Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Nowadays, financial institutions are innovating their services, relying always more on IT systems. If it is true that this trend improves accessibility and usability, it is also true that it exposes financial institutions to higher risks of fraud. As a result, financial cybercrime is an alarming yet effective threat. Banking Trojans and Ransomware are the most known examples of financial malware: even worldwide newspaper headlines have reported the formidable amount of damage caused by their attacks. Banking Trojans perform frauds in order to steal confidential information. In the last years, this category of malware has evolved into stealthy and powerful malicious software, improving their capabilities, such as bank transfer redirection, keylogging, remote access control, anti-debug, and obfuscation techniques. Ransomware, instead, encrypts the victim’s data and blocks access to them, unless a ransom is paid. In this thesis, we present MALwhere, a memory forensics platform for financial malware analysis and classification. It integrates and extends different tools and techniques to extract useful information from malware, not by means of reverse engineering. MALwhere automatises malware analysis: it classifies malware families and analyses their behaviour by executing them in a controlled environment and searching for artefacts left in memory. In addition, it searches for evidence of webinjection behaviour and intercepts the network communication. We evaluated MALwhere against a dataset of 2190 samples belonging to 186 different families. Our system successfully performed the memory forensic analysis on 2136 samples - about 97,5% of the dataset.

Nel contesto dell’attuale avanzamento tecnologico, il rapido sviluppo di banche e istituzioni non può prescindere dal perfezionamento delle piattaforme digitali e dei servizi offerti, su cui investire sempre più capitale. Infatti, al giorno d’oggi la maggior parte dei servizi finanziari sono facilmente accessibili da ogni parte del mondo e sono spesso supportati da ogni tipo di dispositivo. Se, da un lato, l’avanzamento tecnologico porta ad un miglioramento delle condizioni di vita, dall’altro espone maggiormente sia le istituzioni che i loro clienti a pericoli informatici. Infatti, le organizzazioni criminali implementano e vendono programmi progettati per il furto di denaro attraverso frodi online o estorsione di denaro. Nel primo caso si parla di Banking Trojans, categoria di malware di cui fanno parte ZeuS, Citadel e IceIX . Attualmente, i Banking Trojans sono piattaforme potenti, evasive e modulari, ossia capaci di effettuare attacchi mirati, realizzare furti di informazioni o denaro, controllare da remoto il computer della vittima. Nel secondo caso si parla di Ransomware, software malevoli usati per criptare i dati sul computer della vittima a cui si chiede un riscatto sotto forma di Bitcoin. Buona parte dell’analisi di malware si basa sul reverse engineering manuale e sull’analisi statica, che consiste nell’uso di software antivirus in grado di rilevare, tramite "signature", l’eventuale presenza di malware. Tuttavia, questi approcci non sono scalabili e non sono efficaci nel caso di varianti sconosciute di malware. Inoltre, il reverse engineering richiede tempi eccessivamente lunghi e conoscenza approfondita del campo, per portare a termine l’analisi in modo efficace. In questa tesi presentiamo MALwhere, una piattaforma per l’analisi forense dei malware e la loro classificazione. La nostra piattaforma automatizza l’indagine di sistemi infetti, alla ricerca delle tracce in memoria lasciate in seguito alle loro attività. MALwhere fa uso di integra ed ottimizza differenti strumenti e tecniche per analizzare le tracce lasciate dai malware dopo un’infezione: Oracle VM VirtualBox , Cuckoo sandbox, Volatility Framework, YARA, AVClass, ZBotScan64, VolDiff, YARA rules, Prometheus e RansomScan. Appoggiandosi ad alcune macchine virtuali, opportunamente "hardenate" (rese quanto più possibile simili ad una macchina reale per mitigare il problema dei malware evasivi), MALwhere automatizza l’analisi dei software malevoli suddividendola in tre fasi principali. La prima fase consiste nel Setup, in cui l’utente invia o il malware sotto forma di file eseguibile o il dump di memoria infetto, tramite l’API esposta oppure tramite una piattaforma web. In questa fase, l’utente può scegliere quali strumenti utilizzare tra quelli integrati nella piattaforma, a seconda delle proprie necessità relative a performance ed informazioni da estrarre. La seconda fase consiste nel Processing, dopo aver eseguito il malware in una macchina virtuale e averne generato il dump di memoria, MALwhere effettua le analisi richieste. In particolar modo, la piattaforma utilizza: AVClass e ZbotScan64 per effettuare la classificazione della famiglia; VolDiff per effettuare "l’analisi forense differenziale"; l’analisi differenziale di Prometheus, che individua le le modifiche sulla pagina web causate dai Banking Trojans; l’analisi yarasig, che fa uso delle YARA rules per estrarre "signature" note dal dump di memoria; infine, l’analisi di RansomScan, che cerca gli indirizzi dei portafogli BitCoin. La terza e ultima fase è quella di Results, in cui MALwhere presenta i risultati ottenuti dall’analisi automatizzata, sia sulla piattaforma web sia tramite "chiamata" alle API. MALwhere è utile agli analisti di malware perché fornisce una valida alternativa al più comune ma problematico reverse engineering, consentendo di automatizzare ed effettuare le analisi in parallelo, portando a termine in media 4 analisi in circa 18 minuti. Abbiamo testato e valutato i risultati ricavati dalle analisi di MALwhere su un dataset di 2190 malware, composto da 186 famiglie differenti. Il sistema ha classificato ed estratto informazioni utili da 2136 campioni malevoli, circa il 97,5% del totale analizzato. Il presente lavoro rientra nel progetto Ramses H2020, finanziato dal Programma Europeo per la Ricerca e l’Innovazione Horizon 2020 nel quadro di accordi di sovvenzione n° 700326. L’obiettivo di questo progetto è lo sviluppo di una piattaforma modulare in grado di facilitare le indagini forensi digitali delle forze dell’ordine, estraendo, analizzando, collegando ed interpretando le informazioni relative ai malware finanziari ricavate da Internet.

