[Back]

M. Lindorfer:
"Detecting Environment-Sensitive Malware";
Supervisor: E. Kirda, P. Milani Comparetti, C. Kolbitsch; Institut für Rechnergestützte Automation, 2011.

Malware poses one of the Internet´s major security threats today. Due to the vast amount of new malware samples emerging every day, researchers and Anti-Virus vendors rely on dynamic mal- ware analysis sandboxes such as Anubis to automatically analyze malicious code in a controlled environment. In order to evade detection by these sandboxes, environment-sensitive malware aims to differentiate the analysis sandbox from a real user´s environment. In the absence of an "undetectable", fully transparent analysis sandbox, defense against sandbox evasion is mostly reactive: Sandbox developers and operators tweak their systems to thwart individual evasion techniques as they become aware of them, leading to a never-ending arms race.
In this thesis we present DISARM, a system that automates the screening of malware for evasive behavior using different analysis sandboxes. We present novel techniques that normal- ize malware behavior across these analysis sandboxes and detect malware samples that exhibit semantically different behavior. We further present a light-weight monitoring technology that is portable to any Windows XP environment. Nevertheless, our techniques are compatible with any monitoring technology that can be used for dynamic malware analysis and are completely agnostic to the way that malware achieves evasion. In a large-scale evaluation on real-world malware samples we demonstrate that DISARM can accurately detect evasive malware, leading to the discovery of previously unknown evasion techniques.

Malware stellt eines der größten Sicherheitsrisiken im Internet dar. Durch die enorme Anzahl an neuer Malware, die täglich erscheint, benötigen Forscher und Hersteller von Anti-Viren Softwa- re Unterstützung durch dynamische Analyse-Sandboxen wie zum Beispiel Anubis. Diese Sand- boxen ermöglichen die automatisierte Analyse von Malware in einer kontrollierten Umgebung. Sogenannte "umgebungs-sensitive" Malware versucht eine solche Sandbox vom System eines echten Benutzers zu unterscheiden und somit die Analyse und Erkennung zu umgehen. In Ab- wesenheit einer "unerkennbaren", vollkommen transparenten Analyse-Sandbox ist die Abwehr solcher Umgehungsmethoden hauptsächlich reaktiv: Hersteller und Betreiber von dynamischen Sandboxen modifizieren ihre Systeme um Umgehungsmethoden zu verhindern sobald diese be- kannt werden. Dies führt wiederum zu einem endlosen Wettrüsten zwischen den Entwicklern von Malware-Entwicklern von Analyse-Sandboxen.
In dieser Arbeit präsentieren wir DISARM, ein System, das Malware automatisch in mehre- ren Analyse-Sandboxen auf Umgehungsmethoden überprüft. Wir präsentieren neue Methoden zur Normalisierung von Malware-Verhalten in verschiedenen Sandboxen und zur Erkennung von semantisch unterschiedlichem Verhalten. Des Weiteren entwickeln wir eine Monitoring- Technologie zur Analyse von Malware mit geringem Overhead in jeder beliebigen Windows XP Umgebung. Nichtsdestotrotz sind unsere Methoden mit jeder Monitoring-Technologie zur dyna- mischen Analyse von Malware kompatibel. Zusätzlich funktionieren unsere Methoden unabhän- gig von der Art und Weise mit der Malware versucht die Analyse zu umgehen. Wir unterziehen DISARM einer umfangreichen Evaluierung, anhand welcher wir die Genauigkeit in der Erken- nung von Umgehungsmethoden in realer Malware demonstrieren. Wir erkennen damit neuartige Methoden, mit denen Malware die Analyse in dynamischen Analyse-Sandboxen umgeht.

Malware; Dynamic Analysis; Sandbox Detection; Behavior Comparison

https://publik.tuwien.ac.at/files/publik_273621.pdf