Title: Visualizing the malicious threat landscape
Language: English
Authors: Lukavsky, Florian 
Qualification level: Diploma
Keywords: Schadsoftware; boesartiges Verhalten; Visualisierung
malware; malicious behavior; threat; visualization
Advisor: Kirda, Engin
Assisting Advisor: Milani Comparetti, Paolo 
Issue Date: 2010
Number of Pages: 125
Qualification level: Diploma
Abstract: 
Heutzutage stellt Schadsoftware die größte Bedrohung im Internet dar. Die Hersteller von Antivirensoftware sehen sich täglich mit tausenden neuen Viren konfrontiert. Diese Datenmengen sind manuell kaum noch zu bewältigen. Daher kommen dynamische und automatisierte Analysesysteme zum Einsatz. Anubis ist ein solches Analysesystem und beobachtet das Verhalten eines zu untersuchenden Programms und generiert einen Bericht dieser Beobachtungen. Seit der Lancierung von Anubis Anfang 2007 wurden mehr als zwei Millionen Programme analysiert. Aber die automatisierte Analyse führt nun zu einem weiteren Problem. Es gibt zu viele Analyseresultate um das Verhalten von Schadsoftware im Ganzen zu betrachten. Eine weitere Schicht der Abstraktion ist notwendig, eine statistische Analyse von high-level Verhalten, die Trends des Verhaltens von Schadsoftware aufzeigt.
In dieser Diplomarbeit präsentieren wir ein Datenbankschema, das es uns erlaubt die Berichte von Anubis effizient zu speichern um in weiterer Folge mittels Abfragen auf diesen Daten detaillierte Einblicke in das Verhalten von Schadsoftware zu erhalten. Dafür entwickeln wir ein Framework zur Erzeugung von Statistiken über bösartiges Verhalten. Diese Statistiken werden täglich aktualisiert, was nahezu eine Echtzeitsicht auf das Verhalten zulässt. Dadurch wird es ermöglicht, Trends des bösartigen Verhaltens von Viren und Schadsoftware abzulesen und Korrelationen zwischen unterschiedlichen Verhaltensmustern zu identifizieren.
Um bösartiges Verhalten festzustellen, identifizieren wir Verhaltensmerkmale wie beispielsweise die Installation von Browser Helper Objects für den Internet Explorer oder das Ändern von Sicherheitseinstellungen der Windows Firewall. Dieses abstrahierte Verhalten müssen wir auf low-level Events, die von Anubis aufgezeichnet werden, zurückführen. Wir beobachten nun 31 Verhaltensmerkmale aus den Kategorien "Dateisystemaktivität", "Netzwerkaktivität", "Registryaktivtität" und "Systemwechselwirkungen". Zusätzlich generieren wir noch Statistiken, die den Zustand von Anubis beschreiben und die Qualität der eingeschickten Dateien widerspiegeln.

Today, malware is the biggest security threat on the internet.
Antivirus software vendors face thousands of new viruses on a daily basis. These data sets can hardly be managed manually. Therefore, dynamic and automated analysis systems are used. Anubis is such an analysis system. It executes binaries in a controlled environment and generates reports, describing the actions performed by this submitted binary. Anubis is actively deployed since the beginning of 2007 and has already analyzed more than two million malware samples since then. But the automated analysis leads to another problem. There are simply too many reports to get a complete picture of the behavior of malware. This calls for one more layer of abstraction, a high-level statistical analysis to identify trends in malware behavior.
In this thesis we present a database schema that allows us to store analysis reports by Anubis efficiently. This is the prerequisite for queries on this data to gain detailed insight into the behavior of malware. We develop an extensible framework for the creation of high level views of malicious behavior. These statistics are updated on a daily basis, which allows a near real-time view on current malicious behavior. This aids the discovery of trends when observing malicious behavior over a longer period of time and favors the identification of correlations between different behavioral characteristics.
In order to detect interesting high-level behavioral characteristics, we have to map these to their low level events captured by Anubis. We detect behavioral characteristics like the installation of Browser Helper Objects for the Internet Explorer or the alterations of security settings of the Windows Firewall. Altogether, we observe 31 behavioral characteristics of the categories 'file activity', 'network activity', 'registry activity' and 'system interaction'. In addition, we generate statistics that represent the state of Anubis and describe the quality of submitted samples.
URI: https://resolver.obvsg.at/urn:nbn:at:at-ubtuw:1-32251
http://hdl.handle.net/20.500.12708/10530
Library ID: AC07807475
Organisation: E183 - Institut für Rechnergestützte Automation 
Publication Type: Thesis
Hochschulschrift
Appears in Collections:Thesis

Files in this item:

File Description SizeFormat
Visualizing the malicious threat landscape.pdf7.78 MBAdobe PDFThumbnail
 View/Open
Show full item record

Page view(s)

18
checked on Feb 18, 2021

Download(s)

48
checked on Feb 18, 2021

Google ScholarTM

Check


Items in reposiTUm are protected by copyright, with all rights reserved, unless otherwise indicated.