Abstract
Malware analysis tools have evolved in the last years providing tightly controlled sandbox and virtualised environments where malware is analysed minimising potential harmful consequences. Unfortunately, malware has advanced in parallel, being currently able to recognise when is running in sandbox or virtual environments and then, behaving as a non-harmful application or even not executing at all. This kind of malware is usually called analysis-aware malware. In this paper, we propose a tool to detect the evasion techniques used by analysis-aware malware within sandbox or virtualised environments. Our tool uses Dynamic Binary Instrumentation to maintain the binary functionality while executing arbitrary code. We evaluate the tool under a set of well-known analysis-aware malware showing its current effectiveness. Finally, we discuss limitations of our proposal and future directions.
Highlights
Malware analysis tools have evolved in the last years providing tightly controlled sandbox and virtualised environments where malware is analysed minimising potential harmful consequences
In this paper, we propose a tool to detect the evasion techniques used by analysis-aware malware within sandbox or virtualised environments
We evaluate the tool under a set of well-known analysis-aware malware showing its current effectiveness
Summary
EL VOLUMEN de aplicaciones software creadas con intenciones maliciosas o sospechosas (dícese malware por su nombre en inglés) ha crecido tanto en cantidad como en complejidad en la última década [18], [35], [36], [44]. Se debe tener muy en cuenta que ser capaz de reconocer un entorno aislado de análisis puede ser el primer paso para escapar de él: una vez que el software malicioso ha sido incorrectamente clasificado como un software legítimo o cuando menos benigno, puede penetrar en el sistema objetivo sin mayores problemas [11]. Primero hemos revisado las técnicas de evasión más relevantes usadas por el software malicioso consciente; es decir, aquellas técnicas que son usadas para detectar y reconocer un entorno aislado de análisis. Proponemos una herramienta de análisis binario dinámico (DBA, por sus siglas en inglés) que permite ofuscar el entorno aislado de análisis haciendo así que el software malicioso consciente no sea capaz de detectar dicho entorno, y éste muestre todo su comportamiento malicioso. Finalmente, la Sección VI concluye el trabajo y presenta el trabajo futuro
Talk to us
Join us for a 30 min session where you can share your feedback and ask us any queries you have