Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

During the past two years mobile devices have become a target of ransomware attacks, too. This class of malware aims at blackmailing victims by preventing them from accessing their data, typically via encryption or locking of the target device, and asking for a payment to bring the device back in a working state. State-of-the-art solutions identify ransomware samples by recognizing distinguishing features (e.g., by detecting locking techniques). However, their quality strongly depends on the robustness of the feature models. Through an in-depth analysis of about one hundred samples of currently active ransomware apps, totaling ten families, I concluded that most of them pass undetected by state-of-the-art tools, which are, hence, no longer adequate to this purpose. For instance, they overlook “reflection” and device administration APIs abuse, which are commonly used by modern ransomware, and do not take into account the nature of the encryption-related operation (i.e., if it is an encryption or a decryption), which does not affect the true positive rate, but can increase the number of false positives. With this work I propose to analyze a comprehensive set of features that characterize modern ransomware families more precisely, avoiding on the one hand to omit positive samples, and on the other hand to misclassify those applications that are similar to ransomware, but are actually innocuous. The features I propose can be extracted statically, and include the abuse of the Device Administration APIs (which has a growing diffusion in modern ransomware families) and the recognition of new techniques that ransomware use to encrypt files. In particular, I improved the encryption detector also to make sure that an application perform an encryption operation instead of a decryption one, because the latter is typically harmless and used by benign applications. In addition, I propose a heuristic procedure to statically identify the most common patterns to invoke methods via “reflection”, a technique that is used by ransomware and malware in general to try evading AVs or other kinds of detectors. I, finally, experimentally evaluated the resulting system on different datasets composed by thousands of samples of goodware, generic malware and ransomware applications. Results show that the new system can correctly identify more ransomware instances than state of the art, keeping the false negatives rate at acceptable levels (around 1.3%).

Negli ultimi anni anche i dispositivi mobili sono diventati l’obiettivo di attacchi ransomware. Questa recente tipologia di malware tenta di estorcere denaro alle proprie vittime impedendo loro il normale utilizzo del proprio dispositivo, che viene tipicamente tenuto in ostaggio fino a quando la vittima non ha pagato il riscatto. Le tecniche principali attraverso le quali il dispositivo viene reso inutilizzabile comprendono la cifratura dei file in esso memorizzati, l’imposizione di una schermata di blocco, nella maggior parte dei casi contenente la richiesta di riscatto, oppure il cambio del codice di sblocco, per citarne alcune. Il sistema che si ritiene essere lo stato dell’arte cerca di identificare i ransomware attraverso il riconoscimento delle loro caratteristiche principali, ovvero l’esposizione di un messaggio di minaccia, l’utilizzo di tecniche di blocco del dispositivo e la cifratura dei file. La capacità di questo sistema di individuare correttamente istanze di ransomware, dunque, dipende dalla robustezza di tali caratteristiche. Attraverso l’approfondita analisi di circa un centinaio di campioni provenienti da dieci famiglie diverse di ransomware, ho potuto constatare che il sistema attuale non è in grado di riconoscere le più recenti, ed è, quindi, non più completamente adeguato. Ad esempio, non tiene in considerazione la possibilità di un abuso delle API di amministrazione del dispositivo, l’utilizzo di tecniche di “reflection” e la natura dell’operazione legata alla cifratura (in altre parole, se l’operazione effettuata è una cifratura o una decifratura), aspetti che possono incidere sia sul numero di falsi negativi che di falsi positivi. Con questo lavoro propongo di analizzare un insieme di caratteristiche che contraddistinguono i ransomware moderni in maniera più precisa, evitando da un lato di trascurare i campioni positivi e dall’altro di mal classificare quelle applicazioni che possiedono tratti simili a quelli dei ransomware ma che, in realtà, sono innocue. Le caratteristiche che propongo possono essere estratte in maniera statica, e includono l’abuso delle API di amministrazione del dispositivo (il cui utilizzo sta acquisendo una maggior diffusione nelle famiglie di ransomware più recenti) e il riconoscimento delle nuove tecniche usate per cifrare i file. Nello specifico, ho migliorato il componente che si occupa di rilevare cifrature di file affinché tenga in considerazione anche la natura dell’operazione, in modo da considerare solamente le parti di codice che effettuano una cifratura vera e propria, in quanto la decifratura è un’operazione normalmente innocua e utilizzata principalmente da applicazioni benigne. Propongo, inoltre, un’euristica per identificare staticamente gli schemi più diffusi per l’invocazione di metodi tramite “reflection”, una tecnica che sta acquisendo maggior diffusione fra i ransomware e, in generale, fra i malware, ai fini di evasione. Infine, ho valutato sperimentalmente il sistema su diversi insiemi di istanze di ransomware, malware generici e applicazioni benigne. I risultati mostrano che questo nuovo sistema è in grado di riconoscere correttamente una quantità maggiore di campioni rispetto allo stato dell’arte, mantenendo il tasso di falsi negativi a livelli accettabili, intorno all’1.3%.

