Методика сбора данных об активности вредоносного программного обеспечения под ОС Windows на базе MITRE ATT&CK

Данил Вадимович Смирнов; Олег Олегович Евсютин

doi:10.15622/ia.23.3.2

Данил Вадимович Смирнов Национальный исследовательский университет «Высшая школа экономики»
Олег Олегович Евсютин Национальный исследовательский университет «Высшая школа экономики» Scopus

DOI:

https://doi.org/10.15622/ia.23.3.2

Ключевые слова:

кибербезопасность, вредоносное программное обеспечение, MITRE ATT&CK, мониторинг активности процессов, машинное обучение

Аннотация

Цифровизация современной экономики привела к масштабному проникновению информационных технологий в различные сферы человеческой деятельности. Кроме положительных эффектов это крайне обострило проблему противодействия киберугрозам, реализация которых злоумышленниками часто влечет за собой тяжелые последствия. Вредоносное программное обеспечение (ВПО) занимает важное место на современном ландшафте киберугроз, наиболее громкие киберпреступления последних лет связаны с применением ВПО. В связи с этим активно развивается проблемная область противодействия ВПО и одним из перспективных направлений исследований в данной области является создание методов детектирования ВПО на основе машинного обучения. Однако слабым местом многих известных исследований является построение достоверных наборов данных для моделей машинного обучения, когда авторы не раскрывают особенности формирования, предобработки и разметки данных о ВПО, что компрометирует воспроизводимость этих исследований. В данной работе предлагается методика сбора данных об активности ВПО, основанная на матрице MITRE ATT&CK и Sigma-правилах, и рассчитанная на операционные системы семейства Windows. Предлагаемая методика направлена на повышение качества наборов данных, содержащих характеристики поведения ВПО и легитимных процессов, а также на сокращение времени разметки данных экспертным способом. Для апробации методики подготовлен программный стенд и проведены эксперименты, подтвердившие ее адекватность.

