Automatická detekce použité kryptografie v kódu

Abstract

Táto bakalárska práca sa zaoberá problematikou automatickej detekcie použitej kryptografie zo strojového kódu programu. Analýza použitej kryptografie u neznámej vzorky programu si v súčasnosti vyžaduje veľké manuálne úsilie. V rámci tejto práce bola preskúmaná možnosť automatizácie analýzy využitia kryptografickej knižnice Microsoft CryptoAPI. Táto knižnica je distribuovaná ako súčasť systémov Microsoft Windows a môže byť útočníkom zneužitá na spôsobenie škody obeti. Rozpoznaním operácií s kryptografickými prostriedkami a informovaním o ich využití je možné v niektorých prípadoch zistiť zámer analyzovaného programu a odlíšiť programy so zlým úmyslom len na základe prezentovaného výstupu analýzy. Hlavným cieľom tejto práce bolo vytvorenenie modulu integrovaného do sandboxu Cuckoo na analýzu spôsobu využitia tejto knižnice analyzovanými programami. Behom návrhu tohto analyzátora bola preskúmaná a popísaná funkcionalita CryptoAPI a taktiež nástroj na dynamickú analýzu neznámych programov za účelom rozpoznania malware, sandbox Cuckoo. Navrhnutý analyzátor bol úspešne vytvorený, nasadený, testovaný v praxi a získané výsledky boli následne prediskutované.

This thesis covers the topic of automatic detection of cryptography used in application code, which currently requires a lot of manual effort to analyze for a given unknown program sample. In this thesis, a possibility of implementing an automated tool for analysing the usage of Microsoft CryptoAPI cryptographic library by analysed programs is researched. This library is distributed with Microsoft Windows and can be misused by an attacker to cause significant harm to a victim. By recognizing cryptographic operations used and by presenting the summary of their use, it is in certain situations possible to distinguish malicious programs just based on the presented analysis summary. Main objective of this thesis was creation of such automatic analyser module integrated into Cuckoo sandbox. Along with the design proposal of such analyser, this thesis includes CryptoAPI library and Cuckoo sandbox functionality exploration and description. Proposed automatic analyser was successfully created, deployed and tested in production environment and the achieved results were discussed.