<  Retour au portail Polytechnique Montréal

Classification de kits d'exploitation avec l'utilisation d'explorateurs de pages

Gabriel Cartier

Mémoire de maîtrise (2014)

[img]
Affichage préliminaire
Télécharger (1MB)
Citer ce document: Cartier, G. (2014). Classification de kits d'exploitation avec l'utilisation d'explorateurs de pages (Mémoire de maîtrise, École Polytechnique de Montréal). Tiré de https://publications.polymtl.ca/1394/
Afficher le résumé Cacher le résumé

Résumé

RÉSUMÉ Malgré l'avancement technologique des systèmes informatiques, la sécurité de ceux-ci demeure un problème récurrent. Plus spécifiquement, dans le cas des virus informatiques, les techniques de protection utilisées permettent seulement des détections a posteriori notamment grâce à l'utilisation de signatures des binaires. De plus, avec l'arrivée marquée des kits d'exploitation et du paradigme de logiciel malveillant en tant que service, un écosystème de collaborations s'est créé, rendant la tâche de compréhension des pirates encore plus difficile. Nous avons émis l'hypothèse qu'il existe beaucoup d'associations qui permettent de déterminer des groupes comportementaux distincts nous aidant à mieux comprendre l'environnement dans lequel les pirates travaillent. Pour ce faire, nous avons développé un système d'exploration de pages web qui permet de récupérer une multitude d'informations sur le site web, le contenu de la page, le binaire utilisé et bien d'autres informations lors d'une attaque. Nous avons réalisé trois expériences d'exploration qui se sont étendues sur une période de près de 3 semaines où plus de 10,000 explorations ont été réalisées sur près de 3000 URL durant lesquelles nous avons récolté près de 200 GO de données. Notre premier test tentait de déterminer si un mécanisme de géolocalisation permettait aux pirates d'infecter différemment leurs victimes en se basant sur l'emplacement de ceux-ci. L'expérience nous a permis de déterminer que certains mécanismes tel le flux rapide DNS ou la balance de charge modifient le comportement des pages en fonction d'où l'infection a lieu, par contre nous n'avons pu conclure que les infections diffèrent en fonction de la localité de la victime. Le second test voulait établir le temps de vie moyen des pages qui sont utilisées pour l'infection. Grâce à celui-ci, nous avons pu noter deux comportements distincts, soit les virus sont distribués sur des pages légitimes par l'entremise d'une campagne de logiciel malveillant, très souvent de la publicité, sinon les pages sont créées uniquement pour l'infection. Dans le premier cas, les pages restent en vie longtemps, puisqu'une fois l'infection nettoyée, les pages sont légitimes. Sinon, dans le deuxième cas, nous n'avons pu déterminer de temps exact puisque la plupart des pages étaient mortes à leur réception qui est au maximum une heure plus tard. Finalement, notre troisième test cherchait à comprendre si un système de liste noire était utilisé pour limiter les infections. L'expérience a été effectuée en octobre 2013 alors que le visage de la cybercriminalité semblait changer après l'arrestation du développeur du célèbre kit d'exploitation Blackhole. Notre expérience nous a permis de constater que notre flux d'URL avait beaucoup changé et ne semblait plus générer aucune infection. Malgré qu'il soit difficile d'attribuer ceci aux évènements, il n'en est pas moins intéressant. Somme toute, notre système nous a permis de déterminer certains comportements que les pirates utilisent qui ne nous semblaient pas nécessairement évidents. Par contre, le système nécessite encore beaucoup de travail pour augmenter son efficacité et l'amplitude des données recueillies. Certaines solutions à code source ouvert semblent être une excellente option pour faire évoluer le projet.----------ABSTRACT Despite the technological advancement of computer systems, security remains a recurring problem. More specifically, the computer virus protection techniques used allow only detections a posteriori, thanks to the use of binary signatures. Furthermore, the arrival of exploit kits created a new paradigm, namely Malware-as-a-Service where an ecosystem of partnerships is created, making the task of understanding the hackers even more difficult. Our hypothesis was that there are many organizations that work together and that we can identify distinct behavioral groups to help us better understand the environment in which hackers coexist. To do this, we developed a crawling system that allows us to retrieve an important ammount of information on the web pages that deliver viruses. We conducted three experiments spread over a period of about three weeks where more than 10,000 crawls were conducted on nearly 3000 URLs during which we collected nearly 200 GB of data. Our first test was trying to determine whether hackers use geolocation techniques to infect differently their victims. The experience has allowed us to determine that certain mechanisms such as fast flux DNS or load balancing change the behavior of pages depending on where the infection takes place. We could not conclude that the infections differ based on the location of the victim. The second test would establish the average lifetime of pages that are used for the infection. We noted two distinct behaviors: either viruses are distributed on legitimate pages through a campaign of malicious software, very often through advertising, otherwise the pages are created only for infection. In the first case, the pages remain alive long, since once the infection is cleaned from the website, the pages remain active for their legitimate business. In the second case, we could not determine the exact time as most pages were dead upon receipt which has a delay of at most an hour. Finally, our third test sought to understand if a blacklist system was used to limit infections. The experiment was conducted in October 2013 while the face of cybercrime seemed to change after the arrest of the famous hacker operating the Blackhole exploit kit. Our experience has enabled us to see that our URLs' feed had much changed and no longer seemed to generate infections. Although it is difficult to link this to the event, it is no less interesting. All in all, our system has allowed us to identify certain behaviors that hackers use that were not really obvious. Disadvantages include the system still requires a lot of work to increase efficiency and the amplitude of the data. Some open source solutions seem to be an excellent option to continue the project.

Document en libre accès dans PolyPublie
Département: Département de génie informatique et génie logiciel
Directeur de mémoire/thèse: José M. Fernandez
Date du dépôt: 23 juil. 2014 16:21
Dernière modification: 01 sept. 2017 17:33
Adresse URL de PolyPublie: https://publications.polymtl.ca/1394/

Statistiques

Total des téléchargements à partir de PolyPublie

Téléchargements par année

Provenance des téléchargements

Actions réservées au personnel