Malware Analysis and Attribution Using Genetic Information

As organizations become ever more dependent on networked operations, they are increasingly vulnerable to attack by a variety of attackers, including criminals terrorists and nation states using cyber attacks. New malware attacks, including viruses, Trojans, and
worms, are constantly and rapidly emerging threats However, attackers often reuse code and techniques from previous attacks. Both by recognizing the reused elements from previous attacks and by detecting patterns in the types of modification and reuse observed, we can more rapidly develop defenses, make hypotheses about the source of the malware, and predict and prepare to defend against future attacks We achieve these objectives in Malware Analysis and Attribution using Genetic Information (MAAGI) by
adapting and extending concepts from biology and linguistics. First, analyzing the “genetics” of malware (i.e., reverse engineered representations of the origina program) provides critical information about the program that is not available by looking only at the executable program. Second, the evolutionary process of malware (i.e., the transformation from one species of malware to another) can provide insights into the ancestry of malware, characteristics of the attacker and where future attacks might come from and wha they might look like. Third, functional linguistics is the study of the intent behind communicative acts; its application to malware characterization can suppor the study of the intent behind malware behaviors. To this point in the program, we developed a system tha uses a range of reverse engineering techniques including static, dynamic, behavioral, and functiona analysis that clusters malware into families. We are also able to determine the malware lineage in some situations. Using behavioral and functional analysis we are also able to identify a number of functions and purposes of malware.

Download

A Behavior Feature Generation Method for Obfuscated Malware Detection

Detection based on features is most popular way to  prevent malware these days. Current feature abstracting and matching methods are susceptible to obfuscation techniques,  and cannot deal with the variants which are emerging quickly.

This paper proposes a malware feature extracting method based on its behaviors. This method can abstract the critical behaviors of malware and the dependencies between them through dynamic analysis, and generate the features to defeat malware obfuscations considering semantic irrelevancy and semantic equivalency to improve the describing capabilities of the malware features. This paper also designs a corresponding detecting method based on these features. The experiment results show that our method is more resilient to malware obfuscation techniques, especially for real world malware
variants.

Download

کتاب Violent Python

سلامی دوباره.

خوب تقریبا بعد یک ماه اومد یه پستی بدم، بعد از این همه درگیری کاری و کنفرانس و ...

این کتاب رو شاید خیلیا بشناسن که خوندنش خالی از لطف نیست، مخصوصا دوستان عشق پایتون عین خودم :دی

این کتاب 7 تا فصل داره :

• Chapter 1: Introduction
• Chapter 2: Penetration Testing with Python
• Chapter 3: Forensic Investigations with Python
• Chapter 4: Network Traffic Analysis with Python
• Chapter 5: Wireless Mayhem with Python
• Chapter 6: Web Recon With Python
• Chapter 7: Antivirus Evasion with Python

این فایل رو بصورت تورنت میتونید دانلود کنید که راحت باشین.

لینک فایل تورنت [+]

http://bayanbox.ir/id/7835307116878828127?info

موفق باشین.

MemoryLeak چیست؟

 سلام به دوستان عزیز.

نیت کرده بودم پست ی در مورد Memory Leak بنویسم و در این پست بیشتر باابن باگ آشنا میشیم و حرف میزنیم و کدها بصورت Native code و دلفی هستش (بخش اول) که بعدا سراغ managed code ها هم میریم (بخش دوم).

وقتی که یک برنامه فضایی از حافظه رو در اختیار میگیره و به خودش اختصاص میده، مثلا ساخت یک نمونه از کلاس ها و ... اگر نتونه اون فضای اختصاص یافته رو آزاد کنه این باگ اتفاق میافته که ممکن است با اجرای زیاد برنامه فضای زیادی از حافظه اشغال شده و ازاد نشه و با کمبود حافظه مواجه بشیم.  این باگ توسط برنامه نویس قابل رفع هست. نمونه خیلی ساده که بگم نوشتن برنامه multi-thread اگر به درستی نتونید ترید های ساخته شده رو free کنید حافظه بیخود اشغال میشه.

