Malware evasion techniques : how to bypass endpoint detection and response solutions

Endpoint detection and response systems represent a critical line of defense in identifying and countering cyber threats, particularly the ever-evolving malware attacks. Despite such technological advancements, cyber adversaries persist in developing innovative strategies to bypass these security measures, presenting a constant challenge to the cybersecurity industry. This thesis delves into the intricate problem of malware evasion, rigorously examining the tactics employed by malware to evade detection and response systems at endpoint level. The research starts with an in-depth theoretical exploration of the most prevalent evasion techniques that malware exploits to bypass EDR systems, at the moment of writing. To further enrich the theoretical understanding and test its practical implications, we constructed a framework. This tool is engineered to generate malware instances that integrate the studied evasive techniques, providing a practical tool able to test endpoint detection and response products. Using our framework, we produce 150 unique malware samples. We test these samples against five leading endpoint detection and response systems in the cybersecurity industry. Through this rigorous testing procedure, we gather valuable statistical data regarding the performance and effectiveness of the examined evasion techniques. Moreover, the com- parison of different detection products allow us to highlight the critical importance of fine-tuning endpoint detection systems in order to maximize the detection rate of mal- ware while minimizing the false positives.

I sistemi noti come "Endpoint Detection and Response" rappresentano una linea di difesa critica nell’identificare e contrastare le minacce informatiche, in particolare gli attacchi di malware. Nonostante tali progressi tecnologici, i cyber criminali persistono nello svilup- pare strategie innovative per superare queste misure di sicurezza, presentando una sfida costante all’industria della sicurezza informatica. Questa tesi esamina a fondo le tecniche impiegate dai malware per eludere i sistemi "Endpoint Detection and Response". La nostra ricerca inizia con un’esplorazione teorica approfondita delle tecniche di eva- sione più diffuse che i malware sfruttano per evadere i sistemi "Endpoint Detection and Response". Per arricchire ulteriormente la comprensione teorica e testare le sue impli- cazioni pratiche, abbiamo costruito un framework capace di generare istanze di malware che implementano le tecniche evasive studiate, fornendo uno strumento pratico in grado di testare i prodotti "Endpoint Detection and Response". Utilizzando il nostro framework, abbiamo prodotto 150 campioni unici di malware che abbiamo testato contro cinque dei principali sistemi "Endpoint Detection and Response". Attraverso questa rigorosa procedura di test, siamo stati in grado di raccogliere preziosi dati statistici riguardanti le prestazioni e l’efficacia delle tecniche di evasione esaminate. Inoltre, attraverso il confronto tra diversi prodotti, siamo stati in grado di evidenziare l’importanza critica di ottimizzare i sistemi di difesa al fine di massimizzare il tasso di rilevamento dei malware minimizzando i falsi positivi.