Visualizing the malicious threat landscape

Abstract

Heutzutage stellt Schadsoftware die größte Bedrohung im Internet dar. Die Hersteller von Antivirensoftware sehen sich täglich mit tausenden neuen Viren konfrontiert. Diese Datenmengen sind manuell kaum noch zu bewältigen. Daher kommen dynamische und automatisierte Analysesysteme zum Einsatz. Anubis ist ein solches Analysesystem und beobachtet das Verhalten eines zu untersuchenden Programms und generiert einen Bericht dieser Beobachtungen. Seit der Lancierung von Anubis Anfang 2007 wurden mehr als zwei Millionen Programme analysiert. Aber die automatisierte Analyse führt nun zu einem weiteren Problem. Es gibt zu viele Analyseresultate um das Verhalten von Schadsoftware im Ganzen zu betrachten. Eine weitere Schicht der Abstraktion ist notwendig, eine statistische Analyse von high-level Verhalten, die Trends des Verhaltens von Schadsoftware aufzeigt.<br />In dieser Diplomarbeit präsentieren wir ein Datenbankschema, das es uns erlaubt die Berichte von Anubis effizient zu speichern um in weiterer Folge mittels Abfragen auf diesen Daten detaillierte Einblicke in das Verhalten von Schadsoftware zu erhalten. Dafür entwickeln wir ein Framework zur Erzeugung von Statistiken über bösartiges Verhalten. Diese Statistiken werden täglich aktualisiert, was nahezu eine Echtzeitsicht auf das Verhalten zulässt. Dadurch wird es ermöglicht, Trends des bösartigen Verhaltens von Viren und Schadsoftware abzulesen und Korrelationen zwischen unterschiedlichen Verhaltensmustern zu identifizieren.<br />Um bösartiges Verhalten festzustellen, identifizieren wir Verhaltensmerkmale wie beispielsweise die Installation von Browser Helper Objects für den Internet Explorer oder das Ändern von Sicherheitseinstellungen der Windows Firewall. Dieses abstrahierte Verhalten müssen wir auf low-level Events, die von Anubis aufgezeichnet werden, zurückführen. Wir beobachten nun 31 Verhaltensmerkmale aus den Kategorien "Dateisystemaktivität", "Netzwerkaktivität", "Registryaktivtität" und "Systemwechselwirkungen". Zusätzlich generieren wir noch Statistiken, die den Zustand von Anubis beschreiben und die Qualität der eingeschickten Dateien widerspiegeln.<br />

Today, malware is the biggest security threat on the internet.<br />Antivirus software vendors face thousands of new viruses on a daily basis. These data sets can hardly be managed manually. Therefore, dynamic and automated analysis systems are used. Anubis is such an analysis system. It executes binaries in a controlled environment and generates reports, describing the actions performed by this submitted binary. Anubis is actively deployed since the beginning of 2007 and has already analyzed more than two million malware samples since then. But the automated analysis leads to another problem. There are simply too many reports to get a complete picture of the behavior of malware. This calls for one more layer of abstraction, a high-level statistical analysis to identify trends in malware behavior.<br />In this thesis we present a database schema that allows us to store analysis reports by Anubis efficiently. This is the prerequisite for queries on this data to gain detailed insight into the behavior of malware. We develop an extensible framework for the creation of high level views of malicious behavior. These statistics are updated on a daily basis, which allows a near real-time view on current malicious behavior. This aids the discovery of trends when observing malicious behavior over a longer period of time and favors the identification of correlations between different behavioral characteristics.<br />In order to detect interesting high-level behavioral characteristics, we have to map these to their low level events captured by Anubis. We detect behavioral characteristics like the installation of Browser Helper Objects for the Internet Explorer or the alterations of security settings of the Windows Firewall. Altogether, we observe 31 behavioral characteristics of the categories 'file activity', 'network activity', 'registry activity' and 'system interaction'. In addition, we generate statistics that represent the state of Anubis and describe the quality of submitted samples.<br />