Unveiling stealth attack paths in Windows Environments using AWARE - Inria - Institut national de recherche en sciences et technologies du numérique Accéder directement au contenu
Communication Dans Un Congrès Année : 2023

Unveiling stealth attack paths in Windows Environments using AWARE

Mise en évidence de chemins d'attaque furtifs en environement Windows avec AWARE

Résumé

When an attacker targets a system, he aims to remain undetected as long as possible. He must therefore avoid performing actions that are characteristic of an identified malicious behavior. One way to avoid detection is to only perform actions on the system that appear legitimate. That is, actions that are allowed because of the system configuration or actions that are possible by diverting the use of legitimate services. This article presents and experiments AWARE (Attacks in Windows Architectures REvealed), a defensive tool able to query a Windows system and build a directed graph highlighting possible stealthily attack paths that an attacker could use during the propagation phase of an attack campaign. These attack paths only rely on legitimate system actions and the use of Living-Off-The-Land binaries. AWARE also proposes a range of corrective measures to prevent these attack paths.
Lorsqu'un attaquant cible un système, son objectif est de rester indétecté le plus longtemps possible. Il doit donc éviter d'effectuer des actions caractéristiques d'un comportement malveillant identifié. Une façon d'éviter la détection est de n'effectuer que des actions sur le système qui semblent légitimes. C'est-à-dire des actions autorisées en raison de la configuration du système ou des actions possibles en détournant l'utilisation de services légitimes. Cet article présente et expérimente AWARE (Attacks in Windows Architectures REvealed), un outil défensif capable d'interroger un système Windows et de construire un graphe dirigé mettant en évidence les chemins d'attaque furtifs possibles qu'un attaquant pourrait utiliser lors de la phase de propagation d'une campagne d'attaque. Ces chemins d'attaque reposent uniquement sur des actions système légitimes et l'utilisation de binaires Living-Off-The-Land. AWARE propose également une gamme de mesures correctives pour prévenir ces chemins d'attaque.

Domaines

Cryptographie et sécurité [cs.CR]
Fichier principal
Vignette du fichier
paper_csnet.pdf (1.18 Mo) Télécharger le fichier
Origine : Fichiers produits par l'(les) auteur(s)

Manuel Poisson  : Connectez-vous pour contacter le contributeur

https://inria.hal.science/hal-04163780

Soumis le : lundi 17 juillet 2023-16:40:09

Dernière modification le : mardi 12 décembre 2023-09:55:42

Archivage à long terme le : mercredi 18 octobre 2023-20:25:29

Télécharger pour visualiser

Dates et versions

hal-04163780 , version 1 (17-07-2023)

Licence

Paternité

Identifiants

  • HAL Id : hal-04163780 , version 1

Citer

Manuel Poisson, Valérie Viet Triem Tong, Gilles Guette, Erwan Abgrall, Frédéric Guihéry, et al.. Unveiling stealth attack paths in Windows Environments using AWARE. CSNet 2023 - 7th Cyber Security in Networking Conference, IEEE ComSoc, Oct 2023, Montreal, Canada. pp.1-7. ⟨hal-04163780⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite

Collections

UNIV-RENNES1 CNRS INRIA INSA-RENNES IRISA SUP_CIDRE CENTRALESUPELEC INRIA2 UR1-MATH-STIC UR1-UFR-ISTIC UNIV-RENNES UR1-MATH-NUM CYBERSCHOOL
102 Consultations
190 Téléchargements

Partager

Gmail Facebook X LinkedIn More