Modus Obfuscandi Analysis of Obfuscation Methods for Correlating Cyber Attacks

Dans le paysage évolutif de la cybersécurité, les acteurs malveillants affinent sans cesse leurs techniques pour échapper à la détection, en recourant souvent à des signatures d’obfuscation sophistiquées pour dissimuler leurs intentions. Cette thèse présente une nouvelle méthodologie d’identification et de corrélation des campagnes d’attaques à travers l’objectif de ces techniques d’obfuscation. En tirant parti des structures complexes d’obfuscation du code couramment utilisées dans les codes malveillants, nous proposons une approche unique pour découvrir des schémas sous-jacents indiquant des intentions malveillantes. Nous proposons alors dans notre recherche d’utiliser l’apprentissage non supervisé par le biais de réseaux neuronaux graphiques, en particulier en utilisant un modèle d’auto-codeur graphique, pour calculer les mesures de similarité entre les signatures d’obfuscation. Cette méthode fournit un cadre novateur pour l’analyse de la nature complexe et dynamique des codes malveillants, offrant un aperçu des points communs et des variations au sein des campagnes d’attaque. En nous appuyant sur un vaste ensemble de données comprenant plus de 30 000 kits d’ hameçonnage et en identifiant environ 18 000 instances de code généré dynamiquement, nous avons extrait un total de 569 signatures uniques, mettant en évidence la réutilisation de ces modèles par les auteurs. Notre approche permet non seulement d’extraire des signatures d’obfuscation en tant que mesure de la similarité, mais aussi d’identifier des signatures partielles où les efforts de désobfuscation traditionnels échoueraient. Cette capacité est essentielle pour l’analyse des logiciels malveillants dont le payload reste cachée, ce qui distingue notre méthodologie des techniques existantes et apporte des informations supplémentaires pour l’analyse criminalistique.

Abstract

In the evolving landscape of cybersecurity, malicious actors continually refine their techniques to evade detection, often employing sophisticated obfuscation strategies to conceal their intent. This thesis introduces a novel methodology for identifying and correlating attack campaigns through the lens of these obfuscation techniques. By leveraging the complex structures of code obfuscation commonly used in malicious code, we propose a unique approach to uncover underlying patterns indicative of malicious intents. We propose then in our research to make use of unsupervised learning through Graph Neural Networks, specifically utilizing a Graph Auto Encoder model, to compute similarity metrics between obfuscated code signatures. This method provides a groundbreaking framework for analyzing the intricate and dynamic nature of malicious code, offering insights into the commonalities and variations within attack campaigns. Drawing upon an extensive dataset comprising over 30,000 phishing kits and identifying approximately 18,000 instances of dynamically generated code, we extracted a total of 569 unique signatures, highlighting the reuse of these patterns by the authors. Our approach not only allows for the extraction of obfuscation strategies as a metric for similarity but can also identify partial signatures where traditional deobfuscation efforts would fail. This capability is critical for analyzing malicious software where the payload remains concealed, setting our methodology apart from existing techniques, and brings additional information for forensic analysis.