Banking trojans are currently the most widespread class of malicious software. They are particularly dangerous because they directly impact the victim's financial resources. Modern banking trojans are distributed as kits that anyone can customize. The existence of various customizations, often sold or traded for money, logically lead to a high volume of trojan variants, which traditional approaches based on manual analysis and signature crafting cannot possibly handle. Modern banking trojans such as ZeuS, SpyEye, or Citadel all have a common, distinctive feature called WebInject, which eases the creation of custom procedures to inject arbitrary content in a (banking) website page. The attacker's goal is to modify the page, typically with additional, legitimate-looking input fields, which capture sensitive information entered by the victim. The result is that a web page rendered on an infected client differs from the very same page rendered on a clean machine. We leveraged this observation to implement a system to generate cross-platform signatures of any arbitrary WebInject-based trojan with no reverse-engineering effort required. These fingerprints can be used to determine whether a client is infected or not. Our evaluation on 56 distinct ZeuS samples and 213 banking websites shows that our system reaches a good accuracy level and it is able to extract fingerprints from infected clients with a fully-centralized and server-controlled infrastructure.

I cavalli di troia bancari, conosciuti come banking trojans, sono attualmente la classe più diffusa di software malevolo (malware, in inglese). Sono particolarmente pericolosi in quanto compromettono direttamente le risorse finanziarie della vittima. I moderni cavalli di troia bancari sono distribuiti come pacchetti che chiunque può personalizzare. L'esistenza di molteplici versioni personalizzate, spesso vendute o commercializzate per soldi, porta chiaramente ad un alto numero di varianti, che gli approcci tradizionali basati sull'analisi manuale e la creazione di signature non possono affatto gestire. I moderni trojan bancari come ZeuS, SpyEye o Citadel sono dotati di una funzionalità comune e distintiva, chiamata WebInject, che facilita la creazione di procedure personalizzate per iniettare contenuto arbitrario nella pagina di un sito (bancario). Lo scopo di questa funzionalità è quello di modificare la pagina, solitamente con ulteriori campi di input, che catturano le informazioni sensibili che la vittima inserisce. Il risultato è che una pagina web caricata su una macchina infetta è diversa dalla stessa pagina caricata su una macchina pulita. Siamo partiti da questa osservazione per implementare un sistema che estrae le differenze introdotte in una pagina web da un qualsiasi cavallo di troia che effettua WebInject, senza adottare alcuna pratica di reverse engineering. Queste differenze, alle quali ci riferiamo come signature o fingerprint, possono essere utilizzate per determinare se un client è infetto o no. La nostra valutazione su 56 diversi campioni di ZeuS e 213 indirizzi bancari mostra che Zarathustra raggiunge un buon livello di accuratezza ed è in grado di estrarre differenze da client infetti attraverso una infrastruttura completamente centralizzata e controllata da un server.

Zarathustra : detecting banking trojans via automatic, platform independent WebInjects extraction

BOSATELLI, FABIO
2011/2012

Abstract

Banking trojans are currently the most widespread class of malicious software. They are particularly dangerous because they directly impact the victim's financial resources. Modern banking trojans are distributed as kits that anyone can customize. The existence of various customizations, often sold or traded for money, logically lead to a high volume of trojan variants, which traditional approaches based on manual analysis and signature crafting cannot possibly handle. Modern banking trojans such as ZeuS, SpyEye, or Citadel all have a common, distinctive feature called WebInject, which eases the creation of custom procedures to inject arbitrary content in a (banking) website page. The attacker's goal is to modify the page, typically with additional, legitimate-looking input fields, which capture sensitive information entered by the victim. The result is that a web page rendered on an infected client differs from the very same page rendered on a clean machine. We leveraged this observation to implement a system to generate cross-platform signatures of any arbitrary WebInject-based trojan with no reverse-engineering effort required. These fingerprints can be used to determine whether a client is infected or not. Our evaluation on 56 distinct ZeuS samples and 213 banking websites shows that our system reaches a good accuracy level and it is able to extract fingerprints from infected clients with a fully-centralized and server-controlled infrastructure.
MAGGI, FEDERICO
CRISCIONE, CLAUDIO
ING V - Scuola di Ingegneria dell'Informazione
22-apr-2013
2011/2012
I cavalli di troia bancari, conosciuti come banking trojans, sono attualmente la classe più diffusa di software malevolo (malware, in inglese). Sono particolarmente pericolosi in quanto compromettono direttamente le risorse finanziarie della vittima. I moderni cavalli di troia bancari sono distribuiti come pacchetti che chiunque può personalizzare. L'esistenza di molteplici versioni personalizzate, spesso vendute o commercializzate per soldi, porta chiaramente ad un alto numero di varianti, che gli approcci tradizionali basati sull'analisi manuale e la creazione di signature non possono affatto gestire. I moderni trojan bancari come ZeuS, SpyEye o Citadel sono dotati di una funzionalità comune e distintiva, chiamata WebInject, che facilita la creazione di procedure personalizzate per iniettare contenuto arbitrario nella pagina di un sito (bancario). Lo scopo di questa funzionalità è quello di modificare la pagina, solitamente con ulteriori campi di input, che catturano le informazioni sensibili che la vittima inserisce. Il risultato è che una pagina web caricata su una macchina infetta è diversa dalla stessa pagina caricata su una macchina pulita. Siamo partiti da questa osservazione per implementare un sistema che estrae le differenze introdotte in una pagina web da un qualsiasi cavallo di troia che effettua WebInject, senza adottare alcuna pratica di reverse engineering. Queste differenze, alle quali ci riferiamo come signature o fingerprint, possono essere utilizzate per determinare se un client è infetto o no. La nostra valutazione su 56 diversi campioni di ZeuS e 213 indirizzi bancari mostra che Zarathustra raggiunge un buon livello di accuratezza ed è in grado di estrarre differenze da client infetti attraverso una infrastruttura completamente centralizzata e controllata da un server.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2013_04_Bosatelli.pdf

accessibile in internet per tutti

Descrizione: Thesis text
Dimensione 6.21 MB
Formato Adobe PDF
6.21 MB Adobe PDF Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/78343