Sistema bibliotecario di ateneo
Tesi etd-02222023-212048
Tipo di tesi Tesi di laurea magistrale
Autore CORRADINI, MATTEO
URN etd-02222023-212048
Titolo Malstream: un motore di attribuzione e contestualizzazione basato su regole di rilevamento per grandi flussi di file
Titolo in inglese Malstream: an attribution and contextualization rule-based detection engine for large file stream
Struttura Dipartimento di Ingegneria "Enzo Ferrari"
Corso di studi Ingegneria informatica (D.M.270/04)
Commissione
Nome Commissario Qualifica
MARCHETTI MIRCO Primo relatore
Parole chiave
  • apt
  • attribution
  • cybersecurity
  • intelligence
  • malware
Data inizio appello 2023-04-13
Disponibilità Accesso limitato: si può decidere quali file della tesi rendere accessibili. Disponibilità mixed (scegli questa opzione se vuoi rendere inaccessibili tutti i file della tesi o parte di essi)
Data di rilascio2063-04-13
Riassunto analitico
L'attribuzione e la contestualizzazione di malware sono sempre stati alcuni dei compiti più complessi e sfidanti nella Cyber Threat Intelligence. Attribuire un artefatto a un gruppo APT (Advanced Persistent Threat) permette di scegliere le più opportune strategie cyber per proteggersi dagli attacchi più mirati e pericolosi. Inoltre, l'attribuzione aiuta a capire il contesto geopolitico delle minacce cyber, anticipando i possibili target e prevenendo infezioni e incidenti di sicurezza. Ricondurre un malware a una famiglia nota aiuta a velocizzare i tempi di risposta agli incidenti, perché è possibile conoscere a priori il comportamento dell'infezione. Data l'ingente mole di malware che quitidianamente transitano per la rete, l'analisi manuale di ognuno di questi artefatti non è un'operazione attuabile e scalabile.
Questa tesi presenta un sistema innovativo e aumatomatico che permette l'attribuzione e la contestualizzazione di grandi flussi di malware, attraverso le più popolari regole di rilevamento. Il sistema esegue un'analisi statica e dinamica del malware, al fine di raccogliere i dati necessari per eseguire il confronto con le regole utilizzate. Inoltre, vengono utilizzati servizi di terze parti per arricchire con informazioni aggiuntive l'attribuzione e la classificazione del malware analizzato. Il sistema offre un metodo di memorizzazione indicizzata e ottimizzata degli artefatti grezzi. Questo permette di eseguire successive analisi su malware meno recenti in maniera performante e veloce. L'architettura realizzata permette di raccogliere artefatti da diversi fonti e salvarli in tempo reale. Questa tesi intende sopperire alla mancanza di un sistema automatico di attribuzione di malware, così da concentrare le analisi manuali sono su artefatti significativi.
Abstract
Malware attribution and contextualization have always been some of the most complex and challenging tasks in Cyber Threat Intelligence. Attributing a sample to an APT (Advanced Persistent Threat) or criminal group allows one to choose the most appropriate cyber strategies to protect against the most targeted and dangerous attacks. In addition, attribution helps to understand the geopolitical context of cyber threats, anticipate possible targets, and prevent infections and security incidents. Attributing malware to a known family helps speed up incident response time because it is possible to know in advance how the infection will behave. Given the massive amount of malware that quitting transits the network, manually analyzing each of these artifacts is not a feasible and scalable task. This thesis presents an innovative and automatic system that allows for the attribution and contextualization of large malware streams, through the most popular detection rules. The system performs static and dynamic analysis of malware to collect the necessary data to perform the comparison with the rules used. In addition, third-party services are used to enrich the attribution and classification of the analyzed malware with additional information. The system provides an indexed and optimized method of storing raw artifacts. This allows subsequent analysis of older malware to be performed in a performant and fast manner. The implemented architecture allows the collection of artifacts from different sources and storing them in real time. This thesis intends to make up for the lack of an automatic malware attribution system, so focus manual analyses are on meaningful artifacts.
File
  Nome file       Dimensione       Tempo di download stimato (Ore:Minuti:Secondi) 
 
 28.8 Modem   56K Modem   ISDN (64 Kb)   ISDN (128 Kb)    piu' di 128 Kb  
Ci sono 1 file riservati su richiesta dell'autore.
Contatta l'autore
Per maggiori informazioni o problemi tecnici, Contattaci.