Két támadás a TLSH hasonlósági hash algoritmus ellen
A hasonlósági hash algoritmusok sok különböző téren használatosak (pl. digitális nyomozás, spam szűrés, malware detekció és malware klaszterezés), amelyek megkövetelik tőlük, hogy ellenállóak legyenek olyan támadások ellen, melyek képesek előállítani (A) szemantikailag hasonló bemeneteket, amelyek nagyon különböző hasonlósági hash-ekre képződnek le, vagy (B) teljesen különböző bemeneteket, amelyek nagyon hasonló hasonlósági hash-ekre képződnek le. Megmutatjuk, hogy a TLSH, egy széles körben elterjedt hasonlósági hash függvény, nem kellően robusztus az ilyen típusú támadások ellen, pontosabban bemutatunk egy-egy automatizált módszert futtatható szoftver binárisok funkcionalitásukat nem befolyásoló módosítására, amelyek elérik, hogy (A) a TLSH hash-ek alapján adott különbözőségi pontszám magas legyen az eredeti és a módosított bináris között, illetve (B) a módosított bináris TLSH hash-e nagyon hasonlítson egy tetszőlegesen megadható másik TLSH hash-re vagy teljesen megegyezzen azzal. Módszereinket értékeljük egy nagy malware adathalmaz mintáin, és megmutatjuk, hogy hatásosan alkalmazhatóak olyan minták előállítására, amelyeket nem detektál a SIMBIoTA, egy közelmúltban javasolt hasonlóság-alapú malware detekciós megoldás.
szerző
-
Fuchs Gábor
Mérnök informatikus szak, mesterképzés
mesterképzés (MA/MSc)
konzulensek
-
Dr. Buttyán Levente
egyetemi tanár, Hálózati Rendszerek és Szolgáltatások Tanszék -
Nagy Roland
PhD hallgató, Híradástechnikai Tanszék
