware And Spyware: A Comprehensive Review, Journal of the Faculty of Engineering and Architecture of Gazi University, 22 (1), 121-136, 2007.
10. Kara I., A Basic Malware Analysis Method, Computer Fraud & Security, 2019 (6), 11-19, 2019.
11. Veerappan C.S., Keong P.L.K., Tang Z., Tan F., Taxonomy on Malware Evasion Countermeasures Techniques, IEEE 4th World Forum on Internet of Things (WF-IoT), Singapore, 558-563, 5-8 February, 2018.
12. Ye Y., Li T., Adjeroh D., Iyengar S.S., A Survey on Malware Detection Using Data Mining Techniques, ACM Computing Surveys (CSUR), 50 (3), 41:1-40, 2017.
13. Nachenberg C., Computer Virus-Antivirus Coevolution, Communications of the ACM, 40 (1), 46-51, 1997.
14. 14. Zarghoon A., Awan I., Disso J.P., Dennis R., Evaluation of AV Systems Against Modern Malware, 12th International Conference for Internet Technology and Secured Transactions (ICITST), Cambridge-UK, 269-273, 11-14 December, 2017.
15. Al-Asli M., Ghaleb T.A., Review of Signature-Based Techniques in Antivirus Products, 2019 International Conference on Computer and Information Sciences (ICCIS), Sakaka-Saudi Arabia, 1-6, 3-4 April, 2019.
16. Özgür A., Erdem H., Feature Selection and Multiple Classifier Fusion Using Genetic Algorithms in Intrusion Detection Systems, Journal of the Faculty of Engineering and Architecture of Gazi University, 33 (1), 75-87, 2018.
17. Li J., Li Q., Zhou S., Yao Y., Ou J., A Review on Signature-Based Detection for Network Threats, IEEE 9th International Conference on Communication Software and Networks (ICCSN), Guangzhou-China, 1117-1121, 6-8 May, 2017.
18. Lee J., Jo M.J., Shin J.S., LigeroAV: A Light-Weight, Signature-Based Antivirus for Mobile Environment, IEICE Transactions on Information and Systems, E99.D (12), 3185-3187, 2016.
19. Abbas M.F.B., Srikanthan T., Low-Complexity Signature-Based Malware Detection for IoT Devices, Applications and Techniques in Information Security, 719, 181-189, 2017.
20. Alzahrani A.J., Ghorbani A.A., Real-Time SignatureBased Detection Approach for SMS Botnet, 13th Annual Conference on Privacy, Security and Trust, İzmir-Türkiye, 157-164, 21-23 Temmuz, 2015.
21. Rad B.B., Masrom M., Ibrahim S., Camouflage in Malware: From Encryption to Metamorphism, International Journal of Computer Science And Network Security (IJCSNS), 12 (8), 74-83, 2012.
22. Szor P., The Art of Computer Virus Research and Defense, 1st Edition, Editörs: Gettman K., Goldstein J., Kanouse G., Hart K., Andry C., Addison-Wesley, Maryland, USA, 2005.
23. Namanya A.P., Cullen A., Awan I.U., Disso J.P., The World of Malware: An Overview, IEEE 6th International Conference on Future Internet of Things and Cloud (FiCloud), Barcelona-Spain, 420-427, 6-8 August, 2018.
24. Courtney M., States of Cyber Warfare, Engineering & Technology, 12 (3), 22-25, 2017.
25. AV-TEST Independent IT-Security Institute. Malware. https://www.av-test.org/en/statistics/malware/. Yayın tarihi Ocak, 2010. Erişim tarihi Ağustos 11, 2019.
26. Sharma A., Sahay S.K., Evolution and Detection of Polymorphic and Metamorphic Malwares: A Survey, International Journal of Computer Applications, 90 (2), 7-11, 2014.
27. Singh J., Singh J., Challenges of Malware Analysis: Obfuscation Techniques, International Journal of Information Security Science, 7 (3), 100-110, 2018.
28. Rieck K., Trinius P., Willems C., Holz T., Automatic Analysis of Malware Behavior Using Machine Learning, Journal of Computer Security, 19 (4), 639- 668, 2011.
29. Deka D., Sarma N., Panicker N.J., Malware Detection Vectors and Analysis Techniques: A Brief Survey, 2016 International Conference on Accessibility to Digital World (ICADW), Guwahati-India, 81-85, 16-18 December, 2016.
30. Jadhav A., Vidyarthi D., Hemavathy M., Evolution of Evasive Malwares: A Survey, 2016 International Conference on Computational Techniques in Information and Communication Technologies (ICCTICT), New Delhi-India, 641-646, 11-13 March, 2016.
31. Durmuş G., Soğukpınar İ., A Novel Approach for Analyzing Buffer Overflow Vulnerabilities in Binary Executables by Using Machine Learning Techniques, Journal of the Faculty of Engineering and Architecture of Gazi University, 34 (4), 1695-1704, 2019.
32. Soliman S.W., Sobh M.A., Bahaa-Eldin A.M., Taxonomy of Malware Analysis in the IoT, 12th International Conference on Computer Engineering and Systems (ICCES), Cairo-Egypt, 519-529, 19-20 December, 2017.
33. Upchurch J., Zhou X., Malware Provenance: Code Reuse Detection in Malicious Software at Scale, 11th International Conference on Malicious and Unwanted Software (MALWARE), Fajardo-Puerto Rico, 1-9, 18- 21 October, 2016.
