Detail publikace
Detecting DoH-Based Data Exfiltration: FluBot Malware Case Study
Detekce DoH, detekce malwaru, analýza počítačové komunikace, klasifikace paketů
Tento článek představuje nový přístup k detekci malwaru FluBot, pokročilého trojského koně pro Android bankovnictví, který byl pozorován při aktivních útocích v letech 2021 a 2022. Navrhovaná metoda využívá dvouvrstvý detekční mechanismus k identifikaci síťových připojení FluBot. V první vrstvě se k detekci DNS-over-HTTPS (DoH) v záznamech Netflow používá algoritmus strojového učení. Druhá vrstva používá upravenou verzi stávajícího detekčního algoritmu doménového generování (DGA) k cílení konkrétně na připojení DoH spojená s malwarem FluBot. K vyhodnocení účinnosti tohoto přístupu jsme použili datovou sadu sestávající ze síťového provozu FluBot zachyceného v kontrolovaném prostředí sandboxu. Předběžné výsledky ukazují, že náš klasifikátor DoH dosahuje vysoké přesnosti a míry detekce při identifikaci instancí malwaru FluBot, přičemž udržuje nízkou míru falešně pozitivních výsledků.
@inproceedings{BUT184570,
author="Roman {Rader} and Kamil {Jeřábek} and Ondřej {Ryšavý}",
title="Detecting DoH-Based Data Exfiltration: FluBot Malware Case Study",
booktitle="IEEE 48th Conference on Local Computer Networks (LCN)",
year="2023",
pages="50--54",
publisher="IEEE Computer Society",
address="Daytona Beach",
doi="10.1109/LCN58197.2023.10223341",
isbn="979-8-3503-0074-1",
url="https://www.fit.vut.cz/research/publication/13007/"
}