| dc.contributor.advisor | Dyrkolbotn, Geir Olav | |
| dc.contributor.advisor | Leder, Felix | |
| dc.contributor.author | Frankrig, Erlend | |
| dc.date.accessioned | 2024-07-18T17:19:57Z | |
| dc.date.available | 2024-07-18T17:19:57Z | |
| dc.date.issued | 2024 | |
| dc.identifier | no.ntnu:inspera:187437008:69813231 | |
| dc.identifier.uri | https://hdl.handle.net/11250/3142281 | |
| dc.description.abstract | Den kontinuerlige utviklingen av applikasjoner øker kompleksiteten i programvare-leverandørkjeder. Trusselaktører utnytter disse leverandørkjedene og tilliten mellom bruker og leverandør for å kompromittere kunder gjennom leverandørene. Ved å introdusere skadelig kode i legitim programvare og distribuere det gjennom vanlige oppdateringer eller installasjonsfiler, kan angrepet være utfordrende å oppdage.
I denne oppgaven presenterer vi en automatisert tilnærming, ved bruk av eksiterende verktøy, for å identifisere oppførsel og kapabilitet i programvareoppdateringer og genererer en verdi på hvor skadelig oppdateringen er, basert på oppførselen. Vi viser også hvordan oppførsel can brukes med maskinlæringsmetoder for klassifisering. Resultatene viser at tilnærmingen klarer å identifisere nye og endrede funksjoner mellom programvareoppdateringer, i legitime og skadelige oppdateringer, ved bruk av binær differensiering, samt identifisere oppførsel og kapabilitet i disse funksjonene. Vi sammenliknet oppførselen identifisert i legitime og skadelige programvareoppdateringer, og presenterer et utvalg oppførsler og kapabiliteter som forekommer oftere i skadelige oppdateringer. Oppførsel og kapabilteter kobles til de standardiserte formatene til MITRE ATT\&CK og Malware Behavior Catalog (MBC), som kan være en fordel ved integrasjon av vår tilnærming i andre rammeverk og rapportering. Klassifisering resulterte i lave deteksjonsrater men også lave antall falske positive. Noe som tilsier at metoden har potensiale for å utvide eksisterende deteksjonsmetoder, men ikke vil være effektiv som en primærmetode for deteksjon av skadelige oppdateringer. Denne oppgaven tar for seg implementasjon og utførelse av tilnærmingen for å identifisere oppførsel i programvareoppdateringer og evalueringen av disse som attributter for deteksjon av skadelige oppdateringer i leverandørkjedeangrep. | |
| dc.description.abstract | The continuous development and expansion of applications increases the complexity of software supply chains. Threat actors leverage these supply chains and the trust between suppliers and customers to compromise suppliers and target their customers and users. By inserting malicious code into benign software and distributing it through benign updates or installers, the attack can be challenging to detect.
In this project we present an automated approach, using existing tools, to identify behavior and capabilities in software updates and generate a malicious score based on these features. We also determine how the identified behaviors can be used with machine learning methods for classification. Results show that we can identify the new and modified functions between software versions in benign and malicious updates, using binary differentiation, and identify the behaviors and capabilities in these functions. We compared the behaviors identified in benign software updates to those found in malicious updates and propose a set of behaviors and capabilities that on average have a higher prevalence in malicious updates than benign.
The behaviors and capabilities are mapped to the standardized formats of MITRE ATT\&CK$^{\circledR}$ techniques and Malware Behavior Catalog (MBC) identifiers, presenting an advantage in further interoperability and reporting. Classification showed relatively low detection rates but also low false positives.
Thus, presenting a possible addition to existing malware detection but not applicable as a primary detection method. This research covers the implementation and performance of behavior identification in software updates and the evaluation of the identified behaviors as attributes for detecting closed-source software supply chain attacks. | |
| dc.language | eng | |
| dc.publisher | NTNU | |
| dc.title | Automated Binary Differential Analysis and Behavior Identification for Closed-Source Software Supply Chain Attack Detection | |
| dc.type | Master thesis | |
