[Back]


Doctor's Theses (authored and supervised):

M. Lindorfer:
"Malware Through the Looking Glass: Malware Analysis in an Evolving Threat Landscape";
Supervisor, Reviewer: E. Weippl, T. Holz, E. Kirda; Institut für Rechnergestützte Automation, 2016; oral examination: 2016-02-02.



English abstract:
Malware has become a multi-million dollar industry and is the basis of many forms of cybercrime, including information theft, spam emails, denial of service attacks, fake antivirus scams, and ransomware. Motivated by financial gains, malware authors are constantly evolving their code to increase their profit by evading security defenses and exploiting new monetization techniques.
Developing effective and efficient analysis methods is an arms race against malware authors. Large-scale dynamic analysis sandboxes, which execute samples in a controlled environment and monitor their behavior, are the de facto standard for the automated analysis of malware. However, one current challenge is that malware authors exten- sively use polymorphism and overwhelm analysis systems with an increasing number of malware samples, which are mostly repacked versions of already known malware. We develop novel techniques to compare multiple versions of self-updating malware and quantify their code differences. By associating code changes of functional components with the high-level behavior that they are implementing, we can observe the evolution of a malware family and highlight interesting components for further analysis.
With the emergence of mobile platforms, like smartphones and tablets, malware has spread to these devices as well. Mobile devices provide new ways for monetization, such as premium SMS services, advertisement fraud, and circumventing SMS-based security features for mobile banking. In addition, the possibility to surveil and track users through a wealth of sensor data and personal information stored on this devices makes them attractive targets. However, mobile devices also pose unique challenges for building malware defenses, for example because of limiting the capabilities of on-device defenses in terms of resources and permissions. We build a large-scale public analysis sandbox for Android apps, called Andrubis, as a cloud-based service, to analyze and understand Android malware. During its first two years of operation, Andrubis collected a large and diverse dataset of over one million Android apps, which we leverage to gain insights into the behavior and evolution of Android malware. Furthermore, we use machine learning techniques to build a robust classifier that can automatically distinguish benign from malicious apps with high accuracy based on features extracted during static and dynamic analysis with Andrubis.
Finally, mobile platforms led to the emergence of application markets as the main app distribution channel. We study how these markets are used to distribute malware and present AndRadar, an Android market radar for the fast discovery of Android malware in alternative application markets. As a result, we gain important insights into publishing strategies of malicious app authors and can facilitate fast remediation procedures in markets.

German abstract:
Malware hat sich zu einer millionenschweren Industrie entwickelt und ist die Grundlage für viele Formen der Internetkriminalität, wie zum Beispiel Datendiebstahl, Spam E- Mails, Denial-of-Service Angriffe, gefälschte Anti-Viren Programme und Ransomware. Motiviert durch finanzielle Profite entwickeln Autoren von Schadsoftware ihren Code ständig weiter um Sicherheitsmaßnahmen zu umgehen und um neue gewinnbringende Funktionalität zu implementieren.
Die Entwicklung von effektiven und effizienten Analyseverfahren ist jedoch ein stän- diges Wettrüsten zwischen Sicherheitsforschern und den Autoren von Malware. Dyna- mische Analyse-Sandboxen, die Programme in einer kontrollierten Umgebung ausführen um ihr Verhalten zu beobachten, sind der De-facto-Standard für die automatisierte Ana- lyse von Malware. Eine aktuelle Herausforderung ist jedoch, dass es sich beim Großteil der zu analysierenden Programme um polymorphe und neu gepackte Versionen von schon bekannter Schadsoftware handelt. Daher entwickeln wir neue Techniken, um meh- rere Versionen von sich selbst aktualisierender Malware zu vergleichen und Unterschiede im Code zu quantifizieren. Zusätzlich weisen wir das während der dynamischen Ana- lyse aufgezeichnete Verhalten den Änderungen im Code auf Ebene von funktionalen Komponenten, die dieses implementieren, zu. Hiermit können wir die Entwicklung einer Malware-Familie beobachten, und interessante Komponenten, die signifikante Codeände- rungen aufweisen oder neues Verhalten implementieren, automatisch erkennen und für die weitere manuelle Analyse priorisieren.
Mit der steigenden Beliebtheit von mobilen Plattformen wie Smartphones und Ta- blets werden auch diese immer mehr zum Ziel von Malware. Für Angreifer bieten mo- bile Geräte attraktive neuartige Angriffsmöglichkeiten, wie zum Beispiel Premium SMS- Dienste, Betrug mit Werbeanzeigen und die Aushebelung von SMS-basierte Sicherheits- funktionen für mobiles Banking. Darüber hinaus können Benutzer durch eine Vielzahl von Sensordaten und auf den mobilen Geräten gespeicherten persönlichen Daten über- wacht werden. Entwickler von Sicherheitsmaßnahmen stehen vor neuen Herausforderun- gen, da die Ressourcen und Berechtigungen von Apps auf mobilen Geräten üblicherweise stark eingeschränkt sind. Wir entwickeln eine Analyse-Sandbox für Android Apps, ge- nannt Andrubis, als Cloud-basierten Dienst um Android Malware zu analysieren und zu verstehen. Andrubis erlaubt uns anhand eines im Laufe von zwei Jahren gesammelten vielfältigen Datensatzes von über einer Million Android Apps Einblicke in das Verhalten und die Entwicklung von Android Malware zu gewinnen. Darüber hinaus verwenden wir Machine Learning, um basierend auf den während der statischen und dynamischen Ana- lyse mit Andrubis extrahierten Features, automatisch gutartige von bösartigen Apps mit hoher Genauigkeit zu unterscheiden.

Keywords:
Security; Malware; Information Security; Systems Security; Code Analysis


Electronic version of the publication:
https://publik.tuwien.ac.at/files/publik_273622.pdf


Created from the Publication Database of the Vienna University of Technology.