AAU Student Projects - visit Aalborg University's student projects portal
A master's thesis from Aalborg University
Book cover


Behavioural Analysis of Malware Using Custom Sandbox Environments

Author

Term

4. term

Education

Networks and Distributed Systems, Master

Publication year

2020

Submitted on

Pages

110

Abstract

Dette projekt, udført på 10. semester ved Aalborg Universitet, byggede et kontrolleret sandbox-miljø (et sikkert testmiljø) for at undersøge, om ændringer i bestemte systemartefakter i virtuelle maskiner får malware (skadelig software) til at opføre sig anderledes. Artefakter forstås her som genkendelige systemdetaljer eller spor, for eksempel indstillinger eller indikatorer, der afslører virtualisering, som kan påvirke, hvordan software reagerer. Ved brug af analyseværktøjet Cuckoo Sandbox og VM-manageren VirtualBox blev der etableret en systematisk måde at køre de samme malwareprøver i forskellige miljøer og observere adfærdsændringer. To skræddersyede virtuelle maskiner blev forberedt: én, der lignede et typisk virtuelt setup, og én hvor henvisninger til virtualisering blev fjernet ved at manipulere udvalgte artefakter. I tests med 21 tilfældigt udvalgte malwareprøver ændrede 9 adfærd mellem miljøerne. Nogle prøver forblev inaktive, fordi der manglede yderligere artefakter i testmiljøet. På grund af den lille stikprøve kræver sikre konklusioner om, hvilke artefakter der fremkalder specifikke adfærdsændringer, flere prøver og gentagne forsøg. Projektet leverede et velfungerende system, der viste adfærdsændringer på tværs af forskellige typer af malware, og peger på fremtidigt arbejde med skalering og gentagne tests for at fastslå årsagen til hver ændring.

This 10th-semester project at Aalborg University built a controlled sandbox (a safe test environment) to examine whether changing certain system artefacts in virtual machines makes malware behave differently. Here, artefacts are identifiable system details or traces, such as settings or indicators that reveal virtualization, which can influence how software reacts. Using the malware analysis framework Cuckoo Sandbox together with the virtual machine manager VirtualBox, we created a systematic way to run the same malware samples in different environments and observe any changes. Two custom virtual machines were prepared: one representing a typical virtual setup, and one where references to virtualization were removed by manipulating selected artefacts. In tests with 21 randomly chosen malware samples, 9 showed changes in behavior between environments. Some samples remained dormant because additional artefacts were missing in the test environment. Because the dataset was small, firm conclusions about which artefacts cause specific behavior changes require more samples and repeated trials. The project successfully delivered a working system that revealed behavior changes across different types of malware and points to future work on scaling and repeated testing to pinpoint the causes of each change.

[This abstract was generated with the help of AI]

Keywords

Speciale ; Malware ; Malware Behaviour ; Cuckoo ; Sandbox ; VirtualBox ; Windows 7 ; Linux ; Ubuntu

Documents

Download
View record in AAU Student Projects