Метод аналізу файлів комп’ютерних систем з метою виявлення шкідливого коду

Размещено на http://www.allbest.ru

Національний авіаційний університет

Метод аналізу файлів комп'ютерних систем з метою виявлення шкідливого коду

Єгоров Сергій Вікторович кандидат технічних наук, доцент кафедри комп'ютеризованих електротехнічних систем та технологій

Шкварницька Тетяна Юріївна кандидат технічних наук з, доцент, доцент кафедри комп'ютеризованих електротехнічних систем та технологій

Анотація

Розглянуто метод базового статичного аналізу шкідливого програмного забезпечення, що базується на пошуку та аналізі строк в файлах, що побудовані з використанням формату PE (Portable Executable). Розглянуто метод базового статичного аналізу шкідливого програмного забезпечення, який базується на аналізі заголовків файлів, що виконуються, та динамічних бібліотеках, які побудовані з використанням формату PE. Розглянуто розширений метод статичного аналізу, який, крім аналізу строк та заголовків файлів, використовує дизасемблювання файлів, що виконуються, та динамічні бібліотеки і подальший аналіз отриманого ассемблерного тексту.

З метою проникнення в операційну систему, зловмисники використовують спеціалізоване програмне забезпечення та мережеві атаки. Причому мережева атака не обов'язково повинна бути масивною та широкомасштабною. Для проникнення в окремо взяту операційну систему, наприклад, можна скористатись уразливостями як самої операційної системи, так і програмного забезпечення, яке встановлено на такій операційній системі. Причому успішні атаки такого типу часто робляться тихими та малопомітними. шкідливий програмний файл строка

Для запобігання хакерським атакам, які супроводжуються прихованим встановленням програмного забезпечення та мінімізації шкоди від таких атак необхідно вчасно вживати адекватні контрзаходи. Одним із самих розповсюджених та легких методів боротьби з хакерами - це своєчасне оновлення програмного забезпечення, вірусних баз, інсталяція та налаштування брандмауера.

Все, що пов'язано з оновленням програмного забезпечення - це реакція на вже виявлені загрози. Тому оновлення програмного забезпечення на надає захист від щойно виявлених загроз. Саме тому сигнатури вірусних баз створюються в результаті аналізу виявлених шкідливих програм. Для підсилення виявлення шкідливого програмного забезпечення також антивірусними програмами використовується аналіз поведінки програм. Але навіть у цьому випадку необхідно аналізувати дизасембльований текст шкідливих програм для виявлення нових типів аномальної активності. Тому аналіз шкідливого програмного забезпечення є задачею актуальною та визначає напрям дослідження.

Ключові слова: кібербезпека, інформаційна безпека, статичний аналіз, дизасемблювання, зворотна розробка.

Yehorov Serhii Victorovych Candidate of Engineering Sciences, Associate Professor of department Computerized electrical systems and technologies of National Aviation University, Kyiv

Shkvarnytska Tetyana Yuriivna Candidate of Engineering Sciences in, Associate Professor, Associate Professor of department Computerized electrical systems and technologies of National Aviation University, Kyiv

METHOD OF ANALYSING COMPUTER SYSTEM FILES IN ORDER

TO DETECT MALICIOUS CODE

Abstract

The method of basic static analysis of malicious software based on search and analysis of terms in files constructed using the PE (Portable Executable) format is considered. The method of basic static analysis of malicious software, which is based on the analysis of executable file headers and dynamic libraries, which are built using the PE format, is considered. An extended method of static analysis is considered, which, in addition to the analysis of file terms and headers, uses disassembly of executable files and dynamic libraries and subsequent analysis of the resulting assembler text.

In order to penetrate the operating system, attackers use specialized software and network attacks. And a network attack does not have to be massive and large- scale. To penetrate a single operating system, for example, you can exploit vulnerabilities in both the operating system itself and the software that is installed on such an operating system. And successful attacks of this type are often made quiet and inconspicuous.

Adequate countermeasures should be taken in a timely manner to prevent hacking attacks that are accompanied by covert software installation and to minimize damage from such attacks. One of the most common and easy ways to fight hackers is to update software, virus databases, and install and configure a firewall in a timely manner.

