Implicações da ofuscação de código no desenvolvimento de detectores de código malicioso
Resumo
No mundo de computadores interconectados um código malicioso pode causar efeitos desastrosos. A detecção de códigos maliciosos é importante e deveria atingir padrões elevados de acerto. Isso não é verdade quando se usam técnicas de ofuscação. Nesse trabalho se faz a avaliação do desempenho de ferramentas de detecção frente a códigos ofuscados, procurando identificar suas falhas. Os resultados obtidos indicam os grandes desafios de pesquisa para a melhoria da eficiência das ferramentas de detecção na presença de ofuscações de código.Referências
ASPACK-Software (2006). ASPACK: File Compressor. [link]. Último acesso, Agosto 2006.
Bitsum-Technologies (2007). PECompact2: File Compressor. [link]. Último acesso, Fevereiro 2007.
Brosch, T. and Morgenstern, M. (2006). Runtime packers: The hidden problem? In Blackhat Briefings.
Brunnstein, K. (2004). AntiVirus Scanner Tests July 2004. Virus Test Center, University of Hamburg, Computer Science Department. Publicado em [link]. Último acesso, Agosto 2006.
C. Collberg, C. T. and Low, D. (1998a). Breaking abstractions and unstructuring data structures. In Proceedings of the International Conference on Computer Languages, pages pp. 28–39, Chicago, IL, USA. IEEE Computer Society.
C. Collberg, C. T. and Low, D. (1998b). Manufacturing cheap, resilient, and stealthy opaque constructs. In Proceedings of the 25th Annual ACM SIGPLAN-SIGACT Symposium on Principles of Programming Languages, San Diego, CA, USA. ACM Press.
Christodorescu, M. and Jha, S. (2004). Testing malware detectors. In Proceedings of the ACM SIGSOFT International Symposium on Software Testing and Analysis 2004 (ISSTA 04), pages pp. 34–44, Boston, MA, USA. ACM SIGSOFT, ACM Press.
Christodorescu, M., Jha, S., Seshia, S., Song, D., and Bryant, R. (2005). Semantics-aware malware detection. In Proceedings IEEE Symp. Security and Privacy 2005.
Gordon, S. and Ford, R. (1996). Real world antivirus product reviews and evaluations, the current state of affairs. In Proceedings of the 19th National Information Systems Security Conference (NISSC 96), pages pp. 526–538, Baltimore, MD, USA. National Institute of Standards and Technology (NIST).
GriYo (2006). EPO: Entry-Point Obscuring. Publicado online em VX Heaven - [link]. Último acesso, Agosto 2006.
ICSA-Labs (2006). Anti-virus product certification. [link]. Último acesso, Agosto 2006.
L. A. Gordon, M. P. Loeb, W. L. and Richardson, R. (2004). 2004 csi/fbi computer crime and security survey. Technical report, Technical report, Computer Security Institute.
Lakhotia, A. and Mohammed, M. (2004). Imposing order on program statements and its implication to av scanners. In Proceedings 11th IEEE Working COnference Reverse Engineering 2004.
Marx, A. (2000). A guideline to anti-malware-software testing. In Proc. 9th Annual European Inst.Computer Antivirus Research Conf.(EICAR 00).
Marx, A. (2002). Retrospective testing, how good heuristics really work. In Proceedings of the 2002 Virus Bulletin Conference (VB2002), New Orleans, LA, USA. Virus Bulletin.
PEtite (2006). PEtite: Win32 Executable Compressor. [link]. Último acesso, Agosto 2006.
S. Chow, Y. Gu, H. J. and Zakharov, V. (2001). An approach to the obfuscation of control-flow of sequential computer programs. In Proceedings of the 4th International Information Security Conference, volume 2200 of Lecture Notes in Computer Science, pages pp. 144–155, Malaga, Spain.
Silicon-Realms (2007). SoftwarePassport. [link]. Último acesso, Fevereiro 2007.
Skulason, F. (1995). Latest trends in polymorphism the evolution of polymorphic computer viruses. In Proceedings of the 1995 Virus Bulletin Conference (VB1995), pages pp. I–VII. Virus Bulletin.
snaker, Qwerton, J. and xineohP (2007). PE Identifier (PEID). [link]. Último acesso, Março 2007.
Strongbit-Technology (2007). EXECryptor: Stop Crackers and software pirates. [link]. Último acesso, Fevereiro 2007.
Szor, P. and Ferrie, P. (2001). Hunting for metamorphic. In Proceedings of the 2001 Virus Bulletin Conference (VB2001), pages pp. 123–144. Virus Bulletin.
UPX (2006). UPX: Ultimate Packer for eXecutables. [link]. Último acesso, Agosto 2006.
Virus-Bulletin (2006). Virus-Bulletin, VB 100% Award. dispońıvel em [link]. Último acesso, Agosto 2006.
VMware (2006). VMware - Virtualization Software. [link]. Último acesso, Agosto 2006.
VX-Heavens (2006). VX Heavens Virus Collection. [link]. Último acesso, Março 2007.
West-Coast-Labs (2006). Anti-virus Checkmark. [link]. Último acesso, Agosto 2006.
Wildlist (2006). Frequently asked questions. The WildList Organization International, [link]. Último acesso, Agosto 2006.
Wroblewski, G. (2002). General method of program code obfuscation. PhD thesis, PhD thesis, Institute of Engineering Cybernetics. Wroclaw, Poland.
