Detailed Information on Publication Record
2018
Disguised Executable Files in Spear-Phishing Emails: Detecting the Point of Entry in Advanced Persistent Threat
GHAFIR, Ibrahim, Václav PŘENOSIL, Mohammad HAMMOUDEH, Francisco J. APARICIO-NAVARRO, Khaled RABIE et. al.Basic information
Original name
Disguised Executable Files in Spear-Phishing Emails: Detecting the Point of Entry in Advanced Persistent Threat
Authors
GHAFIR, Ibrahim (760 Syrian Arab Republic, guarantor, belonging to the institution), Václav PŘENOSIL (203 Czech Republic, belonging to the institution), Mohammad HAMMOUDEH (826 United Kingdom of Great Britain and Northern Ireland), Francisco J. APARICIO-NAVARRO (826 United Kingdom of Great Britain and Northern Ireland), Khaled RABIE (826 United Kingdom of Great Britain and Northern Ireland) and Ahmad JABBAN (250 France)
Edition
Amman, Jordan, Proceedings of International Conference on Future Networks and Distributed Systems, p. 1-5, 5 pp. 2018
Publisher
ACM Digital Library
Other information
Language
English
Type of outcome
Stať ve sborníku
Field of Study
10201 Computer sciences, information science, bioinformatics
Country of publisher
United States of America
Confidentiality degree
není předmětem státního či obchodního tajemství
Publication form
printed version "print"
RIV identification code
RIV/00216224:14330/18:00103009
Organization unit
Faculty of Informatics
ISBN
978-1-4503-6428-7
UT WoS
000455214800047
Keywords in English
Cyber attacks; advanced persistent threat; spear-phishing emails; disguised executable file; malware; intrusion detection system.
Tags
International impact, Reviewed
Změněno: 13/5/2020 19:15, RNDr. Pavel Šmerk, Ph.D.
V originále
In recent years, cyber attacks have caused substantial financial losses and been able to stop fundamental public services. Among the serious attacks, Advanced Persistent Threat (APT) has emerged as a big challenge to the cyber security hitting selected companies and organisations. The main objectives of APT are data exfiltration and intelligence appropriation. As part of the APT life cycle, an attacker creates a Point of Entry (PoE) to the target network. This is usually achieved by installing malware on the targeted machine to leave a back-door open for future access. A common technique employed to breach into the network, which involves the use of social engineering, is the spear phishing email. These phishing emails may contain disguised executable files. This paper presents the disguised executable file detection (DeFD) module, which aims at detecting disguised exe files transferred over the network connections. The detection is based on a comparison between the MIME type of the transferred file and the file name extension. This module was experimentally evaluated and the results show a successful detection of disguised executable files.
In Czech
V posledních letech způsobily počítačové útoky značné finanční ztráty a byly schopny zastavit základní veřejné služby. Mezi ostatními závažnými útoky se Advanced Persistent Threat (APT) objevila jako velká výzva pro kybernetickou bezpečnost, která zasáhla vybrané společnosti a organizace. Hlavními cíli APT jsou exfiltrace dat a špionáž. V rámci životního cyklu APT vytvoří útočník vstupní bod (PoE) do cílové sítě. Toho je obvykle dosaženo instalací malwaru na cílený počítač, aby se zadní dveře otevřely pro budoucí přístup. Běžnou technikou používanou k narušení sítě, která zahrnuje použití sociálního inženýrství, je e-mail s kopií phishingu. Tyto e-maily phishingu mohou obsahovat skryté spustitelné soubory. Tento článek představuje modul skrytých detekovatelných spustitelných souborů (DeFD), který se zaměřuje na detekci skrytých souborů exe přenášených prostřednictvím síťových připojení. Detekce je založena na porovnání typu MIME přenášeného souboru a přípony názvu souboru. Tento modul byl experimentálně vyhodnocen a výsledky ukazují úspěšnou detekci skrytých spustitelných souborů.