Detail publikace
Detecting DoH-Based Data Exfiltration: FluBot Malware Case Study
Jeřábek Kamil, Ing., Ph.D. (UIFS FIT VUT)
Ryšavý Ondřej, doc. Ing., Ph.D. (UIFS FIT VUT)
Detekce DoH, detekce malwaru, analýza počítačové komunikace, klasifikace paketů
Tento článek představuje nový přístup k detekci malwaru FluBot, pokročilého trojského koně pro Android bankovnictví, který byl pozorován při aktivních útocích v letech 2021 a 2022. Navrhovaná metoda využívá dvouvrstvý detekční mechanismus k identifikaci síťových připojení FluBot. V první vrstvě se k detekci DNS-over-HTTPS (DoH) v záznamech Netflow používá algoritmus strojového učení. Druhá vrstva používá upravenou verzi stávajícího detekčního algoritmu doménového generování (DGA) k cílení konkrétně na připojení DoH spojená s malwarem FluBot. K vyhodnocení účinnosti tohoto přístupu jsme použili datovou sadu sestávající ze síťového provozu FluBot zachyceného v kontrolovaném prostředí sandboxu. Předběžné výsledky ukazují, že náš klasifikátor DoH dosahuje vysoké přesnosti a míry detekce při identifikaci instancí malwaru FluBot, přičemž udržuje nízkou míru falešně pozitivních výsledků.
@INPROCEEDINGS{FITPUB13007, author = "Roman Rader and Kamil Je\v{r}\'{a}bek and Ond\v{r}ej Ry\v{s}av\'{y}", title = "Detecting DoH-Based Data Exfiltration: FluBot Malware Case Study", pages = "50--54", booktitle = "IEEE 48th Conference on Local Computer Networks (LCN)", year = 2023, location = "Daytona Beach, US", publisher = "IEEE Computer Society", ISBN = "979-8-3503-0074-1", doi = "10.1109/LCN58197.2023.10223341", language = "english", url = "https://www.fit.vut.cz/research/publication/13007" }