An evaluation of anti-evasion techniques implemented in malware analysis sandboxes and debuggers

Malware is still today a major worldwide problem. In the last years, profit became the target of malware authors and the constant digitalization growth of many companies led to a new source of gain for cybercriminals. To protect simple users and companies from cyber threats it is necessary to know and to understand them. This led to the born of malware analysis that is one of the most important methods against this threat. Due to the large number of malware samples, doing the classical steps of malware analysis manually is time-consuming for malware analysts, therefore they developed many automated malware analysis systems. Most of these systems consist of a sandbox that runs the malware in an isolated environment and provides static and behavioral information, but the battle with malware never ends, while new technologies and processes evolve rapidly to deal with it, so too do those of the attackers. Indeed these sandbox environments often leave specific artifacts which can be used by malware to determine if it is being executed in a virtual environment, therefore malware authors implement different techniques, the so-called evasion techniques that are used to evade systems analysis by the malware. On the other side, to fight back, sandbox authors try to implement different methods to detect if malware is trying to do evasion and to nullify the evasion-techniques, these methods can be called anti-evasion techniques. In this thesis, we study how the security specialists try to defeat the evasion techniques, analyzing the behavior of the most important public sandboxes available on the Internet. We also collect information about debuggers, which are important tools used during dynamic malware analysis, and how they try to defeat evasion techniques. To obtain this result, we collected, implemented, and tested more than 130 evasion-techniques. To test this thesis, we implemented a tool that allows us to apply these techniques to a malware sample at choice, in this way we can analyze directly the effectiveness of each technique against the sandboxes. Based on the results of our experiments we show the current strength of the automated malware analysis systems. We also show how certain evasion-techniques families are more useful than others against an automated analysis system, and we demonstrate how strong evasion-techniques against automated analysis systems could be instead easily detected by a human analyst.

I malware sono tutt'oggi uno dei più grandi problemi nel mondo dell'informatica, ma considerando l’attuale avanzamento tecnologico, il rapido sviluppo e il ruolo fondamentale che l'informatica sta assumendo attraverso il suo utilizzo in quasi tutti gli aspetti della nostra società e i sempre più grandi capitali che si stanno investendo nella digitalizzazione i malware non sono più solo un problema relegato al mondo IT, ma possono causare gravi danni all'economia, alla sanità e a molti altri servizi pubblici. Gli autori di malware negli ultimi anni hanno fatto del profitto il loro maggior obiettivo, organizzandosi in veri e propri gruppi criminali che sfruttano le loro conoscenze informatiche per generare profitto recando danni a banche, istituzioni o aziende private con l'utilizzo, molto spesso, di software malevoli. Questo nuovo trend ha portato alla necessità di dover analizzare e studiare i malware in modo da poter difendersi, buona parte dell’analisi dei malware però si basa sul reverse engineering manuale o sull'analisi statica, usando software come gli antivirus in grado di rilevare, tramite "signature", l’eventuale presenza di codice malevolo. Tuttavia, a causa dell'elevato numero di malware generato ogni giorno questi approcci non sono efficaci o comunque richiedono tempi eccessivamente lunghi per andare a buon termine. Per questo gli specialisti di sicurezza informatica hanno sviluppato dei tool automatici per l'analisi dei file sospetti, molti di questi tool usano una sandbox per eseguire il file in sicurezza e alcuni di loro sono gratuitamente accessibili dal web e forniscono un report basato sull’analisi comportamentale. Ma all'interno delle sandbox ci sono degli artefatti, ovvero dei file essenziali per il funzionamento della sandbox stessa, che possono essere utilizzati dai malware per determinare se sono sotto analisi o meno. Quindi per evitare quest'analisi, gli autori di malware hanno inziato a sviluppare malware evasivi, ovvero dei malware che possono capire, attraverso diverse tecniche conosciute come tecniche di evasione, se sono sotto analisi ed in quel caso nascondere la loro natura malevola. Con il lavoro sviluppato in questa tesi vogliamo valutare la resistenza dei più importanti tool per l'analisi automatica di malware gratuitamente accessibili dal web. Uno dei nostri principali obiettivi è di capire in che modo e con quali tecniche gli autori di questi tool cercano di contrastare le tecniche di evasione. Per fare ciò abbiamo raccolto e implementato più di 130 diverse tecniche di evasione e abbiamo sviluppato un tool che ci permette di applicarle ad un file qualsiasi in modo da poter testarne direttamente l'efficacia contro le analisi effettuate in sandbox. Con i risultati ottenuti dalle varie sandbox disponibili online, e dai più importanti debuggers per Windows, che abbiamo deciso di analizzare in quanto strumenti fondametali durante l'analisi dinamica dei malware, abbiamo anche classificato in base alla loro efficacia le varie tecniche di evasione.