Stamminger, A. (2007). Automated spyware collection and analysis [Master Thesis, Technische Universität Wien]. reposiTUm. http://hdl.handle.net/20.500.12708/184129
E184 - Institut für Informationssysteme; Institut für Rechnergestützte Automation (Automatisierungssysteme. Mustererkennung)
-
Date (published):
2007
-
Number of Pages:
68
-
Keywords:
Spyware Analyse
de
Spyware Analysis
en
Abstract:
Anti-Spyware-Software stützt sich im Allgemeinen auf Signaturen von bekannten Spywareprogrammen, um Bedrohungen auf dem Computer des Benutzers aufspüren zu können. Sie kann jedoch keine unbekannten Schädlinge erkennen, weshalb es besonders wichtig ist, die Signaturen der Software regelmäßig zu aktualisieren. Dies stellt eine große Herausforderung für die Hersteller von Anti-Spyware-Software da, da es eine aufwändige und zeitkritische Aufgabe ist, neue Bedrohungen im Web zu lokalisieren und dafür geeignete Signaturen an den User rechtzeitig weiterzureichen. Um die Aufgabe des Analysten zu erleichtern, stellen wir ein System vor, das alle Schritte, nämlich das Auffinden, die Installation und die Analyse von Schädlingen, vollautomatisch bewerkstelligt. Wir konzentrieren uns dabei auf Plugins für den Internet Explorer, da sie eine besonders beliebte Technik zur Weitergabe von Informationen an Dritte darstellen. Zur Sammlung von Programmen verwenden wir einen Web-Crawler. Diese reichen wir anschließend an Honeypotclients zur Installation innerhalb eines emulierten Systems weiter. Danach simulieren wir das Surfen eines Benutzers im Web und beobachten dabei das Verhalten des zu prüfenden Programms. Dazu setzen wir unsere taint-Analyse ein, die es erlaubt, die Bewegung von sensiblen Daten innerhalb des betroffenen Systems zu verfolgen. Um unsere Resultate bewerten zu können, vergleichen wir sie mit den Ergebnissen des signaturbasierten Anti-Spyware-Programms Ad-Aware. Nach fast 12 Millionen gesammelter URLs, konnten wir 203 Programme ausmachen, für die Ad-Aware keine Warnungen erzeugt hat. Das beweist den Wert unseres Ansatzes und rechtfertigt die dynamischen Analyse als wichtige Ergänzung zur signaturbasierten Technik.
Anti-spyware programs usually make use of a database containing signatures or definitions of known spyware programs to detect offending software on the user's computer. This suggests that it is impossible to target threats unknown at the time of scanning. A frequent update of the database is therefore essential for the program. However, finding new spyware and generating signatures for it, is a time-critical and eleborate process for human analysts. To this end, we present a fully automated tool chain, covering all, the collection, the installation and the analysis of potentially unwanted programs. Thereby, we will focus on plug-ins for the Internet Explorer, since they are a popular technique for transmitting data to third-parties. For collecting executables on the Web, we use a crawler. We forward our findings to honeypot clients for installation on an emulated computer system. By mimicing user Web browsing, we dynamically observe the behavior of the candidate sample to classify its nature. The plug-in's activity can be examined by our taint analysis that permits the accurate tracking of sensitive data on the emulated system. To compare our results to a signature-based anti-spyware tool, we used Ad-Aware. Having crawled almost 12 million URLs, we found 203 suspicious executables not targeted by Ad-Aware. This proves the value of our approach and underlines the importance of dynamic spyware analysis as complement to signature-based techniques.