Abstract : | The everyday life of people and corporations, nowadays, is characterized by the exponentially increased use of Information and Communication Technologies. At the same time, however, an unprecedented spread of the various forms of malicious software is taking place, which exploit the vulnerabilities that exist in software, web applications and the human factor, and subsequently cause serious damage in electronic data and critical infrastructures, with a growing economic impact. Therefore, the implementation of malware analysis becomes imperative for the purpose of finding sufficient and fast ways to protect against new threats. This thesis presents the fundamental principals as well as the process of malicious software analysis. The theoretical issues relate to the techniques for conducting static and dynamic analysis, the requirements for creating a proper lab environment for the purpose of executing malware samples (either in physical hosts or in virtual machines), as well as the methods that malicious software uses in order to evade detection and to thwart the process of analysis. Subsequently, the process of malicious software analysis is presented in 4 stages, each with a growing degree of difficulty regarding the required technical skills. The stages are: (a) fully automated analysis, (b) static properties analysis, (c) interactive behavior analysis and (d) reverse engineering. For each of the above stages, a variety of techniques and tools are studied that are used for each specific stage of analysis. Finally, we address the field of command and control in modern cybercrime. In particular, we study the strategies and techniques that today’s cyber criminals use in order to infect computer systems with malware through the network, as well as to communicate with the compromised system for further actions, such as launching denial of service attacks or exfiltrating sensitive data through covert communication channels without being detected for a long period of time. Η καθημερινότητα των ανθρώπων και των επιχειρήσεων σήμερα χαρακτηρίζεται από την εκθετικά αυξανόμενη χρήση των Τεχνολογιών Πληροφορικής και Επικοινωνιών. Ταυτόχρονα όμως, λαμβάνει χώρα μία πρωτοφανής εξάπλωση των διαφόρων μορφών ιομορφικού λογισμικού, που εκμεταλλευόμενες τις αδυναμίες που ενυπάρχουν στο λογισμικό, στις διαδικτυακές εφαρμογές και στον ανθρώπινο παράγοντα προκαλούν σημαντικές ζημιές σε ηλεκτρονικά δεδομένα και σε κρίσιμες υποδομές, με ολοένα αυξανόμενο οικονομικό αντίκτυπο. Έτσι, η ανάλυση του ιομορφικού λογισμικού καθίσταται επιτακτική, έτσι ώστε να βρίσκονται επαρκείς και γρήγοροι τρόποι αντιμετώπισης για κάθε νέο είδος απειλής. Η παρούσα εργασία πραγματεύεται τις βασικές θεωρητικές αρχές καθώς και τη διαδικασία διενέργειας της ανάλυσης ιομορφικού λογισμικού. Τα θεωρητικά θέματα που παρουσιάζονται αφορούν στις τεχνικές της στατικής και δυναμικής ανάλυσης, στις απαιτήσεις για τη δημιουργία ενός κατάλληλου εργαστηριακού περιβάλλοντος για το σκοπό της εκτέλεσης δειγμάτων κακόβουλου λογισμικού (είτε σε φυσικό υπολογιστή είτε σε εικονικές μηχανές), καθώς και στις μεθόδους που χρησιμοποιεί το ιομορφικό λογισμικό ώστε να καθιστά δυσχερή έως αδύνατη την ανίχνευση και να εμποδίζει τη διενέργεια της ανάλυσης. Στη συνέχεια, παρουσιάζεται η διαδικασία της ανάλυσης ιομορφικού λογισμικού κατηγοριοποιημένη σε 4 στάδια, το καθένα με αυξανόμενο βαθμό δυσκολίας όσον αφορά στις απαιτούμενες τεχνικές ικανότητες. Τα στάδια αυτά είναι: (α) η πλήρως αυτοματοποιημένη ανάλυση, (β) η ανάλυση των στατικών ιδιοτήτων του ιομορφικού λογισμικού, (γ) η ανάλυση διαδραστικής συμπεριφοράς και (δ) η αντίστροφη μηχανική. Για κάθε ένα από τα παραπάνω στάδια, μελετώνται οι τεχνικές και τα εργαλεία λογισμικού που χρησιμοποιούνται για το συγκεκριμένο είδος ανάλυσης. Τέλος, ασχολούμαστε με το πεδίο του command-and-control στο σύγχρονο κυβερνοέγκλημα. Πιο συγκεκριμένα, μελετούμε τις στρατηγικές και τεχνικές που οι σύγχρονοι κυβερνοεγκληματίες χρησιμοποιούν προκειμένου να μολύνουν υπολογιστικά συστήματα εξ αποστάσεως, δια μέσω του δικτύου, καθώς επίσης και να επικοινωνήσουν με το μολυσμένο σύστημα για περαιτέρω ενέργειες, όπως το να εξαπολύσουν επιθέσεις άρνησης παροχής υπηρεσιών ή το να εξάγουν ευαίσθητα δεδομένα δίχως να ανιχνεύονται επί μακρό χρονικό διάστημα, μέσω κρυφών καναλιών επικοινωνίας.
|
---|