Malware-ek sandbox detekciós technikáinak vizsgálata és megkerülése
Napjainkban változatlanul a leggyakoribb információbiztonsági támadások közé tartoznak a kártékony kódokat (malware-eket) használó módszerek. Az ellenük való védekezés során elsősorban szignatúra, illetve viselkedés elemzésen alapuló technikákat alkalmaznak. A szignatúra alapú megközelítések kevésbé hatékonyak eddig ismeretlen kártékony kódok esetén, illetve ha a rosszindulatú programok készítői lépéseket tesznek a detekció megnehezítésére például obfuszkáció, vagy különböző packer-ek alkalmazásával. A viselkedés elemzés legelterjedtebb megvalósításai során a kártékony kódot egy izolált, általában virtualizált, úgynevezett sandbox környezetben futtatják. A malware-ek készítői egyre inkább törekednek arra, hogy észleljék a detekciós kísérleteket és kijátsszák a viselkedés elemzéssel történő védekezést.
A hallgató feladata a kártékony kódok által használt sandbox detekciós technikák megismerése és egy lehetséges megoldás tervezése ezek hatástalanítására. A feladat részeként a hallgatónak a következő alfeladatokat kell elvégeznie:
· Ismerje meg a viselkedés elemzésen alapuló kártékony kód elemző technikákat, ezen belül a virtualizációra épülő megoldásokat!
· Elemezze valós kártékony minták alapján a virtuális környezetet felismerő technikákat!
· Javasoljon egy lehetséges megoldást arra, hogy egy hagyományos sandbox környezet hogyan fejleszthető tovább annak érdekében, hogy a lehető legkisebb lehetőséget adja a viselkedés elemzés detektálására!
· Ismertesse a megoldás gyakorlati megvalósításának lehetőségeit, amely magában foglalja egyéb technikák alkalmazását (például behatolás detektáló rendszer) a kártékony kód családjának azonosítására!
· Valósítsa meg a lehetséges megoldások egy választott részhalmazát és értékelje a továbbfejlesztett sandbox környezet hatékonyságát!