A Systematic Empirical Analysis of Unwanted Software Abuse, Prevalence, Distribution, and Economics

Kotzias, Platon Pantelis (2019). A Systematic Empirical Analysis of Unwanted Software Abuse, Prevalence, Distribution, and Economics. Thesis (Doctoral), E.T.S. de Ingenieros Informáticos (UPM). https://doi.org/10.20868/UPM.thesis.55406.

Description

Title: A Systematic Empirical Analysis of Unwanted Software Abuse, Prevalence, Distribution, and Economics
Author/s:
  • Kotzias, Platon Pantelis
Contributor/s:
  • Caballero Bayerri, Juan
Item Type: Thesis (Doctoral)
Date: 2019
Subjects:
Faculty: E.T.S. de Ingenieros Informáticos (UPM)
Department: Lenguajes y Sistemas Informáticos e Ingeniería del Software
Creative Commons Licenses: Recognition - No derivative works - Non commercial

Full text

[img]
Preview
PDF - Requires a PDF viewer, such as GSview, Xpdf or Adobe Acrobat Reader
Download (1MB) | Preview

Abstract

Los programas potencialmente no deseados (PUP) son una categoría de software que, aunque no totalmente malignos, pueden presentar considerables riesgos a la privacidad y seguridad de los usuarios. Existen indicios que la relevancia del PUP ha aumentado rápidamente durante los últimos años, pero la prevalencia del PUP en equipos informáticos de consumidores y empresas es desconocida. Además, hay varios aspectos importantes del PUP tales como sus vectores de distribución, su abuso de la tecnología Windows Authenticode, y sus beneficios económicos que siguen siendo desconocidos. En esta tesis se analiza empíricamente y sistemáticamente, en amplitud y profundidad, el abuso, la prevalencia, la distribución y los beneficios económicos del PUP. Esta tesis engloba las siguientes cuatro contribuciones. Primero, presentamos un estudio sistemático sobre el abuso del PUP y malware en Windows Authenticode una tecnología para firmar digitalmente código ejecutable. Construimos una infraestructura que clasifica programas como PUP o malware y la usamos para evaluar 356K muestras. Concluimos que la mayoría de las muestras firmadas son PUP y que el malware normalmente no está firmado. Por otra parte, evaluamos la eficacia de las defensas usadas por las Autoridades de Certificación (CA) tales como la verificación de identidad y la revocación. Nuestros resultados indican que la verificación de identidad constituye una barrera al malware, pero no afecta al PUP. Las revocaciones de los certificados son mínimas tanto en malware como en PUP. Concluimos que las defensas de los CAs no son eficaces para el PUP. Segundo, medimos la prevalencia del PUP en equipos informáticos reales de usuarios usando telemetría de 3.9 millones de sistemas. Detectamos PUP en 54% de los sistemas en nuestros datos. Adicionalmente, analizamos el ecosistema de servicios comerciales de pago por instalación (PPI) y mostramos que los servicios comerciales PPI desempeñan una función importante en la distribución del PUP. Tercero, presentamos un análisis de la seguridad informática en las empresas y medimos la prevalencia del PUP y malware en equipos informáticos de empresas. Usamos la telemetría de 28K empresas en 67 sectores industriales, con más de 82 millones de usuarios en total. Casi todas las empresas, independientemente de sus propiedades, han sido afectadas por algún malware o PUP durante el periodo de tres años. Además, observamos que algunos sectores industriales, particularmente sectores relacionados con las finanzas, protegen sus sistemas mucho mejor que otros sectores. Cuarto, realizamos un análisis económico del PUP. Para ello, proponemos una novedosa técnica para realizar atribución del PUP. Usamos nuestra técnica para identificar las entidades detrás de tres grandes operaciones PUP españolas y medimos la rentabilidad de sus empresas. Nuestro análisis determina que en cada operación hay un pequeño número de personas que controla un gran número de empresas, de las cuales la mayoría son empresas pantallas. En el periodo 2013–2015, las tres operaciones tienen ingresos por un total de 202.5M e y beneficios de 23M e . Por último, observamos una disminución drástica tanto de los ingresos como de los beneficios de las tres operaciones desde mediados de 2014. Concluimos que las nuevas defensas desplegadas por grandes empresas han impactado significativamente a los servicios comerciales PPI. ----------ABSTRACT---------- Potentially unwanted programs (PUP) are a category of undesirable software that, while not outright malicious, can pose significant risks to users’ security and privacy. There exist indications that PUP prominence has quickly increased over the last years, but the prevalence of PUP on both consumer and enterprise hosts remains unknown. Moreover, many important aspects of PUP such as distribution vectors, code signing abuse, and economics also remain unknown. In this thesis, we empirically and systematically analyze in both breadth and depth PUP abuse, prevalence, distribution, and economics. We make the following four contributions. First, we perform a systematic study on the abuse of Windows Authenticode code signing by PUP and malware. We build an infrastructure that classifies potentially malicious samples as PUP or malware and use this infrastructure to evaluate 356K samples. We show that most signed samples are PUP and that malware is not commonly signed. We also evaluate the efficacy of Certification Authority (CA) defenses such as identity checks and revocation. Our results suggest that CA identity checks pose some barrier to malware, but do not affect PUP. CA revocations are equally low for both malware and PUP. We conclude that current CA defenses are largely ineffective for PUP. Second, we measure the prevalence of unwanted software on real consumer hosts using telemetry from 3.9 million hosts. We find PUP installed in 54% of the hosts in our dataset. We also analyze the commercial pay-per-install (PPI) service ecosystem showing that commercial PPI services play a major role in the distribution of PUP. Third, we perform an analysis of enterprise security and measure the prevalence of both malware and PUP on real enterprise hosts. We use AV telemetry collected from 28K enterprises and 67 industry sectors with over 82M client hosts. Almost all enterprises, despite their different security postures, encounter some malware or PUP in a three year period. We also observe that some industries, especially those related to finance, secure their systems far better than other industries. Fourth, we perform an analysis of PUP economics. For that, we first propose a novel technique for performing PUP attribution. Then, we use our technique to identify the entities behind three large Spanish-based PUP operations and measure the profitability of the companies they operate. Our analysis shows that in each operation a small number of people manages a large number of companies, and that the majority of them are shell companies. In the period 2013–2015, the three operations have a total revenue of 202.5M e and net income of 23M e . Finally, we observe a sharp decrease on both revenue and income for all three operations starting mid-2014. We conclude that improved PUP defenses deployed by various software and security vendors significantly impacted the PPI market.

