2018
Disguised Executable Files in Spear-Phishing Emails: Detecting the Point of Entry in Advanced Persistent Threat
GHAFIR, Ibrahim; Václav PŘENOSIL; Mohammad HAMMOUDEH; Francisco J. APARICIO-NAVARRO; Khaled RABIE et al.Základní údaje
Originální název
Disguised Executable Files in Spear-Phishing Emails: Detecting the Point of Entry in Advanced Persistent Threat
Autoři
GHAFIR, Ibrahim; Václav PŘENOSIL; Mohammad HAMMOUDEH; Francisco J. APARICIO-NAVARRO; Khaled RABIE a Ahmad JABBAN
Vydání
Amman, Jordan, Proceedings of International Conference on Future Networks and Distributed Systems, od s. 1-5, 5 s. 2018
Nakladatel
ACM Digital Library
Další údaje
Jazyk
angličtina
Typ výsledku
Stať ve sborníku
Obor
10201 Computer sciences, information science, bioinformatics
Stát vydavatele
Spojené státy
Utajení
není předmětem státního či obchodního tajemství
Forma vydání
tištěná verze "print"
Označené pro přenos do RIV
Ano
Kód RIV
RIV/00216224:14330/18:00103009
Organizační jednotka
Fakulta informatiky
ISBN
978-1-4503-6428-7
UT WoS
EID Scopus
Klíčová slova anglicky
Cyber attacks; advanced persistent threat; spear-phishing emails; disguised executable file; malware; intrusion detection system.
Příznaky
Mezinárodní význam, Recenzováno
Změněno: 13. 5. 2020 19:15, RNDr. Pavel Šmerk, Ph.D.
V originále
In recent years, cyber attacks have caused substantial financial losses and been able to stop fundamental public services. Among the serious attacks, Advanced Persistent Threat (APT) has emerged as a big challenge to the cyber security hitting selected companies and organisations. The main objectives of APT are data exfiltration and intelligence appropriation. As part of the APT life cycle, an attacker creates a Point of Entry (PoE) to the target network. This is usually achieved by installing malware on the targeted machine to leave a back-door open for future access. A common technique employed to breach into the network, which involves the use of social engineering, is the spear phishing email. These phishing emails may contain disguised executable files. This paper presents the disguised executable file detection (DeFD) module, which aims at detecting disguised exe files transferred over the network connections. The detection is based on a comparison between the MIME type of the transferred file and the file name extension. This module was experimentally evaluated and the results show a successful detection of disguised executable files.
Česky
V posledních letech způsobily počítačové útoky značné finanční ztráty a byly schopny zastavit základní veřejné služby. Mezi ostatními závažnými útoky se Advanced Persistent Threat (APT) objevila jako velká výzva pro kybernetickou bezpečnost, která zasáhla vybrané společnosti a organizace. Hlavními cíli APT jsou exfiltrace dat a špionáž. V rámci životního cyklu APT vytvoří útočník vstupní bod (PoE) do cílové sítě. Toho je obvykle dosaženo instalací malwaru na cílený počítač, aby se zadní dveře otevřely pro budoucí přístup. Běžnou technikou používanou k narušení sítě, která zahrnuje použití sociálního inženýrství, je e-mail s kopií phishingu. Tyto e-maily phishingu mohou obsahovat skryté spustitelné soubory. Tento článek představuje modul skrytých detekovatelných spustitelných souborů (DeFD), který se zaměřuje na detekci skrytých souborů exe přenášených prostřednictvím síťových připojení. Detekce je založena na porovnání typu MIME přenášeného souboru a přípony názvu souboru. Tento modul byl experimentálně vyhodnocen a výsledky ukazují úspěšnou detekci skrytých spustitelných souborů.