MALwhere : a memory forensics platform for financial malware analysis and classification

GIOSSI, GABRIELE OLIVIERO;MOSCA, PAOLO
2018/2019

Abstract

Nowadays, financial institutions are innovating their services, relying always more on IT systems. If it is true that this trend improves accessibility and usability, it is also true that it exposes financial institutions to higher risks of fraud. As a result, financial cybercrime is an alarming yet effective threat. Banking Trojans and Ransomware are the most known examples of financial malware: even worldwide newspaper headlines have reported the formidable amount of damage caused by their attacks. Banking Trojans perform frauds in order to steal confidential information. In the last years, this category of malware has evolved into stealthy and powerful malicious software, improving their capabilities, such as bank transfer redirection, keylogging, remote access control, anti-debug, and obfuscation techniques. Ransomware, instead, encrypts the victim’s data and blocks access to them, unless a ransom is paid. In this thesis, we present MALwhere, a memory forensics platform for financial malware analysis and classification. It integrates and extends different tools and techniques to extract useful information from malware, not by means of reverse engineering. MALwhere automatises malware analysis: it classifies malware families and analyses their behaviour by executing them in a controlled environment and searching for artefacts left in memory. In addition, it searches for evidence of webinjection behaviour and intercepts the network communication. We evaluated MALwhere against a dataset of 2190 samples belonging to 186 different families. Our system successfully performed the memory forensic analysis on 2136 samples - about 97,5% of the dataset.
ZANERO, STEFANO
CARMINATI, MICHELE
POLINO, MARIO
ING - Scuola di Ingegneria Industriale e dell'Informazione
25-lug-2019
2018/2019
Nel contesto dell’attuale avanzamento tecnologico, il rapido sviluppo di banche e istituzioni non può prescindere dal perfezionamento delle piattaforme digitali e dei servizi offerti, su cui investire sempre più capitale. Infatti, al giorno d’oggi la maggior parte dei servizi finanziari sono facilmente accessibili da ogni parte del mondo e sono spesso supportati da ogni tipo di dispositivo. Se, da un lato, l’avanzamento tecnologico porta ad un miglioramento delle condizioni di vita, dall’altro espone maggiormente sia le istituzioni che i loro clienti a pericoli informatici. Infatti, le organizzazioni criminali implementano e vendono programmi progettati per il furto di denaro attraverso frodi online o estorsione di denaro. Nel primo caso si parla di Banking Trojans, categoria di malware di cui fanno parte ZeuS, Citadel e IceIX . Attualmente, i Banking Trojans sono piattaforme potenti, evasive e modulari, ossia capaci di effettuare attacchi mirati, realizzare furti di informazioni o denaro, controllare da remoto il computer della vittima. Nel secondo caso si parla di Ransomware, software malevoli usati per criptare i dati sul computer della vittima a cui si chiede un riscatto sotto forma di Bitcoin. Buona parte dell’analisi di malware si basa sul reverse engineering manuale e sull’analisi statica, che consiste nell’uso di software antivirus in grado di rilevare, tramite "signature", l’eventuale presenza di malware. Tuttavia, questi approcci non sono scalabili e non sono efficaci nel