Funding Projects

TypeCodeAcronymLeaderTitle
Horizon 2020731535ELASTESTUnspecifiedElasTest: an elastic platform for testing complex distributed large software systems
Madrid Regional GovernmentS2018/TCS-4339BLOQUES-CMUnspecifiedUnspecified
Government of SpainS2013/ICE-2731N-GREENS Software-CMUnspecifiedNext-GeneRation Energy-EfficieNt Secure Software
Government of SpainTIN2015-7013-RDEDETISUnspecifiedUnspecified
Government of SpainTIN2012-39391-C04-01StrongSoftUnspecifiedSound technologies for reliable, open, new generation software

More information

Item ID: 55406
DC Identifier: http://oa.upm.es/55406/
OAI Identifier: oai:oa.upm.es:55406
DOI: 10.20868/UPM.thesis.55406
Deposited by: Archivo Digital UPM 2
Deposited on: 12 Jun 2019 06:13
Last Modified: 11 Dec 2019 23:30
  • Logo InvestigaM (UPM)
  • Logo GEOUP4
  • Logo Open Access
  • Open Access
  • Logo Sherpa/Romeo
    Check whether the anglo-saxon journal in which you have published an article allows you to also publish it under open access.
  • Logo Dulcinea
    Check whether the spanish journal in which you have published an article allows you to also publish it under open access.
  • Logo de Recolecta
  • Logo del Observatorio I+D+i UPM
  • Logo de OpenCourseWare UPM