XiaoMi-AI文件搜索系统
World File Search Systemmalware
网络安全教学大纲2024(3)-OMSCS
分级组件的描述•十个测验总计10%。测验将在学生预计将由学生按时间表完成的课程预期完成时发布。每个测验在星期五和十天内(在假期或休息后的第二天或休息后的第二天)发布。测验问题将基于幻灯片材料和读数。• Five required individual projects for a total of 80%: o Project #1: vulnerability scanning and penetration test - exploit a vulnerability of a network service (10%) o Project #2: advanced malware analysis - iterative program analysis and debugging of malware (15%) o Project #3: advanced web security - attacks and defenses (15%) o Project #4: network monitoring - write NIDS rules to identify botnet traffic (20%) o Project #5:安全安全性 - 建立正常的流量概况,它可能涉及逃避模型的设计攻击(20%)•10%的考试:T/F和多项选择,在学期结束时进行了近距离的一切。考试问题基于幻灯片材料和项目。•额外的5%额外信用:我们将在学期的中间进行额外的信用考试(确切日期请参见文档的最后一页)。请注意,我们将不接受额外信用考试的任何较晚提交。请参阅下一节中有关延迟提交的规则。
人工智能和网络安全:
工作原理 Mimecast 利用检查引擎中的 AI,提供针对以前未知威胁(APT、零日攻击和勒索软件)的保护。各种文件检查功能中集成的机器学习算法从现有恶意软件样本或家族中提取特征,使其能够根据共享的相似特征预测未来的恶意软件。Mimecast 的沙盒使用机器学习和行为检测技术,确保只有需要进一步分析的文件才会被送去检查,从而缩短分析响应时间。发送到沙盒的文件除了诱饵、反规避技术、反漏洞和攻击行为分析外,还会通过高级机器学习算法进行分析,从而实现高效的恶意软件检测。集成机器学习算法的恶意软件检测技术比基于签名的系统更有效,因为它对新恶意软件变种的检测率更高。
IT 与运营技术的融合 - 微软
随着 IT 和 OT 融合以支持不断扩大的业务需求,评估风险并在 IT 和 OT 之间建立更安全的关系需要考虑多种控制措施。隔离设备和外围安全已不足以应对和防御现代威胁,如复杂的恶意软件、有针对性的攻击和恶意内部人员。例如,物联网恶意软件威胁的增长反映了这种格局的扩张和超越易受攻击系统的潜力。通过分析不同国家/地区的 2022 年威胁数据,微软研究人员发现,物联网恶意软件的最大份额(占总数的 38%)源自中国庞大的网络足迹。受感染的美国服务器使美国位居第二,占观察到的恶意软件分布的 18%。
针对工业企业和公共机构的定向攻击
在收到 CnC 服务器的响应后,恶意软件会检查它是否包含特殊字符串。在此处讨论的恶意软件示例中,该字符串的值为“Kr*^j4”。恶意软件开始通过哈希动态导入 Windows API 函数,然后仅在字符串匹配时才执行有效负载。无法确定攻击者为何在 PortDoor 中实现此逻辑。一个可能的答案是,这可能是一种检查木马版本与 CnC 服务器兼容性的方法。
会议计划
TPS Invited Research/Vision Session 1: Malware Detection, Forensics, and Deep Learning 11:00 am – 12:20 pm Room: Logan Ballroom Session Chair: Amir Masoumzadeh ( SUNY-Albany, US ) Large Language Models to Enhance Malware Detection in Edge Computing Christian Rondanini ( University of Insubria ), Barbara Carminati ( University of Insubria ), Elena Ferrari ( University of Insubria ), Ashish Kundu ( Cisco Research) and Akshay Jajoo ( Cisco Research ) Digital Evidence Chain of Custody: Navigating New Realities of Digital Forensics Souradip Nath ( Arizona State University ), Keb Summers ( Arizona State University ), Jaejong Baek ( Arizona State University ) and Gail-Joon Ahn ( Arizona State University ) Boosting Imperceptibility of Stable Diffusion-based