Title Automatizirana dinamička analiza datoteka Title (english) Automated dynamic file analysis Author Jakov Bikić Mentor Željko Ilić (mentor)Committee member Željko Ilić (predsjednik povjerenstva)Committee member Gordan Šišul (član povjerenstva)Committee member Marin Šilić (član povjerenstva)Granter University of Zagreb Defense date and country 2019-07-08, Croatia Scientific / art field, TECHNICAL SCIENCES Scientific / art field, TECHNICAL SCIENCES Abstract Analizom datoteke proučava se ponašanje promatrane datoteke. Cilj analize datoteke je otkriti zlonamjerni softver, suzdržati ga te odrediti njegove mogućnosti. Zlonamjerni softver je pojam koji se odnosi na bilo koji softver dizajniran za nanošenje štete računalu, poslužitelju ili računalnoj mreži. Analiza datoteka uobičajeno se dijeli na statičku i dinamičku analizu datoteka. Statička analiza datoteke je proces analize datoteke koji se izvodi bez njenog pokretanja. Datoteka se podvrgava različitim alatima za statičku analizu koji prikupljaju što je više moguće informacija iz analizirane datoteke. Dinamička analiza datoteke izvodi se promatranjem ponašanja datoteke za vrijeme njenog izvođenja. Uspoređuje se stanje sustava prije i poslije pokretanja datoteke. Za provođenje dinamičke analize datoteka potrebno je testno okruženje i alati za dinamičku analizu.
Uobičajeno se dinamička analiza datoteke radi uz korištenje sandboxa. Sandbox je sigurnosni mehanizam za pokretanje nepouzdanih datoteka u relativno sigurnom okruženju sa smanjenom dozom straha od nanošenja štete stvarnim sustavima. Prilikom pokretanja datoteka u sandboxu, automatizirani sustav za dinamičku analizu može označiti zlonamjerne aktivnosti kao što su izmjene registara, brisanje datoteka sa sustava ili učitavanje novih datoteka. Uspjeh detekcije zlonamjernog softvera ovisi o ponašanju koje je datoteka pokazala tijekom analize. Zbog toga autori zlonamjernog softvera koriste mehanizme izbjegavanja sandboxa. Ako zlonamjerni softver primijeti da se izvršava u sandbox okruženju, onda prikriva svoje stvarno ponašanja ili se uopće ne izvršava. Cuckoo sandbox je sustav otvorenog koda za automatsku analizu zlonamjernog softvera. Koristi se za automatsko pokretanje datoteka i prikupljanje sveobuhvatnih rezultata analize koji ocrtavaju što sve zlonamjerni softver radi tijekom pokretanja u izoliranom operacijskom sustavu.
Postavljeno je testno okruženje u kojem će se izvoditi automatizirana dinamička analiza datoteka. Za stvaranje testnog okruženja korištena su tri Ubuntu Linux računala na kojima je instaliran Cuckoo sandbox verzija 2.0.6. Na svakom računalu konfigurirano je po pet virtualnih strojeva unutar kojih će se vršiti analiza. Primijenjene su tehnike kojima se prikriva sandbox okruženje tako da ga zlonamjerni softver ne može detektirati. Testirana je pauza, tj. vrijeme koliko će se dugo izvoditi datoteka u sandboxu, s ciljem traženja optimalne vrijednosti. Na kraju je automatizirana dinamička analiza primijenjena na zlonamjernoj izvršnoj, PDF i Word datoteci.
Abstract (english) File analysis is the process of determining the functionality of a given file sample. The main goal of file analysis is to detect malware, refrain it and determine its capabilities. Malware is any software designed to cause damage to a computer, server, or computer network. There are two types of file analysis: static analysis and dynamic analysis. Static analysis is a file analysis process that is done without running the file. The file is subjected to various static analysis tools that collect as much information as possible about the file. Dynamic file analysis is performed by observing file’s behaviour during its execution. Dynamic file analysis requires a test environment and dynamic analysis tools.
Usually dynamic file analysis is done by using sandboxes. Sandbox is a security mechanism for executing unreliable files in a relatively secure environment without fear of damaging real systems. When a file is executed in a sandbox, the automated dynamic analysis system can detect malicious activities such as registry changes, deleting files, or loading new files. Success of malware detection depends on the behaviour that the file showed during the analysis. In response, malware authors use sandbox evasion techniques. If the malware detects that it is executed in a sandbox, it conceals its actual behaviour or does not execute at all. Cuckoo sandbox is an open source automated malware analysis system. It is used to automatically execute files and collect comprehensive analysis results that outline what the malware does while running inside isolated operating system.
An automated dynamic file analysis will be performed on three Ubuntu Linux computers. They represent the test environment. Each of the computers has five virtual machines used for carrying out the analysis and Cuckoo sandbox installed. Techniques that cover the sandbox environment are being applied so malware can not detect it. Timeout is tested, ie how long the file will run in the sandbox, in order to find the optimal value. Finally, automated dynamic analysis is applied to malicious executable, PDF and Word files.
Keywords
dinamička analiza datoteka
zaštićena okolina
Cuckoo sandbox
zlonamjerni softver
Keywords (english)
dynamic file analysis
sandbox
Cuckoo sandbox
malware
Language croatian URN:NBN urn:nbn:hr:168:058522 Study programme Title: Information and Communication Technology Type of resource Text File origin Born digital Access conditions Closed access Terms of use Public note Created on 2020-01-07 16:47:48
