Banking trojans are currently the most widespread class of malicious software. They are particularly dangerous because they directly impact the victim's financial resources. Modern banking trojans are distributed as kits that anyone can customize. The existence of various customizations, often sold or traded for money, logically lead to a high volume of trojan variants, which traditional approaches based on manual analysis and signature crafting cannot possibly handle. Modern banking trojans such as ZeuS, SpyEye, or Citadel all have a common, distinctive feature called WebInject, which eases the creation of custom procedures to inject arbitrary content in a (banking) website page. The attacker's goal is to modify the page, typically with additional, legitimate-looking input fields, which capture sensitive information entered by the victim. The result is that a web page rendered on an infected client differs from the very same page rendered on a clean machine. We leveraged this observation to implement a system to generate cross-platform signatures of any arbitrary WebInject-based trojan with no reverse-engineering effort required. These fingerprints can be used to determine whether a client is infected or not. Our evaluation on 56 distinct ZeuS samples and 213 banking websites shows that our system reaches a good accuracy level and it is able to extract fingerprints from infected clients with a fully-centralized and server-controlled infrastructure.
I cavalli di troia bancari, conosciuti come banking trojans, sono attualmente la classe più diffusa di software malevolo (malware, in inglese). Sono particolarmente pericolosi in quanto compromettono direttamente le risorse finanziarie della vittima. I moderni cavalli di troia bancari sono distribuiti come pacchetti che chiunque può personalizzare. L'esistenza di molteplici versioni personalizzate, spesso vendute o commercializzate per soldi, porta chiaramente ad un alto numero di varianti, che gli approcci tradizionali basati sull'analisi manuale e la creazione di signature non possono affatto gestire. I moderni trojan bancari come ZeuS, SpyEye o Citadel sono dotati di una funzionalità comune e distintiva, chiamata WebInject, che facilita la creazione di procedure personalizzate per iniettare contenuto arbitrario nella pagina di un sito (bancario). Lo scopo di questa funzionalità è quello di modificare la pagina, solitamente con ulteriori campi di input, che catturano le informazioni sensibili che la vittima inserisce. Il risultato è che una pagina web caricata su una macchina infetta è diversa dalla stessa pagina caricata su una macchina pulita. Siamo partiti da questa osservazione per implementare un sistema che estrae le differenze introdotte in una pagina web da un qualsiasi cavallo di troia che effettua WebInject, senza adottare alcuna pratica di reverse engineering. Queste differenze, alle quali ci riferiamo come signature o fingerprint, possono essere utilizzate per determinare se un client è infetto o no. La nostra valutazione su 56 diversi campioni di ZeuS e 213 indirizzi bancari mostra che Zarathustra raggiunge un buon livello di accuratezza ed è in grado di estrarre differenze da client infetti attraverso una infrastruttura completamente centralizzata e controllata da un server.
Zarathustra : detecting banking trojans via automatic, platform independent WebInjects extraction
BOSATELLI, FABIO
2011/2012
Abstract
Banking trojans are currently the most widespread class of malicious software. They are particularly dangerous because they directly impact the victim's financial resources. Modern banking trojans are distributed as kits that anyone can customize. The existence of various customizations, often sold or traded for money, logically lead to a high volume of trojan variants, which traditional approaches based on manual analysis and signature crafting cannot possibly handle. Modern banking trojans such as ZeuS, SpyEye, or Citadel all have a common, distinctive feature called WebInject, which eases the creation of custom procedures to inject arbitrary content in a (banking) website page. The attacker's goal is to modify the page, typically with additional, legitimate-looking input fields, which capture sensitive information entered by the victim. The result is that a web page rendered on an infected client differs from the very same page rendered on a clean machine. We leveraged this observation to implement a system to generate cross-platform signatures of any arbitrary WebInject-based trojan with no reverse-engineering effort required. These fingerprints can be used to determine whether a client is infected or not. Our evaluation on 56 distinct ZeuS samples and 213 banking websites shows that our system reaches a good accuracy level and it is able to extract fingerprints from infected clients with a fully-centralized and server-controlled infrastructure.File | Dimensione | Formato | |
---|---|---|---|
2013_04_Bosatelli.pdf
accessibile in internet per tutti
Descrizione: Thesis text
Dimensione
6.21 MB
Formato
Adobe PDF
|
6.21 MB | Adobe PDF | Visualizza/Apri |
I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.
https://hdl.handle.net/10589/78343