Malware + Machine Learning (ML) - czy to ma sens? Kamil Frankowicz

Podobne dokumenty
Widzenie komputerowe (computer vision)

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Fujitsu World Tour 2018

Malware przegląd zagrożeń i środków zaradczych

mgr inż. Magdalena Deckert Poznań, r. Uczenie się klasyfikatorów przy zmieniającej się definicji klas.

TEORETYCZNE PODSTAWY INFORMATYKI

Adaptive Defense PROAKTYWNE PRZECIWDZIAŁANIE ZAGROŻENIOM

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Fuzzing OWASP The OWASP Foundation Piotr Łaskawiec J2EE Developer/Pentester

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Systemy pomiarowo-diagnostyczne. Metody uczenia maszynowego wykład I dr inż. 2015/2016

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

Antywirusy. Marcin Talarczyk. 2 czerwca Marcin Talarczyk Antywirusy 2 czerwca / 36

INFOMAGE INFORMATION MANAGEMENT CRM. Innowacyjny system do wsparcia sprzedaży w firmie

SAS wybrane elementy. DATA MINING Część III. Seweryn Kowalski 2006

S O M SELF-ORGANIZING MAPS. Przemysław Szczepańczyk Łukasz Myszor

Trendy w bezpieczeństwie IT. Maciej Ogórkiewicz, Solidex S.A.

Metody tworzenia efektywnych komitetów klasyfikatorów jednoklasowych Bartosz Krawczyk Katedra Systemów i Sieci Komputerowych Politechnika Wrocławska

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

IoT + = PLATFORMA MONITORINGU JAKOŚCI ŚRODOWISKA AKADEMIA GÓRNICZO HUTNICZA & SENSONAR EFEKTYWNA WSPÓŁPRACA UCZELNI Z BIZNESEM

BEZPIECZEŃSTWO UŻYTKOWNIKA APLIKACJI FACEAPP. Analiza Zespołu CERT POLSKA w Państwowym Instytucie Badawczym NASK

mgr inż. Magdalena Deckert Poznań, r. Metody przyrostowego uczenia się ze strumieni danych.

Metody klasyfikacji danych - część 1 p.1/24

Od Expert Data Scientist do Citizen Data Scientist, czyli jak w praktyce korzystać z zaawansowanej analizy danych

Bezpieczeństwo IT z Open Source na nowo

Analiza danych. TEMATYKA PRZEDMIOTU

Szanowni Państwo, Serdecznie zachęcam do zakupu opracowania! Joanna Florczak-Czujwid Zastępca Dyrektora Działu Analiz Sektorowych i Foresightu

Opracowanie systemu monitorowania zmian cen na rynku nieruchomości

Techniki uczenia maszynowego nazwa przedmiotu SYLABUS

Metody ochrony przed zaawansowanymi cyberatakami

Prof. Stanisław Jankowski

Ochrona biznesu w cyfrowej transformacji

ALGORYTM RANDOM FOREST

AUTOMATYKA INFORMATYKA

Dni: 3. Opis: Adresaci szkolenia

Analiza Trojana NotCompatible.C

Diagnostyka procesów przemysłowych Kod przedmiotu

UCZENIE MASZYNOWE I SZTUCZNA INTELIGENCJA Jako narzędzia wspomagania decyzji w zarządzaniu kapitałem ludzkim organizacji

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Sprzętowo wspomagane metody klasyfikacji danych

SYSTEMY UCZĄCE SIĘ WYKŁAD 1. INFORMACJE WSTĘPNE. Dr hab. inż. Grzegorz Dudek Wydział Elektryczny Politechnika Częstochowska.

Powstrzymywanie zaawansowanych, ukierunkowanych ataków, identyfikowanie użytkowników wysokiego ryzyka i kontrola nad zagrożeniami wewnętrznymi

Otwock dn r. Do wszystkich Wykonawców

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

TEST BEZPŁATNYCH ANTYW IRUSOW YCH

SHAREPOINT SHAREPOINT QM SHAREPOINT DESINGER SHAREPOINT SERWER. Opr. Barbara Gałkowska

Polityka ochrony danych osobowych w programie Norton Community Watch

komputery? Andrzej Skowron, Hung Son Nguyen Instytut Matematyki, Wydział MIM, UW

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

PROJEKT WYZWANIE RoweryStylowe.pl Hurt.RoweryStylowe.pl zautomatyzowanie procesów zachodzących w firmie poprzez integrację sklepu