Anything related to a software update is a response to threats that have already been identified. Therefore, the software update does not provide protection against newly identified threats. That is why the signatures of virus databases are created as a result of analysis of detected malware. Antivirus software also uses program behavior analysis to enhance malware detection. But even in this case, it is necessary to analyze the disassembled text of malware to detect new types of abnormal activity. Therefore, the analysis of malicious software is an urgent task and determines the direction of research.

Keywords: pension agency, mechanisms of social protection of citizens, accumulative pension funds, social insurance of the population

Постановка проблеми. Одним із самих розповсюджених та легких методів боротьби з хакерами - це своєчасне оновлення програмного забезпечення, вірусних баз, інсталяція та налаштування брандмауера.

Все, що пов'язано з оновленням програмного забезпечення - це реакція на вже виявлені загрози. Тому оновлення програмного забезпечення не надає захист від щойно виявлених загроз.

Єдиним ефективним методом виявлення нових загроз та створення ефективних локальних та мережевих сигнатур є аналіз щойно виявленого шкідливого програмного забезпечення.

Тому аналіз шкідливого програмного забезпечення є задачею актуальною та визначає напрям дослідження.

Аналіз останніх досліджень і публікацій. В [1] розроблено метод оцінки зрілості екосистем, але не розглянуто оцінку шкідливого програмного забезпечення, яке здатне проникнути в цю екосистему. В результаті заражена вірусною програмою екосистема буде працювати неналежним чином, або на користь зловмисника.

В [2] Побудована математична модель кіберзахисних дій, що дозволяє оцінити вартість кіберзахисту, але не розглянуті методи забезпечення кіберзахисту.

В [3] Були розглянуті технології для поліпшення безпеки польотної зони. Але автор и [3] не врахували той факт, що програмні системи керування можуть контролюватися зловмисником. Для ефективного усунення зламу необхідно буде аналізувати код програми, за допомогою якої зламник контролює систему.

В [4] розглянуті проблеми проектування операційних систем для керування безпілотними літальними апаратами. Але недостатньо розглянуто проблему захисту від кібератак.

В роботі [5] представлений розгляд проблеми діагностування безпілотних літальних апаратів, але недостатньо розглянуті питання кібербезпеки.

В роботі [6] розглянуто захист банківських систем за допомогою симетричного криптографічного алгоритму, але перехоплювати дані можна при певних умовах до шифрування і без асиметричних алгоритмів; захист симетричними алгоритмами шифрування не завжди ефективний.

В роботі [7] розглянуто захист каналу зв'язку з безпілотним літальним апаратом методом обфускації. але дані можна перехопити до обфускації. Без детального аналізу шкідливого програмного забезпечення локалізувати канал витоку буде неможливо.

В роботі [8] розглянуто методи біометричної аутентифікації. Але якщо операційна система має відповідне шкідливе програмне забезпечення, то ці методи можна буде обійти.

Мета статті - створення ефективного методу аналізу шкідливого програмного забезпечення, з використанням статичного базового та статичного розширеного методу аналізу файлів.

Аналіз останніх досліджень і публікацій. Рядок в програмі являє собою деяку послідовність символів. Наприклад, send. Якщо програма копіює будь-яку інформацію, звертається за url або IP адресою, виводить сповіщення, створює файл - це ознаки того, що програма містить строки.

Здійснюючи пошук строк в програмі, можна скласти уявлення про загальний функціонал програми. Припустимо, якщо програма звертається за url або IP адресою, то в програмі можна знайти відповідні строки, що містять url, IP адресу, номер порту. Рядки зберігаються в програмі в форматі ASCII, або Unicode та закінчуються нульовим символом, що вказує на кінець строки.

Існує безліч програм, які здатні шукати строки в програмах. Наприклад, Strings з комплекту програм Марка Русиновича. Ця програма дозволяє шукати строки в файлах будь-якого типу, ігноруючи при цьому контекст та форматування. Але при цьому може виявити строки, що такими не є.

На рис. 1 показано уривок результату пошуку строк в шкідливій програмі, що була виявлена на комп'ютері.

Рис. 1. Уривок результату пошуку строк в шкідливій програмі

Рядки, що шукаються повинні містити принаймні три логічно пов'язаних між собою символів ASCII або Unicode та мстити у собі якесь сенсове навантаження. На інші рядки можна не звертати уваги.

