WE-SAND – A Sandbox for Web Security

Detalhes bibliográficos
Autor(a) principal: Carvalho, Joaquim Cristiano Sampaio
Data de Publicação: 2019
Tipo de documento: Dissertação
Idioma: por
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/10400.22/15493
Resumo: Dissertação de Mestrado em Engenharia Informática
id RCAP_b7d0f51e49260f8325d01d05dc51ab2d
oai_identifier_str oai:recipp.ipp.pt:10400.22/15493
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling WE-SAND – A Sandbox for Web Securityciberataquesciberameaçasphishingmalwaresandboxanálise artefactosInformáticaDissertação de Mestrado em Engenharia InformáticaOs ciberataques já se verificam há alguns anos, mas foi nestes últimos anos que ganharam maior visibilidade. Num mundo interligado pela via digital, os atores maliciosos encontraram novas formas de ganhar dinheiro e notoriedade prejudicando organizações de vários tipos. A exploração de vulnerabilidades em sistemas informáticos e aplicações, o envio de e-mail com conteúdos aparentemente legítimos/normais mas que de facto escondem payload maliciosos, a cifra de dados e pedidos de resgate para reaver os mesmos, são alguns exemplos de ameaças cibernéticas que para muitas organizações e pessoas já se traduziu em ciberataque de facto, e consequentemente em impactos de foro económico, de reputação entre outros. Lidar com o problema não é fácil. À medida que se vão criando tecnologias de deteção e proteção, refinando processos e treinando pessoas para o fenómeno, os atores maliciosos procuram novas ferramentas, tecnologias e procedimentos para contornar as barreiras levantadas. Uma das tecnologias na área são os sistemas de sandbox. Tratam-se de sistemas isolados que permitem a análise de artefactos com o intuito de averiguar se os mesmos são ou não maliciosos. Neste trabalho analisámos vários sistemas de sandbox e apresentamos um protótipo funcional (cujo nome é WE-SAND) de uma aplicação que agrega vários sistemas de sandbox com o intuito de facilitar o processo de análise e de identificação de payload malicioso. Para a análise foi feito um levantamento dos sistemas de sandbox existentes e foram selecionados cinco destes sistemas. Sobre estes foram realizados testes utilizando artefactos propositadamente maliciosos e artefactos não maliciosos. A análise de eficácia revelou a existência de diferenças significativas entre os sistemas de sandbox. Apesar de alguns apresentarem boas taxas de deteção (acima dos 90%), existem artefactos maliciosos que não são detetados pelos sistemas de sandbox bem como existem artefactos não maliciosos a ser identificados como tal. Outra análise efetuada foi a medição do tempo requerido para a análise por cada sistema de sandbox. Com base nos resultados obtidos pela análise, procedeu-se ao desenho e implementação do WE-SAND. Trata-se de uma aplicação que agrega vários sistemas de sandbox (atualmente três, mas possível de ser estendido) que facilita o envio de artefactos para análise e recolha dos resultados da análise. O protótipo está funcional e a sua maturidade e adoção permitirá às organizações analisar o payload dos acessos com o exterior a fim de detetar e evitar a ocorrência de ciberataques realizadas com recurso a este tipo de técnica.Cyber-attacks have been around for some years, but in recent years they have gained greater visibility. In a digital-interconnected world, malicious actors have found new ways to make money and notoriety. Exploiting vulnerabilities in computer systems and applications, sending emails with such as legitimate/normal content but that actually hide malicious payload, encrypting data on computers and servers and request for ransoms to retrieve them are some examples of current threats, which unfortunately are affecting many organizations and individuals leading to huge economic, political and reputational impacts. Dealing with the problem is not easy. New detection and protection technologies are being developed, the refining of processes and training people for the phenomenon is already occurring but the malicious actors are continuously looking for new tools, technologies and procedures to get around the barriers raised. One of the technologies that exist in the area and that have been evolving are the sandbox systems. These are isolated systems that allow the analysis of artifacts in order to ascertain whether they are malicious or not. In this work we analyze several sandbox systems and present a functional prototype of an application (named WE-SAND) that aggregates several sandbox systems in order to facilitate the process of analysis and identification of malicious payload. A survey of existing sandbox systems was conducted and five of these systems were selected. Tests over the five sandbox systems were conducted, using both purposely malicious artifacts and non-malicious artifacts. The efficacy analysis showed that there are significant differences between sandbox systems and that although some have good detection rates (over 90%), there are malicious artifacts that are not detected by sandbox systems as well as there are non-malicious artifacts being identified as malicious. Another analysis was the measurement of the time required for the analysis by each sandbox system. Such analysis is important to known how timely an organization can detect and mitigate the occurrence of malicious artifacts. Based on the results obtained from the analysis, the WE-SAND prototype was designed and implemented. It is an application that aggregates several sandbox systems (currently three, but possible to be extended) and facilitates the sending of artifacts for analysis and the collection of results. The prototype is functional, and its maturity and adoption will allow organizations to analyze the payload of incoming data (e.g., emails, files, web pages) in order to detect and mitigate the occurrence of cyber-attacks conducted using these types of techniques.Instituto Politécnico do Porto. Escola Superior de Tecnologia e GestãoMagalhães, João Paulo Ferreira deRepositório Científico do Instituto Politécnico do PortoCarvalho, Joaquim Cristiano Sampaio2020-02-19T15:02:50Z201920192019-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10400.22/15493TID:202460207porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-03-13T12:59:36Zoai:recipp.ipp.pt:10400.22/15493Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T17:35:12.342722Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv WE-SAND – A Sandbox for Web Security
title WE-SAND – A Sandbox for Web Security
spellingShingle WE-SAND – A Sandbox for Web Security
Carvalho, Joaquim Cristiano Sampaio
ciberataques
ciberameaças
phishing
malware
sandbox
análise artefactos
Informática
title_short WE-SAND – A Sandbox for Web Security
title_full WE-SAND – A Sandbox for Web Security
title_fullStr WE-SAND – A Sandbox for Web Security
title_full_unstemmed WE-SAND – A Sandbox for Web Security
title_sort WE-SAND – A Sandbox for Web Security
author Carvalho, Joaquim Cristiano Sampaio
author_facet Carvalho, Joaquim Cristiano Sampaio
author_role author
dc.contributor.none.fl_str_mv Magalhães, João Paulo Ferreira de
Repositório Científico do Instituto Politécnico do Porto
dc.contributor.author.fl_str_mv Carvalho, Joaquim Cristiano Sampaio
dc.subject.por.fl_str_mv ciberataques
ciberameaças
phishing
malware
sandbox
análise artefactos
Informática
topic ciberataques
ciberameaças
phishing
malware
sandbox
análise artefactos
Informática
description Dissertação de Mestrado em Engenharia Informática
publishDate 2019
dc.date.none.fl_str_mv 2019
2019
2019-01-01T00:00:00Z
2020-02-19T15:02:50Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10400.22/15493
TID:202460207
url http://hdl.handle.net/10400.22/15493
identifier_str_mv TID:202460207
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.publisher.none.fl_str_mv Instituto Politécnico do Porto. Escola Superior de Tecnologia e Gestão
publisher.none.fl_str_mv Instituto Politécnico do Porto. Escola Superior de Tecnologia e Gestão
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_ 1799131443700432896