Malware analysis is the complex practice of detecting and studying malicious software samples to develop countermeasures and protect end users and companies from new threats. Due to the size of the criminal industry profiting from malware there is a large volume of new malware samples appearing on the Internet every day. To be able to efficiently analyze this large amount of samples, we need to employ automatic analysis methods. In this work, we present SysTaint, a new semi-automated analysis tool to help malware researchers rapidly obtaining information on the internal functions of a software sample that are related to a given observed behavior. In particular, we address the specific challenges in studying malware whose behavior relies on communicating with servers under the control of malicious actors. We implemented SysTaint on top of the PANDA analysis platform, and we tested it by employing it to study four banking Trojan samples, successfully bypassing the use of encryption and locating the malware code processing the data being sent through the network.

L'analisi dei malware è la complessa pratica di rilevare e studiare campioni di software malevoli allo scopo di sviluppare contromisure e proteggere utenti e aziende da nuove minacce. A causa delle dimensioni dell'industria criminale che trae profitto dai malware, su Internet compaiono ogni giorno grandi quantità di nuovi campioni di malware da analizzare. Per studiare questi campioni in tempi brevi ed in larga scala, i ricercatori nel campo della sicurezza informatica sono assistiti da metodi di analisi automatizzata. In questo lavoro presentiamo SysTaint, uno strumento semi-automatizzato di analisi che permette al ricercatore di ottenere rapidamente informazioni sulle funzioni interne di un campione di software relative a un dato comportamento osservato. In particolare miriamo a superare le difficoltà specifiche dello studio di malware che comunicano con server sotto il controllo di attori malevoli. Abbiamo implementato SysTaint sulla piattaforma di analisi PANDA e lo abbiamo testato impiegandolo per lo studio di quattro campioni di trojan bancari, superando con successo l'uso di tecniche di cifratura ed individuando il codice malevolo che processa i dati inviati su Internet.

SysTaint : assisting reversing of malicious network communications

VIGLIANISI, GABRIELE
2016/2017

Abstract

Malware analysis is the complex practice of detecting and studying malicious software samples to develop countermeasures and protect end users and companies from new threats. Due to the size of the criminal industry profiting from malware there is a large volume of new malware samples appearing on the Internet every day. To be able to efficiently analyze this large amount of samples, we need to employ automatic analysis methods. In this work, we present SysTaint, a new semi-automated analysis tool to help malware researchers rapidly obtaining information on the internal functions of a software sample that are related to a given observed behavior. In particular, we address the specific challenges in studying malware whose behavior relies on communicating with servers under the control of malicious actors. We implemented SysTaint on top of the PANDA analysis platform, and we tested it by employing it to study four banking Trojan samples, successfully bypassing the use of encryption and locating the malware code processing the data being sent through the network.
CONTINELLA, ANDREA
ING - Scuola di Ingegneria Industriale e dell'Informazione
19-apr-2018
2016/2017
L'analisi dei malware è la complessa pratica di rilevare e studiare campioni di software malevoli allo scopo di sviluppare contromisure e proteggere utenti e aziende da nuove minacce. A causa delle dimensioni dell'industria criminale che trae profitto dai malware, su Internet compaiono ogni giorno grandi quantità di nuovi campioni di malware da analizzare. Per studiare questi campioni in tempi brevi ed in larga scala, i ricercatori nel campo della sicurezza informatica sono assistiti da metodi di analisi automatizzata. In questo lavoro presentiamo SysTaint, uno strumento semi-automatizzato di analisi che permette al ricercatore di ottenere rapidamente informazioni sulle funzioni interne di un campione di software relative a un dato comportamento osservato. In particolare miriamo a superare le difficoltà specifiche dello studio di malware che comunicano con server sotto il controllo di attori malevoli. Abbiamo implementato SysTaint sulla piattaforma di analisi PANDA e lo abbiamo testato impiegandolo per lo studio di quattro campioni di trojan bancari, superando con successo l'uso di tecniche di cifratura ed individuando il codice malevolo che processa i dati inviati su Internet.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2018_04_Viglianisi.pdf

non accessibile

Descrizione: Testo della tesi
Dimensione 1.51 MB
Formato Adobe PDF
1.51 MB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/140273