Unveiling Linux Malware Behavior: The Importance of Execution Environments in Dynamic Analysis

The growing adoption of Linux in servers, cloud infrastructure, and embedded devices has made it an increasingly common target for malware. Modern Linux malware often includes environment-aware checks to detect virtual machines or analysis sandboxes, evading detection by altering its behavior. This thesis investigates the impact of execution environments on dynamic malware analysis and presents a framework to address this challenge. By combining an eBPF-based syscall tracer with a Loadable Kernel Module (LKM) that intercepts and modifies key system calls, the system enables controlled manipulation of the execution environment. This approach aims to better expose hidden malware behavior and improve the reliability of dynamic analysis.

La crescente diffusione dei dispositivi basati su Linux in server, infrastrutture cloud e dispositivi embedded ha reso questo sistema operativo un obiettivo sempre più comune per il malware. I malware moderni per Linux spesso eseguono controlli sull'ambiente di esecuzione per rilevare la presenza di macchine virtuali o sandbox, adattando il proprio comportamento per sfuggire al rilevamento. Questa tesi esplora l’impatto che l’ambiente di esecuzione ha sull'analisi dinamica del malware e propone un framework per affrontare questa problematica. Combinando un syscall-tracer basato su eBPF con un Loadable Kernel Module (LKM) che intercetta e modifica le chiamate di sistema, il sistema permette di manipolare in modo controllato l’ambiente di esecuzione, con l’obiettivo di esporre comportamenti nascosti del malware e migliorare l’affidabilità dell’analisi dinamica.