Zastosowania sieci neuronowych

Operator telco na pierwszej linii ognia. Obywatele, biznes a cyberbezpieczeństwo

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

KLASYFIKACJA TEKSTUR ZA POMOCĄ SVM MASZYNY WEKTORÓW WSPIERAJĄCYCH

Trojan bankowy Emotet w wersji DGA

Metadane. Data Maining. - wykład VII. Paweł Skrobanek, C-3 pok. 323 pawel.skrobanek@pwr.wroc.pl oprac. Wrocław 2006

Programy antywirusowe dostępne bez opłat

Rozwój zagrożeń i ich mitygacja. Seweryn Jodłowski Senior Systems Engineer, CISSP, CNSE

Zagrożenia mobilne w maju

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Rozszerzony konspekt przedmiotu Inteligentne maszyny i systemy

Ataki w środowiskach produkcyjnych. (Energetic bear / Dragon Fly / Still mill furnace)

Insider Threat Management - czyli jak skutecznie zapobiegać zagrożeniom wewnętrznym?

GSMONLINE.PL. Twój smartfon Huawei może być jeszcze szybszy Akcja. partnerska

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

!!!!!!!!!!! PORTFOLIO: Analiza zachowań użytkowników serwisów internetowych. Autorzy: Marek Zachara

IBM QRadar. w Gartner Magic Quadrant

Projektowanie i implementacja infrastruktury serwerów

Metody systemowe i decyzyjne w informatyce

Wprowadzenie do uczenia maszynowego

Inteligentne wydobywanie informacji z internetowych serwisów społecznościowych

2

Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

Zastosowanie sztucznej inteligencji w testowaniu oprogramowania

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Inżynieria danych I stopień Praktyczny Studia stacjonarne Wszystkie specjalności Katedra Inżynierii Produkcji Dr Małgorzata Lucińska

INFORMATYKA Pytania ogólne na egzamin dyplomowy

Misja. O firmie. NOD32 Antivirus

Celem tych ćwiczeń jest zapoznanie się z klasyfikacją za pomocą sieci neuronowych.

Algorytmy metaheurystyczne Wykład 11. Piotr Syga

SPOTKANIE 2: Wprowadzenie cz. I

Automatyczna predykcja. Materiały/konsultacje. Co to jest uczenie maszynowe? Przykład 6/10/2013. Google Prediction API, maj 2010

Optymalizacja systemów

ZAŁĄCZNIK NR 2 do Regulaminu ICO - Polityka prywatności. 1. Informacje ogólne

LEMRG algorytm generowania pokoleń reguł decyzji dla baz danych z dużą liczbą atrybutów

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP The OWASP Foundation

POLITYKA PRYWATNOŚCI

Systemy uczące się wykład 1

KARTA MODUŁU KSZTAŁCENIA

Panda Internet Security 2017 przedłużenie licencji

Zagadnienia optymalizacji i aproksymacji. Sieci neuronowe.

SZTUCZNA INTELIGENCJA

w ekonomii, finansach i towaroznawstwie

SI w procesach przepływu i porządkowania informacji. Paweł Buchwald Wyższa Szkoła Biznesu

Algorytm do rozpoznawania człowieka na podstawie dynamiki użycia klawiatury. Paweł Kobojek, prof. dr hab. inż. Khalid Saeed

Algorytmy decyzyjne będące alternatywą dla sieci neuronowych

Transkrypt:

Malware + Machine Learning (ML) - czy to ma sens? Kamil Frankowicz SECURE 2018, Warszawa

$whoami Kamil Frankowicz Senior Security Engineer @ CERT.pl Wyszukiwanie & analiza podatności Analiza złośliwego oprogramowania kamil.frankowicz@cert.pl frankowicz.me @fumfel

O czym będzie? Wprowadzenie do ML oraz procesu analizy złośliwego oprogramowania Ile czasu zajmuje dokładne poznanie rodziny malware? Ile zarabia analityk malware w USA? W jaki sposób można usprawnić proces analizy manualnej? Zagrożenia analizy wspomaganej AI Czy można uzyskać 99,5% skuteczności detekcji?

Uczenie maszynowe (ML)

Po co wprowadzenie?

Uczenie maszynowe (ML) Machine Learning - algorytmiczny sposób opisu cech danych i ich rozpoznawania: Nadzorowany - wykorzystanie danych testowych Bez nadzoru - rozwiązanie problemu optymalizacyjnego (np. klastrowanie)

Praktyczne uczenie maszynowe to nie...

Praktyczne uczenie maszynowe to......rozpoznawanie wzorców z wykorzystaniem metod statystycznych.

ML - Usystematyzowanie

Typowa analiza malware

Od próbki do biurka analityka...

