Exploring the PE header and the Rich header for effective Malware Classification and Triage

Abstract

Bruken av kjørbare filer for å introdusere og legge til skadelig programvare i systemer har vært mye brukt av ondsinnede aktører siden internett først ble introdusert. Denne progresjonen har bare økt parallelt med den teknologiske avhengigheten i dagens samfunn. Gitt de enorme mengdene skadelige filer som oppdages hver dag er sikkerhetsanalytikere rett og slett ikke i stand til å behandle og analysere alle disse manuelt, selv om det teoretisk sett kan være mulig med en uendelig mengde menneskelige ressurser. Et slikt urealistisk krav er imidlertid ikke oppnåelig. På grunn av denne utfordringen er fokus på klassifisering og triage av skadelig programvare veldig viktig. Automatisert klassifisering tillater analytikere å kun fokusere på filer som faktisk er skadelige, og en triage prosess har som mål å filtrere ut filer som er mindre viktige. Mindre viktig betyr ikke at det ikke er skadelig programvare, men det indikerer at det er en type skadelig programvare som allerede er analysert eller er veldig lik andre filer. For å forenkle prosessen med automatisert klassifisering og triage ytterligere, har vi utforsket mulighetene for å bruke "PE headeren" og "rich headeren" til PE filer. Eksisterende forskning har vist lovende resultater for disse headerene hver for seg, men vi har fokusert på å utforske kombinasjonen av dem. Gjennom en kombinasjon av metadata fra headerene har vi vært i stand til å presentere en type teknikk der de kan brukes til å klassifisere skadelig programvare og brukes i en triage prosess. Dette er gjort med den hensikt å redusere arbeidsbelastningen for unødvendig analyse for enhver sikkerhetsanalytiker.

The use of executables to introduce and embed malware within systems has been widely used by malicious actors since the internet was introduced. This progression has only increased in parallel with the technological dependency within today’s society. Given the massive amounts of malicious files detected each day security analysts are simply not able to process and review all of these manually, although it could be theoretically possible given an infinite amount of human resources. Such a unrealistic requirement is however not feasible to achieve. Because of this challenge, focus on classification and triage of malware is very important. Automated classification allows analysts to only focus on files that actually are malicious, and a triage process aims to filter out files that are less important. Less important does not mean it is not malware, but it indicates that it is a type of malware that has already been analyzed or is very similar to files that have been analyzed. To further simplify the process of automated classification and triage we have explored the possibilities of using the PE headers and rich headers of PE files. While existing research into the headers have shown promising results separately, significantly less effort has been put into combining them. Through a combination of features from the headers we have been able to present one type of technique in which they can be used to classify malware and be used within a triage process. This has been done with the intention of reducing the workload of unnecessary analysis for each security analyst.