Tools for the detection and analysis of potentially unwanted programs

  1. Rivera Guevara, Richard Paul
Dirixida por:
  1. Juan Caballero Bayerri Director

Universidade de defensa: Universidad Politécnica de Madrid

Fecha de defensa: 23 de novembro de 2018

Tribunal:
  1. Manuel Carro Liñares Presidente/a
  2. Alessandra Gorla Secretario/a
  3. Urko Zurutuza Ortega Vogal
  4. Juan Manuel Estévez Tapiador Vogal
  5. Guillermo Suárez Tangil Vogal

Tipo: Tese

Resumo

Esta tesis estudia los programas potencialmente no deseados (PUP), una categoría de software que, aunque no totalmente malignos, presentan comportamientos que pueden alterar la seguridad o la privacidad de los sistemas en que se instalan. El PUP suele venir empaquetado con freeware, i.e., software propietario que puede usarse sin coste. Un vector popular de distribución del freeware son los portales de descargas, i.e., sitios web que indexan, clasifican y alojan programas. Los portales de descargas pueden ser abusados para distribuir PUP. El freeware suele distribuirse como un instalador, i.e., un programa auxiliar encargado de realizar todos los pasos necesarios para instalar otro programa. Durante la instalación, además de instalar el programa deseado por el usuario, el instalador puede también instalar PUP. El PUP puede ser difícil de desinstalar y puede permanecer en el sistema después de que el usuario intente desinstalarlo. Los sistemas actuales de análisis de malware no son capaces de detectar comportamientos característicos del PUP. Por ejemplo estos sistemas operan sobre una sola ejecución de un programa, mientras que la detección del PUP suele requerir analizar juntas dos ejecuciones: la instalación y la desintalación. Esta tesis presenta nuevas técnicas para detectar y analizar PUP y contiene tres contribuciones principales. Primero, se presenta un estudio de la prevalencia de PUP y malware en portales de descargas, exponiendo los comportamientos abusivos que utilizan sus autores. Segundo, se propone un sistema especialmente diseñado para identificar dinámicamente comportamientos de PUP durante la instalación y desintalación. Tercero, se describe AV CLASS , una herramienta automática de etiquetado, que dada las etiquetas asignadas por los antivirus (AV) a un número potencialmente masivo de muestras, identifica el nombre de familia más probable para cada muestra. Para analizar la distribución de PUP a través de los portales de descargas construimos una plataforma y la usamos para descargar 191K instaladores de freeware para Windows desde 20 portales. Analizando los instaladores medimos una proporción global de PUP y malware entre 8% (estimación conservadora) y 26% (estimación laxa). En 18 de los 20 portales examinados, la cantidad es inferior al 9%. Pero, también encontramos dos portales utilizados exclusivamente para distribuir PUP. Además, detallamos los diferentes comportamientos abusivos utilizados por los autores del PUP. A continuación, presentamos una plataforma para analizar dinámicamente instaladores. Nuestra plataforma ejecuta el instalador, lo navega para completar la instalación, analiza la instalación identificando comportamientos de PUP, identifica la lista de programas instalados, revisa si cada programa instalado tiene un desinstalador, ejecuta los desinstaladores, analiza la desintalación identificando comportamientos de PUP, y compara la instalación y desinstalación determinando si todos los programas se desinstalaron completamente. Finalmente, describimos AV CLASS , una herramienta automática para etiquetar ejecutables maliciosos como variantes de familias conocidas. AV CLASS toma como entrada etiquetas asignadas por los AV de un número de muestras potencialmente masivo, e identifica la familia más probable para cada muestra. Aunque las etiquetas que asignan los AV suelen ser inconsistentes, a menudo no hay otra información disponible para el etiquetado. AV CLASS implementa novedosas técnicas automáticas para abordar tres desafíos debidos a la inconsistencia de las etiquetas de los AV: normalización, eliminación de tokens genéricos y detección de alias. Hemos evaluado AV CLASS en 10 datasets con 8,9M de muestras. AV CLASS alcanza una medida F1 de hasta 93.9 en datasets etiquetados y asigna nombres de familia comúnmente utilizados por los AV. Hemos puesto AV CLASS a disposición de la comunidad.