Behavior-based Classification of Botnet Malware

Abstract

ENGELSK: The rapid development of information technology has led to great advances in personal computers. At the same time, it has also brought a lot of threats, where malware (malicious software) is one of the most severe. According to Symantec, there was a 51% increase in added malware signatures from 2009 to 2010. To make matters even worse, malware developers are becoming more sophisticated, creating hybrid malware with obfuscation and mutation capabilities. These hybrids are often found in botnets, where capabilities like self-propagation, stealth and remote-control are important. This thesis will analyze malware behavior that employs obfuscation techniques in the context of botnets. Through tools for reverse engineering, digital forensics and data mining, malware behavior is analyzed to solve a two-class classification problem.

NORSK: Den raske utviklingen innenfor informasjonsteknologi har ledet til store framsteg for personlige datamaskiner. Denne utviklingen har også ledet til mange trusler, hvor ondsinnet programvare (skadevare) er en av de mest alvorlige. I følge Symantec så har økningen av skadevaresignaturer økt 51% fra 2009 til 2010. For å gjøre saken verre, så har skadevareutviklere blitt mer sofistikerte og de utvikler hybrider med obfuskerings- og mutasjonsegenskaper. Disse hybridene er ofte å finne i botnets, hvor de innehar viktige egenskaper som å operere ubemerket, infisering av nye datamaskiner og fjernstyring. Denne masteroppgaven analyserer skadevare i botnets, og ved å benytte verktøy for “reverse engineering”, digital etterforskning og “data mining”, blir skadevareoppførsel analysert for å løse et klassifiseringsproblem.