Εντοπισμός επιθέσεων τύπου C2 beaconing

Σαρλής, Στέφανος; Sarlis, Stefanos

dc.contributor.advisor	Λαμπρινουδάκης, Κωνσταντίνος
dc.contributor.advisor	Lambrinoudakis, Konstantinos
dc.contributor.author	Σαρλής, Στέφανος
dc.contributor.author	Sarlis, Stefanos
dc.date.accessioned	2022-02-28T07:37:57Z
dc.date.available	2022-02-28T07:37:57Z
dc.date.issued	2022-02
dc.identifier.uri	https://dione.lib.unipi.gr/xmlui/handle/unipi/14167
dc.identifier.uri	http://dx.doi.org/10.26267/unipi_dione/1590
dc.description.abstract	Δεδομένου ότι οι επιθέσεις στον κυβερνοχώρο εξελίσσονται συνεχώς τόσο σε αριθμό όσο και σε πολυπλοκότητα, η χρήση προηγμένων μηχανισμών ασφαλείας καθίσταται επιτακτική. Ωστόσο, παρ’ όλο που οι σύγχρονες λύσεις ασφαλείας προσφέρουν, σε ορισμένες περιπτώσεις, ικανοποιητικά ποσοστά ανίχνευσης, οι απειλές στον κυβερνοχώρο αναπτύσσονται εκθετικά, με αποτέλεσμα να βρίσκονται πάντα σε πλεονεκτική θέση. Επιπλέον, οι παραδοσιακοί μηχανισμοί για τον εντοπισμό κακόβουλης δραστηριότητας μπορούν πολύ εύκολα να παρακαμφθούν, καθώς οι επιτιθέμενοι βρίσκουν συνεχώς νέους και εξεζητημένους τρόπους προκειμένου να αποφύγουν την ανίχνευση από τις εν λόγω λύσεις, στοχεύοντας στη μόλυνση δικτύων και συστημάτων με διαφορετικά είδη κακόβουλου λογισμικού. Επιπρόσθετα, σε αντίθεση με τις λιγότερο πολύπλοκες επιθέσεις, οι Advanced Persistent Threats (APTs) αποτελούν προηγμένες απειλές, στις οποίες οι επιτιθέμενοι διατηρούν χαμηλό προφίλ, εκμεταλλευόμενοι περίπλοκες μεθόδους εισβολής μέσω διαφόρων φορέων επίθεσης. Ένα από τα σημαντικότερα στάδια μιας APT επίθεσης είναι το Command and Control (C2) beaconing. Στα πλαίσια της συγκεκριμένης εργασίας, παρουσιάζεται μια ολιστική προσέγγιση εντοπισμού των beaconing επιθέσεων. Ειδικότερα, αντικείμενο της παρούσας διπλωματικής αποτελεί ο σχεδιασμός και η εκτέλεση πληθώρας σεναρίων επίθεσης, που προσομοιάζουν επιθέσεις τύπου C2 beaconing, με στόχο τη συνδυαστική ανίχνευσή τους. Από την παρούσα εργασία επιβεβαιώνεται ότι ο εντοπισμός της κακόβουλης beaconing συμπεριφοράς απαιτεί το συνδυασμό διαφόρων μηχανισμών ανίχνευσης και ταυτόχρονα την αντιμετώπιση πληθώρας προκλήσεων. Πιο συγκεκριμένα, δεδομένου ότι το beaconing δεν αποτελεί ένα διακριτό συμβάν, αλλά μια ακολουθία χρονικά σχετιζόμενων συμβάντων, είναι πρόδηλο ότι η ανίχνευσή του είναι εξαιρετικά απαιτητική. Επομένως, στη συγκεκριμένη εργασία, μέσω της εκτέλεσης τριών, κλιμακούμενης πολυπλοκότητας, σεναρίων επίθεσης αξιολογείται η αποτελεσματικότητα διαφόρων μεθόδων και λύσεων ασφάλειας, αναφορικά με τον εντοπισμό και τον μετριασμό των εν λόγω επιθέσεων. Τα αποτελέσματα υποδεικνύουν ότι υπάρχουν ακόμη σημαντικά περιθώρια βελτίωσης, καθώς η πλειοψηφία των μηχανισμών ασφαλείας αποτυγχάνει να αποτρέψει σε μεγάλο βαθμό τις συγκεκριμένες απειλές. Ωστόσο, μέσω της συνδυαστικής προσέγγισης που παρουσιάζεται, η ανίχνευση των beaconing επιθέσεων καθίσταται πλέον εφικτή.	el
dc.format.extent	266	el
dc.language.iso	el	el
dc.publisher	Πανεπιστήμιο Πειραιώς	el
dc.rights	Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα	*
dc.rights.uri	http://creativecommons.org/licenses/by-nc-nd/3.0/gr/	*
dc.title	Εντοπισμός επιθέσεων τύπου C2 beaconing	el
dc.title.alternative	C2 beaconing attacks hunting	el
dc.type	Master Thesis	el
dc.contributor.department	Σχολή Τεχνολογιών Πληροφορικής και Επικοινωνιών. Τμήμα Ψηφιακών Συστημάτων	el
dc.description.abstractEN	As cyber attacks are constantly evolving in both number and complexity, the use of advanced security mechanisms becomes imperative. However, while modern security solutions offer, in some cases, satisfactory detection rates, cyber threats are growing exponentially, being in an advantageous position. In addition, traditional methods for detecting malicious activity can be easily bypassed, since attackers are constantly finding new and sophisticated ways to avoid detection from defense solutions, aiming to infect networks and systems with different types of malware. Furthermore, unlike the majority of cyber attacks, Advanced Persistent Threats (APTs) are sophisticated attacks, in which adversaries try to stay under the radar, taking advantage of various methods and using different attack vectors. One of the most important stages of an APT attack is Command and Control (C2) beaconing. In this work, a holistic approach regarding beaconing attacks detection is presented. More particularly, the subject of this dissertation is beaconing detection through the design and execution of various attack scenarios, which simulate C2 beaconing attacks. The outcome of the work confirms that indeed the detection of malicious beaconing behavior requires the combination of different detection mechanisms and at the same time addressing a variety of challenges. More specifically, since beaconing is not a distinct event, but a sequence of time-related events, it is clear that its detection is extremely challenging. Therefore, in this work, the effectiveness of various security methods and solutions is evaluated, regarding the detection and mitigation of these attacks, through the execution of three attack scenarios with scalable complexity. The results show that there is significant room for improvement since the majority of security mechanisms largely fails to detect and address these threats. However, through the combined approach presented, the detection of beaconing attacks becomes more feasible.	el
dc.contributor.master	Ασφάλεια Ψηφιακών Συστημάτων	el
dc.subject.keyword	C2	el
dc.subject.keyword	Command and Control	el
dc.subject.keyword	C&C	el
dc.subject.keyword	APT	el
dc.subject.keyword	Beaconing	el
dc.subject.keyword	Red Teaming	el
dc.subject.keyword	Covenant	el
dc.subject.keyword	PowerShell Empire	el
dc.subject.keyword	Cobalt Strike	el
dc.subject.keyword	Pupy	el
dc.subject.keyword	Merlin	el
dc.subject.keyword	PoshC2	el
dc.subject.keyword	AMSI	el
dc.subject.keyword	Evasion	el
dc.subject.keyword	Bypass	el
dc.subject.keyword	RITA	el
dc.subject.keyword	YARA	el
dc.subject.keyword	ELK	el
dc.subject.keyword	Suricata	el
dc.subject.keyword	Sysmon	el
dc.subject.keyword	Wazuh	el
dc.subject.keyword	MITRE ATT&CK	el
dc.subject.keyword	Attack & Defense Lab	el
dc.subject.keyword	Dnscat2	el
dc.subject.keyword	Oletools	el
dc.subject.keyword	Capa	el
dc.subject.keyword	Beacon	el
dc.subject.keyword	Implant	el
dc.subject.keyword	Grunt	el
dc.subject.keyword	Cyber Kill Chain	el
dc.subject.keyword	Unified Kill Chain	el
dc.subject.keyword	Callbacks	el
dc.subject.keyword	Domain Fronting	el
dc.subject.keyword	Redirectors	el
dc.subject.keyword	Relays	el
dc.date.defense	2022-02-21

Αρχεία σε αυτό το τεκμήριο

Name:: Sarlis_mte2029.pdf
Μέγεθος:: 15.08Mb
Τύπος:: PDF
Description:: Μεταπτυχιακή διατριβή

Προβολή/Άνοιγμα

Αυτό το τεκμήριο εμφανίζεται στις ακόλουθες συλλογές

Τμήμα Ψηφιακών Συστημάτων
Department of Digital Systems

Εμφάνιση απλής εγγραφής

Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα

Εκτός από όπου διευκρινίζεται διαφορετικά, το τεκμήριο διανέμεται με την ακόλουθη άδεια:
Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα