Sandbox environment for IOT malware

Abstract

En la actualidad, el crecimiento elevado del número de dispositivos interconectados, ha establecido al internet de las cosas como un buen objetivo para los desarrolladores de malware. Sus características lo hacen ideal para ser objetivos de ataque; la baja seguridad, el largo tiempo que pasan conectados a Internet, interconectados a otros dispositivos, son el eslabón más débil contra el que iniciar un ataque resultando un punto de acceso a otros dispositivos. Todo ello hace que se requiera poner énfasis en el análisis de malware estudiando específicamente el desarrollado para estos dispositivos. Para poder analizar el malware es necesario disponer de herramientas que faciliten esta tarea. En la actualidad existen los sandbox para desempeñar esta tarea. El objetivo de este trabajo es preparar un sandbox, que se define como un entorno aislado y seguro, donde los cambios realizados por el malware serán reversibles. Esto implica que el malware tendrá vía libre para realizar todas las modificaciones para las que esté programado dejando el respectivo rastro, pero permitiendo posteriormente dejar la máquina como estaba en su origen, previo a la ejecución del malware. Este entorno estará preparado y configurado para poder replicar la ejecución de malware dirigido a arquitecturas usadas comúnmente en el IoT como ARM o MIPS. El resultado de cada análisis vendrá dado por la ejecución del malware dentro del sandbox. Esta ejecución devolverá un conjunto de información muy útil que irá desde el análisis de la estructura del fichero (estático) hasta el detalle de cada paso de ejecución (dinámico) que realizará cambios en el sistema invitado mediante llamadas a sistema durante su ejecución, incluyendo además un análisis del uso de la red durante este proceso. Todo este entorno permitirá generar un informe, del cual se podrán extraer conclusiones del propósito del malware y generar una prevención eficaz de cara a futuras infecciones.

Currently, the high growth in the number of interconnected devices has established the internet of things as a good target for malware developers. Its characteristics make it ideal to be targets of attack, low security, long time spent connected to the Internet, interconnected to other devices, are the weakest link against which to initiate an attack resulting in a point of access to other devices. All this makes it necessary to emphasize the analysis of malware specifically studying the one developed for these devices. To be able to analyze malware, it is necessary to have tools that facilitate this task. Now there are sandboxes to perform this task. The objective of this work is to prepare a sandbox, which is defined as an isolated, safe environment, where the changes made by the malware will be reversible. This implies that the malware will have the free way to make all the modifications for which it is programmed leaving the respective trace but allowing later to leave the machine as it was at its origin, prior to the execution of the malware. This environment will be prepared and configured to replicate the execution of malware aimed at architectures commonly used in the IoT such as ARM or MIPS. The result of each analysis will be given by the execution of the malware within the sandbox. This execution will return a very useful set of information that will go from the analysis of the structure of the file (static) to the detail of each execution step (dynamic) that will make changes in the guest system through system calls during its execution, including an analysis of the use of the network during this process. All this environment will generate a report which can draw conclusions from the purpose of the malware and generate an effective prevention for future infections.

Actualment, el creixement elevat del nombre de dispositius interconnectats, ha establert la internet de les coses com un bon objectiu per als desenvolupadors de programari maliciós. Les seves característiques el fan ideal per a ser objectius d'atac; la baixa seguretat, el llarg temps que passen connectats a Internet, interconnectats a altres dispositius, són la baula més feble contra el qual iniciar un atac resultant un punt d'accés a altres dispositius. Tot això fa que es requereixi posar èmfasi en l'anàlisi de programari maliciós estudiant específicament el desenvolupat per a aquests dispositius. Per poder analitzar el programari maliciós és necessari disposar d'eines que facilitin aquesta tasca. En l'actualitat existeixen els sandbox per desenvolupar aquesta tasca. L'objectiu d'aquest treball és preparar un sandbox, que es defineix com un entorn aïllat i segur, on els canvis realitzats pel programari maliciós seran reversibles. Això implica que el programari maliciós tindrà via lliure per realitzar totes les modificacions per a les quals estigui programat deixant el respectiu rastre, però permetent posteriorment deixar la màquina com estava en el seu origen, previ a l'execució del programari maliciós. Aquest entorn estarà preparat i configurat per poder replicar l'execució de codi maliciós dirigit a arquitectures usades comunament en el IOT com ARM o MIPS. El resultat de cada anàlisi serà definit per l'execució del codi maliciós dins el sandbox. Aquesta execució retornarà un conjunt d'informació molt útil que anirà des de l'anàlisi de l'estructura del fitxer (estàtic) fins al detall de cada pas d'execució (dinàmic) que realitzarà canvis en el sistema convidat mitjançant crides a sistema durant la seva execució, incloent-hi a més una anàlisi de l'ús de la xarxa durant aquest procés. Tot aquest entorn permetrà generar un informe, del qual es podran extreure conclusions del propòsit del programari maliciós i generar una prevenció eficaç de cara a futures infeccions.