Skrývání a obfuskace malwaru za účelem obejití antiviru

Thumbnail Image

Files

final-thesis.pdf (3.55 MB)
 appendix-1.zip (1.11 MB)
 review_141348.html (6.28 KB)

Date

Authors

Rybár, Matej

Advisor

Referee

Mark

D

Journal Title

Journal ISSN

Volume Title

Publisher

Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií

ORCID

Abstract

Počas hodnotenia bezpečnosti je pomerne nezvyčajné, aby bol niekto presvedčený, že antivírusový softvér neposkytuje úplnú bezpečnosť. Keď penetračný tester narazí na antivírusový softvér, sú chvíle, kedy musí konať rýchlo. Z týchto a iných dôvodov boli vyvinuté rôzne spôsoby obchádzania antivírusového softvéru. Niektoré z týchto prístupov obsfukácie majú za cieľ uniknúť statickej analýze úpravou a manipuláciou s formátom Portable Executable, čo je štandardizovaný formát spustiteľného súboru Windows. Niekoľko typov malvéru mení formát súboru PE, aby sa zabránilo statickej detekcii antivírusu. Táto práca sa zaoberá formátom súborov PE, detekciou malvéru a statickou detekciou obfukačných techník. Výsledkom tejto práce je scantime crypter Persesutor, ktorý zašifruje vstupný súbor a následne po spustení zašifrovaný súbor dešifruje a načítá v pamäti.
During security assessments, it is fairly uncommon for someone to be persuaded that antivirus software does not provide total security. When a penetration tester comes across antivirus software, there are times when he or she must act quickly. For these and other reasons, a variety of methods for getting around antivirus software have been devised. Some of these obfuscation approaches aim to escape static analysis by modifying and manipulating the Portable Executable file format, which is a standardized Windows executable file format. Several types of malware change the PE file format to avoid static antivirus detection. This thesis delves into the PE file format, malware detection, and static detection of obfuscation techniques. This thesis's result is a scantime crypter Persesutor, which encrypts the input file and then decrypts and loads the encrypted file into memory after execution.

Description

Keywords

Malware , Statická Analýza , Prenosný Spustiteľný Súbor , Obfuskácia , Malware , Static Analysis , Portable Executable , Obfuscation

Citation

RYBÁR, M. Skrývání a obfuskace malwaru za účelem obejití antiviru [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2022.

Document type

Document version

Date of access to the full text

Language of document

en

Study field

bez specializace

Comittee

doc. Ing. Václav Zeman, Ph.D. (předseda) doc. Ing. Ivo Lattenberg, Ph.D. (místopředseda) Ing. Petr Jedlička (člen) Ing. Vlastimil Člupek, Ph.D. (člen) Mgr. Jakub Vostoupal, Ph.D. (člen) Ing. Ondřej Pavelka (člen)

Date of acceptance

2022-06-14

Defence

Student prezentoval výsledky své práce a komise byla seznámena s posudky. Otázky oponenta: 1) Výpočet dešifrovacího klíče umožňuje snadnou detekci malware pomocí signatur. Proč jste neuložil dešifrovací klíč (který by byl různý při každém spuštění obfuskátoru) přímo do spustitelného souborů? 2) Jakým způsobem je generován šifrovací klíč pro AES, jakou má délku a jaký mód blokové šifry je použit? Co přesně se jím šifruje a jak se vypočítá dešifrovací klíč? 3) Byla účinnost vytvořeného obfuskačního nástroje porovnávána s jinými již existujícími nástroji? Pokud ano, jaké byly výsledky? Pokud ne, proč ne? Otázky komise: 1) Proč jste používal assembler? 2) Jaké nástroje a kompilátory jste použil? 3) Jakou ochranu představuje obfuskace při ochraně intelektuálního vlastnictví? Student odpověděl na otázky členů komise a oponenta a obhájil bakalářskou práci s výhradami

Result of defence

práce byla úspěšně obhájena

DOI

URI

http://hdl.handle.net/11012/205536

Collections

2022

Endorsement

Review

Supplemented By

Referenced By

Citace PRO