Bachelor's Thesis

Dynamic Configuration of the Sandbox Environment for Malware Analysis

Final Thesis 1.81 MB Appendix 454.64 kB

Author of thesis: Bc. Artem Vereninov

Acad. year: 2024/2025

Supervisor: Ing. Dominika Regéciová

Reviewer: Ing. Zbyněk Křivka, Ph.D.

Abstract:

The increasing complexity of modern malware necessitates intelligent systems for optimized analysis. This thesis presents the DDM module, a rule-based system designed to enhance malware analysis by dynamically configuring sandbox environments. DDM processes malware sample hashes, retrieves associated metadata, and evaluates these against custom
analyst-defined rules. DDM selects the most suitable sandbox environment, reducing manual intervention and improving efficiency

Keywords:

Malware analysis, sandbox environments, rule-based systems, DDM

Date of defence

18.06.2025

Result of the defence

Defended (thesis was successfully defended)

znamkaBznamka

Grading

B

Process of defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm B.

Topics for thesis defence

  1. V zadání je zmíněno, že máte vypracovat modul rozšiřující DDM, ale z textu to vyznívá, jako byste implementoval celé DDM. Můžete tuto nekonzistenci vysvětlit?
  2. Upřesněte, jakým způsobem jste v práci řešil bod 4 zadání.

Language of thesis

English

Faculty

Fakulta informačních technologií

Department

Department of Information Systems

Study programme

Information Technology (BIT)

Composition of Committee

doc. Ing. Ondřej Ryšavý, Ph.D. (předseda)
Ing. Tomáš Milet, Ph.D. (člen)
Ing. Marcela Zachariášová, Ph.D. (člen)
Ing. Filip Orság, Ph.D. (člen)
doc. RNDr. Dana Hliněná, Ph.D. (člen)

Supervisor’s report
Ing. Dominika Regéciová

Student vytvořil technicky propracovaný a funkční systém pro dynamickou konfiguraci sandboxového prostředí, který má reálný přínos v oblasti analýzy malwaru. Práce je rozsáhlá, komplexní a dobře strukturovaná. Menší rezervy se týkají formálního stylu anglického textu a nedostatku statistického podložení testů. Celkově se jedná o velmi kvalitní bakalářskou práci.

Evaluation criteria Verbal classification
Informace k zadání

Zadaná bakalářská práce byla náročná jak z hlediska technického, tak architektonického. Téma navazuje na reálné potřeby praxe v oblasti kyberbezpečnosti a reflektuje současný trend automatizace v dynamické analýze malwaru. Řešení je dostatečně obecné pro další rozšiřování, prakticky využitelné a nasaditelné do produkčního prostředí.

Student vytvořil vlastní pravidlový engine založený na upraveném HAL algoritmu, integroval řešení do existující infrastruktury. Nad rámec zadání student vytvořil webovou aplikaci pro editaci a tvorbu pravidel.

Práce splňuje zadání ve všech bodech, i když v experimentální části by bylo vhodné provést hlubší statistické vyhodnocení.
Práce s literaturou

Student pracoval s odbornou literaturou, dokumentací použitých nástrojů (např. FastAPI, RabbitMQ, Protobuf) i s interními materiály firmy Avast. Teoretická část ukazuje přehled technologií a relevantních přístupů. Přesto by bylo možné více pracovat s odbornými články (např. ohledně pravidlových systémů či sandbox evasion technik) a formálněji je citovat.
Aktivita během řešení, konzultace, komunikace

Student byl po celou dobu řešení práce aktivní. Pravidelně konzultoval, dodržoval domluvené termíny a byl na konzultace připraven.

Komunikace ze strany studenta však mohla být vice proaktivní při řešení blokujících problémů.
Aktivita při dokončování

Práce byla dokončena včas. Student konzultoval jak obsah, tak formu závěrečné práce. I po odevzdání byl připraven reagovat na připomínky a upřesnění.
Publikační činnost, ocenění

-
Points proposed by supervisor: 85

Grade proposed by supervisor: B

Reviewer’s report
Ing. Zbyněk Křivka, Ph.D.

Prakticky motivovaná práce, kde byl prostor nejen pro integraci existujících nástrojů a technologií, ale i pro vývoj a vyhodnocování pravidel pro řízení dynamické analýzy vzorků kódu. Text i implementace jsou v pořádku a navrhuji známku B.

Evaluation criteria Verbal classification Points
Náročnost zadání

Evaluation level: obtížnější zadání

Vzhledem ke komplexnosti problematiky dynamické analýzu kódu a orchestrace celého procesu považuji za obtížnější nastudování všeho potřebného včetně schopnosti pracovat s Docker kontejnery.
Prezentační úroveň technické zprávy

Logické stavbě kapitol chybí na konci kapitoly provázání na další kapitolu (proč se přesouváme na další téma), protože text řeší dva dílčí nástroje a ne vždy jsou související kapitoly hned za sebou (např. souvislost kap. 3 a 4). Následují individuální výtky: Na str. 22 není jasný vztah "middleware" a "controller" s návrhem na obr. 4.2. U algoritmů v sekci 6.2 chybí nějaký základní popis, protože čtenář tyto algoritmy nemusí znát. Na str. 36 a 37 by bylo vhodnější využít např. UML diagram místo výpisu kódu. Obrázky obrazovek v kapitole 8 nejsou příliš informačně bohaté.

 78
Formální úprava technické zprávy

Text je psán anglicky a jazyková stránka je až na pár překlepů v pořádku. Z typografického pohledu není vhodné nemít mezi nadpisy různé úroveň žádný text. Sazba odkazu na poznámku pod čarou by neměla začínat mezerou. Dalším větším prohřeškem je, že řada obrázků není odkazována v textu (např. obr. 8.1, 8.2 a 8.3), k obr. 9.1 a 9.2 dokonce nějaký komentář chybí v textu úplně.

 73
Realizační výstup

Kód je převážně v jazyce Python (necelých 2 tis. řádků) a je dostatečně komentován. Zvláště u projektu integrovaného do týmové práce bych ocenil uvedení autorství v každém zdrojovém kódu zvlášť (lépe se také odliší části generované).

 85
Využitelnost výsledků

Systém je funkční a bylo otestována i jeho integrace s dalšími nástroji firmy. Výsledky testování jsou slibné, takže lze očekávat brzké nasazení do praktického provozu.
Rozsah splnění požadavků zadání

Evaluation level: zadání splněno s drobnými výhradami

Nejsem si jist splněním celého bodu 4 zadání, ale nad rámec zadání byla vypracována jednoduchá webová aplikace na editaci pravidel pro DDM, která jsou jinak uložena v relační databázi.
Rozsah technické zprávy

Evaluation level: je v obvyklém rozmezí
Práce s literaturou

Práce s literaturou je na velmi dobré úrovni. 

 90
Topics for thesis defence:
  1. V zadání je zmíněno, že máte vypracovat modul rozšiřující DDM, ale z textu to vyznívá, jako byste implementoval celé DDM. Můžete tuto nekonzistenci vysvětlit?
  2. Upřesněte, jakým způsobem jste v práci řešil bod 4 zadání.
Points proposed by reviewer: 82

Grade proposed by reviewer: B

Responsibility: Mgr. et Mgr. Hana Odstrčilová