diplomová práce

Metody analýzy a detekce malware hrozeb v PDF souborech

Autor práce: Ing. Ľuboš Bever

Ak. rok: 2023/2024

Vedoucí: doc. Dr. Ing. Dušan Kolář

Oponent: Ing. Zbyněk Křivka, Ph.D.

Abstrakt:

V súčasnosti sa malware šíri čoraz viac prostredníctvom e-mailových príloh vo formáte PDF. Tieto súbory sa s využitím sociálneho inžinierstva snažia doručiť malware na zariadenie obete. Táto práca najprv identifikuje potenciálne hrozby jazyka JavaScript pre Acrobat API. Gro práce tvorí detailná analýza 12 aktuálnych malware kampaní súborov PDF, pričom sa študuje aj ich spôsob šírenia, prevalencia vzoriek a niekedy sa vykonáva aj hĺbková analýza celého infekčného vektora hrozby. Vyskytli sa aj sofistikovanejšie kampane, pre ktorých optimálnu detekciu vznikli dve rozšírenia YARA modulov - výpočet TLSH a detekcia nad akciami /Launch. Bolo identifikovaných, analyzovaných a detegovaných niekoľko nástrojov na tvorbu takýchto hrozieb. Dokopy bolo vytvorených 24 klasifikačných a 115 detekčných YARA pravidiel, pričom všetky z nich boli úspešne nasadené v software Antivirus Avast.

Klíčová slova:

Malware, PDF, E-mailové prílohy, Sociálne inžinierstvo, JavaScript pre Acrobat API, Nástroje na tvorbu PDF malware, detekcia malware PDF, YARA, YARA pravidlá, TLSH v YARA

Termín obhajoby

17.06.2024

Práce bude zveřejněna

17.06.2027

Výsledek obhajoby

obhájeno (práce byla úspěšně obhájena)

znamkaAznamka

Klasifikace

A

Průběh obhajoby

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných, např. ohledně výpočtu TLS hashe a konkrétní použité implementace, různých pravidel pro jeden typ útoku a množství použitých referenčních obrázků. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A - výborně.

Otázky k obhajobě

  1. Ve vašich nových Yara pravidlech se velmi často vyskytují "makra" začínající TECHNIQUE_PDF_..., které pravděpodobně spouští v odpovídajícím PDF modulu specializovaný kód. Uvažoval jste, zda by některé techniky bylo možnost zapisovat základními konstrukty jazyka Yara? Které techniky by bylo možné nahradit a jakým způsobem?

Jazyk práce

slovenština

Fakulta

Fakulta informačních technologií

Ústav

Ústav informačních systémů

Studijní program

Informační technologie a umělá inteligence (MITAI)

Specializace

Kybernetická bezpečnost (NSEC)

Složení komise

doc. Dr. Ing. Petr Hanáček (předseda)
doc. Ing. Michal Bidlo, Ph.D. (člen)
doc. Mgr. Adam Rogalewicz, Ph.D. (člen)
doc. Ing. Petr Matoušek, Ph.D., M.A. (člen)
doc. Mgr. Kamil Malinka, Ph.D. (člen)
Ing. Vladimír Veselý, Ph.D. (člen)

Posudek vedoucího
doc. Dr. Ing. Dušan Kolář

Jedná se o náročnou práci, která naplnila všechna očekávání.

Kritérium hodnocení Slovní hodnocení
Informace k zadání

Diplomová práce se vymyká tradičním pracem. Její náročnost spočívá v hlubokém studiu a porozumění možností skriptování ve formátu PDF a možnostech zneužití těchto skriptů pro tvorbu malware. Následně, analýze zachycených vzorků s potenciálními hrozbami, jejich klasifikaci. Zadání je splněno.
Aktivita při dokončování

Student pracoval průběžně, řadu dílčích cílů dosáhl v předstihu. Definitivní podobu práce jsme probrali, ale samotný text už jsem neviděl. Nicméně, díky průběžným konzultacím to nepovažuji za závažné.
Publikační činnost, ocenění

Vzhledem k charakteru práce žádná/é.
Práce s literaturou

Student si získával všechny podklady prakticky sám tak, aby plnil dohodnuté cíle.
Aktivita během řešení, konzultace, komunikace

Aktivita během celého roku byla příkladná. Ve všech směrech.
Výsledný počet bodů navržený vedoucím: 95

Známka navržená vedoucím: A

Posudek oponenta
Ing. Zbyněk Křivka, Ph.D.

