Novo Método Revela Táticas de Evasão de Malware
Pesquisadores desenvolvem uma técnica pra ajudar malwares a escaparem da detecção.
― 6 min ler
Índice
Malware para Windows é bem comum na internet e geralmente é o alvo de atacantes que tentam passar despercebidos pelos sistemas de segurança. Pesquisadores têm estudado maneiras de como o malware pode contornar essas defesas, mas ainda tem muita coisa que precisa de resposta. Algumas dessas perguntas são sobre a eficácia das técnicas atuais, como garantir que o malware funcione como esperado após modificações e onde estão os melhores lugares para fazer mudanças sem ser notado.
Este artigo fala sobre um novo método para modificar arquivos Executáveis Portáteis do Windows (PE), que são o formato padrão para arquivos executáveis no Windows. A abordagem envolve criar um espaço dentro do próprio arquivo, onde pequenas mudanças podem ser feitas para ajudar o malware a evitar a detecção por scanners baseados em aprendizado de máquina, mantendo o malware funcional.
Contexto
O que é Malware?
Malware, abreviação de software malicioso, se refere a qualquer programa criado para prejudicar ou explorar sistemas de computador. Isso inclui vírus, worms e software que pode roubar informações pessoais. O malware pode ser entregue através de anexos de e-mail, downloads ou até mesmo sites.
Entendendo Ataques de Evasão
Um ataque de evasão acontece quando o malware é deliberadamente alterado para evitar ser detectado por programas de segurança. Os atacantes modificam o malware para que ele pareça inofensivo para os scanners, que geralmente são baseados em algoritmos de aprendizado de máquina.
O Desafio da Detecção de Malware
Detectar malware é uma tarefa desafiadora para os sistemas de segurança. Modelos de aprendizado de máquina, como redes neurais convolucionais (CNNs), são usados com frequência porque conseguem aprender a reconhecer padrões nos dados. No entanto, esses modelos podem ser enganados com pequenas alterações no malware, conhecidas como perturbações. A chave está em garantir que essas modificações não atrapalhem a funcionalidade do malware.
Método Proposto
O que é um Code Cave?
Um code cave é uma área dentro de um arquivo PE que não está sendo usada ou pode ser reaproveitada para comportar código ou dados adicionais. Ao usar esses espaços, os atacantes podem inserir suas modificações sem mudar o comportamento visível do malware.
Passos para Criar um Code Cave Intra-Seção
Identificar Seções: Um arquivo PE é dividido em seções, como .text (código) e .data (variáveis). O primeiro passo é identificar qual seção tem espaço suficiente para as mudanças.
Aumentar o Tamanho: Uma vez que uma seção adequada é encontrada, o tamanho dessa seção é aumentado para abrir espaço para o code cave.
Inserir Loader de Código: Um loader de código é adicionado ao final da seção .text. Esse loader vai restaurar o malware original quando for executado, garantindo que ele continue operando como esperado.
Injetar Perturbações: Por fim, mudanças adversariais são feitas dentro do code cave. Isso pode ajudar o malware a escapar da detecção, fazendo com que pareça inofensivo para os sistemas de segurança.
Configuração Experimental
Uma parte chave desta pesquisa envolveu a criação de um conjunto de dados de arquivos de malware. Dois conjuntos de dados foram usados: um com malware e outro com arquivos limpos (goodware). O malware incluía diferentes famílias como Trojans e ransomware.
Modelos de Detecção de Malware
Dois modelos de detecção específicos, MalConv e MalConv2, foram escolhidos para os testes. Esses modelos servem como referências para avaliar o quão bem o malware modificado consegue evitar a detecção.
Resultados
Taxas de Evasão
Os experimentos mostraram que o novo método de usar code caves melhorou significativamente a taxa de evasão. Por exemplo:
- Quando direcionado ao modelo de detecção MalConv, a taxa de evasão chegou a 92,31%.
