Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Malicious software, or malware, are one of the most serious threats related to computer systems. Every day the number of threats dramatically increase since malware authors are motivated by the financial gains. Being able to quickly analyze and understand the behavior of those threats is key to move forward in this adversarial battle. Analysts employ techniques mainly belonging to two general categories: static and dynamic analysis. Static methods analyze the code of a malware, they have full code coverage but they are slow and they can be easily rendered ineffective by obfuscation or packing techniques. Dynamic methods analyze the execution flow of a running program but some malware can avoid this kind of analysis by refusing to execute in a controlled environment. It is possible to combine these two methods, performing what is called hybrid analysis: a technique that exploits the advantages of static and dynamic analysis while, at the same time, mitigating their shortcomings. The complexity of the reverse engineering task, that requires a large skill set, and the large number of malicious samples compared to the number of analysts are major disadvantages toward the goal of finding signatures to detect malware. Hereby, we present a tool that allows to take advantage of the analyses results of Jackdaw, a tool that performs hybrid analysis, in a reverse engineering task on a malware, showing the behaviors and their semantic descriptions that are implemented in the sample, in order to help the analysts performing static analysis. Moreover, our tool renders Jackdaw partially crowd-sourced, allowing analysts to improve the behaviors by adding or editing their descriptions.

I programmi malevoli, o malware, sono una delle minacce principali ai sistemi informatici. Ogni giorno il numero di minacce aumenta drammaticamente poiché gli autori di malware sono motivati dai guadagni finanziari. Essere in grado di analizzare velocemente e capire i comportamenti di queste minacce è un elemento chiave per poter avanzare in questa battaglia. Gli analisti impiegano tecniche che appartengono principalmente a due categorie generali: analisi statica e dinamica. I metodi di analisi statica analizzano il codice di un malware, hanno una copertura del codice completa ma sono lenti e possono facilmente essere resi inefficaci da tecniche di offuscamento o compressione. I metodi dinamici analizzano il flusso di esecuzione in un ambiente controllato ma alcuni malware possono evitare questo tipo di analisi inibendosi in ambienti di questo tipo. È possibile combinare questi due metodi di analisi, eseguendo quella che è chiamata analisi ibrida, sfruttando i vantaggi di entrambi e riducendo allo stesso tempo i loro difetti. La complessità del processo di ingegneria inversa, che richiede un ampio insieme di competenze, e il gran numero di campioni malevoli rispetto al numero di analisti, sono un grave svantaggio verso l'obiettivo di trovare delle firme per individuare i malware. Con questo lavoro presentiamo uno strumento che permette di trarre vantaggio dai risultati di analisi di Jackdaw, uno strumento che esegue analisi ibrida, durante il processo di ingegneria inversa su un malware, mostrando i comportamenti e le loro descrizioni semantiche che sono implementati nel campione, con l'obiettivo di aiutare un analista nel processo di analisi statica. Inoltre, il nostro strumento rende Jackdaw parzialmente crowd-sourced, permettendo agli analisti di migliorare i comportamenti aggiungendo o modificando le loro descrizioni.

Hybrid malware analysis interface to simplify reverse engineering and crowd-sourcing

TIRONI, EMANUELE
2015/2016

Abstract

Malicious software, or malware, are one of the most serious threats related to computer systems. Every day the number of threats dramatically increase since malware authors are motivated by the financial gains. Being able to quickly analyze and understand the behavior of those threats is key to move forward in this adversarial battle. Analysts employ techniques mainly belonging to two general categories: static and dynamic analysis. Static methods analyze the code of a malware, they have full code coverage but they are slow and they can be easily rendered ineffective by obfuscation or packing techniques. Dynamic methods analyze the execution flow of a running program but some malware can avoid this kind of analysis by refusing to execute in a controlled environment. It is possible to combine these two methods, performing what is called hybrid analysis: a technique that exploits the advantages of static and dynamic analysis while, at the same time, mitigating their shortcomings. The complexity of the reverse engineering task, that requires a large skill set, and the large number of malicious samples compared to the number of analysts are major disadvantages toward the goal of finding signatures to detect malware. Hereby, we present a tool that allows to take advantage of the analyses results of Jackdaw, a tool that performs hybrid analysis, in a reverse engineering task on a malware, showing the behaviors and their semantic descriptions that are implemented in the sample, in order to help the analysts performing static analysis. Moreover, our tool renders Jackdaw partially crowd-sourced, allowing analysts to improve the behaviors by adding or editing their descriptions.
ZANERO, STEFANO
POLINO, MARIO
ING - Scuola di Ingegneria Industriale e dell'Informazione
28-apr-2017
2015/2016
I programmi malevoli, o malware, sono una delle minacce principali ai sistemi informatici. Ogni giorno il numero di minacce aumenta drammaticamente poiché gli autori di malware sono motivati dai guadagni finanziari. Essere in grado di analizzare velocemente e capire i comportamenti di queste minacce è un elemento chiave per poter avanzare in questa battaglia. Gli analisti impiegano tecniche che appartengono principalmente a due categorie generali: analisi statica e dinamica. I metodi di analisi statica analizzano il codice di un malware, hanno una copertura del codice completa ma sono lenti e possono facilmente essere resi inefficaci da tecniche di offuscamento o compressione. I metodi dinamici analizzano il flusso di esecuzione in un ambiente controllato ma alcuni malware possono evitare questo tipo di analisi inibendosi in ambienti di questo tipo. È possibile combinare questi due metodi di analisi, eseguendo quella che è chiamata analisi ibrida, sfruttando i vantaggi di entrambi e riducendo allo stesso tempo i loro difetti. La complessità del processo di ingegneria inversa, che richiede un ampio insieme di competenze, e il gran numero di campioni malevoli rispetto al numero di analisti, sono un grave svantaggio verso l'obiettivo di trovare delle firme per individuare i malware. Con questo lavoro presentiamo uno strumento che permette di trarre vantaggio dai risultati di analisi di Jackdaw, uno strumento che esegue analisi ibrida, durante il processo di ingegneria inversa su un malware, mostrando i comportamenti e le loro descrizioni semantiche che sono implementati nel campione, con l'obiettivo di aiutare un analista nel processo di analisi statica. Inoltre, il nostro strumento rende Jackdaw parzialmente crowd-sourced, permettendo agli analisti di migliorare i comportamenti aggiungendo o modificando le loro descrizioni.
Tesi di laurea Magistrale
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2016_04_Tironi.pdf

accessibile in internet per tutti

Descrizione: Thesis text
Dimensione 765.66 kB
Formato Adobe PDF
Visualizza/Apri
765.66 kB Adobe PDF Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/133909