Frankenstein malware tot leven gewekt
Onderzoekers hebben de eerste echte "Frankenstein malware" tot leven gewekt die onderdelen van allerlei andere programma's voor kwaadaardige doeleinden gebruikt. 'Frankenstein' is het werk van Vishwath Mohan en Kevin Hamlen van de Universiteit van Texas. Zodra de malware een computer infecteert, zoekt het in andere software, zoals Notepad, Calculator en Verkenner, naar 'gadgets'. Dit zijn korte instructies die een bepaalde opdracht uitvoeren.
Met voldoende gagdets is het mogelijk om elk willekeurig computerprogramma te bouwen. Frankenstein volgt bestaande blauwdrukken voor bepaalde opdrachten, zoals het kopiëren van gegevens, en vervangt die door gadgets die dit kunnen. Dit toevoegen van gadgets herhaalt zich elke keer als Frankenstein een nieuwe computer infecteert, maar gebruikt dan andere gadgets. Daardoor ziet de malware er steeds anders uit, ook al is de werking hetzelfde.
Detectie
Door deze methode zou de malware zeer lastig door virusscanners te detecteren zijn. "We hebben een nieuwe manier gepresenteerd voor het obfusceren van malware die fundamenteel verschilt van bestaande aanpakken voor metamorfische malware", aldus de onderzoekers. Die merken op dat hun experimenten aantonen dat het het gebruik van slechts een paar bestanden voldoende voor een 'hoge mutant diversiteit' is.
"Door nieuwe exemplaren van code uit goedaardige bestanden te gebruiken, denken we dat het behoorlijk veel lastiger voor verdedigers wordt om signatures te maken die op betrouwbare wijze op de systemen van slachtoffers malware en niet-malware kunnen onderscheiden." De onderzoekers zullen hun werk tijdens de USENIX Workshop in Bellevue Washington deze maand presenteren.
Met dank aan Michael voor de tip
uit de source bv :
However, the malware’s decryption routine (which
must remain unencrypted) is often suf?ciently unique that
it can be used as a signature to detect an entire family of
polymorphic malware. Semantic analysis techniques can therefore single out and identify the unpacker to detect malware
family members [11]
bv km vuinuit een word document een excel tabel te embedden? dat is dan toch cross applicatie als voorbeeld ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
