Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Software is involved in every aspect of our world, from our homes to large enterprises, and, in particular, it manages our data. As a consequence, software abuses can drastically impact our lives, for instance causing substantial financial losses or affecting people’s privacy. This raised the attention of cybercriminals, who found in this scenario a lucrative business. In fact, in the past twenty years the motivation behind the cybercriminals’ modus operandi has changed. No longer searching only for notoriety and fame, they have turned their attention to financial gain. Indeed malicious software, “malware,” is one of the most dangerous Internet threat nowadays. This dissertation details our research on the analysis and detection of the current software abuses, with the aim of protecting users from such threats. Specifically, we focus on three main threats, which have been the cause of billion dollars losses in the past years. First, we concentrate on information-stealing malware, also known as “banking Trojans.” The purpose of these Trojans is to steal banking credentials and any other kind of private information by loading code in memory and hooking the network-related operating-system APIs used by web browsers. Second, we focus on a major class of malware, known as ransomware, which encrypts files, preventing legitimate access until a ransom is paid. Finally, we analyze the privacy issues in the mobile world by studying the problem of privacy leaks. Mobile apps are notorious for collecting a wealth of private information from users. Such information is particularly attractive. For instance, cybercriminals are known to sell users’ private information on the underground markets, and advertisement libraries massively collect users’ data to illicitly increase their profits. Our contributions regarding banking Trojans focus on extracting robust, behavioral signatures of their malicious behavior, by combining web-page differential analysis and memory forensics techniques. The produced signatures can then be used, on the client side, to detect such Trojans in a more generic way, independently from their specific implementation, and protect victims’ machines. Our contributions regarding ransomware focus on designing behavioral detection models and proposing a novel defense mechanism to mitigate its effectiveness by equipping modern operating systems with practical self-healing capabilities. We designed our detection models after an analysis of billions of low-level, I/O filesystem requests generated by thousands of benign applications, which we collected from clean machines in use by real users for about one month. Our contributions regarding mobile privacy leaks focus on proposing a novel, obfuscation-resilient approach to detect privacy leaks by applying network differential analysis. To make differential analysis practical, our approach leverages a novel technique that performs root cause analysis of non-determinism in the network behavior of Android apps.

