Models and methods for diagnosing zero-day threats in cyberspace

Abstract

The article is devoted to the development of models and methods for detectingZero-Daythreats in cyberspace to improve the efficiency of detecting high-level malicious complexes that are using polymorphic mutators. Themethod for detecting samplesby antivirus solutions using a public and local multiscanneris proposed. Themethod for diagnosing polymorphic malware using Yara rules is being developed. The multicomponent service that allows organizing a free malware analysis solution with a hybrid deploy-ment architecture in public and private clouds is described. The cloud service for detecting malware based on open-source sandboxes and MAS, allowing horizontal scalability in hybrid clouds, and showing high capacity during malicious and non-maliciousobjectprocessing is designed. The main task of the service is to collect artifacts after dynamic and static object analysis to detect zero-daythreats. The effectiveness of the proposed solutions is shown.Scientific novelty and originality consist in the creation of the follow-ing methods:1) detecting the sample by preinstalled antivirus solutions that allow static scanning in separate threads without requests restrictions for increasing the malware processing speed and restrict public access to confidential files;2) diagnosing polymorphic malware using Yara rules, that allows detecting new modifications that are not detected by available solutions.The proposed hybrid system architecture allows to perform a retrospective search by families, tracking changes in destructive components, collect the malicious URLs database to block traffic to C&C servers, collect dropped and downloaded files, analyze phishing emails attach-ments, integrate with SIEM, IDS, IPS, antiphishing and Honeypot systems, improve the quality of the SOC analyst, decrease the incidents response times and block new threats that are not detected by available antivirus solutions. The practical significance of the results is in the cloud service development that combines MAS Sandbox and a modified distributed Cuckoo sandbox, which allows to respond to Zero-Day threats quickly, store a knowledge base for artifacts correlation between polymorphic malware samples, actively search for new malware samples and integrate with cyber protection hardwareand software systems that support the Cuckoo API.

Роботаприсвячена розробці моделей і методів діагностування Zero-Dayзагроз в кіберпросторі для підвищення ефек-тивності виявлення складних шкідливих комплексів, що використовують поліморфні мутатори. Пропонується метод детек-тування досліджуваного зразка антивірусними рішеннями за допомогою публічного і локального мультисканера. Ро-зробляється метод діагностування поліморфних шкідливих програм за допомогою Yaraправил. Описується багатокомпо-нентний сервіс, що дозволяє організувати безкоштовне рішення аналізу шкідливих програм з гібридною архітектурою роз-гортання в публічних іприватних хмарах. Виконується проектування хмарного сервісу для детектування шкідливих про-грам на основі пісочниць з відкритим вихідним кодом і MAS, що дозволяє горизонтально масштабироваться в гібридних хмарах і показує високу пропускну здатність при обробці потоку шкідливих і невредоносних об'єктів. Основним завданням сервісу є збір артефактів після динамічного і статичного аналізу досліджуваного об'єкта для детектування Zero-Dayзагроз. Показується ефективність запропонованих рішень. Наукова новизна дослідження визначаєтьсястворенням методів: 1) детектування досліджуваного зразка заздалегідь встановленими антивірусними рішеннями, які дозволяють в окремому потоці проводити статичне сканування досліджуваного об'єкта без обмеже нь на кількість запитів за хвилину і тим самим підвищити швидкість обробки об'єктів і обмежити публічний доступ до конфіденційних файлів; 2) діагностування поліморфних шкідливих програм за допомогою Yara правил, що дозволяє детектувати нові модифікації, які не виявляються доступнимирішеннями. Практична значущість визначаєтся розробкоюгібридноїархітектурисистеми, яка дозволяє прово-дити ретроспективний пошук за сімействами, відстежуючи зміни в деструктивних компонентах, збирати базу шкідливих URL адрес для блокування трафіку до керуючих серверів, збирати витягнуті завантажені файли, аналізувати вкладення в фішингові листи, інтегруватися з SIEM, IDS, IPS, антифішинг і Honeypot система, поліпшити якість роботи SOC аналітика і час реакції на інциденти, упереджувати атаки зловмисників іблокувати нові загрози, що не детектируются доступними ан-тивірусними рішеннями