Taxonomia de Malwares: Uma Avaliação dos Malwares Automaticamente Propagados na Rede
Resumo
A propagação atomática de malwares é uma séria ameaça na Internet e responde por boa parte dos comprometimentos de sistemas computacionais. As ferramentas de segurança como antivírus e frewalls tem evoluído consideravelmente nos últimos tempos, no entanto os malwares não ficaram para trás. A nova geração de malwares possui a capacidade de desabilitar softwares antivírus e ocultar-se no sistema. Este trabalho busca identificar as funcionalidades dos malwares mais utilizadas avaliando também a eficácia dos sistemas de antivírus com relação às mesmas. Deseja-se com isso observar tendências comportamentais dos malwares e a eficácia dos sistemas de proteção com relação a essas ameaças.
Referências
Abu Rajab, M., Zarfoss, J., Monrose, F., e Terzis, A. (2006). A multifaceted approach to understanding the botnet phenomenon. In IMC ’06: Proceedings of the 6th ACM SIGCOMM conference on Internet measurement, páginas 41–52, New York, NY, USA. ACM.
Alkassar, A. and Siekmann, J. H., editors (2008). Sicherheit 2008: Sicherheit, Schutz und Zuverlässigkeit. Konferenzband der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2.-4. April 2008 im Saarbrücker Schloss, volume 128 of LNI. GI.
Bächer, P., Holz, T., Kötter, M., and Wicherski, G. (2007). Know your enemy: Tracking botnets. http://www.honeynet.org/papers/bots/. The Honeynet Project & Research Alliance.
Barford, P. and Blodgett, M. (2007). Toward botnet mesocosms. In HotBots’07: Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets, páginas 6–6, Berkeley, CA, USA. USENIX Association.
Bayer, U., Comparetti, P. M., Hlauschek, C., Krügel, C., and Kirda, E. (2009). Scalable, behavior-based malware clustering. In NDSS. The Internet Society.
Bellard, F. (2005). Qemu, a fast and portable dynamic translator. In ATEC ’05: Proceedings of the annual conference on USENIX Annual Technical Conference, páginas 41–41, Berkeley, CA, USA. USENIX Association.
Ceron, J. M., Lemes, L. L., Tarouco, L., e Bertholdo, L. M. (2008). Vulnerabilidades em aplicações web: Uma análise baseada nos dados coletados em honeypot. In VIII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg 2008).
CERT.br (2009). Cartilha de Segurança para Internet. Disponível em: http://www.cert.br/cartilha. Acesso em: Março de 2009.
Daswani, N. e Stoppelman, M. (2007). The anatomy of clickbot.a. In HotBots’07: Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets, páginas 11–11, Berkeley, CA, USA. USENIX Association.
IsecLab (2009). Vienna University of Technology - International Secure Systems Lab. Disponível em: http://www.iseclab.org/. Acesso em: agosto de 2009.
Leder, F. e Werner, T. (2009). Know your enemy: Containing conficker. http://www.honeynet.org/papers/. The Honeynet Project & Research Alliance.
Linn, C. e Debray, S. (2003). Obfuscation of executable code to improve resistance to static disassembly. In CCS ’03: Proceedings of the 10th ACM conference on Computer and communications security, páginas 290–299, New York, NY, USA. ACM.
Masud,M.M., Gao, J., Khan, L., Han, J., e Thuraisingham, B. (2008). Peer to peer botnet detection for cyber-security: a data mining approach. In CSIIRW ’08: Proceedings of the 4th annual workshop on Cyber security and information intelligence research, páginas 1–2, New York, NY, USA. ACM.
Moser, A., Kruegel, C., and Kirda, E. (2007). Exploring multiple execution paths for malware analysis. In SP ’07: Proceedings of the 2007 IEEE Symposium on Security and Privacy, páginas 231–245,Washington, DC, USA. IEEE Computer Society.
Newsome, J. e Song, D. (2005). Dynamic taint analysis for automatic detection, analysis, and signature generation of exploits on commodity software. In Proceedings of the Network and Distributed System Security Symposium (NDSS 2005).
