Virtual machine introspection in malware analysis

Loading...
Thumbnail Image

URL

Journal Title

Journal ISSN

Volume Title

Perustieteiden korkeakoulu | Master's thesis

Date

2016-12-12

Department

Major/Subject

Mobile Computing, Services and Security

Mcode

SCI3045

Degree programme

Master’s Programme in Computer, Communication and Information Sciences

Language

en

Pages

58 + 6

Series

Abstract

Virtual machine introspection is an emerging method in the area of malware analysis. It allows for more stealthy analysis of malware that are executing inside a virtual machine. While open-source platforms for introspection have been published, there is currently no complete solution that would be publicly available. Thus, we set out to build a complete system from existing components. This thesis describes the design and deployment of an automatic malware analysis system based on DRAKVUF, a malware analysis tool for Windows software that uses Linux as the host platform and Xen for virtualization. The system design and deployment scripts have been published as open source. As its output, the system records a trace of events, such as system calls and internal kernel function calls, and stores new files written to the disk for analysis. The analysis system is then benchmarked using both synthetic and real-world workloads. As the main result of the thesis, we found that it is feasible to put together an automated malware analysis environment based on virtual machine introspection and available open-source software components, and that the resulting system works in practice.

Virtuaalikoneintrospektio on nouseva keino haittaohjelma-analyysin saralla. Se mahdollistaa virtuaalikoneessa suoritettavien haittaohjelmien huomaamattomamman analysoinnin. Vaikka introspektioalustoja on julkaistu avoimena lähdekodina, yhtään kokonaista järjestelmää ei ole julkisesti saatavilla, joten otimme tavoitteeksi kokonaisen järjestelmän rakentamisen olemassaolevista osista. Diplomityö kuvaa automaattisen haittaohjelma-analyysijärjestelmän suunnittelua ja käyttöönottoa. Järjestelmä perustuu DRAKVUF-nimiseen ohjelmistoon, joka on Windows-haittaohjelmien analysointiin tarkoitettu työkalu Linux-alustalle, ja käyttää Xeniä virtualisointiin. Järjestelmä tuottaa tarkan seurannan erilaisista tapahtumista, kuten järjestelmäkutsuista ja käyttöjärjestelmän ytimen sisäisistä funktiokutsuista, ja tallentaa levylle kirjoitetut uudet tiedostot analyysiä varten. Tämän jälkeen diplomityö vertaa järjestelmän suorituskykyä sekä synteettisillä että tosielämän kuormituksilla. Diplomityön päätulos on, että on mahdollista rakentaa automaattinen virtuaalikoneintrospektioon perustuva haittaohjelma-analyysijärjestelmä avoimen lähdekoodin komponenteista, ja että näin syntyvä järjestelmä on käyttökelpoinen tosielämässä.

Description

Supervisor

Aura, Tuomas

Thesis advisor

Cafasso, Matteo

Keywords

virtualization, virtual machine introspection, malware analysis, software automation

Other note

Citation