Υλοποίηση ενός πράκτορα για έλεγχο λειτουργικού συστήματος χρησιμοποιώντας κανόνες YARA και πληροφορίες που αντλούνται από το Malware Information Sharing Platform

Abstract

Ο σκοπός της παρούσας διπλωματικής εργασίας είναι η ανάπτυξη ενός agent ο οποίος θα συνδέεται με τη διαδικτυακή πλατφόρμα Malware Information Sharing Platform and Threat Sharing (MISP) προκειμένου να αντλεί ενδείκτες παραβίασης (Indicators of Compromise). Μέσω αυτών θα προβαίνει σε μια στοχευμένη αναζήτηση κακόβουλων λογισμικών που δύναται να τρέχει το λειτουργικό σύστημα.

Συγκεκριμένα στην πλατφόρμα MISP αναλυτές κακόβουλων λογισμικών και κακόβουλης δραστηριότητας εισάγουν και διαμοιράζονται πληροφορίες που αντλούνται κατόπιν αυτής της ανάλυσης. Οι αναλυτές που χειρίζονται την πλατφόρμα, μπορούν να εισάγουν ενδείκτες παραβίασης αυτών των λογισμικών. Παράλληλα, οι χρήστες της πλατφόρμας μπορούν να συνδέονται και να ενημερώνονται για νέα ευρήματα αλλά και να αντλούν τους ενδείκτες παραβίασης προκειμένου να ενημερώνουν τα συστήματα ασφαλείας που χρησιμοποιούν.

Η εφαρμογή που υλοποιήθηκε αυτοματοποιεί αυτήν την διαδικασία αντλώντας ενδείκτες παραβίασης τύπου Yara και ΙΡ προορισμού. Προβαίνει σε έλεγχο των τελευταίων εκτελέσιμων προγραμμάτων που έχουν τρέξει στο λειτουργικό σύστημα, κάνει έλεγχο των διεργασιών που εκτελούνται την κάθε δεδομένη στιγμή καθώς και επιβλέπει τις συνδέσεις που το λειτουργικό σύστημα προσπαθεί να υλοποιήσει. Σε περίπτωση που κάποιος ενδείκτης ενεργοποιηθεί είτε διαγράφεται το αρχείο είτε σταματάει η διεργασία είτε τερματίζεται η σύνδεση.