Рядки (1)-(7) являють собою формати для текстового сповіщення. Причому позиції (3) та (4) говорять нам проте, що цей екземпляр програми напевно може працювати з мережею. Позиції (4) та (6) можуть означати, що цей шкідник намагається відкрити якийсь файлю Рядки (8), (9) є портом та IP адресою відповідно. IP адреса була змінена навмисно для безпечного запуску програми. Інформація, що міститься в рядках (10) - (15) вказує на те, що цей файл є кейлоггером, який передає зібрану інформацію за зазначеною IP адресою. Це припущення підтверджується інформацією, що міститься в строках (17) - (21). Рядок (16) містить ім'я файлу на системному диску. Можливо програма створює цей файл та зберігає до нього історію натиснутих клавіш на клавіатурі.

SetWindowsHookExA, що займає рядок (17), встановлює визначену програмою процедуру перехоплення сповіщень в ланцюжок перехоплень. Може використовуватись для моніторингу системи щодо певних типів подій. Ці події пов'язані або з певним потоком, або з усіма потоками на одному робочому столі, з якого був викликаний потік. Буква «А» у кінці API функції означає, що ця функція працює зі строками ASCII. CallNextHookEx, що займає позицію (18), передає інформацію про перехоплення до наступної процедури перехоплення в поточному ланцюжку перехоплень.

Процедура перехоплення може викликати цю функцію до або після обробки інформації про перехоплення. GetKeyState, що розташована в позиції (19), отримує статус вказаного віртуального ключа. Статус визначає те, що клавіша натиснута, не натиснута або перемикається (по черзі при кожному натисканні клавіші натискається і відпускається). Бібліотека USER32.dll містить елементи графічного інтерфейсу користувача та WS2_32.dll містить функції роботи з мережею, що підтверджує наше припущення, що цей шкідник може працювати з мережею.

Аналіз структури файлів. Кожний файл, що виконується (а також бібліотеки) в Windows, мають певний формат. Заголовок файлу PE (Portable Executable) складається із заглушки Microsoft MS-DOS, підпису PE, заголовка файлу COFF (Common Object File Format) та необов'язкового заголовка. Заголовок файлу об'єкта COFF складається із заголовка файлу COFF та необов'язкового заголовка. В обох випадках за заголовками файлів негайно слідують заголовки розділів.

Заголовки PE-файлу можуть містити значно більше інформації, чим просто імпорт. Формат PE передбачає наявність заголовка з метаданими про файл, за яким іде кілька розділів, у кожному з яких знаходяться корисні відомості. Перелік розділів РЕ-файлу, на які необхідно звернути увагу під час початкового статичного аналізу є таким:

.text. Містить інструкції, що виконуються центральним процесором. Зазвичай це єдиний виконуваний розділ, і тільки в ньому зберігатися код. Всі інші розділи містять дані та допоміжну інформацію;

.rdata. Зазвичай містить інформацію про бібліотечні функції, які були імпортовані до файлу та експортовані, яку можна отримати за допомогою різних утиліт. Цей розділ також може зберігати програмні дані доступні лише для читання. Деякі файли зберігають інформацію про імпорт та експорт у розділах .idata і .edata;

.idata. Іноді цей розділ містить інформацію про імпорт функцій; якщо цей розділ відсутній, відомості про імпорт відображаються в розділі .rdata;

.edata. Іноді у цьому розділі міститься інформація про експортні функції; якщо цей розділ відсутній, інформація про експорт знаходиться в .rdata;

.data. Містить глобальні дані, доступні з будь-якої частини програми. Локальні дані не можна знайти тут або в будь-якій іншій частині PE-файлу;

.rsrc. Містить ресурси, які використовуються виконуваним файлом, але не є частиною виконуваного файлу, такі як значки, зображення, рядки та меню. Рядки можуть бути як тут, так і в основній програмі. Вони часто розмішуються в розділі .rsrc для підтримки декількох мов.

Заголовок РЕ містить багато корисної інформації. Найважливіші відомості, які можна дізнатися із заголовку є такими:

Поле імпорту містить функції з інших бібліотек, які

використовуються шкідливим програмним забезпеченням

Поле експорту містить функції зловмисного програмного забезпечення, призначені для виклику іншими програмами або бібліотеками

Часова позначка містить дату компіляції програми

Розділи містять назви розділів файлів і їх розміри на диску і в пам'яті

Підсистема містить тип програми: консольна або графічна

Ресурси містять рядки, піктограми, меню та інші дані, включені до файлу

На рис. 2 показано розділи, що містяться в файлі, приклад аналізу якого показаний на рис.1.

