[Back]

M. Egele:
"Behavior-Based Spyware Detection Using Dynamic Taint Analysis";
Supervisor: S. Dustdar, E. Kirda, Ch. Krügel; Institut für Informationssysteme, AB Verteilte Systeme, 2006; final examination: 10-03-2006.

This thesis presents TQAna - an analysis tool that is capable of identifying spyware using a behaviour-based detection approach.
Generating good signatures for the current anti-spyware toolkits and deploying them in a timely fashion is a demanding task. Even if the signatures are up-to-date, signature based detection techniques usually suffer from the inability to detect novel and unknown threats. We believe that behaviour-based approaches are capable of overcoming this drawback.
To this end, we implemented TQAna. Our tool is based on taint analysis and function call booking to provide dynamic analysis that is carried out on an emulated system. Taint analysis, as implemented with TQAna, provides the ability to track data throughout the whole system on hardware level. The observed functions cover most aspects of the Windows operating system, such as network-, and file system access, shared memory, or the dynamic loader.
The main focus of the analysis lieson Browser Helper Objects that are plug-ins that extend the functionality of the Microsoft Internet Explorer. A detailed log file is created during the analysis that contains the monitored actions performed throughout the system, paying special attention to parameters that contain tainted data.
The evaluation of TQAna showed that the created log files provide detailed insight into what goes on in a Windows operating system. Our results demonstrate that a behaviour-bsed approach is indeed capable of detecting unknown malware threats.

Diese Diplomarbeit beschreibt TQAna - ein Werkzeug zum Aufspüren von Spyware mittels verhaltens-basierter Analyse.
Das Erstellen und Verteilen von Signaturen für die heute üblichen Anti-Spyware Produkte ist eine Herausforderung für die Hersteller, und selbst wenn die Signatur datenbanken immer aktuell gehalten werden, können diese Produkte keine unbekannten Bedrohungen erkennen. Wir sind davon überzeugt, dass eine verhaltens-basierte Analyse durchaus in der Lage ist, dieses MAnko auszubessern.
TQAna basiert im Wesentlichen auf zwei Ansätzen: der taint Analyse und dem Beobachten von Funktionsaufrufen, um eine dynamische Analyse in einem emulierten System vorzunehmen. während das Systemm durch die taint Analyse in der Lage ist, die Bewegungen von sensiblen Daten auf der Hardware-Ebene zu verfolgen, deckn die überwachten Funktionen alle Aspekte des Windows Betriebssystems, wie Datensystem- oder Netzwerkzugriffe, ab.
Die Analyse konzentriert sich auf sogenannte Browser Helper Objects, die erweiterte Funktionen für den Microsoft Internet Explorer beinhalten. Während der Analyse wird ein detailliertes Protokoll erstellt, das alle beobachteten Vorgänge im System enthält, und jene Vorgänge, die getaintete Daten verwenden, besonders hervorhebt.
Während der Evaluation TQAna konnten wir feststellen, dass dei erstellten Protokolle tiefe Einblicke in die Vorgänge des Windows Betriebssystems geben, und dass unser verhaltens-basierter Ansatz wirklich in der Lage ist, bisher unbekannte Bedrohungen zu entdecken.