Oggigiorno il software è coinvolto in ogni aspetto del nostro mondo, dalle nostre case alle grandi industrie, ed, in particolare, gestisce i nostri dati. Di conseguenza, abusi del software possono avere un impatto drastico sulle nostre vite, ad esempio causando ingenti perdite economiche o violando la privacy delle persone. Tutto ciò ha attirato l’attenzione dei cybercriminali, che hanno trovato in questo scenario un business lucrativo; negli ultimi venti anni le motivazioni del modus operandi dei cybercriminali sono cambiate, infatti essi non cercano più solamente notorietà e fama, ma hanno rivolto la loro attenzione a guadagni illeciti. Difatti oggi il software malevolo, “malware,” è una delle minacce più pericolose di Internet. Questa tesi illustra le nostre ricerche sull’analisi e la rilevazione degli attuali abusi del software, allo scopo di proteggere gli utenti da tali minacce. In particolare, ci concentriamo su tre principali minacce, che sono state la causa principale di perdite di miliardi di dollari negli ultimi anni. Innanzitutto, ci concentriamo su information-stealing malware, noti anche come “banking Trojans.” L’obiettivo di questi Trojans è quello di rubare le credenziali bancarie e qualsiasi altro tipo di informazione privata caricando codice malevolo in memoria ed intercettando le chiamate alle API di rete utilizzate dai browser web. In secondo luogo, ci concentriamo su una grande classe di malware, conosciuta come “ransomware,” che cifra i file impedendone l’accesso legittimo fino al momento in cui non viene pagato un riscatto. Infine, analizziamo le problematiche della privacy nel mondo mobile studiando il problema dei privacy leaks. Le app mobile sono note per raccogliere un gran numero di informazioni riservate degli utenti; tali informazioni hanno, dal punto di vista economico, un grandissimo valore. Ad esempio, i criminali informatici sono noti per vendere informazioni private degli utenti sui mercati underground, e le librerie pubblicitarie raccolgono massicciamente tali dati degli utenti per incrementare illecitamente i loro profitti. I nostri contributi riguardo i banking Trojans si concentrano sull’estrazione di robuste signature comportamentali, combinando web-page differential analysis con tecniche di ispezione forense della memoria. Le signature prodotte possono quindi essere utilizzate, sul lato client, per individuare tali Trojan in un modo più generico ed indipendentemente dalla loro specifica implementazione, così da proteggere le macchine degli utenti. I nostri contributi relativi a ransomware si concentrano sulla progettazione di modelli di rilevamento comportamentali e di un nuovo meccanismo di difesa per mitigare l’efficacia di questi attacchi; per fare ciò abbiamo dotato i moderni sistemi operativi di funzionalità di auto-guarigione (self-healing). Abbiamo progettato i nostri modelli di rilevazione dopo un’analisi di miliardi di operazioni I/O a basso livello sul filesystem, generate da migliaia di applicazioni benigne, che abbiamo raccolto da macchine pulite in uso da parte di utenti reali per circa un mese. I nostri contributi su mobile privacy leak si concentrano sulla proposta di un nuovo approccio per rilevare privacy leak in modo resiliente a tecniche di offuscamento, applicando network differential analysis. Per rendere pratico l’uso della differential analysis il nostro approccio sfrutta una nuova tecnica che esegue un’analisi delle cause principali di non-determinismo nel comportamento di rete delle applicazioni Android.