Розділ .text (рис. 2) містить інструкції, що виконуються центральним процесором. Згідно з описом формату файлів - це єдиний розділ, що виконується, і тільки в ньому повинен зберігатися код. У всіх інших розділах перебувають дані й допоміжна інформація.

Рис. 2. Розділи, що містяться в файлі кейлогеру

Розділ .rdata звичайно включає відомості про імпорт і експорт, які можна одержати за допомогою утиліт Dependency Walker і Peview. У ньому також можуть зберігатися програмні дані, доступні тільки для читання. Деякі файли зберігають відомості про імпорт і експорт в розділах .idata і .edata відповідно.

Розділ .data. Містить глобальні дані, доступні з будь-якої частини програми. Локальні дані не можна знайти ні тут, ні в якій-небудь іншій частині PЕ-файлу.

Розділ .gfids. Функції, які є дійсними цілями непрямого виклику, перелічені в таблиці GuardCFFunctionTable, прикріпленій до каталогу конфігурації завантаження, що іноді називається таблицею GFIDS для стислості. Це відсортований список відносних віртуальних адрес (RVA), які містять інформацію про дійсні цілі виклику CFG. Захист потоку керування (CFG) - це високо оптимізована функція безпеки, яка створена для боротьби з уразливостями, пов'язаними з ушкодженням пам'яті. Установивши тверді обмеження на те, де додаток може виконати код, що значно утрудняє виконання експлойтами довільного коду за допомогою таких вразливостей, як переповнення буферу.

Розділ .rsrc містить у собі ресурси, які використовуються файлом, що виконується, але не є його частиною, наприклад значки, зображення, меню й рядки. Рядки можуть перебувати або тут, або в головній програмі. У розділ .rsrc вони часто включаються для підтримки декількох мов. Розділ .reloc містить інформацію для переміщення бібліотечних файлів.

Дуже важлива інформація на рис. 2 міститься в колонках Virtual Size (розмір файлу в оперативній пам'яті) та Raw Size (розмір файлу на диску). Цифри в цих колонках повинні бути приблизно однаковими. Якщо значення в цих колонках занадто сильно відрізняються, то це свідчить про обфускацію або пакування. Якщо назви розділів, що містяться в колонці name (рис. 2), відрізняються від стандартних, то це може свідчити про те, що файл упакований. При чому назва розділів буде залежати від пакувальника.

Аналіз дизасембльованого тексту. Для отримання вичерпної інформації про програму, що аналізується, необхідно її дизасемблювати та провести аналіз ассемблерного тексту, уривок якого наведено на рис. 4.

За адресою 0040154B (рис. 4) викликається функція SetWindowsHookExA, яка встановлює перехоплювач. Щоб його знайти, проаналізуємо стек функції SetWindowsHookExA.

Параметр WH_KEYBOARD_LL, що розташований за адресою 00401549, встановлює процедуру перехоплення, яка відслідковує низькорівневі події введення з клавіатури. За адресою 00401544, міститься посилання на саму процедуру перехоплення (HookCallback). У зв'язку з тим, що аргумент, який розташований за адресою 00401540, у стеку функції SetWindowsHookExA дорівнює нулю, то процедура HookCallback пов'язана з усіма існуючими потоками, що працюють на тому робочому столі, що і викликаючий потік. Іншими словами, процедура перехоплення HookCallback буде відслідковувати всі існуючі потоки на робочому столі.

Рис. 4. Уривок процедури WinMain

Цикл, що починається з адреси 00401574, не дає програмі передчасно завершитись. Основа циклу функція GetMessageA, яка вибирає сповіщення з черги програми. Завершитися цей цикл може тільки, якщо функція GetMessageA отримає сповіщення WM_QUIT. У цьому випадку функція GetMessageA поверне нульове значення, умова продовження циклу, що перевіряється за адресою 00401582, не виконається та робота програми завершиться.

