論文の概要: QUIC-Exfil: Exploiting QUIC's Server Preferred Address Feature to Perform Data Exfiltration Attacks

• arxiv url: http://arxiv.org/abs/2505.05292v1
• Date: Thu, 08 May 2025 14:31:28 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-05-09 21:43:49.922527
• Title: QUIC-Exfil: Exploiting QUIC's Server Preferred Address Feature to Perform Data Exfiltration Attacks
• Title（参考訳）: QUIC-Exfil: QUICのサーバをエクスプロイトして、データエクスプロイト攻撃を実行するためのアドレス特徴を優先する
• Authors: Thomas Grübl, Weijie Niu, Jan von der Assen, Burkhard Stiller,
• Abstract要約: 本稿では,QUICプロトコルのサーバ優先アドレス特徴を用いたQUICベースのデータ抽出攻撃の実現可能性を示す。 QUICプロトコルのサーバ優先アドレス機能を活用する新しい方法により、攻撃者は感染したマシンから悪意のあるサーバに機密データを流出させることができる。 この攻撃はRustにおける概念実証ツールとして実装されている。
• 参考スコア（独自算出の注目度）: 0.259990372084357
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: The QUIC protocol is now widely adopted by major tech companies and accounts for a significant fraction of today's Internet traffic. QUIC's multiplexing capabilities, encrypted headers, dynamic IP address changes, and encrypted parameter negotiations make the protocol not only more efficient, secure, and censorship-resistant, but also practically unmanageable by firewalls. This opens doors for attackers who may exploit certain traits of the QUIC protocol to perform targeted attacks, such as data exfiltration attacks. Whereas existing data exfiltration techniques, such as TLS and DNS-based exfiltration, can be detected on a firewall level, QUIC-based data exfiltration is more difficult to detect, since changes in IP addresses and ports are inherent to the protocol's normal behavior. To show the feasibility of a QUIC-based data exfiltration attack, we introduce a novel method leveraging the server preferred address feature of the QUIC protocol and, thus, allows an attacker to exfiltrate sensitive data from an infected machine to a malicious server, disguised as a server-side connection migration. The attack is implemented as a proof of concept tool in Rust. We evaluated the performance of five anomaly detection classifiers - Random Forest, Multi-Layer Perceptron, Support Vector Machine, Autoencoder, and Isolation Forest - trained on datasets collected from three network traffic scenarios. The classifiers were trained on over 700K benign and malicious QUIC packets and 786 connection migration events, but were unable to detect the data exfiltration attempts. Furthermore, post-analysis of the traffic captures did not reveal any identifiable fingerprint. As part of our evaluation, we also interviewed five leading firewall vendors and found that, as of today, no major firewall vendor implements functionality capable of distinguishing between benign and malicious QUIC connection migrations.
• Abstract（参考訳）: QUICプロトコルは現在、主要なテック企業によって広く採用されており、今日のインターネットトラフィックのかなりの部分を占めている。 QUICの多重化機能、暗号化ヘッダ、動的IPアドレス変更、および暗号化パラメータ交渉により、プロトコルはより効率的でセキュアで検閲に耐性があるだけでなく、ファイアウォールによって事実上管理できない。 これにより、QUICプロトコルの特定の特性を利用して、データ流出攻撃などのターゲットアタックを実行するアタッカーのドアが開く。 TLSやDNSベースのフィルタのような既存のデータ抽出技術はファイアウォールレベルで検出できるが、QUICベースのデータ抽出は、IPアドレスやポートの変更がプロトコルの通常の動作に固有のものであるため、検出がより困難である。 本研究では,QUICプロトコルのサーバ優先アドレス機能を利用したQUICベースのデータ消去攻撃の実現可能性を示すため,攻撃者がサーバ側接続マイグレーションを装いながら,感染したマシンから悪意のあるサーバに機密データを流出させる手法を提案する。 この攻撃はRustにおける概念実証ツールとして実装されている。 本研究では,ランダムフォレスト,マルチ層パーセプトロン,サポートベクトルマシン,オートエンコーダ,アイソレーションフォレストという5つの異常検出分類器の性能評価を行った。 分類器は700K以上の良質で悪意のあるQUICパケットと786の接続マイグレーションイベントで訓練されたが、データ消去の試みは検出できなかった。 さらに、トラフィックキャプチャーの分析後、識別可能な指紋は明らかにされなかった。 評価の一環として、主要なファイアウォールベンダ5社にもインタビューを行い、現在、主要なファイアウォールベンダが、良質なQUIC接続移行と悪意のあるQUIC接続移行を区別できる機能を実装していないことを発見した。