این باگ رو برای برای موارد خاصی در نظر میگیریم ، مثلا برنامه هایی که در سرور ها اجرا میشن و ممکن است چندسال در حال جرا باشند که اگر همچین باگی در برنامه باشد بعد ازمدتی کل کارها میخابه بعلت اشغال حافظه بیخود و شاید به حد ریستارت نمودن کل سیستم بکشه.

بزارین با یک سورس کد بهتر متوجه بشیم که چگونه این باگ اتفاق میافته، در زیر یک سورس ساده از دلفی هست

procedure PrintFile(const fileName : string);
 var
   myFile   : TextFile;
   fileData : TStringList;
   i        : Integer;
 
 begin
   // Create the TSTringList object
   fileData := TStringList.Create;      // This allocates object memory
 
   // Load the file contents into the string list
   fileData.LoadFromFile(fileName);     // Expands the object memory size
 
   // Open a printer file
   AssignPrn(myFile);
 
   // Now prepare to write to the printer
   ReWrite(myFile);
 
   // Write the lines of the file to the printer
   for i := 0 to fileData.Count-1 do
     WriteLn(myFile, fileData[i]);
 
   // Close the print file
   CloseFile(myFile);
 end;

به نظرتون باگ memory leak کجا داره اتفاق میافته؟

کار با Virtual Kernel Debug

سلامی به داغی باگ های 0day !

شاید دوستان اهل فن بگن این کارا چیه!! مقاله و مطلب دادن بنده، بقولی استاد همیشگی گوگل عزیز پس چکاره است؟ (ناگفته نمونه که بهترین استاد همه چیز بلد همین گوگل خودمونه)

تنها هدف بنده تولید محتوا هست، وگرنه همه میدونیم که مطلب بی نهایت هست، مقالات علمی ترو آکادمیک تر بخایین که IEEE و SinceDirect و.... هم وجود داره. فقط یک سرچ نیازه، ولی به زبان فارسی نیست. خیلی ها هم هستند و نمیخوان این چیزا رو یاد بدن هرچند Basic، دلیلشون هم به خودشون مربوط است. درد و دل من زیاده، اگ بشینم و بگم میشه "داستان دو هزار دو شب  RingZer0"... :دی

خوب بریم سراغ اصل مطلب، VirtualKD ابزاری است که به Kernel Debugging در VM ها سرعت میبخشه (VMWare - VirtualBox)، این ابزار با VirtualBoxبیشتر هماهنگی داره و match هستش. چون خودم همه مدل از vmware استفاده میکنم (workstation,esxi) پس آموزش براساس همین vm خواهد بود.عملیات Debugging توسط پورت com و یا virtual serial سرعت پایینی دارند که سرعتی محدود در حدود 10KB/S هستش، که توسط Virtual KD این سرعت بیشتر میشود، در VirtualBox سرعتی تقریبی معادل 450KB/S و در VMWare سرعتی معادل 150KB/S خواهد بود. VKD ماشین مجازی مون patch و یک pipe ایجاد میکنه که قادر میشیم تا دیباگ رو توسط ابزار استانداردش WinDBG/KD انجام بدیم.

در این آموزش که فایلش از لینک زیر قابل دانلود هست بیشتر با این مبحث آشنا میشین:

دریافت فایل مقاله
حجم: 1.37 مگابایت

ATM Skimming چیست؟

Skimmingیک عمل غیر مجاز هستش که فردی دیوایس های که معمولا غیرقابل تشخیص هستند را برای دزدین اطلاعات کاربرها استفاده میکند. پس بنابراین ATM Skimming میشه نصب این دستگاه ها در باجه های ATM ، منظور از غیرقابل تشخیص بودن یعنی در نگاه اول تشخیص این دستگاه ها توسط کاربران  ATMسخت هستش.

با دیوایس نصب شده اطلاعات مهم و محرمانه کاربران هنگامی که کارت را برای عملیات بانکی وارد کنند بدست میارند.سپس فرد میتواند داده های بدست آورده رو برروی یک کارت ذخیره و هرکاری که دوست دارد روی حساب بانکی فرد انجام دهد.