Defending from financially-motivated software abuses

CONTINELLA, ANDREA

Abstract

Software is involved in every aspect of our world, from our homes to large enterprises, and, in particular, it manages our data. As a consequence, software abuses can drastically impact our lives, for instance causing substantial financial losses or affecting people’s privacy. This raised the attention of cybercriminals, who found in this scenario a lucrative business. In fact, in the past twenty years the motivation behind the cybercriminals’ modus operandi has changed. No longer searching only for notoriety and fame, they have turned their attention to financial gain. Indeed malicious software, “malware,” is one of the most dangerous Internet threat nowadays. This dissertation details our research on the analysis and detection of the current software abuses, with the aim of protecting users from such threats. Specifically, we focus on three main threats, which have been the cause of billion dollars losses in the past years. First, we concentrate on information-stealing malware, also known as “banking Trojans.” The purpose of these Trojans is to steal banking credentials and any other kind of private information by loading code in memory and hooking the network-related operating-system APIs used by web browsers. Second, we focus on a major class of malware, known as ransomware, which encrypts files, preventing legitimate access until a ransom is paid. Finally, we analyze the privacy issues in the mobile world by studying the problem of privacy leaks. Mobile apps are notorious for collecting a wealth of private information from users. Such information is particularly attractive. For instance, cybercriminals are known to sell users’ private information on the underground markets, and advertisement libraries massively collect users’ data to illicitly increase their profits. Our contributions regarding banking Trojans focus on extracting robust, behavioral signatures of their malicious behavior, by combining web-page differential analysis and memory forensics techniques. The produced signatures can then be used, on the client side, to detect such Trojans in a more generic way, independently from their specific implementation, and protect victims’ machines. Our contributions regarding ransomware focus on designing behavioral detection models and proposing a novel defense mechanism to mitigate its effectiveness by equipping modern operating systems with practical self-healing capabilities. We designed our detection models after an analysis of billions of low-level, I/O filesystem requests generated by thousands of benign applications, which we collected from clean machines in use by real users for about one month. Our contributions regarding mobile privacy leaks focus on proposing a novel, obfuscation-resilient approach to detect privacy leaks by applying network differential analysis. To make differential analysis practical, our approach leverages a novel technique that performs root cause analysis of non-determinism in the network behavior of Android apps.
ZANERO, STEFANO
BONARINI, ANDREA
BONARINI, ANDREA
29-mar-2018
Oggigiorno il software è coinvolto in ogni aspetto del nostro mondo, dalle nostre case alle grandi industrie, ed, in particolare, gestisce i nostri dati. Di conseguenza, abusi del software possono avere un impatto drastico sulle nostre vite, ad esempio causando ingenti perdite economiche o violando la privacy delle persone. Tutto ciò ha attirato l’attenzione dei cybercriminali, che hanno trovato in questo scenario un business lucrativo; negli ultimi venti anni le motivazioni del modus operandi dei cybercriminali sono cambiate, infatti essi non cercano più solamente notorietà e fama, ma hanno rivolto la loro attenzione a guadagni illeciti. Difatti oggi il software malevolo, “malware,” è una delle minacce più pericolose di Internet. Questa tesi illustra le nostre ricerche sull’analisi e la rilevazione degli attuali abusi del software, allo scopo di proteggere gli utenti da tali minacce. In particolare, ci concentriamo su tre principali minacce, che sono state la causa principale di perdite di miliardi di dollari negli ultimi anni. Innanzitutto, ci concentriamo su information-stealing malware, noti anche come “banking Trojans.” L’obiettivo di questi Trojans è quello di rubare le credenziali bancarie e qualsiasi altro tipo di informazione privata caricando codice malevolo in memoria ed intercettando le chiamate alle API di rete utilizzate dai browser web. In secondo luogo, ci concentriamo su una grande classe di malware, conosciuta come “ransomware,” che cifra i file impedendone l’accesso legittimo fino al momento in cui non viene pagato un riscatto. Infine, analizziamo le problematiche della privacy nel mondo mobile studiando il problema dei privacy leaks. Le app mobile sono note per raccogliere un gran numero di informazioni riservate degli utenti; tali informazioni hanno, dal punto di vista economico, un grandissimo valore. Ad esempio, i criminali informatici sono noti per vendere informazioni private degli utenti sui mercati underground, e le librerie pubblicitarie raccolgono massicciamente tali dati degli utenti per incrementare illecitamente i loro profitti. I nostri contributi riguardo i banking Trojans si concentrano sull’estrazione di robuste signature comportamentali, combinando web-page differential analysis con tecniche di ispezione forense della memoria. Le signature prodotte possono quindi essere utilizzate, sul lato client, per individuare tali Trojan in un modo più generico ed indipendentemente dalla loro specifica implementazione, così da proteggere le macchine degli utenti. I nostri contributi relativi a ransomware si concentrano sulla progettazione di modelli di rilevamento comportamentali e di un nuovo meccanismo di difesa per mitigare l’efficacia di questi attacchi; per fare ciò abbiamo dotato i moderni sistemi operativi di funzionalità di auto-guarigione (self-healing). Abbiamo progettato i nostri modelli di rilevazione dopo un’analisi di miliardi di operazioni I/O a basso livello sul filesystem, generate da migliaia di applicazioni benigne, che abbiamo raccolto da macchine pulite in uso da parte di utenti reali per circa un mese. I nostri contributi su mobile privacy leak si concentrano sulla proposta di un nuovo approccio per rilevare privacy leak in modo resiliente a tecniche di offuscamento, applicando network differential analysis. Per rendere pratico l’uso della differential analysis il nostro approccio sfrutta una nuova tecnica che esegue un’analisi delle cause principali di non-determinismo nel comportamento di rete delle applicazioni Android.
Tesi di dottorato
Tesi di Dottorato
File allegati
File Dimensione Formato  
thesis.pdf

accessibile in internet per tutti

Descrizione: thesis PDF
Dimensione 4.34 MB
Formato Adobe PDF
Visualizza/Apri
4.34 MB Adobe PDF Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/139251