POLITESI Politecnico di Milano Servizi Bibliotecari di Ateneo Servizi Bibliotecari di Ateneo
 
   ALL THESES       POST GRADUATE THESES       DOCTORAL THESES   
My POLITesi
authorized users
italiano
Please use this identifier to cite or link to this thesis: http://hdl.handle.net/10589/78343

Author: BOSATELLI, FABIO
Supervisor: ZANERO, STEFANO
Scientific Disciplinary Sector: ING-INF/05 SISTEMI DI ELABORAZIONE DELLE INFORMAZIONI
Date: 22-Apr-2013
Academic year: 2011/2012
Title: Zarathustra : detecting banking trojans via automatic, platform independent WebInjects extraction
Italian abstract: I cavalli di troia bancari, conosciuti come banking trojans, sono attualmente la classe più diffusa di software malevolo (malware, in inglese). Sono particolarmente pericolosi in quanto compromettono direttamente le risorse finanziarie della vittima. I moderni cavalli di troia bancari sono distribuiti come pacchetti che chiunque può personalizzare. L'esistenza di molteplici versioni personalizzate, spesso vendute o commercializzate per soldi, porta chiaramente ad un alto numero di varianti, che gli approcci tradizionali basati sull'analisi manuale e la creazione di signature non possono affatto gestire. I moderni trojan bancari come ZeuS, SpyEye o Citadel sono dotati di una funzionalità comune e distintiva, chiamata WebInject, che facilita la creazione di procedure personalizzate per iniettare contenuto arbitrario nella pagina di un sito (bancario). Lo scopo di questa funzionalità è quello di modificare la pagina, solitamente con ulteriori campi di input, che catturano le informazioni sensibili che la vittima inserisce. Il risultato è che una pagina web caricata su una macchina infetta è diversa dalla stessa pagina caricata su una macchina pulita. Siamo partiti da questa osservazione per implementare un sistema che estrae le differenze introdotte in una pagina web da un qualsiasi cavallo di troia che effettua WebInject, senza adottare alcuna pratica di reverse engineering. Queste differenze, alle quali ci riferiamo come signature o fingerprint, possono essere utilizzate per determinare se un client è infetto o no. La nostra valutazione su 56 diversi campioni di ZeuS e 213 indirizzi bancari mostra che Zarathustra raggiunge un buon livello di accuratezza ed è in grado di estrarre differenze da client infetti attraverso una infrastruttura completamente centralizzata e controllata da un server.
English abstract: Banking trojans are currently the most widespread class of malicious software. They are particularly dangerous because they directly impact the victim's financial resources. Modern banking trojans are distributed as kits that anyone can customize. The existence of various customizations, often sold or traded for money, logically lead to a high volume of trojan variants, which traditional approaches based on manual analysis and signature crafting cannot possibly handle. Modern banking trojans such as ZeuS, SpyEye, or Citadel all have a common, distinctive feature called WebInject, which eases the creation of custom procedures to inject arbitrary content in a (banking) website page. The attacker's goal is to modify the page, typically with additional, legitimate-looking input fields, which capture sensitive information entered by the victim. The result is that a web page rendered on an infected client differs from the very same page rendered on a clean machine. We leveraged this observation to implement a system to generate cross-platform signatures of any arbitrary WebInject-based trojan with no reverse-engineering effort required. These fingerprints can be used to determine whether a client is infected or not. Our evaluation on 56 distinct ZeuS samples and 213 banking websites shows that our system reaches a good accuracy level and it is able to extract fingerprints from infected clients with a fully-centralized and server-controlled infrastructure.
Italian keywords: analisi di malware; detection di malware; zeus; cavalli di troia bancari; sicurezza web
English keywords: malware analysis; malware detection; zeus; banking trojans; web security
Language: eng
Appears in Collections:POLITesi >Tesi Specialistiche/Magistrali

Files in This Item:

File Description SizeFormatVisibility
2013_04_Bosatelli.pdfThesis text6.21 MBAdobe PDFView/Open





 

  Support, maintenance and development by SURplus team @ CINECA- Powered by DSpace Software