D 2016

Malicious File Hash Detection and Drive-by Download Attacks

GHAFIR, Ibrahim and Václav PŘENOSIL

Basic information

Original name

Malicious File Hash Detection and Drive-by Download Attacks

Name in Czech

Detekce škodlivých File Hash and Drive-by download útoků

Authors

GHAFIR, Ibrahim and Václav PŘENOSIL

Edition

Hyderabad, Proceedings of the Second International Conference on Computer and Communication Technologies, series Advances in Intelligent Systems and Computing, p. 661-669, 9 pp. 2016

Publisher

Springer

Other information

Language

English

Type of outcome

Proceedings paper

Field of Study

Informatics

Country of publisher

India

Confidentiality degree

is not subject to a state or trade secret

Publication form

printed version "print"

References:

Marked to be transferred to RIV

Yes

RIV identification code

RIV/00216224:14330/16:00087687

Organization

Fakulta informatiky – Repository – Repository

ISBN

978-81-322-2516-4

ISSN

EID Scopus

Keywords (in Czech)

útoky na počítačové sítě; botnet; malware; nebezpečný soubor hash; systém detekce průniků

Keywords in English

cyber attacks; botnet; malware; malicious file hash; intrusion detection system

Links

OFMASUN201301, research and development project.
Changed: 2/9/2020 06:39, RNDr. Daniel Jakubík

Abstract

In the original language

Malicious web content has become the essential tool used by cybercriminals to accomplish their attacks on the Internet. In addition, attacks that target web clients, in comparison to infrastructure components, have become prevalent. Malware drive-by downloads are a recent challenge, as their spread appears to be increasing substantially in malware distribution attacks. In this paper we present our methodology for detecting any malicious file downloaded by one of the network hosts. Our detection method is based on a blacklist of malicious file hashes. We process the network traffic, analyze all connections, and calculate MD5, SHA1, and SHA256 hash for each new file seen being transferred over a connection. Then we match the calculated hashes with the blacklist. The blacklist of malicious file hashes is automatically updated each day and the detection is in the real time.

In Czech

Škodlivý obsah webu stal základním nástrojem používaným internetovými podvodníky pro realizaci internetových útoků. Útoky cílené na uživatele webů se, ve srovnání s útoky na infrastruktury počítačové sítě, staly převládající. Malware šířený automatickým stahováním z webu se objevil nedávno a zdá se, že bude hlavní metodou šíření malware útoků. V článku je prezentována metoda zjišťující stažení jakékoliv nebezpečného souboru jedním ze síťových hostů. Metoda detekce je založen na černé listině škodlivých hašovacích souborů. Je zpracováván síťový provoz, analyzována všechna připojení a vypočítán MD5, SHA1 a SHA256 hash pro každý nový soubor přenášený po síti. Poté je porovnávána vypočtená hodnota hešovacího kódu s černou listinu. Černá listina škodlivých hešovacích souborů se automaticky aktualizuje každý den a tím umožňuje detekci v reálném čase.

Files attached

http://is.muni.cz/repo/1310627/Malicious_File_Hash_Detection_and_Drive-by_Download_Attacks.pdf
Request the author's version of the file
https://is.muni.cz/publication/1310627/Malicious_File_Hash_Detection_and_Drive-by_Download_Attacks.pdf
Request the author's version of the file