Hloubková analýza podobnosti kódu v malware kmenech
In-Depth Analysis of Code Similarity in Malware Strains
Abstract
Cieľom tejto práce je analýza kmeňov malvéru za účelom odhalenia väzieb v zmysle podobnosti kódu či jeho znovupoužitia. Využívajú sa pri tom nástroje určené na detekciu podobnosti binárneho kódu spustiteľných súborov. Vybrané kmene sú ďalej skúmané metódami reverzného inžinierstva s cieľom odhaliť účel a pôvod tohto kódu. Na základe týchto poznatkov sú vytvorené detekčné vzory, ktoré takéto hrozby majú efektívne detegovať a zlepšiť ich klasifikáciu. Výskum zároveň poukazuje na nedostatky používaných nástrojov a prináša návrhy na ich vylepšenie. Na záver sú získané výsledky práce zhrnuté a zhodnotené s výhľadom do budúcnosti. The goal of this thesis is the analysis of malware strains with the aim to discover relationships in terms of code similarity or its reuse. Specialized tools are used for the detection of binary code similarity. Selected strains are then analyzed using reverse engineering techniques to uncover the purpose and origin of such code. Based on these findings, detection patterns are created, efficiently detecting those threats. This research also points out the shortcomings of used tools and proposes options for improvement. In conclusion, the obtained results of this thesis are summarized and evaluated with prospects for the future.
Keywords
Malvér, analýza malvéru, reverzné inžinierstvo, podobnosť binárneho kódu, YARA., Malware, malware analysis, reverse engineering, binary code similarity, YARA.Language
slovenština (Slovak)Study brunch
Informační technologieComposition of Committee
doc. Dr. Ing. Petr Hanáček (předseda) doc. Ing. Ondřej Ryšavý, Ph.D. (místopředseda) Mgr. Kamil Malinka, Ph.D. (člen) Ing. Tomáš Milet, Ph.D. (člen) Ing. Josef Strnadel, Ph.D. (člen)Date of defence
2022-06-14Process of defence
Student nejprve prezentoval výsledky své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. V rámci odborné rozpravy student vyjasnil některé detaily řešení. Komise nakonec hodnotí práci stupněm A, což je hlavně z důvodu vysoké náročnosti práce, informačně bohaté a kvalitní technické zprávy a hodnotné výsledné sady pro analýzu škodlivého kódu. Otázky u obhajoby: Bylo by možné použít Váš nástroj pro detekci plagiátů? Co se stalo z verzí SW na promítnutém obrázku v pozici označené datem 5.6.?Result of the defence
práce byla úspěšně obhájenaPersistent identifier
http://hdl.handle.net/11012/207426Source
VOŠČINÁR, M. Hloubková analýza podobnosti kódu v malware kmenech [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2022.Collections
- 2022 [309]