Talos : precise and fast detection of modern mobile ransomware

DELLAROCCA, NICOLA
2015/2016

Abstract

During the past two years mobile devices have become a target of ransomware attacks, too. This class of malware aims at blackmailing victims by preventing them from accessing their data, typically via encryption or locking of the target device, and asking for a payment to bring the device back in a working state. State-of-the-art solutions identify ransomware samples by recognizing distinguishing features (e.g., by detecting locking techniques). However, their quality strongly depends on the robustness of the feature models. Through an in-depth analysis of about one hundred samples of currently active ransomware apps, totaling ten families, I concluded that most of them pass undetected by state-of-the-art tools, which are, hence, no longer adequate to this purpose. For instance, they overlook “reflection” and device administration APIs abuse, which are commonly used by modern ransomware, and do not take into account the nature of the encryption-related operation (i.e., if it is an encryption or a decryption), which does not affect the true positive rate, but can increase the number of false positives. With this work I propose to analyze a comprehensive set of features that characterize modern ransomware families more precisely, avoiding on the one hand to omit positive samples, and on the other hand to misclassify those applications that are similar to ransomware, but are actually innocuous. The features I propose can be extracted statically, and include the abuse of the Device Administration APIs (which has a growing diffusion in modern ransomware families) and the recognition of new techniques that ransomware use to encrypt files. In particular, I improved the encryption detector also to make sure that an application perform an encryption operation instead of a decryption one, because the latter is typically harmless and used by benign applications. In addition, I propose a heuristic procedure to statically identify the most common patterns to invoke methods via “reflection”, a technique that is used by ransomware and malware in general to try evading AVs or other kinds of detectors. I, finally, experimentally evaluated the resulting system on different datasets composed by thousands of samples of goodware, generic malware and ransomware applications. Results show that the new system can correctly identify more ransomware instances than state of the art, keeping the false negatives rate at acceptable levels (around 1.3%).
MAGGI, FEDERICO
ZHENG, CHENGYU
ING - Scuola di Ingegneria Industriale e dell'Informazione
28-lug-2016
2015/2016
Negli ultimi anni anche i dispositivi mobili sono diventati l’obiettivo di attacchi ransomware. Questa recente tipologia di malware tenta di estorcere denaro alle proprie vittime impedendo loro il normale utilizzo del proprio dispositivo, che viene tipicamente tenuto in ostaggio fino a quando la vittima non ha pagato il riscatto. Le tecniche principali attraverso le quali il dispositivo viene reso inutilizzabile comprendono la cifratura dei file in esso memorizzati, l’imposizione di una schermata di blocco, nella maggior parte dei casi contenente la richiesta di riscatto, oppure il cambio del codice di sblocco, per citarne alcune. Il sistema che si ritiene essere lo stato dell’arte cerca di identificare i ransomware attraverso il riconoscimento delle loro caratteristiche principali, ovvero l’esposizione di un messaggio di minaccia, l’utilizzo di tecniche di blocco del dispositivo e la cifratura dei file. La capacità di questo sistema di individuare correttamente istanze di ransomware, dunque, dipende dalla robustezza di tali caratteristiche. Attraverso l’approfondita analisi di circa un centinaio di campioni provenienti da dieci famiglie diverse di ransomware, ho potuto constatare che il sistema attuale non è in grado di riconoscere le più recenti, ed è, quindi, non più completamente adeguato. Ad esempio, non tiene in considerazione la possibilità di un abuso delle API di amministrazione del dispositivo, l’utilizzo di tecniche di “reflection” e la natura dell’operazione legata alla cifratura (in altre parole, se l’operazione effettuata è una cifratura o una decifratura), aspetti che possono incidere sia sul numero di falsi negativi che di falsi positivi. Con questo lavoro propongo di analizzare un insieme di caratteristiche che contraddistinguono i ransomware moderni in maniera più precisa, evitando da un lato di trascurare i campioni positivi e dall’altro di mal classificare quelle applicazioni che possiedono tratti simili a quelli dei ransomware ma che, in realtà, sono innocue. Le caratteristiche che propongo possono essere estratte in maniera statica, e includono l’abuso delle API di amministrazione del dispositivo (il cui utilizzo sta acquisendo una maggior diffusione nelle famiglie di ransomware più recenti) e il riconoscimento delle nuove tecniche usate per cifrare i file. Nello specifico, ho migliorato il componente che si occupa di rilevare cifrature di file affinché tenga in considerazione anche la natura dell’operazione, in modo da considerare solamente le parti di codice che effettuano una cifratura vera e propria, in quanto la decifratura è un’operazione normalmente innocua e utilizzata principalmente da applicazioni benigne. Propongo, inoltre, un’euristica per identificare staticamente gli schemi più diffusi per l’invocazione di metodi tramite “reflection”, una tecnica che sta acquisendo maggior diffusione fra i ransomware e, in generale, fra i malware, ai fini di evasione. Infine, ho valutato sperimentalmente il sistema su diversi insiemi di istanze di ransomware, malware generici e applicazioni benigne. I risultati mostrano che questo nuovo sistema è in grado di riconoscere correttamente una quantità maggiore di campioni rispetto allo stato dell’arte, mantenendo il tasso di falsi negativi a livelli accettabili, intorno all’1.3%.
Tesi di laurea Magistrale
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2016_07_Dellarocca.pdf

non accessibile

Descrizione: Testo della tesi
Dimensione 2.81 MB
Formato Adobe PDF
  Visualizza/Apri
2.81 MB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/123871