Литература

1. Cybercrime Will Cost the World US$6 Trillion by the End of the Year: Study. URL: https://cisomag.eccouncil.org/cybercrime-will-cost-the-world-us6-trillion-by-the-end-of-the-year-study/ (дата обращения: 10.11.2023).
2. Ландшафт угроз. URL: https://encyclopedia.kaspersky.ru/glossary/threat-landscape/ (дата обращения: 08.11.2023).
3. Левшун Д.С., Гайфулина Д.А., Чечулин А.А., Котенко И.В. Проблемные вопросы информационной безопасности киберфизических систем // Информатика и автоматизация. 2020. Т. 19. № 5. С. 1050–1088.
4. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию // М.: Госстандарт России. 2006.
5. Denning D. An Intrusion-Detection Model // IEEE Transactions on Software Engineering. 1987. no. 2. pp. 222–232.
6. Abaoaja F., Zainal A., Ghaleb F., Al-rimy B.A.S., Eisa T.A.E., Elnour A.A.H. Malware Detection Issues, Challenges, and Future Directions: A Survey // Applied Sciences. 2022. vol. 12. no. 17. pp. 1–29.
7. Herrera-Silva J., Hernandez-Alvarez M. Dynamic Feature Dataset for Ransomware Detection Using Machine Learning Algorithms // Sensors. 2023. vol. 23. no. 3. pp. 1–24.
8. Ali R., Ali A., Iqbal F., Hussain M., Ullah F. Deep Learning Methods for Malware and Intrusion Detection: A Systematic Literature Review // Security and Communication Networks. 2022. vol. 2022. pp. 1–31.
9. Gibert D., Mateu C., Planes J. The rise of machine learning for detection and classification of malware: Research developments, trends and challenges // Journal of Network and Computer Applications. 2020. vol. 153. pp. 1–22.
10. Kattamuri S., Penmatsa R., Chakravarty S., Madabathula V. Swarm Optimization and Machine Learning Applied to PE Malware Detection towards Cyber Threat Intelligence // Electronics. 2023. vol. 12. no. 2. pp. 1–25.
11. Lu F., Cai Z., Lin Z., Bao Y., Tang M. Research on the Construction of Malware Variant Datasets and Their Detection Method // Applied Sciences. 2022. vol. 12. no. 15. DOI: 10.3390/app12157546.
12. Catak F.O., Yazi A.F., Elezaj O., Ahmed J. Deep learning based Sequential model for malware analysis using Windows exe API Calls // PeerJ Computer Science. 2020. vol. 6. pp. 1–23.
13. Sanchez-Fraga R., Acosta-Bermejo R. Toward a Taxonomy and Multi-label Dataset for Malware Classification // Proceedings of the 10th International Conference in Software Engineering Research and Innovation, CONISOFT. 2022. pp. 150–157.
14. Lee S., Jung W., Lee W., Oh H., Kim E. Android malware dataset construction methodology to minimize bias–variance tradeoff // ICT Express. 2022. vol. 8. no. 3. pp. 444–462.
15. Чистяков А., Лобачева Е., Романенко А. Система и способ машинного обучения модели обнаружения вредоносных файлов // Патент RU2673708C1. 2018.
16. Chistyakov A., Lobacheva E., Romanenko A. System and method for generating a convolution function for training a malware detection model // PATENT USO10922410B2. 2021.
17. Chhetri S., Hewlett W. Execution behavior analysis text-based ensemble malware detector // PATENT EP4044054A1. 2022. pp. 1–26.
18. Rossow C., Dietrich C., Grier C., Kreibich C., Paxson V., Pohlmann N., Bos H., Van Steen M. Prudent Practices for Designing Malware Experiments: Status Quo and Outlook // Proceedings of the 2012 IEEE Symposium on Security and Privacy (S&P 2012). 2012. pp. 65–79.
19. Enterprise Matrix. URL: https://attack.mitre.org/matrices/enterprise/ (дата обращения: 09.11.2023).
20. Sigma. URL: https://github.com/Neo23x0/sigma (дата обращения: 05.11.2023).
21. Ilca L., Lucian O., Balan T. Enhancing Cyber-Resilience for Small and Medium-Sized Organizations with Prescriptive Malware Analysis, Detection and Response // Sensors. 2023. vol. 23. no. 15. pp. 1–33.
22. Lozano M.A., Llopis I.P., Domingo M.E. Threat Hunting Architecture Using a Machine Learning Approach for Critical Infrastructures Protection // Big Data and Cognitive Computing. 2023. vol. 7. no. 2. pp. 1–26.
23. Detecting Process Injection with ETW. URL: https://web.archive.org/web/20221207000139/https://blog.redbluepurple.io/windows-security-research/kernel-tracing-injection-detection (дата обращения: 30.10.2023).
24. Schultz M.G., Eskin E., Zadok E., Stolfo S.J. Data mining methods for detection of new malicious executables // Proceedings of the 2001 IEEE Symposium on Security and Privacy (S&P 2001). 2001. pp. 38–49.
25. Abou-Assaleh T., Cercone N., Keselj V., Sweidan R. N-gram-based detection of new malicious code // Proceedings of the 28th Annual International Computer Software and Applications Conference (COMPSAC 2004). 2004. vol. 02. pp. 41–42.
26. Sai M., Tyagi A., Panda K., Kumar S. Machine learning-based malware detection using stacking of opcodes and bytecode sequences // Proceedings of the 7th International Conference on Parallel, Distributed and Grid Computing (PDGC 2022). 2022. pp. 204–209.
27. Hong J., Jeong D., Kim S. Classifying Malicious Documents on the Basis of Plain-Text Features: Problem, Solution, and Experiences // Applied Sciences. 2022. vol. 12. no. 8. DOI: 10.3390/app12084088.
28. Tian R., Batten L., Versteeg S. Function length as a tool for malware classification // Proceedings of the 3rd International Conference on Malicious and Unwanted Software (MALWARE). 2008. pp. 69–76.
29. Dai J., Guha R., Lee J. Efficient Virus Detection Using Dynamic Instruction Sequences // Proceedings of the International Conference on High Performance Computing and Simulation (HPCS 2008). 2008. pp. 69–76.
30. Khalid O., Ullah S., Ahmad T., Saeed S., Alabbad D., Aslam M., Buriro A., Ahmad R. An Insight into the Machine-Learning-Based Fileless Malware Detection // Sensors. 2023. vol. 23. no. 2. DOI: org/10.3390/s23020612.
31. Baysa D., Low R.M., Stamp M. Structural entropy and metamorphic malware // Journal of Computer Virology and Hacking Techniques. 2013. vol. 9. pp. 179–192.
32. Karim M., Walenstein A., Lakhotia A., Parida L. Malware phylogeny generation using permutations of code // Journal in Computer Virology. 2005. vol. 1. no. 1-2. pp. 13–23.
33. Botacin M., Galhardo Moia V., Ceschin F., Amaral Henriques M., Gregio A. Understanding uses and misuses of similarity hashing functions for malware detection and family clustering in actual scenarios // Forensic Science International: Digital Investigation. 2021. vol. 38. DOI: 10.1016/j.fsidi.2021.301220.
34. Jacob G., Debar H., Filiol E. Behavioral detection of malware: from a survey towards an established taxonomy // Journal in Computer Virology. 2008. vol. 4. pp. 251–266.
35. Sgandurra D., Munoz-Gonzalez L., Mohsen R., Lupu E.C. Automated Dynamic Analysis of Ransomware: Benefits, Limitations and use for Detection // arXiv. 2016.
36. Abbasi M.S., Al-Sahaf H., Mansoori M., Welch I. Behavior-based ransomware classification: A particle swarm optimization wrapper-based approach for feature selection // Applied Soft Computing. 2022. vol. 121. pp. 1–12.
37. Roesch M. Snort-Lightweight Intrusion Detection for Networks // Proceedings of the 13th USENIX Conference on System Administration (LISA '99). 1999. vol. 99. no. 1. pp. 229–238.
38. YARA. The pattern matching swiss knife for malware researchers (and everyone else). URL: https://virustotal.github.io/yara/ (дата обращения: 03.11.2023).
39. signature-base. URL: https://github.com/Neo23x0/signature-base/tree/master/yara (дата обращения: 03.11.2023).
40. Гайворонская С. Исследование методов обнаружения шеллкодов в высокоскоростных каналах передачи данных // М., дис. канд. ф.-м. наук: 05.13.11: защищена 19.09.2014. 2014. 133 с.
41. Bruschi D., Martignoni L., Monga M. Detecting self-mutating malware using control-flow graph matching // Detection of Intrusions and Malware & Vulnerability Assessment: Third International Conference. 2006. pp. 129–143.
42. Naik N., Jenkins P., Savage N., Yang L., Boongoen T., Iam-On N. Fuzzy-import hashing: A static analysis technique for malware detection // Forensic Science International: Digital Investigation. 2021. vol. 37. DOI: 10.1016/j.fsidi.2021.301139.
43. Nataraj L., Karthikeyan S., Jacob G., Manjunath B.S. Malware images: visualization and automatic classification // Proceedings of the 8th International Symposium on Visualization for Cyber Security (VizSec '11). 2011. pp. 1–7.
44. Shabtai A., Moskovitch R., Elovici Y., Glezer C. Detection of malicious code by applying machine learning classifiers on static features, a state-of-the-art survey // Information Security Technical Report. 2009. vol. 14. no. 1. pp. 16–29.
45. Souri A., Hosseini R. A state-of-the-art survey of malware detection approaches using data mining techniques // Human-centric Computing and Information Sciences. 2018. vol. 8. no. 1. pp. 1–22. DOI: 10.1186/s13673-018-0125-x.
46. Wagener G., State R., Dulaunoy A. Malware behaviour analysis // Journal in Computer Virology. 2008. vol. 4. pp. 279–287.
47. Endpoint Detection and Response (EDR). URL: https://encyclopedia.kaspersky.com/glossary/edr-endpoint-detection-response/ (дата обращения: 10.11.2023).
48. Шевалье Я., Фенцль Ф., Коломеец М.В., Рике Р., Чечулин А.А., Краус К. Обнаружение кибератак в транспортных средствах с использованием характеризующих функций, искусственных нейронных сетей и визуального анализа // Информатика и автоматизация. 2021. Т. 20. № 4. С. 845–868.
49. Bostami B., Ahmed M. Deep Learning Meets Malware Detection: An Investigation // Combating Security Challenges in the Age of Big Data: Powered by State-of-the-Art Artificial Intelligence Techniques. 2020. pp. 137–155.
50. Зегжда Д.П., Калинин М.О., Крундышев В.М., Лаврова Д.С., Москвин Д.А., Павленко Е.Ю. Применение алгоритмов биоинформатики для обнаружения мутирующих кибератак // Информатика и автоматизация. 2021. Т. 20. № 4. С. 820–844.
