| Περίληψη |
Οι επιθέσεις κακόβουλου κώδικα (code injection attacks) εναντίον δικτυακών εφαρμογών αποτελούν πλέον την κύρια μέθοδο διάδοσης κακόβουλου λογισμικού (malware). Ο εντοπισμός του κακόβουλου κώδικα (shellcode) που περιέχεται στην επίθεση είναι μια υποσχόμενη προσέγγιση για την ανίχνευση πρωτοεμφανιζόμενων επιθέσεων στο διαδίκτυο. Αρχικές υλοποιήσεις αυτής της μεθόδου βασίζονται στην τεχνική της στατικής ανάλυσης κώδικα. Ωστόσο, οι τεχνικές αυτές δεν είναι αποτελεσματικές στον εντοπισμό κακόβουλου κώδικα που χρησιμοποιεί εξελιγμένες τεχνικές απόκρυψης όπως ο αυτοτροποποιούμενος κώδικας.
Ως μέρος της προσπάθειας εξεύρεσης μιας αποτελεσματικής μεθόδου ανίχνευσης πρωτοεμφανιζόμενων επιθέσεων, προτείνουμε την τεχνική της εξομοίωσης κώδικα στο επίπεδο του δικτύου (network-level emulation). Η τεχνική βασίζεται στη δυναμική ανάλυση κώδικα χαμηλού επιπέδου με τη χρήση ενός εξομοιωτή κεντρικής μονάδας επεξεργασίας (CPU emulator). Η υλοποίηση ενός συστήματος ανίχνευσης επιθέσεων που χρησιμοποιεί την παραπάνω μέθοδο, το οποίο ονομάζουμε Nemu, αναλύει δυναμικά έγκυρες ακολουθίες εντολών που περιέχονται στα δεδομένα δικτύου υπό ανάλυση. Χρησιμοποιώντας ευρηστικές μεθόδους ανίχνευσης χαρακτηριστικών συμπεριφορών που εκδηλώνονται κατά την εκτέλεση του κακόβουλου κώδικα, το σύστημα μπορεί να ανιχνεύσει την ύπαρξη διαφορετικών τύπων κακόβουλου κώδικα σε δεδομένα δικτύου. Οι ευρηστικές μέθοδοι που έχουμε αναπτύξει ανιχνεύουν με ακρίβεια τους πιο ευρέως διαδεδομένους τύπους επιθέσεων όπως οι πολυμορφικές και οι μεταμορφικές επιθέσεις. Η τεχνική δε βασίζεται στη χρήση υπογραφών, οπότε μπορεί να ανιχνεύει επιθέσεις που δεν ήταν προηγουμένως γνωστές. Ταυτόχρονα, η πραγματική εκτέλεση του κακόβουλου κώδικα της επίθεσης στον εξομοιωτή καθιστά τη μέθοδο ανθεκτική σε εξελιγμένες τεχνικές απόκρυψης κώδικα. Επιπλέον, κάθε είσοδος ελέγχεται αυτόνομα, γεγονός που καθιστά τη μέθοδο αποτελεσματική στην ανίχνευση στοχευμένων επιθέσεων.
Η πειραματική αξιολόγηση της μεθόδου με ένα μεγάλο εύρος δειγμάτων πραγματικών επιθέσεων έδειξε ότι το Nemu είναι πιο ανθεκτικό σε εξελιγμένες τεχνικές συσκότισης σε σύγκριση με προηγούμενες μεθόδους. Εκτενείς δοκιμές με πραγματικά και τεχνητά δεδομένα έδειξαν ότι η προτεινόμενη μέθοδος δεν παράγει εσφαλμένες ανιχνεύσεις. Για να εκτιμήσουμε την αποτελεσματικότητα της προσέγγισής μας υπό πραγματικές συνθήκες, το σύστημα εγκαταστάθηκε σε δίκτυα οργανισμών όπου εξέταζε τα πραγματικά δεδομένα δικτύου. Μετά από ένα και πλέον χρόνο συνεχούς λειτουργίας, το Nemu ανίχνευσε περισσότερες από 1.2 εκατομμύρια επιθέσεις εναντίον πραγματικών υπολογιστών στα παραπάνω δίκτυα. Παρουσιάζουμε μια εκτενή ανάλυση των επιθέσεων που ανιχνεύθηκαν, εστιάζοντας στη δομή και τη λειτουργία του κακόβουλου κώδικα της επίθεσης, καθώς και στη συνολική δραστηριότητα σε σχέση με τις δικτυακές υπηρεσίες που δέχθηκαν επιθέσεις.
|
Generic detection of code injection attacks using network-level emulation
