Unveiling stealth attack paths in Windows Environments using AWARE
Autor: | Poisson, Manuel, Viet Triem Tong, Valérie, Guette, Gilles, Abgrall, Erwan, Guihéry, Frédéric, Crémilleux, Damien |
---|---|
Přispěvatelé: | Confidentialité, Intégrité, Disponibilité et Répartition (CIDRE), CentraleSupélec-Inria Rennes – Bretagne Atlantique, Institut National de Recherche en Informatique et en Automatique (Inria)-Institut National de Recherche en Informatique et en Automatique (Inria)-SYSTÈMES LARGE ÉCHELLE (IRISA-D1), Institut de Recherche en Informatique et Systèmes Aléatoires (IRISA), Université de Rennes (UR)-Institut National des Sciences Appliquées - Rennes (INSA Rennes), Institut National des Sciences Appliquées (INSA)-Institut National des Sciences Appliquées (INSA)-Université de Bretagne Sud (UBS)-École normale supérieure - Rennes (ENS Rennes)-Institut National de Recherche en Informatique et en Automatique (Inria)-CentraleSupélec-Centre National de la Recherche Scientifique (CNRS)-IMT Atlantique (IMT Atlantique), Institut Mines-Télécom [Paris] (IMT)-Institut Mines-Télécom [Paris] (IMT)-Université de Rennes (UR)-Institut National des Sciences Appliquées - Rennes (INSA Rennes), Institut Mines-Télécom [Paris] (IMT)-Institut Mines-Télécom [Paris] (IMT)-Institut de Recherche en Informatique et Systèmes Aléatoires (IRISA), Institut National des Sciences Appliquées (INSA)-Institut National des Sciences Appliquées (INSA)-Université de Bretagne Sud (UBS)-École normale supérieure - Rennes (ENS Rennes)-Centre National de la Recherche Scientifique (CNRS)-IMT Atlantique (IMT Atlantique), Institut Mines-Télécom [Paris] (IMT)-Institut Mines-Télécom [Paris] (IMT), CentraleSupélec [campus de Rennes], AMOSSYS, IEEE ComSoc |
Jazyk: | angličtina |
Rok vydání: | 2023 |
Předmět: | |
Zdroj: | 2023 7th Cyber Security in Networking Conference (CSNet) CSNet 2023-7th Cyber Security in Networking Conference CSNet 2023-7th Cyber Security in Networking Conference, IEEE ComSoc, Oct 2023, Montreal, Canada. pp.1-7 |
Popis: | International audience; When an attacker targets a system, he aims to remain undetected as long as possible. He must therefore avoid performing actions that are characteristic of an identified malicious behavior. One way to avoid detection is to only perform actions on the system that appear legitimate. That is, actions that are allowed because of the system configuration or actions that are possible by diverting the use of legitimate services. This article presents and experiments AWARE (Attacks in Windows Architectures REvealed), a defensive tool able to query a Windows system and build a directed graph highlighting possible stealthily attack paths that an attacker could use during the propagation phase of an attack campaign. These attack paths only rely on legitimate system actions and the use of Living-Off-The-Land binaries. AWARE also proposes a range of corrective measures to prevent these attack paths.; Lorsqu'un attaquant cible un système, son objectif est de rester indétecté le plus longtemps possible. Il doit donc éviter d'effectuer des actions caractéristiques d'un comportement malveillant identifié. Une façon d'éviter la détection est de n'effectuer que des actions sur le système qui semblent légitimes. C'est-à-dire des actions autorisées en raison de la configuration du système ou des actions possibles en détournant l'utilisation de services légitimes. Cet article présente et expérimente AWARE (Attacks in Windows Architectures REvealed), un outil défensif capable d'interroger un système Windows et de construire un graphe dirigé mettant en évidence les chemins d'attaque furtifs possibles qu'un attaquant pourrait utiliser lors de la phase de propagation d'une campagne d'attaque. Ces chemins d'attaque reposent uniquement sur des actions système légitimes et l'utilisation de binaires Living-Off-The-Land. AWARE propose également une gamme de mesures correctives pour prévenir ces chemins d'attaque. |
Databáze: | OpenAIRE |
Externí odkaz: |