Adversarial Examples Generation纳什拉·哈克(Nashrah Haque)(福特汉姆大学),西安·李(Fordham University),Zhehui Chen(Google),Yanzhahao Wu(佛罗里达国际大学),Lei Yu(RPI),Arun Iyengar(Cisco Inspeco)(Cisco Research)和Wenqi Wei(Fordham University)有效的多元化大学(Maryam International)有效的多元化大学(Ensigral International) Akhavan Aghdam(佛罗里达国际大学),Sai Nath Chowdary Medikonduru(佛罗里达国际大学),Wenqi Wei(Fordham University),Xuyu Wang(佛罗里达国际大学)
2021 年下半年针对工业企业的 APT 攻击
发现 MATA 被用于网络间谍活动。攻击者提供了一个已知受害者使用的应用程序的木马版本,代表了 Lazarus 的已知特征。执行该应用程序会启动一个从下载程序开始的多阶段感染链。下载程序从用作 C2 服务器的受感染服务器获取其他恶意软件。卡巴斯基研究人员能够获取多个 MATA 组件,包括插件。此次活动中发现的 MATA 恶意软件与早期版本相比有所改进,并使用合法的被盗证书对其某些组件进行签名。通过这项研究,发现了 MATA 与 Lazarus 组织之间更紧密的联系,包括获取 MATA 恶意软件的下载程序恶意软件与 TangoDaiwbo 有联系,而 TangoDaiwbo 之前被认为是 Lazarus 组织的。
![arxiv:2501.01110V1 [CS.CR] 2025年1月2日](/simg/4\404a1e6932d840dd3fa0139386f95a2f96b1d402.webp)
arxiv:2501.01110V1 [CS.CR] 2025年1月2日
针对恶意软件分类的持续学习(CL)解决了恶意软件威胁的迅速发展的性质和新型类型的频率出现。生成重播(GR) - 基于CL系统利用生成模型生成过去数据的合成版本,然后将其与新数据结合使用以重新训练主要模型。该领域中的传统机器学习技术通常会在灾难性遗忘中挣扎,在这种情况下,模型在旧数据上的性能随着时间的推移而降低。在本文中,我们引入了一个基于GR的CL系统,该系统将生成的对抗网络(GAN)具有功能匹配损失,以生成高质量的恶意软件样本。在方面,我们根据模型的隐藏表示形式实施了用于播放样本的创新选择方案。我们在课堂知识学习方案中对Windows和Android恶意软件数据集进行了全面评估 - 在多个任务上不断引入新课程 - 证明了对先前方法的实质性改进。例如,我们的系统在Windows恶意软件中的平均准确度为55%,大大优于其他基于GR的模型的平均准确性高出28%。本研究为推进基于GR的恶意软件分类系统提供了实用的见解。该实施可在https://github.com/malwarereplaygan/ malcl 1中获得。
IT 与运营技术的融合 - 微软
随着 IT 和 OT 融合以支持不断扩大的业务需求,评估风险并在 IT 和 OT 之间建立更安全的关系需要考虑多种控制措施。隔离设备和外围安全已不足以应对和防御现代威胁,如复杂的恶意软件、有针对性的攻击和恶意内部人员。例如,物联网恶意软件威胁的增长反映了这种格局的扩张和超越易受攻击系统的潜力。通过分析不同国家/地区的 2022 年威胁数据,微软研究人员发现,物联网恶意软件的最大份额(占总数的 38%)源自中国庞大的网络足迹。受感染的美国服务器使美国位居第二,占观察到的恶意软件分布的 18%。
与中国有关联的攻击者入侵路由器和物联网设备,用于僵尸网络运营
被调查的僵尸网络的定制 Mirai 恶意软件是自动入侵各种设备的系统的组件。为了招募新的“机器人”,僵尸网络系统首先使用各种已知漏洞利用之一入侵互联网连接设备(请参阅附录 B:观察到的 CVE)。入侵后,受害设备从远程服务器执行基于 Mirai 的恶意软件负载。执行后,负载启动设备上的进程,使用端口 443 上的传输层安全性 (TLS) 与命令和控制 (C2) 服务器建立连接。这些进程从受感染的设备收集系统信息,包括但不限于操作系统版本和处理器、内存和带宽详细信息,以发送到 C2 服务器进行枚举。该恶意软件还会向“c.speedtest.net”发出请求,可能是为了收集其他互联网连接详细信息。一些恶意软件负载会自我删除以逃避检测。
与中国有关联的攻击者入侵路由器和物联网设备,用于僵尸网络运营
被调查的僵尸网络的定制 Mirai 恶意软件是自动入侵各种设备的系统的组件。为了招募新的“机器人”,僵尸网络系统首先使用各种已知漏洞利用之一入侵互联网连接设备(请参阅附录 B:观察到的 CVE)。入侵后,受害设备从远程服务器执行基于 Mirai 的恶意软件负载。执行后,负载启动设备上的进程,使用端口 443 上的传输层安全性 (TLS) 与命令和控制 (C2) 服务器建立连接。这些进程从受感染的设备收集系统信息,包括但不限于操作系统版本和处理器、内存和带宽详细信息,以发送到 C2 服务器进行枚举。该恶意软件还会向“c.speedtest.net”发出请求,可能是为了收集其他互联网连接详细信息。一些恶意软件负载会自我删除以逃避检测。