Norman (2009). Norman Sandbox Information Center. Disponível em: http://www.norman.com. Acesso em: Agosto de 2009.
PoP-RS (2009). Ponto de Presença da Rede Nacional de Pesquisa no estado do Rio Grande do Sul - POP-RS/RNP. Disponível em: http://www.pop-rs.rnp.br. Acesso em: Agosto de 2009.
Preda, M. D., Christodorescu, M., Jha, S., and Debray, S. (2008). A semantics-based approach to malware detection. volume 30, páginas 1–54, New York, NY, USA. ACM.
Raghunathan e Partha (2009). Detecting internet worms using data mining techniques. Disponível em: http://nepenthes.carnivore.it. Acesso em: Agosto de 2009.
Rajab, M., Zarfoss, J., Monrose, F., e Terzis, A. (2007). My botnet is bigger than yours (maybe, better than yours): why size estimates remain challenging. In HotBots’07: Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets, páginas 5–5, Berkeley, CA, USA. USENIX Association.
Siddiqui, M., Wang, M. C., e Lee, J. (2008). Detecting trojans using data mining techniques. In IMTIC, páginas 400–411.
Stapp, M., Volz, B., e Rekhter, Y. (2006). The Dynamic Host Configuration Protocol (DHCP) Client Fully Qualified Domain Name (FQDN) Option. RFC 4702 (Proposed Standard).
Stinson, E. eMitchell, J. C. (2008). Towards systematic evaluation of the evadability of bot/botnet detection methods. In WOOT’08: Proceedings of the 2nd Usenix Workshop on Offensive Technologies, San Jose, CA, USA. USENIX Association.
Virti, É. S., Ceron, J. M., Tarouco, L. M. R., Granville, L. Z., e Bertholdo, L. M. (2006). Honeypots as a security mechanism . In IEEE/IST Workshop on Monitoring, Attack Detection and Mitigation (MonAM 2006), Tübingen, Germany. IEEE.
VirusTotal (2009). VirusTotal - Free Online Virus and Malware Scan. Disponível em: http://www.virustotal.com. Acesso em: agosto de 2009.
Willems, C., Holz, T., e Freiling, F. (2007). Toward automated dynamic malware analysis using cwsandbox. IEEE Security and Privacy, 5(2):32–39.
Alkassar, A. and Siekmann, J. H., editors (2008). Sicherheit 2008: Sicherheit, Schutz und Zuverlässigkeit. Konferenzband der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2.-4. April 2008 im Saarbrücker Schloss, volume 128 of LNI. GI.
Bächer, P., Holz, T., Kötter, M., and Wicherski, G. (2007). Know your enemy: Tracking botnets. http://www.honeynet.org/papers/bots/. The Honeynet Project & Research Alliance.
Barford, P. and Blodgett, M. (2007). Toward botnet mesocosms. In HotBots’07: Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets, páginas 6–6, Berkeley, CA, USA. USENIX Association.
Bayer, U., Comparetti, P. M., Hlauschek, C., Krügel, C., and Kirda, E. (2009). Scalable, behavior-based malware clustering. In NDSS. The Internet Society.
Bellard, F. (2005). Qemu, a fast and portable dynamic translator. In ATEC ’05: Proceedings of the annual conference on USENIX Annual Technical Conference, páginas 41–41, Berkeley, CA, USA. USENIX Association.
Ceron, J. M., Lemes, L. L., Tarouco, L., e Bertholdo, L. M. (2008). Vulnerabilidades em aplicações web: Uma análise baseada nos dados coletados em honeypot. In VIII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg 2008).
CERT.br (2009). Cartilha de Segurança para Internet. Disponível em: http://www.cert.br/cartilha. Acesso em: Março de 2009.
Daswani, N. e Stoppelman, M. (2007). The anatomy of clickbot.a. In HotBots’07: Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets, páginas 11–11, Berkeley, CA, USA. USENIX Association.
