eBPF inzetten voor malware-analyse

This research was created in collaboration with:
University of Amsterdam SUE Logo
Back to overview

Download research

* required

By sending this form you indicate that you have taken note of our Privacy Statement.

Utilising eBPF for Malware Analysis

Organisaties en individuen worden zich steeds meer bewust van de financiële en persoonlijke risico’s die malware met zich meebrengt. Om ons hiertegen te beschermen, wordt malware-analyse ingezet om het gedrag en de aard van malware te begrijpen. Een veelgebruikte methode is dynamische malware-analyse, waarbij een malware-sample wordt gemonitord tijdens de uitvoering. Omdat er dagelijks nieuwe typen malware ontstaan, hebben onderzoekers krachtige tools nodig om deze effectief en snel te kunnen analyseren.

Een relatief nieuwe en veelbelovende functionaliteit van de Linux kernel is eBPF. eBPF maakt het mogelijk om programma’s tijdens runtime te koppelen aan verschillende onderdelen van de Linux kernel, zoals interne kernelfuncties of system calls. Wanneer de kernel deze hooks bereikt, wordt het eBPF-programma uitgevoerd. Het programma kan vervolgens de uitvoeringscontext van de kernel op dat moment inspecteren. Dit wordt tracing genoemd en stelt gebruikers in staat om gebeurtenissen in het systeem te monitoren. eBPF-programma’s worden uitgevoerd in een gesandboxte omgeving en zijn onderworpen aan strikte veiligheidscontroles, waardoor ze aanzienlijk betrouwbaarder zijn dan traditionele kernel modules.

In dit onderzoeksproject is de effectiviteit van eBPF onderzocht voor de analyse van malware die zich richt op Linux-systemen. Op basis van wetenschappelijke surveys over typisch gedrag van Linux-malware zijn verschillende gedragscategorieën geïdentificeerd en per categorie specifieke gedragingen geselecteerd. Deze gedragingen zijn vervolgens geëmuleerd in standalone programma’s. Daarna is een suite van eBPF-programma’s ontwikkeld met als doel het detecteren en correct classificeren van het gedrag van deze geëmuleerde malware-samples.

Om de eBPF-programmasuite te evalueren, is een framework ontwikkeld dat de geëmuleerde malwareprogramma’s uitvoert terwijl de eBPF-programma’s actief zijn in het systeem. De evaluatie laat zien dat de ontwikkelde eBPF-programmasuite in staat is om het gedrag van de geëmuleerde malware correct te detecteren en te classificeren, wat de geschiktheid van eBPF voor dynamische malware-analyse onderstreept.

Download
Share this:
Share this:

Related resources

In collaboration with University of Amsterdam

Utilizing eBPF for Malware Analysis

Cybercrime costs organizations trillions each year, with increasingly sophisticated malware designed to evade traditional detection. This research explores how eBPF, a powerful Linux kernel technology, can be used to trace and monitor malicious activity more effectively. It offers deeper insights into malware behavior and helps strengthen cyber defenses. A Collaboration with Tilburg University.
Expertise: Cloud Security
Read more
In collaboration with University of Amsterdam

Efficacy of cloud-native sandboxing technologies in containing security threats

By encapsulating applications and their dependencies in lightweight, isolated containers, developers can achieve greater agility, scalability, and resource efficiency. However, this shared kernel introduces certain security challenges
Expertise: Cloud Security
Read more
In collaboration with University of Amsterdam

Mitigating DDoS attacks on virtualized environments using eBPF and XDP

The research aims to answer the question if eBPF and XDP can be applied to virtualized environments to provide more performance to repel DDoS-attacks.
Expertise: Cloud Security
Read more
Privacy Overview
This website uses cookies. We use cookies to ensure the proper functioning of our website and services, to analyze how visitors interact with us, and to improve our products and marketing strategies. For more information, please consult our privacy- en cookiebeleid.