Backdooring attack against dynamic malware detectors

As malware detection methods started to increasingly rely on machine learning techniques, they also inherited its vulnerabilities. One such vulnerability for malware detectors is sustained by the reliance of these methods on crowdsourced data to train the classifier. This constitutes a natural injection point that allows dataset poisoning. An attacker could create backdoored samples with the intent of injecting a backdoor inside the machine learning model. The clean label backdooring attack, is a type of attack that limits the attacker capabilities at being able to poison the dataset with its samples and has no control over the labeling process. In the scenario described in my work, the attacker produces benign software that contains a trigger, a pattern that the machine learning model will learn to assign to benign samples, even when the sample exhibits malicious behaviors. In this work I propose a methodology to carry out and measure the impact of a clean label backdooring attack on a reference state-of-the-art malware detection model that is based on dynamic analysis on Microsoft Windows PE32 executables. The second goal is to propose a model-agnostic method to build an effective superficial trigger in the API call based dynamic analysis scenario. In the approach described in my work the trigger is composed of a sequence of API calls that is injected into the target program by DLL injection. The approach to building an effective trigger involves examining its characteristics to evaluate how they influence the performance of the attack. The obtained results show that the attack achieves an average evasion rate of 60.58% with a poison rate of 0.65%. For the first time, this thesis highlights this vulnerability and how attackers could exploit it, making it useful to better refine current malware detection techniques.

Con l’aumento dell’uso di tecniche di machine learning nei metodi di rilevamento malware, sono emerse anche le vulnerabilità tipiche di tali tecniche. Una di queste vulnerabilità, nel contesto dei rilevatori di malware, è dovuta alla dipendenza da dati provenienti da sorgenti pubbliche per l’addestramento. Questo rappresenta un punto di injection che permette il poisoning del dataset. Un attaccante potrebbe creare eseguibili con il preciso intento di iniettare una backdoor all’interno del modello di machine learning. L'attacco di backdooring clean label è un tipo di attacco che limita le capacità dell’attaccante al solo inserimento di campioni nel dataset, senza alcun controllo sul processo di labeling. Nello scenario descritto nella mia tesi, l’attaccante produce software apparentemente benigno che contiene un trigger, ovvero un pattern che il modello di machine learning imparerà ad associare a campioni benigni, anche quando questi mostrano comportamenti malevoli. In questa tesi propongo una metodologia per condurre e misurare l’impatto di questo attacco su un modello di rilevamento malware nello stato dell'arte, basato sull’analisi dinamica di eseguibili PE32 per Microsoft Windows. Il secondo obiettivo è proporre un metodo indipendente dal modello di machine learning per costruire un trigger superficiale ed efficace nel contesto di analisi dinamica basata sulle chiamate API. Nell'approccio descritto nella mia tesi, il trigger è composto da una sequenza di chiamate API che viene iniettata nel programma target tramite DLL injection. Il metodo usato per costruire un trigger efficace in questa tesi prevede l’analisi delle sue caratteristiche per valutare come queste influenzano la performance dell’attacco. I risultati dimostrano che l'attacco consente, in media, al 60,58% dei malware di sfuggire alla rilevazione, nonostante l’attaccante abbia un rapporto di poisoning di solo lo 0,65%. Questa tesi mette in luce tale vulnerabilità e come potrebbe essere sfruttata da un attaccante, rendendola utile per perfezionare le attuali tecniche di rilevamento del malware.