SIDOR, S. Analýza a detekce malwaru typu RAT [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2019.
Tato práce pojednává komplexně o konkrétním typu malwaru – RAT. Úkolem studenta byla seznámit se s historií této hrozby, pokusit se dohledat detailní informace o jednotlivých rodinách, ze získaných informací odvodit vlastní závěry a v neposlední řadě navrhnout i detekční pravidla schopná přesně detekovat vzorky dané rodiny podle svého vzhledu i chování. První část tohoto zadání měla převážně rešeršní charakter, druhá spočívala v reverzním inženýrství nad vybranými vzorky a tvorbou detekčních vzorů v jazyce YARA. Zadání lze tedy hodnotit jako mírně obtížnější, především s přihlédnutím k tomu, že většina těchto informací není volně dostupná a bylo vyžadováno značné úsilí při jejich odvozování. Student přistupoval k řešení práce svědomitě a v předstihu. Na pravidelné týdenní konzultace byl připraven a sám si aktivně vyhledával potřebné informace. Podoba finální práce byla v předstihu konzultována. Ač výsledná studie nepojednává o všech kmenech RAT, jsou její závěry užitečné a inovativní. Samostatným výsledkem práce jsou YARA pravidla, která už v praxi pomáhají s přesnou detekcí těchto hrozeb a tím i k ochraně uživatelů. Navrhuji tedy hodnocení 90 (A).
Práce pojednává o tématu konkrétního typu malwaru – RAT. První část práce je popisem typů hrozeb, metod a nástrojů používané v reverzním inženýrství. V zadání bylo požadováno alespoň 10 detekčních vzorů, v práci je popsána ukázka pouze 6 pravidel. Až z přílohy s obsahem přiloženého CD se dovídáme o tom, že je jich opravdu 10. Na CD je zároveň přiložen dokument s analýzou RAT, jehož výsledná tabulka společně s jejím komentářem mohla být přiložena i v hlavním dokumentu práce v jejích přílohách. Chybí mi zde také přímo příklad rozboru konkrétního malwaru od jeho analýzy, až po popis vytvoření jeho detekčního pravidla, nejen popis hotového kódu. Hlavním návrhem obrany proti malwaru typu RAT je instalace antiviru spolu s doporučením odpojení od internetu. Následně je při jeho odstraňování doporučeno zálohovat důležitá data např. do cloudového uložiště. Po formální stránce v některých částech textu není využíváno trpného rodu a v dalších je použito i množné číslo, tak občas čtenář může nabýt dojmu, že jsou to výsledky týmové práce. Některé souvislé části textů, např. kapitola 5.4 popisující funkcionalitu jednotlivých typů RAT, mohly být rozděleny do několika odstavců nebo odrážek, aby byl text více přehledný a lépe čitelný. Na některé obrázky např. Obr. 5.4 v textu není odkazováno. Práci hodnotím B/85b.
eVSKP id 118104