Ανάλυση κακόβουλου λογισμικού (malware analysis)

Abstract

Στην παρούσα εργασία θα γίνει μια απόπειρα εξέτασης και ανάλυσης ενός κακόβουλου λογισμικού. Το είδος του κακόβουλου λογισμικού που θα εξεταστεί είναι το worm. Έτσι λοιπόν έχοντας μηδενική γνώση για το worm θα προσπαθήσουμε να κατανοήσουμε την λειτουργία του. Τα βασικά σημεία που θα πρέπει να εξεταστούν ώστε να μπορέσουμε να πούμε ότι έχουμε “αποκωδικοποιήσει” την συμπεριφορά του είναι ο τρόπος που εκτελείται, ο σκοπός του, και φυσικά εφόσον πρόκειται για worm ο τρόπος που μεταδίδεται μέσω του διαδικτύου. Για την επίτευξη της πλήρης ανάλυσης ενός κακόβουλου λογισμικού απαιτούνται δύο ήδη ανάλυσης. Η δυναμική, κατά την οποία το κακόβουλο λογισμικό εκτελείται σε ελεγχόμενο περιβάλλον και παρατηρείται – καταγράφεται η δράση και τα αποτελέσματα της εκτέλεσης σε πραγματικό χρόνο, και η στατική κατά την οποία συλλέγονται διάφορα στοιχεία για το κακόβουλο λογισμικό χωρίς αυτό να εκτελείται (σε τι compiler έγινε compile, τι packer χρησιμοποιήθηκε κ.α.) και εξετάζεται ο κώδικας assembly του εκτελέσιμου. Έτσι λοιπόν ο αναλυτής έχοντας κατά νου την πορεία ανάλυσης την οποία θα ακολουθήσει και χρησιμοποιώντας τα κατάλληλα εργαλεία αρχίζει και αναλύει το κακόβουλο λογισμικό. Το ποιο δύσκολο και ταυτόχρονα το ποίο σημαντικό στάδιο της ανάλυσης είναι αυτό της εξέτασης του κώδικα assembly του εκτελέσιμου. Ένας έμπειρος αναλυτής μπορεί να κατανοήσει πλήρως την λειτουργία ενός προγράμματος εξετάζοντας τον assembly κώδικα του. Παρόλα αυτά πολύ χρήσιμα δεδομένα αντλούνται και από την δυναμική ανάλυση γεγονός που μπορεί να δώσει στον αναλυτή μια ιδέα για την λειτουργία του κακόβουλου λογισμικού, και να λειτουργήσει σαν συμπλήρωμα για την κατανόηση των δυσνόητων κομματιών του assembly κώδικα του εκτελέσιμου. Στα κεφάλαια που ακολουθούν παρουσιάζεται η δυναμική ανάλυση και περιγράφονται τα εργαλεία τα οποία χρησιμοποιήθηκαν.