Detecting malware with parent-child process relations

Abstract

Gjennomsnittlig tid mellom et datainnbrudd og oppdagelse er anslått til å være 207 dager. For å unngå oppdagelse fra signaturbasert deteksjon ved bruk av filhasher, trenger du bare å endre et enkelt tegn i filen. For å motvirke denne unngåelsen begynte noen antivirusleverandører å bruke hashing av funksjoner i skadelig programvare, slik at endring av en enkel eller flere variabler ikke ville hjelpe. Dette katt-og-mus-spillet vil alltid fortsette mellom sikkerhetsbransjen og trusselaktører. Uansett mål for trusselaktøren, enten det er ransomware, tyveri av sensitiv informasjon, tjenestenekt eller hvilket som helst annet mål de har, er store deler av prosessen med å utføre disse angrepene noenlunde de samme. For å stoppe trusselaktører er det ofte nødvendig å gå etter prossen for angrepet, for eksempel med Cyber-kill-chain av Lockheed Martin, eller deres spesifikke teknikker med ATT&CK-rammeverket av MITRE. Dette krever ofte dyre toppmoderne sikkerhetsprogramvare for endepunkter som må implementeres på alle endepunkter i en organisasjon. Dette er ikke alltid mulig, for eksempel for medisinsk utstyr, IoT-enheter og store organisasjoner som universiteter. Universiteter tillater ofte mye mer når det gjelder sikkerhet enn det som er tillatt sammenlignet med andre organisasjoner, og har ofte IoT-enheter, laboratorieinstrumenter og til og med medisinsk utstyr på campusene sine. Men disse medisinske, IoT-enhetene og andre endepunkter støtter vanligvis sending av logger. Denne avhandlingen ser på bruk av grafbasert analyse av logger ved hjelp av vanlig brukte gratis grafdatabaser, noe som gjør det mulig å fokusere på oppførselen til foreldre- og barneprosesser for å oppdage skadelig programvare i et universitetsmiljø. På den måten blir det mulig å oppdage potensielt ukjent skadelig programvare og redusere tiden fra et innbrudd til oppdagelse av dette innbruddet drastisk.

The average time between a computer breach and to discovery has been estimated to be 207 days. To avoid detection from a signature-based detection using file hashes, all you have to do to avoid them is to change a single character in the file. To mitigate this avoidance some antivirus vendors started to use hashing of functions inside the malicious software, this way changing a single or multiple variables would not help. This cat and mouse game will forever be ongoing between the security industry and threat actors. Whatever the goal of the threat actor is, ransomware, stealing sensitive information, denial of service or whichever goal they have large parts of process of doing, those attacks are somewhat the same. To stop threat actors one often rely on going after their process of attacks, like with Cyber-kill-chain by Lockeheed Martin, or their specific techniques with the ATT&CK framework by MITRE. Doing that often requires expensive top of the line endpoint security software, that needs to be deployed to all endpoints in an organization. This is not always feasible for instance for medical equipment, IoT devices, large organizations like universities. Universities will often allow much more security wise than what is allowed compared to other organizations, and often have IoT devices, lab instrument and even medical devices at their campuses. But these medical, IoT devices and other endpoints will normally support sending logs. This thesis looks into using graph-based analysis on logs using commonly used free graph databases, making it possible to focus on the behaviour of parent child-processes for detecting malware in a university environment. Thereby making it possible to discover potentially unknown malware and reducing the time from a breach to the discovery of it.