- Para o modelo MalConv2, a taxa de evasão foi ainda maior, chegando a 97,93%.
Essas taxas indicam que o malware modificado foi em grande parte indetectado pelos sistemas de segurança.
Redução de Confiança
Outra métrica analisada foi a redução de confiança, que verifica quanto a confiança dos modelos de detecção cai após encontrar o malware modificado. Os resultados mostraram:
- Uma forte queda na confiança quando o malware modificado foi testado, significando que os modelos estavam menos certos sobre classificar o malware como prejudicial.
Desafios Técnicos
Praticidade
Implementar essas mudanças em cenários do mundo real ainda é um desafio. Embora os métodos testados tenham sido bem-sucedidos em um ambiente controlado, o uso prático pode enfrentar problemas como não saber o suficiente sobre os sistemas de detecção.
Detectores de Malware
Embora a pesquisa tenha se concentrado em modelos específicos, os achados podem se aplicar a outros tipos de sistemas de detecção. Trabalhos futuros podem explorar como essas técnicas se saem contra uma gama maior de detectores.
Limites de Tamanho
Uma limitação é a necessidade de espaço suficiente dentro das seções. Nem todos os arquivos PE terão espaço suficiente para realizar as modificações intra-seção.
Injeção do Loader de Código
Criar e injetar o loader de código requer precisão. Existem mudanças que precisam ser feitas para garantir que o loader funcione corretamente, dependendo do ambiente de execução.
Conclusão
Esta pesquisa propôs uma nova maneira de modificar malware para Windows de forma eficaz. Usando code caves intra-seção, os atacantes conseguem esconder mudanças, tornando mais difícil para os sistemas de segurança detectar arquivos prejudiciais. Os resultados promissores indicam um potencial para mais exploração em técnicas de evasão de malware, especialmente contra diferentes sistemas de detecção. Direções futuras podem incluir testes em ambientes de caixa-preta e aplicar estratégias semelhantes para detectar e combater malware de forma mais eficaz.
Título: Intra-Section Code Cave Injection for Adversarial Evasion Attacks on Windows PE Malware File
Resumo: Windows malware is predominantly available in cyberspace and is a prime target for deliberate adversarial evasion attacks. Although researchers have investigated the adversarial malware attack problem, a multitude of important questions remain unanswered, including (a) Are the existing techniques to inject adversarial perturbations in Windows Portable Executable (PE) malware files effective enough for evasion purposes?; (b) Does the attack process preserve the original behavior of malware?; (c) Are there unexplored approaches/locations that can be used to carry out adversarial evasion attacks on Windows PE malware?; and (d) What are the optimal locations and sizes of adversarial perturbations required to evade an ML-based malware detector without significant structural change in the PE file? To answer some of these questions, this work proposes a novel approach that injects a code cave within the section (i.e., intra-section) of Windows PE malware files to make space for adversarial perturbations. In addition, a code loader is also injected inside the PE file, which reverts adversarial malware to its original form during the execution, preserving the malware's functionality and executability. To understand the effectiveness of our approach, we injected adversarial perturbations inside the .text, .data and .rdata sections, generated using the gradient descent and Fast Gradient Sign Method (FGSM), to target the two popular CNN-based malware detectors, MalConv and MalConv2. Our experiments yielded notable results, achieving a 92.31% evasion rate with gradient descent and 96.26% with FGSM against MalConv, compared to the 16.17% evasion rate for append attacks. Similarly, when targeting MalConv2, our approach achieved a remarkable maximum evasion rate of 97.93% with gradient descent and 94.34% with FGSM, significantly surpassing the 4.01% evasion rate observed with append attacks.
Autores: Kshitiz Aryal, Maanak Gupta, Mahmoud Abdelsalam, Moustafa Saleh
Última atualização: 2024-03-11 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2403.06428
Fonte PDF: https://arxiv.org/pdf/2403.06428
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.