Malware minták kollaboratív analízisét támogató keretrendszer fejlesztése

OData támogatás
Konzulens:
Dr. Bencsáth Boldizsár
Hálózati Rendszerek és Szolgáltatások Tanszék

Napjainkban a rosszindulatú szoftverek, vagy más néven a malware programok száma ugrásszerűen növekszik, óriási károkat okozva. Ezeknek a kártékony alkalmazásoknak a céljai rendkívül szerteágazóak lehetnek, kezdve a háttértárról fájlokat véglegesen eltávolító változatoktól a számítógépünkön „hátsó kaput” nyitó programokon át egészen a nagymennyiségű, több forrásból származó információk gyűjtésére kifejlesztett komplex malware platformokig. Ezen rosszindulatú programok működésének megismerése kulcsfontosságú az ellenük való hatékony védekezés érdekében, a malware által gyűjtött információ felfedése pedig sokat segíthet a működés megértésében, illetve ezen keresztül a program fejlesztőinek szándékát is jobban megérthetjük.

A malware minták analízise azonban korántsem egyszerű feladat, az ilyen programok fejlesztői ugyanis rendkívül változatos technikákat alkalmaznak annak érdekében, hogy a malware működése észrevétlen maradjon és az általa gyűjtött információknak, valamint működésének analízise is nehéz feladat legyen. A több biztonsági szakember által közösen végzett analízis során további, elsősorban hatékonysági problémák is felmerülnek.

Ezek közül talán az egyik legjelentősebb nehézséget az jelenti, hogy milyen módszerekkel tudják az analízisben résztvevők a mintákat, az azokból nyert új információkat, az újonnan felderített komponenseket, modulokat egymás között hatékonyan megosztani, tárolni és dokumentálni; milyen munkamódszer szerint érdemes az egyes feladatokat kiosztani, az analízis során nyert információkat gyűjteni, rendszerezni, egyeztetni, illetve az eredményeket összesíteni. A több szakember által közösen végzett analízis során továbbá fontos szempont, hogy hatékonyan tudjuk követni az egyes résztvevőknek kiosztott feladatok megoldásának alakulását.

Másrészről egy konkrét résztvevő számára is hasznos lehet, ha az analízist egy jól definiált módszer szerint, szisztematikusan végzi és az analízis egyes részeredményeit, illetve eredményét könnyen át tudja tekinteni, munkájának eredményeit pedig később is könnyen megérti, ezzel megteremtve az analízis hatékony folytatásának lehetőségét.

Mindezen feladatok megvalósításához számos szoftver alkalmazás áll rendelkezésre, melyek támogatást nyújtanak a fentebb taglalt analízis feladatok elvégzéséhez, illetve képesek azokat részben automatizálni is.

Diplomatervem részeként a kollaboratív malware analízist támogató szoftver keretrendszert terveztem, illetve prototípus szinten implementáltam, mely reményeim szerint képes hatékony támogatást nyújtani a korábban említett problémák megoldásához, vagy legalábbis egyszerűbbé tenni a kollaborációt. A létrehozott keretrendszer, illetve az abban alkalmazott megoldások, technikák, illetve szemléletmód egy – esetlegesen a későbbiek során kifejlesztett – nagyobb keretrendszer kiindulási alapjául szolgálnak. Ezzel összhangban a Diplomatervem részeként létrehozott megoldás tervezése során törekedtem arra, hogy az rugalmasan bővíthető, hatékonyan továbbfejleszthető legyen egy, a korábban említett nagyobb volumenű alkalmazás irányába.

Dolgozatom elején a malware analízis során felmerülő gyakorlati problémákat, illetve a kollaboráció támogatására alkalmazható megoldásokat ismertetek. Ezt követően definiálok egy olyan munkafolyamatot, módszertant, mely növeli a kollaboratív malware analízis hatékonyságát. A munkafolyamat definiálását követően a módszertanra, szemléletmódra alapozva létrehozott keretrendszer funkcionális és architekturális tervezését ismertetem. A tervezést követően felvázolom a felmerülő implementációs kérdéseket és problémákat. Dolgozatomat a létrehozott keretrendszer prototípusának tesztelésével, ellenőrzésével és értékelésével zárom, valamint javaslatot teszek az eszköz továbbfejlesztési lehetőségeivel, bővítésével kapcsolatban.

Letölthető fájlok

A témához tartozó fájlokat csak bejelentkezett felhasználók tölthetik le.