Understanding malware behaviour through traffic analysis

Abstract

This project was developed as the final Thesis for the Master's degree in Cybersecurity at Universitat Politècnica de Catalunya (and in collaboration with Aalborg University Copenhagen). The task for the project was to perform an analysis on the banking trojan TrickBot and understand its traffic behaviour. In order to achieve this, an adequate closed sandbox environment had to be designed and implemented. As such, a system was made consisting of Cuckoo Sandbox and VirtualBox, where multiple TrickBot binaries were submitted and analyzed dynamically. Not enough samples behaved as it was expected from them, so another environment was deployed in order to simulate the attack of a banking trojan. With this second system, the task of understanding the credential stealing process was accomplished, and the project was therefore successful as it would serve as a guide to future malware analyses.

Este proyecto fue desarrollado como Trabajo Final del Máster de Ciberseguridad de la Universitat Politècnica de Catalunya (y en colaboración con Aalborg University Copenhagen). El objetivo del proyecto era realizar un análisis sobre el troyano bancario TrickBot y entender el comportamiento de su tráfico. Para conseguir esto, un entorno de pruebas adecuado debía ser diseñado e implementado. Por ello, se creó un sistema formado por Cuckoo Sandbox y VirtualBox, en el que múltiples muestras de TrickBot fueron analizadas de forma dinámica. No hubo suficientes muestras que se comportasen como se esperaba, por lo que se creó otro entorno en el que desarrollar una simulación de un ataque por parte de un troyano bancario. Con este segundo sistema, se cumplió el objetivo de comprender el proceso de robo de credenciales, y el proyecto fue, por tanto, un éxito, ya que podrá servir de guía para futuros análisis de malware.