Skrývání a obfuskace malwaru za účelem obejití antiviru
Hiding and obfuscation of malware to avoid antivirus detection
Abstract
Počas hodnotenia bezpečnosti je pomerne nezvyčajné, aby bol niekto presvedčený, že antivírusový softvér neposkytuje úplnú bezpečnosť. Keď penetračný tester narazí na antivírusový softvér, sú chvíle, kedy musí konať rýchlo. Z týchto a iných dôvodov boli vyvinuté rôzne spôsoby obchádzania antivírusového softvéru. Niektoré z týchto prístupov obsfukácie majú za cieľ uniknúť statickej analýze úpravou a manipuláciou s formátom Portable Executable, čo je štandardizovaný formát spustiteľného súboru Windows. Niekoľko typov malvéru mení formát súboru PE, aby sa zabránilo statickej detekcii antivírusu. Táto práca sa zaoberá formátom súborov PE, detekciou malvéru a statickou detekciou obfukačných techník. Výsledkom tejto práce je scantime crypter Persesutor, ktorý zašifruje vstupný súbor a následne po spustení zašifrovaný súbor dešifruje a načítá v pamäti. During security assessments, it is fairly uncommon for someone to be persuaded that antivirus software does not provide total security. When a penetration tester comes across antivirus software, there are times when he or she must act quickly. For these and other reasons, a variety of methods for getting around antivirus software have been devised. Some of these obfuscation approaches aim to escape static analysis by modifying and manipulating the Portable Executable file format, which is a standardized Windows executable file format. Several types of malware change the PE file format to avoid static antivirus detection. This thesis delves into the PE file format, malware detection, and static detection of obfuscation techniques. This thesis's result is a scantime crypter Persesutor, which encrypts the input file and then decrypts and loads the encrypted file into memory after execution.
Keywords
Malware, Statická Analýza, Prenosný Spustiteľný Súbor, Obfuskácia, Malware, Static Analysis, Portable Executable, ObfuscationLanguage
angličtina (English)Study brunch
bez specializaceComposition of Committee
doc. Ing. Václav Zeman, Ph.D. (předseda) doc. Ing. Ivo Lattenberg, Ph.D. (místopředseda) Ing. Petr Jedlička (člen) Ing. Vlastimil Člupek, Ph.D. (člen) Mgr. Jakub Vostoupal (člen) Ing. Ondřej Pavelka (člen)Date of defence
2022-06-14Process of defence
Student prezentoval výsledky své práce a komise byla seznámena s posudky. Otázky oponenta: 1) Výpočet dešifrovacího klíče umožňuje snadnou detekci malware pomocí signatur. Proč jste neuložil dešifrovací klíč (který by byl různý při každém spuštění obfuskátoru) přímo do spustitelného souborů? 2) Jakým způsobem je generován šifrovací klíč pro AES, jakou má délku a jaký mód blokové šifry je použit? Co přesně se jím šifruje a jak se vypočítá dešifrovací klíč? 3) Byla účinnost vytvořeného obfuskačního nástroje porovnávána s jinými již existujícími nástroji? Pokud ano, jaké byly výsledky? Pokud ne, proč ne? Otázky komise: 1) Proč jste používal assembler? 2) Jaké nástroje a kompilátory jste použil? 3) Jakou ochranu představuje obfuskace při ochraně intelektuálního vlastnictví? Student odpověděl na otázky členů komise a oponenta a obhájil bakalářskou práci s výhradamiResult of the defence
práce byla úspěšně obhájenaPersistent identifier
http://hdl.handle.net/11012/205536Source
RYBÁR, M. Skrývání a obfuskace malwaru za účelem obejití antiviru [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2022.Collections
- 2022 [397]