Analisa malware high level behaviour – Deng – Paper Review


Paper TitleMalware Analysis through High-level Behaviour

Authors: Xiyue Deng, Jelena Mirkovic

Venue: Usenix Workshop on Cyber Security Experimentation and Test 2018

URL: https://www.usenix.org/conference/cset18/presentation/deng

Problem: Malware semakin kompleks dan menggunakan banyak teknik stealth, agar tidak terdeteksi. Bagaimana cara mendeteksi malware dari behaviour nya di jaringan secara aman, dan menghindari resiko jaringan terinfeksi malware

Contribution

  1. Melakukan studi behaviour malware di jaringan
  2. Mengajukan platform baru Fantasm untuk melakukan analisa behaviour malware di jaringan secara aman dan efektif

Method/solution

  1. Membangun platform analisa aktifitas malware Fantasm
  2. Malware dijalankan pada sebuah host windows 
  3. Aktifitas jaringannya ditangkap dan dianalisa menggunakan sebuah host linux (gateway) yang berada diantara host windows dan internet 
  4. Fantasm memutuskan komunikasi mana yang dipalsukan, yang mana yang diteruskan, dan yang mana yang didrop
  5. Setiap komunikasi keluar (flow) dicatat IP tujuannya, port tujuan dan protocol yang digunakan
  6. Setiap flow secara default diset non-essential dan didrop
  7. Bila Tindakan tersebut menyebabkan aktifitas malware berhenti, maka analisa distop, direstart dan diubah statusnya menjadi essensial
  8. Fantasm kemudian membuat relpy palsu (impersonator) 
  9. Jika tidak menyebabkan malware berhenti, fantasm akan mengevaluasi resiko dari koneksi ersebut. Bila koneiksi tersebut berbahaya maka akan didrop
  10. Bila tidak berbahaya maka akan di teruskan ke internetm namun tetap dimonitor. Bila kemudian mencurigakan akan di abort
  11. Service atau protokol yang diberi label tidak berbahaya adalah DNS, HTTP dan HTTPS
  12. Service atau protokol yang diberi label berbahaya dan dapat dipalsukan adalah FTP, SMTP, ICMP_Echo
  13. Service lainnya diberi label berbahaya dan tidak dipalsukan
  14. Flow yang diijinkan keluar bisa jadi adalah bagian dari scanning atau DDoS
  15. Aktifitas jaringan dimonitor, dan dibatasi 10 koneksi. Koneksi yang melebihi 10 akan diabort
  16. Impersonator adalah server yang dirancang untuk memberikan respon seperti pada server asli di internet
  17. Layanan yang disediakan impersonator adalah ICMP, SMTP dan FTP
  18. Impersenator memberi positive reply pada setiap request ICMP_ECHO
  19. Malware berkomunikasi menggunakan SMTP untuk spam, impersonator menyediakan sebuah email server yang memberi jawaban „250 OK“ pada setiap request
  20. Impersonator menyediakan layanan FTP yang menerima semua kombinasi nama dan password
  21. Impersonator juga menyediakan DNS caching proxy untuk setiap request DNS malware
  22. Beberapa trafik malware dijaringan yang dipantau diantaranya: Downloading, reporting, scanning, scamming, spamming (malicious URL/attachment), komunikasi C&C (melalui IRC) dan propagating (melalui FTP, samba, NFS, dll
  23. Fantasm melakukan monitoring sequence network behaviour, misalnya koneksi ke port 25,465 atau 587 dan mengirimkan email diberi kategori spam
  24. Fantasm dibangun berbasis DesterLab Testbed
  25. Satu ronde analisa Fantasm adalah: a) monitoring pada gateway linux; b) reload OS; c) Deploy binary malware selama waktu tertentu (5 menit); d) kill malware proses dan save network traces
  26. Sampel malware menggunakan Georgia Tech Apiary project, 999 sampel malware pada Maret 2016
  27. Sampel disubmit ke virustotal

Main result

  1. Dari 999 sampel aktivitas terbanyak adalah: Scanning 28,5% ; Propagating 11,5%; Downloading 10,9%;  Reporting 5,6% Spamming 2,2 %; Komunikasi  c&c 0,2%; tidak terdeteksi aktifitas jaringan 57%
  2. Persentasi malware yang memiliki 1 behaviour adalah 67,5%; 2 behaviour 28,2%; 3 behaviour 3,4%; 4 behaviour 0,7%; lebih dari 5 behaviour 0%
  3. Untuk 57% yang tidak memiliki aktifitas jaringan, kemungkinan disebatkan oleh: a) waktu observasi yang pendek; b) malware menunggu trigger eksternal; c) outdate atau dormant
  4. Kombinasi behaviour tertinggi adalah: Scanning+propagating 43,1%; Downloading+propagating 16,5%; Scanning+Spamming 12,2%

Limitation:

  1. Hanya membatasi pada 6 behaviour  jaringan (high level), tidak mempertimbangkan behaviour low-level
  2. Tidak mempertimbangkan malware polymorphic dan teknik evading malware

Silahkan tuliskan tanggapan, kritik maupun saran