Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

This thesis outlines the motivation and necessity to develop an advanced analysis envi- ronment based on the CAPEv2 sandbox, specifically modified for detecting and analyz- ing malware targeting cookies. The proposed solution includes the creation of a highly customized Windows 10 guest system designed to be as vulnerable as possible, thereby allowing a detailed study of the behavior and characteristics of the analyzed malware. By examining a dataset of approximately 5,000 malware samples, distinct behavioral pat- terns were identified, which then informed the development of custom detection signatures focusing on various aspects of cookie theft, such as unauthorized file access, misuse of de- compression APIs, in-memory data extraction, and network anomalies. The combined use of these targeted signatures improves forensic evidence and overall malware analysis efficiency while reducing false positives. Nevertheless, the system does exhibit some limitations. For instance, the resource- conserving configuration adopted during the initial screening phase and the reliance on simulated environments may sometimes miss subtle malicious behaviors. Future enhance- ments could involve integrating machine learning algorithms, dynamic thresholding, and real-time threat intelligence feeds to further refine detection capabilities. Additionally, the solution’s scalability and adaptability—ensured through virtualization using Proxmox and QEMU/KVM—allow it to efficiently handle a high volume of analyses in parallel and adapt continuously to new malware tactics through regular updates of the custom detec- tion rules. This makes the proposed sandbox a practical and versatile tool for modern cybersecurity operations.

Questa tesi descrive l’idea e la necessità di creare un ambiente di analisi avanzato basato su una sandbox, in particolare CAPEv2, opportunamente modificato per la rilevazione e l’analisi di malware mirati al furto di cookie. La soluzione proposta prevede la creazione di un guest Windows 10 altamente customizzato, progettato per esporsi al maggior numero di vulnerabilità, al fine di studiare in dettaglio il comportamento dei malware analizzati. Attraverso l’analisi di un dataset composto da circa 5.000 campioni di malware, sono stati identificati pattern specifici che hanno permesso di sviluppare signature focalizzate su diversi aspetti del furto di cookie, come l’accesso non autorizzato ai file di storage, l’uso improprio di API di decompressione, la ricerca di informazioni sensibili in memoria, e anomalie nelle comunicazioni di rete. L’uso combinato di queste signature, mirate a evidenziare comportamenti sospetti e a ridurre i falsi positivi, ha migliorato significativa- mente la qualità delle prove forensi e l’efficienza dell’analisi. Tuttavia, il sistema presenta alcune limitazioni, quali i vincoli dovuti alla configurazione a basso consumo di risorse adottata nella fase preliminare e la dipendenza da ambienti simulati, che potrebbero non rilevare alcuni comportamenti sottili. In prospettiva futura, si auspica di integrare algoritmi di machine learning, soglie dinamiche e feed di threat in- telligence in tempo reale per affinare ulteriormente i meccanismi di rilevamento e adattarsi alle tecniche sempre più sofisticate dei malware. Infine, la scalabilità e l’adattabilità della soluzione sono garantite dall’uso della virtual- izzazione tramite Proxmox e QEMU/KVM, che non solo aumentano il livello di stealth, ma consentono anche di gestire facilmente un elevato numero di analisi in parallelo e di integrare aggiornamenti continui, rendendo il sistema uno strumento pratico e versatile per le operazioni di cybersecurity.

Developing a CAPEv2-based sandbox for the detection and analysis of HTTP cookie theft malware

LECI, LORENC
2023/2024

Abstract

This thesis outlines the motivation and necessity to develop an advanced analysis envi- ronment based on the CAPEv2 sandbox, specifically modified for detecting and analyz- ing malware targeting cookies. The proposed solution includes the creation of a highly customized Windows 10 guest system designed to be as vulnerable as possible, thereby allowing a detailed study of the behavior and characteristics of the analyzed malware. By examining a dataset of approximately 5,000 malware samples, distinct behavioral pat- terns were identified, which then informed the development of custom detection signatures focusing on various aspects of cookie theft, such as unauthorized file access, misuse of de- compression APIs, in-memory data extraction, and network anomalies. The combined use of these targeted signatures improves forensic evidence and overall malware analysis efficiency while reducing false positives. Nevertheless, the system does exhibit some limitations. For instance, the resource- conserving configuration adopted during the initial screening phase and the reliance on simulated environments may sometimes miss subtle malicious behaviors. Future enhance- ments could involve integrating machine learning algorithms, dynamic thresholding, and real-time threat intelligence feeds to further refine detection capabilities. Additionally, the solution’s scalability and adaptability—ensured through virtualization using Proxmox and QEMU/KVM—allow it to efficiently handle a high volume of analyses in parallel and adapt continuously to new malware tactics through regular updates of the custom detec- tion rules. This makes the proposed sandbox a practical and versatile tool for modern cybersecurity operations.
ZANERO, STEFANO
Polychronakis, Michalis
ING - Scuola di Ingegneria Industriale e dell'Informazione
3-apr-2025
2023/2024
Questa tesi descrive l’idea e la necessità di creare un ambiente di analisi avanzato basato su una sandbox, in particolare CAPEv2, opportunamente modificato per la rilevazione e l’analisi di malware mirati al furto di cookie. La soluzione proposta prevede la creazione di un guest Windows 10 altamente customizzato, progettato per esporsi al maggior numero di vulnerabilità, al fine di studiare in dettaglio il comportamento dei malware analizzati. Attraverso l’analisi di un dataset composto da circa 5.000 campioni di malware, sono stati identificati pattern specifici che hanno permesso di sviluppare signature focalizzate su diversi aspetti del furto di cookie, come l’accesso non autorizzato ai file di storage, l’uso improprio di API di decompressione, la ricerca di informazioni sensibili in memoria, e anomalie nelle comunicazioni di rete. L’uso combinato di queste signature, mirate a evidenziare comportamenti sospetti e a ridurre i falsi positivi, ha migliorato significativa- mente la qualità delle prove forensi e l’efficienza dell’analisi. Tuttavia, il sistema presenta alcune limitazioni, quali i vincoli dovuti alla configurazione a basso consumo di risorse adottata nella fase preliminare e la dipendenza da ambienti simulati, che potrebbero non rilevare alcuni comportamenti sottili. In prospettiva futura, si auspica di integrare algoritmi di machine learning, soglie dinamiche e feed di threat in- telligence in tempo reale per affinare ulteriormente i meccanismi di rilevamento e adattarsi alle tecniche sempre più sofisticate dei malware. Infine, la scalabilità e l’adattabilità della soluzione sono garantite dall’uso della virtual- izzazione tramite Proxmox e QEMU/KVM, che non solo aumentano il livello di stealth, ma consentono anche di gestire facilmente un elevato numero di analisi in parallelo e di integrare aggiornamenti continui, rendendo il sistema uno strumento pratico e versatile per le operazioni di cybersecurity.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2025_04_Leci.pdf

accessibile in internet per tutti a partire dal 04/03/2028

Descrizione: Testo della tesi
Dimensione 502.6 kB
Formato Adobe PDF
  Visualizza/Apri
502.6 kB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/235749