関連論文リスト

• Exploring QUIC Dynamics: A Large-Scale Dataset for Encrypted Traffic Analysis [7.795761092358769]
  VisQUICは44,000以上のウェブサイトから10万のQUICトレースをラベル付けした大規模データセットである。 以前のデータセットとは異なり、VisQUICは制御された復号化のためのSSLキーを提供し、複数のQUIC実装をサポートし、新しいイメージベースの表現を導入した。 暗号化されたQUICトラフィックにおいてHTTP/3応答を推定し、観測可能なパケット機能のみを用いて97%の精度を達成するためのベンチマークタスクを提案する。
  論文  参考訳（メタデータ） (2024-09-30T10:50:12Z)
• AdvQDet: Detecting Query-Based Adversarial Attacks with Adversarial Contrastive Prompt Tuning [93.77763753231338]
  CLIP画像エンコーダを微調整し、2つの中間対向クエリに対して同様の埋め込みを抽出するために、ACPT(Adversarial Contrastive Prompt Tuning)を提案する。 我々は,ACPTが7つの最先端クエリベースの攻撃を検出できることを示す。 また,ACPTは3種類のアダプティブアタックに対して堅牢であることを示す。
  論文  参考訳（メタデータ） (2024-08-04T09:53:50Z)
• A Transformer-Based Framework for Payload Malware Detection and Classification [0.0]
  ディープパケット検査(Deep Packet Inspection, DPI)は、IDSがネットワークパケットの内容を分析することを可能にする技術である。 本稿では,悪意のあるトラフィックを検出するために適応したトランスフォーマーに基づくDPIアルゴリズムを提案する。
  論文  参考訳（メタデータ） (2024-03-27T03:25:45Z)
• Breaking On-Chip Communication Anonymity using Flow Correlation Attacks [2.977255700811213]
  Network-on-Chip(NoC)システムにおいて,既存の匿名ルーティング技術を用いた機械学習(ML)ベースのフロー相関攻撃を開発し,実施する。 本稿では,アウトバウンドトラフィックトンネリングとトラフィック難読化機能を備えた,軽量な匿名ルーティングプロトコルを提案する。 このプロトコルは、MLベースのフロー相関攻撃に対して堅牢な防御を提供し、パケットレベルとフローレベルの両方の匿名性を保証するように設計されている。
  論文  参考訳（メタデータ） (2023-09-27T14:32:39Z)
• PoisonedEncoder: Poisoning the Unlabeled Pre-training Data in Contrastive Learning [69.70602220716718]
  コントラスト学習のためのデータ中毒攻撃であるPoisonedEncoderを提案する。 特に、攻撃者は未ラベルの事前訓練データに慎重に毒を盛った入力を注入する。 我々は,PoisonedEncoderに対する5つの防御効果を評価し,前処理が1つ,内処理が3つ,後処理が1つであった。
  論文  参考訳（メタデータ） (2022-05-13T00:15:44Z)
• Website fingerprinting on early QUIC traffic [12.18618920843956]
  交通分析の観点から,GQUIC,IQUIC,HTTPSのWFP攻撃に対する脆弱性について検討した。 GQUICはGQUIC、IQUIC、HTTPSの中で最も脆弱であるが、IQUICはHTTPSよりも脆弱である。
  論文  参考訳（メタデータ） (2021-01-28T08:53:51Z)
• Backdoor Attack against Speaker Verification [86.43395230456339]
  学習データを汚染することにより,話者検証モデルに隠れたバックドアを注入できることを示す。 また,既存のバックドア攻撃が話者認証攻撃に直接適用できないことも実証した。
  論文  参考訳（メタデータ） (2020-10-22T11:10:08Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)
• Practical Detection of Trojan Neural Networks: Data-Limited and Data-Free Cases [87.69818690239627]
  本稿では,データスカース方式におけるトロイの木馬ネットワーク(トロイの木馬網)検出の問題点について検討する。 本稿では,データ限定型TrojanNet検出器(TND)を提案する。 さらに,データサンプルにアクセスせずにTrojanNetを検出できるデータフリーTNDを提案する。
  論文  参考訳（メタデータ） (2020-07-31T02:00:38Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。