IsecLab (2009). Vienna University of Technology - International Secure Systems Lab. Disponível em: http://www.iseclab.org/. Acesso em: agosto de 2009.
Leder, F. e Werner, T. (2009). Know your enemy: Containing conficker. http://www.honeynet.org/papers/. The Honeynet Project & Research Alliance.
Linn, C. e Debray, S. (2003). Obfuscation of executable code to improve resistance to static disassembly. In CCS ’03: Proceedings of the 10th ACM conference on Computer and communications security, páginas 290–299, New York, NY, USA. ACM.
Masud,M.M., Gao, J., Khan, L., Han, J., e Thuraisingham, B. (2008). Peer to peer botnet detection for cyber-security: a data mining approach. In CSIIRW ’08: Proceedings of the 4th annual workshop on Cyber security and information intelligence research, páginas 1–2, New York, NY, USA. ACM.
Moser, A., Kruegel, C., and Kirda, E. (2007). Exploring multiple execution paths for malware analysis. In SP ’07: Proceedings of the 2007 IEEE Symposium on Security and Privacy, páginas 231–245,Washington, DC, USA. IEEE Computer Society.
Newsome, J. e Song, D. (2005). Dynamic taint analysis for automatic detection, analysis, and signature generation of exploits on commodity software. In Proceedings of the Network and Distributed System Security Symposium (NDSS 2005).
Norman (2009). Norman Sandbox Information Center. Disponível em: http://www.norman.com. Acesso em: Agosto de 2009.
PoP-RS (2009). Ponto de Presença da Rede Nacional de Pesquisa no estado do Rio Grande do Sul - POP-RS/RNP. Disponível em: http://www.pop-rs.rnp.br. Acesso em: Agosto de 2009.
Preda, M. D., Christodorescu, M., Jha, S., and Debray, S. (2008). A semantics-based approach to malware detection. volume 30, páginas 1–54, New York, NY, USA. ACM.
Raghunathan e Partha (2009). Detecting internet worms using data mining techniques. Disponível em: http://nepenthes.carnivore.it. Acesso em: Agosto de 2009.
Rajab, M., Zarfoss, J., Monrose, F., e Terzis, A. (2007). My botnet is bigger than yours (maybe, better than yours): why size estimates remain challenging. In HotBots’07: Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets, páginas 5–5, Berkeley, CA, USA. USENIX Association.
Siddiqui, M., Wang, M. C., e Lee, J. (2008). Detecting trojans using data mining techniques. In IMTIC, páginas 400–411.
Stapp, M., Volz, B., e Rekhter, Y. (2006). The Dynamic Host Configuration Protocol (DHCP) Client Fully Qualified Domain Name (FQDN) Option. RFC 4702 (Proposed Standard).
Stinson, E. eMitchell, J. C. (2008). Towards systematic evaluation of the evadability of bot/botnet detection methods. In WOOT’08: Proceedings of the 2nd Usenix Workshop on Offensive Technologies, San Jose, CA, USA. USENIX Association.
Virti, É. S., Ceron, J. M., Tarouco, L. M. R., Granville, L. Z., e Bertholdo, L. M. (2006). Honeypots as a security mechanism . In IEEE/IST Workshop on Monitoring, Attack Detection and Mitigation (MonAM 2006), Tübingen, Germany. IEEE.
VirusTotal (2009). VirusTotal - Free Online Virus and Malware Scan. Disponível em: http://www.virustotal.com. Acesso em: agosto de 2009.
Willems, C., Holz, T., e Freiling, F. (2007). Toward automated dynamic malware analysis using cwsandbox. IEEE Security and Privacy, 5(2):32–39.
Publicado
28/09/2009
Como Citar
CERON, João M.; GRANVILLE, Lisandro; TAROUCO, Liane.
Taxonomia de Malwares: Uma Avaliação dos Malwares Automaticamente Propagados na Rede. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 9. , 2009, Campinas.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2009
.
p. 43-56.
DOI: https://doi.org/10.5753/sbseg.2009.20622.