Analiza nowej rodziny od zera Mniej więcej około trzy miesiące do wstępnej automatyzacji. Ale niestety często dłużej! Analizę mogą przyspieszyć różne wydarzenia: wyciek kodu źródłowego, wiedza od innych badaczy, posiadanie informacji o powiązanych kampaniach.

Analiza nowej rodziny = $$$$ Średnie roczne zarobki analityka malware w USA: 100-130 tysięcy USD (373 tysiące PLN - 485 tysięcy PLN; 1 PLN = 0.268 USD). ML ma duże szanse zmniejszyć koszty analizy i czas trwania analizy...co przekłada się na szybsze zabezpieczenie systemów klientów oraz wymianę informacji.

Gdzie w tym procesie jest nisza dla ML?

Jak ML usprawnia ręczną analizę?

95% manualnej analizy

Automatyzacja ręcznej analizy class XrefsForm(idaapi.PluginForm): def init (self, target): idaapi.pluginform. init (self) self.target = target if type(self.target) == idaapi.cfunc_t: self. type = XREF_EA self. ea = self.target.entry_ea elif type(self.target) == idaapi.cexpr_t and \ self.target.opname == 'obj': self. type = XREF_EA self. ea = self.target.obj_ea

Statyczne rozpoznawanie rodzin

Statyczne rozpoznawanie rodzin Metadane, Rozkład entropii między ciągami bajtów, Dystrybucja opkodów, Częstotliwość wykorzystania rejestrów CPU, Deklaracje zmiennych w ASM, Wykorzystanie WinAPI, Własności sekcji pliku PE.

Statyczne rozpoznawanie rodzin

Statyczne rozpoznawanie rodzin

Dynamiczna detekcja złośliwego kodu

Dynamiczna detekcja złośliwego kodu "api": "NtAllocateVirtualMemory", "return_value": 0, "arguments": {"process_identifier": 2560, "region_size": 4096, "stack_dep_bypass": 0, [...] }

Klasyfikacja próbki

ML + malware =?

Zagrożenia ML w domenie malware u Niewłaściwa klasteryzacja próbki Kradzieże mechanizmu rozpoznawania (modelu) Umieszczenie backdoora w klasyfikatorze Smart malware

Adversarial examples

Adversarial examples Znalezienie modyfikacji reprezentacji danych wejściowych, generującej zmianę granicy decyzyjnej - inaczej: pandy w gibona. Systemy Computer Vision są bardzo wrażliwe, nawet na niewielkie perturbacje danych (przyciemnienie, zmiana balansu bieli).

Po co kraść model malware owy? Trening wymaga dużo zasobów: Dane Wiedza Sprzęt Czas Można go sprzedać lub udostępnić w modelu MLaaS, Pozyskanie danych uczących - informacja dla przestępców jak mogą się bronić!

Backdoory w modelach

Smart malware Co się stanie kiedy malware zacznie korzystać z ML lub AI? Skuteczniejsze wykorzystanie podatności do infekcji, Osadzenie złośliwej logiki w AI, Zaawansowane wykrywanie celu i środowiska ataku: Rozpoznawanie twarzy i głosu otoczenia, Śledzenie aktywności systemu operacyjnego i użytkownika, Śledzenie lokalizacji (geograficznej, sieciowej)

AI versus AI?

AI versus AI? - Pytania ciągle otwarte... Jak wykrywać ataki na mechanizmy uczenia? Jak monitorować wykorzystanie AI? W jaki sposób rozpoznać czy malware wykorzystuje AI? Jak przeprowadzać analizę smart malware? Jak stwarzać warunki do sandbox owania inteligentnego malware u?

Jak przeprowadzać analizę AI? 1) 2)

Fuzzing sieci neuronowych! ( ʖ )

Wykrywalność > 99,5%?

To możliwe! ( ʖ ) Źródło

Zagadnienie jest gorące ( ʖ ) Najwięksi dostawcy oprogramowania już to robią, np. Microsoft pokazał na przykładzie ataku malware Emotet jak wykrywa zagrożenia w ten sposób. Pojawia się bardzo dużo nowych podejść w pracach naukowych, które oferują podobny stopień wykrywalności jak w pracy zwycięzców Microsoft Malware Classification Challenge.

Zagadnienie jest gorące ( ʖ ) Równolegle rodzi się olbrzymi postęp w tematyce bezpieczeństwa AI, jego analizy oraz sposobów exploitacji. Jako analitycy czekamy na pierwszą rodzinę malware, która zaskoczy nas w tej kwestii :-)

Slajdy frankowicz.me/secure201 8

Q&A Pytania?

Kontakt kamil.frankowicz@cert.pl fumfel@cert.pl kamil@frankowicz.me @fumfel cert@cert.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres