The extensive study of the automated malware analysis bibliography reveals a great research interest and a large number of related scientific work relevant to this specific computer science research field. What is instantly evident is that most of the existing research efforts focus towards utilizing malware analysis results in order to automatically classify malicious samples into specific malware families, using classifying methods such as neural networks or genetic algorithms. On the other hand, research efforts with a more intelligible results driven orientation, with regards to providing analysts with reports meant for human consumption, appear to be quite scarce. This constitutes the main goal of the present thesis; the development of an application that will utilize automated dynamic malware analysis results in order to extract inherent information and provide analysts with high level human readable reports, portraying malware functionality and depicting malware behavior relevant not only with the sample’s system actions but also with what it ultimately tries to achieve. This objective is accomplished through the use and appropriate processing of system function calls (Windows API Function Call), which constitute a basic part of the analysis results that automated platforms produce. This latter observation also reveals the main target of the thesis; malicious software which runs on any of the available Windows family operating systems. Although the application’s flexible design allows the use of analysis results produced by different automated analysis tools, Cuckoo Sandbox Analyzer has been chosen to serve as the primary malware analysis platform for this current implementation. The application’s functionality is twofold; it can be used both as a standalone analysis tool, as well as an additional Cuckoo reporting module, extending the capabilities of the latter.
Η μελέτη της βιβλιογραφίας πάνω στο ζήτημα της αυτοματοποιημένης ανάλυσης κακόβουλου λογισμικού, φανερώνει οτι υπάρχει μεγάλο ενδιαφέρον και ανάλογο πλήθος εργασιών για το συγκεκριμένο πεδίο της επιστήμης των υπολογιστών. Αυτό που γίνεται άμεσα κατανοητό, είναι οτι οι περισσότερες από τις εργασίες αυτές χρησιμοποιούν τα αποτελέσματα των αναλύσεων με σκοπό την αυτοματοποιημένη ταξινόμηση του δείγματος σε κάποια κατηγορία κακόβουλου λογισμικού, χρησιμοποιώντας κάποια από τις μεθόδους ταξινόμησης, όπως νευρωνικά δίκτυα ή γενετικούς αλγόριθμους. Αντίθετα, εργασίες στόχευση των οποίων είναι η παρουσίαση των αποτελεσμάτων σε μορφή κατανοητή από τους ίδιους τους αναλυτές, είναι κατά πολύ λιγότερες. Ακριβώς αυτός είναι ο σκοπός της παρούσας πτυχιακής εργασίας· η δημιουργία μίας εφαρμογής, η οποία χρησιμοποιώντας τα δεδομένα που προκύπτουν από τις πλατφόρμες αυτοματοποιημένης δυναμικής ανάλυσης κακόβουλου λογισμικού, θα εξάγει πληροφορίες από αυτά και θα παρέχει στους αναλυτές υψηλότερου επιπέδου αναφορές, σχετικές όχι μόνο με το τι κάνει στο σύστημα το δείγμα, αλλά με το τι προσπαθεί τελικά να επιτύχει. Ο σκοπός αυτός επιτυγχάνεται κυρίως με την χρησιμοποίηση των κλήσεων συναρτήσεων συστήματος (Windows API Function Call), οι οποίες αποτελούν βασική ενότητα των αποτελεσμάτων που δίνουν κάποιες από τις πλατφόρμες αυτοματοποιημένης ανάλυσης. Η τελευταία παρατήρηση φανερώνει το είδος του κακόβουλου
Γαϊτάνης Ιωάννης,
‘Κατανόηση και απεικόνιση κακόβουλης συμπεριφοράς – Επεκτείνοντας τις δυνατότητες
των αυτοματοποιημένων εργαλείων ανάλυσης κακόβουλου λογισμικού’
λογισμικού, στο οποίο αναφέρεται η εργασία· δηλαδή, κακόβουλο λογισμικό, το οποίο εκτελείται σε κάποια έκδοση των λειτουργικών συστημάτων της οικογένειας Windows. Αν και ο σχεδιασμός της εφαρμογής θα επιτρέπει την χρήση αναφορών διαφορετικών πλατφορμών αυτοματοποιημένης ανάλυσης, βασική πλατφόρμα αποτελεί το Cuckoo Sandbox. Με βάση αυτήν θα γίνει η ανάπτυξη της εφαρμογής, η οποία θα μπορεί να χρησιμοποιηθεί τόσο ανεξάρτητα, όσο και μέσω του Cuckoo επεκτείνοντας τις δυνατότητες του τελευταίου.
Hellenic Open University
Items in Apothesis are protected by copyright, with all rights reserved, unless otherwise indicated.
