Vysoce výkonná platforma pro účely výzkumu malwaru

Abstract

V antivírusových firmách sa denne analyzuje veľké množstvo súborov. Pre podporu ich analýzy a klasifikácie sa používajú rôzne automatizované nástroje. Detekčné definície pre detekciu a zablokovanie škodlivých programov sú taktiež už často generované rôznymi algoritmami. Informácie o aktuálne sa šíriacom malvéri sú teda roztrúsené v niekoľkých nástrojoch a niektoré sú príliš generické. Táto práca popisuje návrh nového systému, ktorý bude všetky dostupné informácie agregovať, prioritizovať a vyhodnocovať. Kvôli veľkému množstvu vstupných dát bude kritickou časťou výkonnosť a škálovateľnosť celého systému. Súbory, detekcie a prípadne ďalšie objekty budú označované pomocou tzv. tagu, ktorý vyberie alebo odvodí z dostupných znalostí od analytických nástrojov. Nad uloženými informáciami bude poskytovať rozhranie pre ich ďalšie spracovanie či generovanie štatistík. Navrhnutá platforma bola implementovaná, otestovaná a nasadená do produkcie.

Anti-malware companies analyze large number of files every day. In order to speed up their analysis, many automatized tools were implemented. Detection definitions that detect malicious software are often generated automatically. Information about currently spreading malware is scattered across several tools and they are sometimes too generic. This work proposes a new tool that will aggregate, prioritize, and evaluate all the available information. Due to large amount of incoming data, high performance and scalability of the system is necessary. Files, detection definitions, and other objects will be tagged using the given information directly or inferred. Collected information will be accessible via interface for further analysis and statistics. Everything was implemented, tested and put into production.