34. Cani A., Gaudesi M., Sanchez E., Squillero G., Tonda A., Towards Automated Malware Creation: Code Generation and Code Integration, Proceedings of the 29th Annual ACM Symposium on Applied Computing (SAC'14), Gyeongju-Korea, 157-160, 24-28 March, 2014.
35. Zarghoon A., Awan I., Disso J.P., Dennis R., Evaluation of AV Systems Against Modern Malware, 12th International Conference for Internet Technology and Secured Transactions (ICITST), Cambridge-UK, 269- 273, 11-14 December, 2017.
36. Lim C., Suryadi K.R., Kotualubun Y.S., Mal-Flux: Rendering Hidden Code of Packed Binary Executable, Digital Investigation, 28, 83-95, 2019.
37. Calleja A., Tapiador J., Caballero J., The MalSource Dataset: Quantifying Complexity and Code Reuse in Malware Development, IEEE Transactions on Information Forensics and Security, 14 (2), 3175-3190, 2019.
38. Notepad++. https://notepad-plus- plus.org/repository/ repository/ 7.x/7.7.1/npp.7.7.1.bin.zip. Erişim tarihi Ağustos 11, 2019.
39. Stefinko Y., Piskozub A., Banakh R., Manual and Automated Penetration Testing. Benefits and Drawbacks. Modern Tendency, 13th International Conference on Modern Problems of Radio Engineering, Telecommunications and Computer Science (TCSET), Lviv-Ukraine, 488-491, 23-26 February, 2016.
40. Catak F.O., Ahmet F.Y., A Benchmark API Call Dataset for Windows PE Malware Classification, arXiv:1905.01999v1 [cs.CR], 1-8, 2019.
41. Quarta D., Salvioni F., Continella A., Zanero S., Extended Abstract: Toward Systematically Exploring Antivirus Engines, Detection of Intrusions and Malware, and Vulnerability Assessment, 15th International Conference DIMVA, Saclay-France, 393- 403, 28-29 June, 2018.
42. Novkovic I., Groš S., Can Malware Analysts Be Assisted in Their Work Using Techniques from Machine Learning?, 39th International Convention on Information and Communication Technology, Electronics and Microelectronics (MIPRO), OpatijaCroatia, 1408-1413, 30 May-3 June, 2016.
43. Vokorokos L., Baláž A., Madoš B., Application Security through Sandbox Virtualization, Acta Polytechnica Hungarica, 12 (1), 83-101, 2015.
44. Hassan W.U., Bates A., Marino D., Tactical Provenance Analysis for Endpoint Detection and Response Systems, 2020 IEEE Symposium on Security and Privacy (SP), San Francisco, CA-USA, 1172-1189, 18-21 May, 2020.
45. Sjarif N.N.A., Chuprat S., Mahrin M.N., Ahmad N.A., Ariffin A., Senan F.M., Zamani N.A., Saupi A., Endpoint Detection and Response: Why Use Machine Learning?, 2019 International Conference on Information and Communication Technology Convergence (ICTC), Jeju Island-Korea (South), 283- 288, 16-18 October, 2019.
46. Campfield M., The Problem with (Most) Network Detection and Response, Network Security, 2020 (9), 6- 9, 2020.
47. Majeed A., ur Rasool R., Ahmad F., Alam M., Javaid N., Near-Miss Situation Based Visual Analysis of SIEM Rules for Real Time Network Security Monitoring, Journal of Ambient Intelligence and Humanized Computing, 10, 1509-1526, 2019.
48. Bryant B.D., Saiedian H., A Novel Kill-Chain Framework for Remote Security Log Analysis with SIEM Software, Computers & Security, 67, 198-210, 2017.

APA	AYGÖR D, AKTAN E (2022). Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması. , 305 - 315. 10.17341/gazimmfd.668290
Chicago	AYGÖR Derviş,AKTAN Ertuğrul Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması. (2022): 305 - 315. 10.17341/gazimmfd.668290
MLA	AYGÖR Derviş,AKTAN Ertuğrul Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması. , 2022, ss.305 - 315. 10.17341/gazimmfd.668290
AMA	AYGÖR D,AKTAN E Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması. . 2022; 305 - 315. 10.17341/gazimmfd.668290
Vancouver	AYGÖR D,AKTAN E Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması. . 2022; 305 - 315. 10.17341/gazimmfd.668290
IEEE	AYGÖR D,AKTAN E "Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması." , ss.305 - 315, 2022. 10.17341/gazimmfd.668290
ISNAD	AYGÖR, Derviş - AKTAN, Ertuğrul. "Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması". (2022), 305-315. https://doi.org/10.17341/gazimmfd.668290

APA	AYGÖR D, AKTAN E (2022). Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, 37(1), 305 - 315. 10.17341/gazimmfd.668290
Chicago	AYGÖR Derviş,AKTAN Ertuğrul Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi 37, no.1 (2022): 305 - 315. 10.17341/gazimmfd.668290
MLA	AYGÖR Derviş,AKTAN Ertuğrul Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, vol.37, no.1, 2022, ss.305 - 315. 10.17341/gazimmfd.668290
AMA	AYGÖR D,AKTAN E Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi. 2022; 37(1): 305 - 315. 10.17341/gazimmfd.668290
Vancouver	AYGÖR D,AKTAN E Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi. 2022; 37(1): 305 - 315. 10.17341/gazimmfd.668290
IEEE	AYGÖR D,AKTAN E "Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması." Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, 37, ss.305 - 315, 2022. 10.17341/gazimmfd.668290
ISNAD	AYGÖR, Derviş - AKTAN, Ertuğrul. "Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması". Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi 37/1 (2022), 305-315. https://doi.org/10.17341/gazimmfd.668290