caso di varianti sconosciute di malware. Inoltre, il reverse engineering richiede tempi eccessivamente lunghi e conoscenza approfondita del campo, per portare a termine l’analisi in modo efficace. In questa tesi presentiamo MALwhere, una piattaforma per l’analisi forense dei malware e la loro classificazione. La nostra piattaforma automatizza l’indagine di sistemi infetti, alla ricerca delle tracce in memoria lasciate in seguito alle loro attività. MALwhere fa uso di integra ed ottimizza differenti strumenti e tecniche per analizzare le tracce lasciate dai malware dopo un’infezione: Oracle VM VirtualBox , Cuckoo sandbox, Volatility Framework, YARA, AVClass, ZBotScan64, VolDiff, YARA rules, Prometheus e RansomScan. Appoggiandosi ad alcune macchine virtuali, opportunamente "hardenate" (rese quanto più possibile simili ad una macchina reale per mitigare il problema dei malware evasivi), MALwhere automatizza l’analisi dei software malevoli suddividendola in tre fasi principali. La prima fase consiste nel Setup, in cui l’utente invia o il malware sotto forma di file eseguibile o il dump di memoria infetto, tramite l’API esposta oppure tramite una piattaforma web. In questa fase, l’utente può scegliere quali strumenti utilizzare tra quelli integrati nella piattaforma, a seconda delle proprie necessità relative a performance ed informazioni da estrarre. La seconda fase consiste nel Processing, dopo aver eseguito il malware in una macchina virtuale e averne generato il dump di memoria, MALwhere effettua le analisi richieste. In particolar modo, la piattaforma utilizza: AVClass e ZbotScan64 per effettuare la classificazione della famiglia; VolDiff per effettuare "l’analisi forense differenziale"; l’analisi differenziale di Prometheus, che individua le le modifiche sulla pagina web causate dai Banking Trojans; l’analisi yarasig, che fa uso delle YARA rules per estrarre "signature" note dal dump di memoria; infine, l’analisi di RansomScan, che cerca gli indirizzi dei portafogli BitCoin. La terza e ultima fase è quella di Results, in cui MALwhere presenta i risultati ottenuti dall’analisi automatizzata, sia sulla piattaforma web sia tramite "chiamata" alle API. MALwhere è utile agli analisti di malware perché fornisce una valida alternativa al più comune ma problematico reverse engineering, consentendo di automatizzare ed effettuare le analisi in parallelo, portando a termine in media 4 analisi in circa 18 minuti. Abbiamo testato e valutato i risultati ricavati dalle analisi di MALwhere su un dataset di 2190 malware, composto da 186 famiglie differenti. Il sistema ha classificato ed estratto informazioni utili da 2136 campioni malevoli, circa il 97,5% del totale analizzato. Il presente lavoro rientra nel progetto Ramses H2020, finanziato dal Programma Europeo per la Ricerca e l’Innovazione Horizon 2020 nel quadro di accordi di sovvenzione n° 700326. L’obiettivo di questo progetto è lo sviluppo di una piattaforma modulare in grado di facilitare le indagini forensi digitali delle forze dell’ordine, estraendo, analizzando, collegando ed interpretando le informazioni relative ai malware finanziari ricavate da Internet.
Tesi di laurea Magistrale
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2019_07_Giossi_Mosca.pdf

accessibile in internet per tutti

Descrizione: Testo della tesi
Dimensione 7.67 MB
Formato Adobe PDF
Visualizza/Apri
7.67 MB Adobe PDF Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/148525