Change search
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf
Discovering and masking environmental features in modern sandboxes
Blekinge Institute of Technology, Faculty of Computing, Department of Computer Science.
Blekinge Institute of Technology, Faculty of Computing, Department of Computer Science.
2022 (English)Independent thesis Advanced level (professional degree), 20 credits / 30 HE creditsStudent thesis
Abstract [en]

Background. The awareness of cyber attacks in businesses is increasing with the rising number of cyber incidents for businesses. With nearly 350 000 new malware detected per day, there is a big incentive to allocate resources to company infrastructure to mitigate malware. These solutions require scalability not to become bottlenecks and expensive. Therefore, to combat malware, automated solutions have been developed. The automated solutions comprises isolated virtual environments (sandbox), automated analysis, and reports. As a response from malware developers, malware has evolved to become aware of its environment, which has led to an arms race between malware developers and analysts.

Objectives. In this thesis, we study how malware can identify sandbox environments and attempt to find appropriate values for masking system information (features).

Methods. First, we research previous techniques to identify sandbox environments and consult with Windows environment experts from Truesec. We found 179 features to examine. Then, we gather a dataset of 2448 non-sandbox samples and 77 sandbox samples with a probing method. We use the statistical test Mann-Whitney U-test to identify features that differ between the dataset's groups. We conduct masking on a dataset level and evaluate it with a method similar to k-fold cross-validation using a random forest classifier. Furthermore, we analyze each feature's ability to detect sandboxes with the feature importance calculated by the Mean Decrease in Impurity (MDI).

Results. We found 156 out of 179 features that reveal sandbox environments. Which seven out of those features could independently expose sandboxes, i.e., it was possible to classify all sandboxes and non-sandboxes with only one of them. The masking evaluation indicates that our proposed methods are effective at masking the sandboxes. The results of the feature importance showed that Windows Management Instrumentation (WMI) is an ideal source of information when it comes to exposing sandbox environments.

Conclusions. Based on the result, we conclude that various values can expose a sandbox. Furthermore, we conclude that our method to find masking values is adequate and the proposed masking methods successfully masks sandbox samples. Lastly, we conclude that there needs to be a change of focus from evasion techniques to masking implementations in the research field.  

Abstract [sv]

Bakgrund. Medvetenheten om cyberattacker i företag ökar med det ökande antalet cyberincidenter mot företag. Med nästan 350 000 nya skadliga program som upptäcks per dag, finns det ett stort incitament att allokera resurser till företagets infrastruktur för att motarbeta denna typ av attack. Dessa lösningar kräver skalbarhet för att inte bli flaskhalsar och dyra. Därför har automatiserade lösningar utvecklats för att bekämpa skadlig programvara. De automatiserade lösningarna omfattar isolerade virtuella miljöer (sandlådor), automatiserad analys och rapporter. Som ett svar från utvecklare av skadlig programvara har skadlig programvara utvecklats till att bli medveten om sin miljö, vilket har lett till en kapprustning mellan utvecklare av skadlig programvara och analytiker.

Syfte. I den här artikeln studerar vi hur skadlig programvara kan identifiera sandlådemiljöer och försöka hitta lämpliga värden för att maskera systeminformation (parametrar).

Metod. Först undersöker vi tidigare tekniker för att identifiera sandlådemiljöer och rådgör med Windows-miljöexperter från Truesec. Vi hittade 179 parametrar att undersöka. Sedan samlar vi en datauppsättning med 2448 icke-sandlådeprover och 77 sandlådeprover med en sonderingsmetod. Vi använder det statistiska testet Mann-Whitney U-test för att identifiera parametrar som skiljer sig åt mellan datamängdens grupper. Vi utför maskering på datauppsättningsnivå och utvärderar den med en metod som liknar k-faldig korsvalidering med hjälp av en random forest klassificerare. Vidare analyserar vi hur viktig varje parameter är för klassificeraren för att utvärdera parametrarnas förmåga att avslöja sandlådor.

Resultat. Vi hittade 156 av 179 parametrar som avslöjar sandlådemiljöer. Vilka sju av dessa parametrar kunde oberoende avslöja sandlådor, det vill säga det var möjligt att klassificera alla sandlådor och icke-sandlådor med endast en av dem. Maskeringsutvärderingen indikerar att våra föreslagna metoder är effektiva för att maskera sandlådorna. Resultaten av viktigheten för parametrarna visade att Windows Management Instrumentation (WMI) är en ideal informationskälla när det gäller att exponera sandlådemiljöer.

Slutsatser. Baserat på resultatet drar vi slutsatsen att olika värden kan exponera en sandlåda. Dessutom drar vi slutsatsen att vår metod för att hitta maskeringsvärden är adekvat och de föreslagna maskeringsmetoderna maskerar framgångsrikt sandlådeprover. Slutligen drar vi slutsatsen att det måste ske en förändring av fokus från undanflyktstekniker till maskeringsimplementeringar inom forskningsfältet.

Place, publisher, year, edition, pages
2022. , p. 102
Keywords [en]
Sandbox, Masking, Anti-VM, Anti-detection
Keywords [sv]
Sandlåda, Maskering, Anti-VM, Antidetektering
National Category
Computer Sciences Computer Engineering Other Computer and Information Science
Identifiers
URN: urn:nbn:se:bth-23025OAI: oai:DiVA.org:bth-23025DiVA, id: diva2:1662757
External cooperation
Truesec
Subject / course
Degree Project in Master of Science in Engineering 30,0 hp
Educational program
DVACD Master of Science in Computer Security
Supervisors
Examiners
Available from: 2022-06-22 Created: 2022-06-01 Last updated: 2022-06-22Bibliographically approved

Open Access in DiVA

fulltext(766 kB)268 downloads
File information
File name FULLTEXT01.pdfFile size 766 kBChecksum SHA-512
587ec4a7eb6cddf4bfcc624232db3e31ef19a87144a12a54de17fb641d5cb71218cc6c7e324aae62e36b9c8e020fb245d12602dee340cff40d705422a80e7bf7
Type fulltextMimetype application/pdf

By organisation
Department of Computer Science
Computer SciencesComputer EngineeringOther Computer and Information Science

Search outside of DiVA

GoogleGoogle Scholar
Total: 268 downloads
The number of downloads is the sum of all downloads of full texts. It may include eg previous versions that are now no longer available

urn-nbn

Altmetric score

urn-nbn
Total: 582 hits
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf