POLITESI Politecnico di Milano Servizi Bibliotecari di Ateneo Servizi Bibliotecari di Ateneo
 
   ALL THESES       POST GRADUATE THESES       DOCTORAL THESES   
My POLITesi
authorized users
italiano
Please use this identifier to cite or link to this thesis: http://hdl.handle.net/10589/97643

Author: BRASCHI, ANDREA
CONTINELLA, ANDREA
Supervisor: MAGGI, FEDERICO
Scientific Disciplinary Sector: ING-INF/05 SISTEMI DI ELABORAZIONE DELLE INFORMAZIONI
Date: 3-Oct-2014
Academic year: 2013/2014
Title: Prometheus : a Web-based platform for analyzing banking trojans
Italian abstract: Attualmente i banking trojan stanno raggiungendo allarmanti livelli di sofisticazione. Nuove varianti (gli esempi più famosi sono ZeuS, SpyEye e Citadel) sono costantemente rilasciate dai cybercriminali allo scopo di evadere gli antivirus e rendere più difficile per vittime e amministratori bancari individuare le frodi che essi portano a termine. Questi trojan, inoltre, sono venduti online, nei cosiddetti underground markets, in "pacchetti" che includono pannelli di amministrazione, builders e procedure di personalizzazione. La conseguenza più pericolosa è rappresentata dal fatto che chiunque, indipendentemente dalle abilità possedute, può acquistare un costruttore di malware e creare la sua versione personalizzata. I banking trojan sfruttano tecniche di "hooking" per agganciarsi alle API usate dal browser e riuscire ad eseguire codice che intercetta tutti i dati che fluiscono attraverso il browser, anche quando la connessione utilizzata è criptata. Questo tipo di malware contiene anche un modulo chiamato WebInject in grado di modificare le pagine web. Questo modulo è usato dai cybercriminali per lo più per inserire nuovi campi all'interno dei forms delle pagine web con lo scopo di rubare ulteriori informazioni. Il nostro lavoro propone un piattaforma web, Prometheus, che analizza i banking trojan sfruttando le modifiche che essi causano ai DOM delle pagine web. Prometheus è in grado, indipendentemente dalla famiglia o dalla versione del trojan, di individuare le modifiche effettuate dai malware sui DOM e, attraverso delle tecniche forensi di ispezione della memoria, di estrarre gli obbiettivi del modulo WebInject ovvero gli URL (e le espressioni regolari che generano gli URL) delle pagine web monitorate e modificate dal malware. Per concludere, Prometheus è utile agli analisti di malware perché esso riduce significativamente il bisogno di reversare manualmente i malware in questione. Abbiamo testato e valutato i risultati prodotti dalle analisi di Prometheus su 53 diversi campioni di ZeuS e 62 reali siti web mostrando che il nostro sistema è in grado di individuare correttamente le modifiche inserite dai banking trojan e di estrarre con successo gli obbiettivi del modulo WebInject.
English abstract: Nowadays, banking trojans are reaching alarming levels of sophistication. New variants (the most famous examples are ZeuS, SpyEye and Citadel) are constantly being introduced to avoid detection by antivirus software on the victim's PC and to make it difficult for banks and account holders to spot fraud attempts as they occur. Furthermore, these trojans are sold on underground markets as ``toolkits'' that include development kits, web-based administration panels, builders and easy-to-use customization procedures. The main consequence is that anyone, independently on the skill level, can buy a malware builder and create a customized sample. Banking trojans exploit API hooking techniques to be able to intercept all the data going through the browser even when the connection is encrypted. This kind of malware contains also a WebInject module able to modify web pages. This module is used by the attackers to add new fields in forms in order to steal the target information. We propose a web based platform, Prometheus, that analyzes banking trojans exploiting the visible DOM modifications in the HTML page that they cause. Prometheus is able, independently on the trojan's family or version, to detect the injections performed by the malware and, through memory forensic techniques, to extract the targets (the URLs of the web pages monitored and modified by the malware). In conclusion, Prometheus is useful to malware analysts because it significantly reduces the need of manual reverse engineering. We evaluated Prometheus on 53 ZeuS samples and 62 real banking websites showing that our system correctly detects the injections performed by trojans and successfully extracts the WebInject targets.
Italian keywords: banking trojan; frodi bancarie; webinject; malware analysis
English keywords: banking trojan; banking fraud; webinject malware analysis
Language: eng
Appears in Collections:POLITesi >Tesi Specialistiche/Magistrali

Files in This Item:

File Description SizeFormatVisibility
2014_10_Braschi_Continella.pdfTesto della tesi2.23 MBAdobe PDFView/Open





 

  Support, maintenance and development by SURplus team @ CINECA- Powered by DSpace Software