Living off the Analyst: Harvesting Features from Yara Rules for Malware Detection

要約

悪意のある攻撃者が使用する戦略は、「その土地で生きていく」ことであり、被害者のシステムですでに利用可能な無害なシステムやツールが悪意のある攻撃者の意図のために使用され、再利用されます。
この研究では、ウイルス対策開発者が既存の研究を同様に再利用してマルウェア検出能力を向上させる方法があるかどうかを尋ねます。
これは、人が書いた署名を使用して特定のマルウェア ファミリ、機能、またはその他の対象となるマーカーを検出する YARA ルールによって妥当であることを示します。
公開されている YARA ルールからサブ署名を抽出することで、悪意のあるサンプルと良性のサンプルをより効果的に区別できる一連の機能を組み立てました。
私たちの実験は、これらの機能が EMBER 2018 データセットの従来の機能を超えて付加価値をもたらすことを示しています。
追加されたサブシグネチャを手動で分析すると、頻繁に発生する特徴だけでなく、固有でユニークな特徴の組み合わせにおけるべき乗則の動作が示されます。
事前の予想では、機能は固有のマルウェア ファミリに過度に特化しているために制限される可能性があります。
この動作は観察されており、実際に役立つようです。
さらに、二重の目的 (仮想マシン環境の検出など) または広範に汎用的なサブシグネチャ (DLL インポートなど) も見つかります。

要約(オリジナル)

A strategy used by malicious actors is to ‘live off the land,’ where benign systems and tools already available on a victim’s systems are used and repurposed for the malicious actor’s intent. In this work, we ask if there is a way for anti-virus developers to similarly re-purpose existing work to improve their malware detection capability. We show that this is plausible via YARA rules, which use human-written signatures to detect specific malware families, functionalities, or other markers of interest. By extracting sub-signatures from publicly available YARA rules, we assembled a set of features that can more effectively discriminate malicious samples from benign ones. Our experiments demonstrate that these features add value beyond traditional features on the EMBER 2018 dataset. Manual analysis of the added sub-signatures shows a power-law behavior in a combination of features that are specific and unique, as well as features that occur often. A prior expectation may be that the features would be limited in being overly specific to unique malware families. This behavior is observed, and is apparently useful in practice. In addition, we also find sub-signatures that are dual-purpose (e.g., detecting virtual machine environments) or broadly generic (e.g., DLL imports).

arxiv情報

提供元, 利用サービス

arxiv.jp, Google