DETECTION OF INFECTED DEVICE USING DNS TRAFFIC

The damage caused by computer viruses is becoming a serious problem. However, it requires a lot of effort to manage all the terminals connected to the network. Therefore, we focus on the network traffic instead of the terminal side. Since it doesn\u27t depend on the terminal, it is effective in identifying infected terminals without placing a burden on the terminal side. In this paper, we propose a method for detecting BOT by analyzing DNS traffic, which is assumed to change when infected. We used features obtained from A-records of DNS packets and Random Forest as a machine learning method to determine unauthorized traffic. As a result, we have demonstrated that it is possible to achieve high-accuracy and high-speed detection

A framework of APT detection based on packets analysis and host destination

So far, APT (Advanced Persistent Threats) is a constant concern for information security. Despite that, many approaches have been used in order to detect APT attacks, such as change controlling, sandboxing and network traffic analysis. However, success of 100% couldn’t be achieved. Current studies have illustrated that APTs adopt many complex techniques to evade all detection types. This paper describes and analyzes APT problems by analyzing the most common techniques, tools and pathways used by attackers. In addition, it highlights the weaknesses and strengths of the existing security solutions that have been used since the threat was identified in 2006 until 2019. Furthermore, this research proposes a new framework that can be used to repel this threat based on APT activity with network traffic through packets analysis and host destination

Dataset Construction and Analysis of Screenshot Malware

Among the various types of spyware, screenloggers are distinguished by their ability to capture screenshots. This gives them considerable nuisance capacity, giving rise to theft of sensitive data or, failing that, to serious invasions of the privacy of users. Several examples of attacks relying on this screen capture feature have been documented in recent years. However, there is not sufficient empirical and experimental evidence on this topic. Indeed, to the best of our knowledge, there is no dataset dedicated to screenshot-taking malware until today. The lack of datasets or common testbed platforms makes it difficult to analyse and study their behaviour in order to develop effective countermeasures. The screenshot feature is often a smart feature that does not activate automatically once the malware has infected the machine; the activation mechanisms of this function are often more complex. Consequently, a dataset which is completely dedicated to them would make it possible to better understand the subtleties of triggering screenshots and even to learn to distinguish them from the legitimate applications widely present on devices. The main purpose of this paper is to build such a dataset and analyse the behaviour of screenloggers

A system dynamics approach to evaluate advanced persistent threat vectors.

Cyber-attacks targeting high-profile entities are focused, persistent, and employ common vectors with varying levels of sophistication to exploit social-technical vulnerabilities. Advanced persistent threats (APTs) deploy zero-day malware against such targets to gain entry through multiple security layers, exploiting the dynamic interplay of vulnerabilities in the target network. System dynamics (SD) offers an alternative approach to analyze non-linear, complex, and dynamic social-technical systems. This research applied SD to three high-profile APT attacks - Equifax, Carphone, and Zomato - to identify and simulate socio-technical variables leading to breaches. By modeling APTs using SD, managers can evaluate threats, predict attacks, and reduce damage by mitigating specific socio-technical cues. This study provides valuable insights into the dynamics of cyber threats, making it the first to apply SD to APTs

Prototipo de herramienta para detectar cambios de entorno en sistemas operativos según comportamientos identificados de Amenazas persistentes avanzadas (APT)

Este Trabajo de Grado consiste en desarrollar el prototipo de una herramienta para detectar la posibilidad de ocurrencia de un ataque informático en un sistema conformado por una red LAN, teniendo en cuenta los cambios de comportamiento causados por ataques de tipo Amenaza Persistente Avanzada (APT) sobre los computadores de dicha red. Esta herramienta no tiene la pretensión de reemplazar a los productos de Seguridad Informática que hasta el momento existen, sino de complementarlos. Estas detecciones se consiguen con ayuda del método de análisis factorial y el algoritmo de Máquinas de Soporte Vectorial (SVM). La metodología utilizada para ejecutar el proyecto fue CRISP-DM ya que concibe la problemática de forma integral: Desde el entendimiento del contexto del problema hasta conseguir una herramienta que pueda mitigar el impacto correspondiente. También, esta metodología fue útil porque se recolectó una cantidad de datos demasiado grande para comprender el problema y modelarlo.This job consists on develop the prototype of a tool for detecting the possibility of occurrence of an informatic attack in a system conformed by a Local Area Network (LAN), knowing the behavior changes caused by an Advanced Persis-tent Threat attack into a computer. This pro-totype doesn’t pursue the objective of replacing the Information Security tools that exists until today, but complementing them. These detections will be achieved with the help of the Factorial analysis method followed by the Support Vectorial Machines (SVM) algorithm and the methodology used was CRISP-DM because it conceives in an integral way: From understanding the context of the problematic to getting a tool that mitigates the impact. Also, this methodology was useful because the amount of data recollected was too big for comprehend the problem and modelling it.Magíster en Ingeniería de Sistemas y ComputaciónMaestrí

Nuevas perspectivas en el estudio de amenazas persistentes avanzadas

[ES] Una amenaza persistente avanzada es un ataque sofisticado, dirigido, selectivo y personalizado, que representa un riesgo para todas las organizaciones, especialmente aquellas que gestionan datos confidenciales o son infraestructuras críticas. En los últimos años, el análisis de estas amenazas ha llamado la atención de la comunidad científica; los investigadores han estudiado el comportamiento de esta amenaza para crear modelos y herramientas que permitan la detección temprana de estos ataques. El uso de la inteligencia artificial y el aprendizaje automático pueden ayudar a detectar, alertar y predecir automáticamente este tipo de amenazas y reducir el tiempo que el atacante puede permanecer en la red de la organización. El objetivo de esta tesis es desarrollar un modelo teórico que permita detectarlas amenazas persistentes avanzadas de manera temprana, basado en el ciclo de vida del ataque y utilizando métodos y técnicas de aprendizaje automático. La metodología que se ha seguido para la realización de este trabajo comenzó con una revisión bibliográfica de los conceptos de amenaza persistente avanzada y de las aplicaciones de detección en el contexto de la ciberseguridad. Además, se analizaron los ciclos de vida existentes que explican el proceso que siguen estas amenazas durante su ejecución. Posteriormente, se desarrolló un modelo para la detección temprana de las amenazas persistentes avanzadas basado en un ciclo de vida de 6 etapas, que han sido divididas en etapas activas, pasivas y recurrentes; además, se han utilizado técnicas de aprendizaje automático para la detección de URL maliciosas, phishing y anomalías en la red. En conclusión, los ataques de amenazas persistentes avanzadas son difíciles de detectar debido a la capacidad y los recursos con los que cuentan los grupos que las desarrollan. El objetivo de estos ataques es permanecer activos el mayor tiempo posible durante la ejecución de la intrusión. Uno de los problemas detectados durante la realización de este trabajo ha sido que no se encuentran disponibles conjuntos de datos reales que permitan el entrenamiento de los algoritmos de aprendizaje automático de forma eficiente, por lo que ha sido necesario crear conjuntos de datos semi reales a partir de muestras de malware. Finalmente, como trabajo futuro, se recomienda que el modelo que ha sido propuesto en este trabajo sea probado en un entorno informático controlado, para evitar ocasionar perjuicios