Zeltser, L. (2001). Reverse Engineering Malware. [link]. Último acesso, Abril 2006.
Bitsum-Technologies (2007). PECompact2: File Compressor. [link]. Último acesso, Fevereiro 2007.
Brosch, T. and Morgenstern, M. (2006). Runtime packers: The hidden problem? In Blackhat Briefings.
Brunnstein, K. (2004). AntiVirus Scanner Tests July 2004. Virus Test Center, University of Hamburg, Computer Science Department. Publicado em [link]. Último acesso, Agosto 2006.
C. Collberg, C. T. and Low, D. (1998a). Breaking abstractions and unstructuring data structures. In Proceedings of the International Conference on Computer Languages, pages pp. 28–39, Chicago, IL, USA. IEEE Computer Society.
C. Collberg, C. T. and Low, D. (1998b). Manufacturing cheap, resilient, and stealthy opaque constructs. In Proceedings of the 25th Annual ACM SIGPLAN-SIGACT Symposium on Principles of Programming Languages, San Diego, CA, USA. ACM Press.
Christodorescu, M. and Jha, S. (2004). Testing malware detectors. In Proceedings of the ACM SIGSOFT International Symposium on Software Testing and Analysis 2004 (ISSTA 04), pages pp. 34–44, Boston, MA, USA. ACM SIGSOFT, ACM Press.
Christodorescu, M., Jha, S., Seshia, S., Song, D., and Bryant, R. (2005). Semantics-aware malware detection. In Proceedings IEEE Symp. Security and Privacy 2005.
Gordon, S. and Ford, R. (1996). Real world antivirus product reviews and evaluations, the current state of affairs. In Proceedings of the 19th National Information Systems Security Conference (NISSC 96), pages pp. 526–538, Baltimore, MD, USA. National Institute of Standards and Technology (NIST).
GriYo (2006). EPO: Entry-Point Obscuring. Publicado online em VX Heaven - [link]. Último acesso, Agosto 2006.
ICSA-Labs (2006). Anti-virus product certification. [link]. Último acesso, Agosto 2006.
L. A. Gordon, M. P. Loeb, W. L. and Richardson, R. (2004). 2004 csi/fbi computer crime and security survey. Technical report, Technical report, Computer Security Institute.
Lakhotia, A. and Mohammed, M. (2004). Imposing order on program statements and its implication to av scanners. In Proceedings 11th IEEE Working COnference Reverse Engineering 2004.
Marx, A. (2000). A guideline to anti-malware-software testing. In Proc. 9th Annual European Inst.Computer Antivirus Research Conf.(EICAR 00).
Marx, A. (2002). Retrospective testing, how good heuristics really work. In Proceedings of the 2002 Virus Bulletin Conference (VB2002), New Orleans, LA, USA. Virus Bulletin.
PEtite (2006). PEtite: Win32 Executable Compressor. [link]. Último acesso, Agosto 2006.
S. Chow, Y. Gu, H. J. and Zakharov, V. (2001). An approach to the obfuscation of control-flow of sequential computer programs. In Proceedings of the 4th International Information Security Conference, volume 2200 of Lecture Notes in Computer Science, pages pp. 144–155, Malaga, Spain.
Silicon-Realms (2007). SoftwarePassport. [link]. Último acesso, Fevereiro 2007.
Skulason, F. (1995). Latest trends in polymorphism the evolution of polymorphic computer viruses. In Proceedings of the 1995 Virus Bulletin Conference (VB1995), pages pp. I–VII. Virus Bulletin.
snaker, Qwerton, J. and xineohP (2007). PE Identifier (PEID). [link]. Último acesso, Março 2007.
Strongbit-Technology (2007). EXECryptor: Stop Crackers and software pirates. [link]. Último acesso, Fevereiro 2007.
Szor, P. and Ferrie, P. (2001). Hunting for metamorphic. In Proceedings of the 2001 Virus Bulletin Conference (VB2001), pages pp. 123–144. Virus Bulletin.
UPX (2006). UPX: Ultimate Packer for eXecutables. [link]. Último acesso, Agosto 2006.
Virus-Bulletin (2006). Virus-Bulletin, VB 100% Award. dispońıvel em [link]. Último acesso, Agosto 2006.
VMware (2006). VMware - Virtualization Software. [link]. Último acesso, Agosto 2006.
VX-Heavens (2006). VX Heavens Virus Collection. [link]. Último acesso, Março 2007.
West-Coast-Labs (2006). Anti-virus Checkmark. [link]. Último acesso, Agosto 2006.
Wildlist (2006). Frequently asked questions. The WildList Organization International, [link]. Último acesso, Agosto 2006.
Wroblewski, G. (2002). General method of program code obfuscation. PhD thesis, PhD thesis, Institute of Engineering Cybernetics. Wroclaw, Poland.
Zeltser, L. (2001). Reverse Engineering Malware. [link]. Último acesso, Abril 2006.
Publicado
30/06/2007
Como Citar
BOCCARDO, Davidson Rodrigo; MANACERO JÚNIOR, Aleardo; FALAVINHA JÚNIOR, José Nelson.
Implicações da ofuscação de código no desenvolvimento de detectores de código malicioso. In: SEMINÁRIO INTEGRADO DE SOFTWARE E HARDWARE (SEMISH), 34. , 2007, Rio de Janeiro/RJ.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2007
.
p. 2277-2291.
ISSN 2595-6205.