Velmi pěkně splněné ambiciózní zadání, které kombinuje práci analytika (až skoro průzkumníka nových typů malware v PDF) a programátora analytických nástrojů. Text je informačně velmi bohatý a kvalitní i po formální stránce, takže hodnotím Výborně/A.

Kritérium hodnocení Slovní hodnocení Body
Rozsah splnění požadavků zadání

Stupeň hodnocení: zadání splněno
Rozsah technické zprávy

Stupeň hodnocení: přesahuje obvyklé rozmezí

Rozsah technické zprávy spíše překračuje maximální rozsah, protože rozsah provedené práce byl nadstandardní. Některé části byly přesunuty do příloh, kde například detailní popis struktury formátu PDF (příloha E) je sám o sobě velmi zajímavý a dobře zpracovaný.
Prezentační úroveň technické zprávy

Práce má bezesporu logickou strukturu a velmi dobrou provázanost jednotlivých kapitol. Výjimečně jsem narazil na drobné nedostatky jako zkratku používanou dříve, než došlo k její definici (zkratka FP je definována až na str. 93). Jako drobnou nevýhodu rozsáhlého textu vidím nutnost přílišného zkrácení úvodních částí, takže základní orientace v tématu malware je nezbytná. Z podobných důvodů je věnováno poměrně málo prostoru samotné implementaci a integraci nástrojů, které student jistě provedl a bere to spíše jako samozřejmost.

 90
Formální úprava technické zprávy

Ač je text psán slovensky, a tudíž nemohu hodnotit jazykovou stránku zcela sebevědomě, tak jsem v textu nenašel téměř žádné pravopisné chyby (až na pár chybějících čárek a několik překlepů). Typograficky je text také velmi kvalitní. Jedinou výtku mám u sazby výpisů kódu, které jsou často zalomeny koncem stránky, ale čitelnost to naštěstí nenarušuje.

 95
Práce s literaturou

I přestože student analyzoval nejaktuálnější hrozby, tak zvládl nastudovat také velké množství literatury (39 vseměs kvalitních zdrojů), a tu vhodně v textu využít. Vedle toho práce obsahuje desítky poznámek pod čarou na další programátorské a datové zdroje.

 100
Realizační výstup

Realizační výstup využívá a rozšiřuje existující nástroje firmy Gen, což kladlo časové nároky na zorientování se v cizím kódu, schopnosti jej opravit a rozšířit. Kromě vytvoření sady YARA pravidel, což byl formální výstup analytické práce studenta, byl též rozšířen nástroj YARA o možnost stanovení míry podobnosti binárních posloupností (např. podobnost obrázků). Díky pečlivé analýze popisu formátu PDF byl opraven a rozšířen také existující modul PDF. Soubory zcela vytvořené studentem mají řádně vyplněnou hlavičku. Soubory, které student pouze modifikoval, jsou na médiu pouze jako úryvky.

 90
Využitelnost výsledků

Výsledky již byly využity firmou Gen na ochranu uživatelů. Přehled počtu ochráněných uživatelů studentem průběžně vytvářenými Yara pravidly a nástroji je viditelná na straně 95 (dopad na desetitisíce uživatelů).
Náročnost zadání

Stupeň hodnocení: značně obtížné zadání

Zadání je náročné jednak po studijní, a především analytické stránce. Po zorientování se v technikách malware a detailním nastudování zákeřností formátu PDF bylo třeba provést často jistě zdlouhavou analytickou práci při studiu aktuálních malware šířených ve formátu PDF. Z hlediska implementace a využití výsledků v praxi bylo třeba zajistit integraci do nástrojů firmy Gen (dříve Avast).
Otázky k obhajobě:
  1. Ve vašich nových Yara pravidlech se velmi často vyskytují "makra" začínající TECHNIQUE_PDF_..., které pravděpodobně spouští v odpovídajícím PDF modulu specializovaný kód. Uvažoval jste, zda by některé techniky bylo možnost zapisovat základními konstrukty jazyka Yara? Které techniky by bylo možné nahradit a jakým způsobem?
Výsledný počet bodů navržený oponentem: 96

Známka navržená oponentem: A

Důvod odložení zveřejnění

Zveřejnění této práce je odloženo v souladu s ustanovením § 47b zákona č. 111/1998 Sb. o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách), ve znění pozdějších předpisů.

Odpovědnost: Mgr. et Mgr. Hana Odstrčilová