Škálovatelná podobnost binárních spustitelných souborů

Abstract

Cieľom tejto práce je navrhnúť a implementovať novú službu s názvom YaraZilla pre hľadanie podobností binárnych súborov so známymi malvérovými vzorkami. Veľké množstvo malvéru je iba variáciou existujúceho malvéru upraveného tak, aby unikol pozornosti antimalvérových systémov. Vďaka rozvíjajúcej sa štúdii podobnosti binárnych súborov sme schopní vytvoriť nástroje, ktoré dokážu odhaliť podobnosť binárne líšiacich sa vzoriek, a zaradiť malvér do rodiny, s ktorou zdieľa najviac podobnosti. Cieľom práce je práve poskytnúť takýto nástroj analytikom v Avaste. Služba, navrhnutá v tejto práci, hľadá podobnosť binárnych súborov využitím rozličných metód na rôznych úrovniach abstrakcie binárnych súborov - inštrukcie, základné bloky, funkcie. Navrhnutá služba je schopná spracovávať obrovské množstvo súborov, ktoré poskytujú interné systémy spoločnosti Avast. Výsledkom práce je nová služba, ktorá poskytuje malvérovým analytikom v Avaste obsiahle štatistiky podobností, ktoré je možné využiť v existujúcich službách alebo ich využiť ako základ pre nové nástroje.This work aims to design and implement a new service searching for binary file similarities within known malware samples called YaraZilla. Studying file similarity has a growing potential in malware analysis. The vast amount of new malware is a polymorphic variation of existing malware created for deceiving anti-malware detections. The newly created service is designed to operate by using various binary file similarity techniques on multiple levels of binary code abstraction - instructions, basic blocks, functions. The service is designed to process immense amounts of files supplied by Avast systems. The result of this work is a service that presents malware analysts at Avast with a comprehensive report on malware similarity. Apart from that, the result of service can be integrated into existing services and provides a foundation for new tools.