Crave 2.0 : toward scalable and reproducible antivirus analyses

While different works tested antiviruses (AVs) with black-box approaches, none ever performed extensive testing on more than 5-6 client AVs. Our work, started from the extension of crAVe, provides a set of tools for testing potentially any number of end user AVs simultaneously. The innovation consists in giving to the researcher the possibility of performing experiments with different AVs. Opposed to popular online AVs platforms, our tools work with the AVs versions that are effectively provided to end users. In the thesis we show how to use these tools. First of all, we analyze AVs response time to zero-day malware samples and how they manage signature matching alongside the malware growth of the last years. In second place, we search for differences between the AVs implemented in our tools against one of the most popular online AVs platforms. As result, we updated the status of the art of AVs performances and provided the malware community with a set of powerful tools for testing AVs.

In un mondo in cui il numero e la pericolosit`a dei malware aumentano ad un ritmo elevato, gli antivirus hanno un ruolo primario e fondamentale nella protezione contro queste minacce. Data la loro natura chiusa e complessa, i vari tentativi di studiarne le funzionalit`a e l’efficacia sono stati effettuati con approcci black-box. Nonostante ogni giorno vengano ideate nuove tecniche capaci di estrapolare informazioni dagli antivirus, questi studi sono quasi sempre limitati dalla possibilit`a di effettuare e ripetere i test su un grande numero di antivirus. L’innovativit`a di questo lavoro consiste nel chiudere questo gap nello studio degli antivirus, creando opportuni strumenti e metodologie che consentano non solo di effettuare facilmente questi test in larga scala e su un numero elevato di antivirus, ma anche di automatizzarli e ripeterli. Sfruttando il framework opensource “crAVe” e ampliandolo, `e stato possibile realizzare un sistema in grado di raccogliere nuovi malware, scannerizzarli e classificarli. Il secondo tool realizzato, chiamato “AWesome Scan”, permette di scannerizzare i file con gli stessi antivirus che vengono rilasciati per gli utenti finali. AWesome Scan si contrappone ad altre piattaforme di scansione online che non rilasciano informazioni chiare sulle versioni degli antivirus da loro fornite. Questo lavoro mostra come `e possibile utilizzare l’insieme dei due tool realizzati al fine di raccogliere e analizzare dati sui malware e sugli antivirus. La metodologia sviluppata pu`o essere sfruttata per esperimenti di svariata natura. In questa tesi viene applicata, in primo luogo per aggiornare lo stato dell’arte relativo al tempo di risposta degli antivirus alle nuove minacce (zero-day malware). In secondo luogo, per formulare un’analisi comparativa degli antivirus forniti da una piattaforma online rispetto a quelli presenti in AWesome Scan. In conclusione, i software sviluppati e i dati raccolti in questa tesi forniscono degli strumenti utili per potenziare ricerche future riguardanti malware e antivirus.