51. Jiang J., Zhang F. Detecting Portable Executable Malware by Binary Code Using an Artificial Evolutionary Fuzzy LSTM Immune System // Security and Communication Networks. 2021. vol. 2021. DOI: 10.1155/2021/3578695.
52. Wawryn K., Widulinski P. Detection of anomalies in compiled computer program files inspired by immune mechanisms using a template method // Journal of Computer Virology and Hacking Techniques. 2021. vol. 17. pp. 47–59.
53. Котенко И.В., Саенко И.Б., Лаута О.С., Крибель А.М. Методика обнаружения аномалий и кибератак на основе интеграции методов фрактального анализа и машинного обучения // Информатика и автоматизация. 2022. Т. 21. № 6. С. 1328–1358.
54. malware_images. URL: http://vision.ece.ucsb.edu/~lakshman/malware_images/album/ (дата обращения: 10.11.2023).
55. anubis. URL: http://anubis.iseclab.org/ (дата обращения: 12.11.2023).
56. Cuckoo Sandbox. URL: https://cuckoosandbox.org/ (дата обращения: 10.11.2023).
57. ransomwaredataset2016. URL: https://github.com/rissgrouphub/ransomwaredataset2016 (дата обращения: 10.11.2023).
58. MalwareDataset. URL: https://github.com/WindrunnerMax/MalwareDataset (дата обращения: 13.11.2023).
59. Котенко И., Хмыров С. Анализ моделей и методик, используемых для атрибуции нарушителей кибербезопасности при реализации целевых атак // Вопросы кибербезопасности. 2022. Т. 4. № 50. С. 52–79.
60. The Cyber Kill Chain. URL: https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html (дата обращения: 08.11.2023).
61. The Diamond Model of Intrusion Analysis. URL: https://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf (дата обращения: 06.11.2023).
62. Noor U., Anwar Z., Amjad T., Choo K.-K.R. A machine learning-based FinTech cyber threat attribution framework using high-level indicators of compromise // Future Generation Computer Systems. 2019. vol. 96. pp. 227–242.
63. Emotet Strikes Again – LNK File Leads to Domain Wide Ransomware. URL: https://thedfirreport.com/2022/11/28/emotet-strikes-again-lnk-file-leads-to-domain-wide-ransomware/ (дата обращения: 03.11.2023).
64. Mandiant. URL: https://mandiant.com (дата обращения: 12.11.2023).
65. capa. URL: https://github.com/mandiant/capa (дата обращения: 12.11.2023).
66. Levshun D., Kotenko I. A survey on artificial intelligence techniques for security event correlation: models, challenges, and opportunities // Artificial Intelligence Review. 2023. vol. 56. DOI: 10.1007/s10462-022-10381-4.
67. Check out Check Point’s coverage of the MITRE ATT&CK enterprise matrix. URL: https://www.checkpoint.com/solutions/mitre-attack/coverage/ (дата обращения: 13.11.2023).
68. Hoglund G., Butler J. Rootkits: Subverting the Windows Kernel: Subverting the Windows Kernel // Addison-Wesley Professional. 2005. 352 p.
69. drakvuf. URL: https://github.com/tklengyel/drakvuf (дата обращения: 09.11.2023).
70. Filter Manager Concepts. URL: https://learn.microsoft.com/en-us/windows-hardware/drivers/ifs/filter-manager-concepts (дата обращения: 15.11.2023).
71. About Event Tracing. URL: https://learn.microsoft.com/en-us/windows/win32/etw/about-event-tracing (дата обращения: 10.11.2023).
72. Sysmon. URL: https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon/ (дата обращения: 09.11.2023).
73. Security Datasets. URL: https://github.com/OTRF/Security-Datasets (дата обращения: 15.11.2023).
74. Sikorski M., Honig A. Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software // No Starch Press, 2012. 800 p.
75. community/modules/signatures/ URL: https://github.com/cuckoosandbox/community/tree/master/modules/signatures/ (дата обращения: 13.11.2023).
76. mongoosecurity. URL: https://github.com/SDanilytics/mongoosecurity (дата обращения: 01.11.2023).
77. What is the ELK Stack? URL: https://www.elastic.co/what-is/elk-stack (дата обращения: 15.11.2023).
78. Elastic stack (ELK) on Docker. URL: https://github.com/deviantony/docker-elk (дата обращения: 25.11.2023).
79. Elastic Agent 8.1.1. URL: https://www.elastic.co/downloads/past-releases/elastic-agent-8-1-1 (дата обращения: 03.11.2023).
80. Sigma Command Line Interface. URL: https://github.com/SigmaHQ/sigma-cli (дата обращения: 01.08.2023).
81. Types of Malware. URL: https://www.kaspersky.com/resource-center/threats/malware-classifications (дата обращения: 09.11.2023).
82. Submission Utility. URL: https://cuckoo.readthedocs.io/en/latest/usage/submit/?highlight=timeout#submission-utility (дата обращения: 01.11.2023).

Просмотры	472
Скачивания	266

Информационная безопасность

Методика сбора данных об активности вредоносного программного обеспечения под ОС Windows на базе MITRE ATT&CK

DOI:

Ключевые слова:

Аннотация

Литература

Опубликован

Статистика

Как цитировать

Выпуск

Раздел

Импакт-фактор

Разделы

Мы в сети

Обратная связь