Škálovatelná podobnost binárních spustitelných souborů

Thumbnail Image
Files
Posudek-Vedouci prace-23736_v.pdf(85.76 KB)
Posudek-Oponent prace-23736_o.pdf(86.99 KB)
review_136781.html(1.46 KB)
Date
Authors
ORCID
Advisor
Referee
Mark
C
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
Abstract
Cieľom tejto práce je navrhnúť a implementovať novú službu s názvom YaraZilla pre hľadanie podobností binárnych súborov so známymi malvérovými vzorkami. Veľké množstvo malvéru je iba variáciou existujúceho malvéru upraveného tak, aby unikol pozornosti antimalvérových systémov. Vďaka rozvíjajúcej sa štúdii podobnosti binárnych súborov sme schopní vytvoriť nástroje, ktoré dokážu odhaliť podobnosť binárne líšiacich sa vzoriek, a zaradiť malvér do rodiny, s ktorou zdieľa najviac podobnosti. Cieľom práce je práve poskytnúť takýto nástroj analytikom v Avaste. Služba, navrhnutá v tejto práci, hľadá podobnosť binárnych súborov využitím rozličných metód na rôznych úrovniach abstrakcie binárnych súborov - inštrukcie, základné bloky, funkcie. Navrhnutá služba je schopná spracovávať obrovské množstvo súborov, ktoré poskytujú interné systémy spoločnosti Avast. Výsledkom práce je nová služba, ktorá poskytuje malvérovým analytikom v Avaste obsiahle štatistiky podobností, ktoré je možné využiť v existujúcich službách alebo ich využiť ako základ pre nové nástroje.
This work aims to design and implement a new service searching for binary file similarities within known malware samples called YaraZilla. Studying file similarity has a growing potential in malware analysis. The vast amount of new malware is a polymorphic variation of existing malware created for deceiving anti-malware detections. The newly created service is designed to operate by using various binary file similarity techniques on multiple levels of binary code abstraction - instructions, basic blocks, functions. The service is designed to process immense amounts of files supplied by Avast systems. The result of this work is a service that presents malware analysts at Avast with a comprehensive report on malware similarity. Apart from that, the result of service can be integrated into existing services and provides a foundation for new tools.
Description
Keywords
Avast, malvér, malvérové rodiny, revezné inžinierstvo, podobnosť binárnych súborov, škáloveteľná služba., Avast, malware, malware family, reverse engineering, binary file similarity, scalable service.
Citation
KUBOV, P. Škálovatelná podobnost binárních spustitelných souborů [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2021.
Document type
Document version
Date of access to the full text
Language of document
en
Study field
Superpočítání
Comittee
prof. Ing. Lukáš Sekanina, Ph.D. (předseda) doc. Ing. Jiří Jaroš, Ph.D. (místopředseda) doc. Ing. Michal Bidlo, Ph.D. (člen) prof. RNDr. Milan Češka, CSc. (člen) doc. Ing. Tomáš Martínek, Ph.D. (člen) Ing. Filip Orság, Ph.D. (člen)
Date of acceptance
2021-06-22
Defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm C. Otázky u obhajoby: Nástroj pro porovnávání binárních souboru je převzaty od společnosti Avast? Existuje již nějaké řešení pro porovnávání binárních souborů? Hlavní přínos je ve škálovatelnosti řešení?
Result of defence
práce byla úspěšně obhájena
Document licence
Přístup k plnému textu prostřednictvím internetu byl licenční smlouvou omezen na dobu 3 roku/let
DOI
URI
https://hdl.handle.net/11012/249146
Collections
2021
Citace PRO