Висновки

Запропоновані методи статичного аналізу строк, що містяться в файлі, який виконується, а також аналіз його дизаcембльованого тексту дає змогу детально проаналізувати вміст шкідливої програми та створити ефективні мережеві та локальні сигнатури. Аналіз вмісту шкідливих програм дозволяє виявляти нові загрози та дозволяє розробляти та впроваджувати ефективні заходи для забезпечення потрібного рівня кіберзахисту.

Література

Svitlana Popereshnyak, Sergiy Grinenko, Olena Grinenko, Oleksandr Kovalenko, Tamara Radivilova. Methods for Assessing the Maturity Levels of Software Ecosystems // International Workshop on Cyber Hygiene (CybHyg-2019) November 30, 2019, Kyiv, p. 251-261.

Aleksandr Litvinenko, Boris Maslovsky, Oleksiy Glazok, Anton Petrov. Method of Optimal Planning of Cyberprotection Actions for a Corporate Information System // International Workshop on Cyber Hygiene (CybHyg-2019) November 30, 2019, Kyiv, p. 60-71.

Olena Kozhokhina, Olga Shcherbyna, Oleksii Chuzha, Serhii Yehorov, Maksim Iavich, Nikolay Churkin. Informational Technology for the Improvement of Flight Zone Security // International Workshop on Cyber Hygiene (CybHyg-2019) November 30, 2019, Kyiv, p. 262-275.

Oleksandr Solomentsev, Maksym Zaliskyi, Pavlo Skladannyi. Operation System for Modern Unmanned Aerial Vehicles // International Workshop on Cyber Hygiene (CybHyg-2019) November 30, 2019, Kyiv, p. 363-374.

Ivan Yashanov, Marlen Asanov, Nataliya Shakhovska. Method of Direct Diagnostic Problem Solution in UAV Operation System. // International Workshop on Cyber Hygiene (CybHyg-2019) November 30, 2019, Kyiv, p. 390-401.

Marian Bedrii, Maryana Syrko, Oksana Stolyar, Oleh Kuzmin, Yurii Kryvenchuk. Cybercrime as a Threat to the Banking System of Ukraine and Cryptology as a Means of its Prevention // International Workshop on Cyber Hygiene (CybHyg-2019) November 30, 2019, Kyiv, p. 421-431.

Serhii Semenov, Denys Voloshyn, Viacheslav Davydov. Data Protection Method of an Unmanned Aerial Vehicle based on Obfuscation Procedure // International Workshop on Cyber Hygiene (CybHyg-2019) November 30, 2019, Kyiv, p. 515-525.

Viacheslav Liskin, Egor Serdobolskiy, Iryna Sopilko, Tetiana Okhrimenko. Two-factor User Authentication Using Biometrics // International Workshop on Cyber Hygiene (CybHyg-2019) November 30, 2019, Kyiv, p. 526-535.

References

Svitlana Popereshnyak, Sergiy Grinenko, Olena Grinenko, Oleksandr Kovalenko & Tamara Radivilova. (2019) Methods for Assessing the Maturity Levels of Software Ecosystems. International Workshop on Cyber Hygiene (CybHyg-2019). (pp. 60-71).

Aleksandr Litvinenko, Boris Maslovsky, Oleksiy Glazok & Anton Petrov. (2019) Method of Optimal Planning of Cyberprotection Actions for a Corporate Information System. International Workshop on Cyber Hygiene (CybHyg-2019). (pp. 60-71).

Olena Kozhokhina, Olga Shcherbyna, Oleksii Chuzha, Serhii Yehorov, Maksim Iavich & Nikolay Churkin. (2019) Informational Technology for the Improvement of Flight Zone Security. International Workshop on Cyber Hygiene (CybHyg-2019). (pp. 262-275).

Oleksandr Solomentsev, Maksym Zaliskyi & Pavlo Skladannyi. (2019). Operation System for Modern Unmanned Aerial Vehicles. International Workshop on Cyber Hygiene (CybHyg-2019). (pp. 363-374).

Ivan Yashanov, Marlen Asanov, & Nataliya Shakhovska. (2019). Method of Direct Diagnostic Problem Solution in UAV Operation System. International Workshop on Cyber Hygiene (CybHyg-2019). (pp. 390-401).

Marian Bedrii, Maryana Syrko, Oksana Stolyar, Oleh Kuzmin & Yurii Kryvenchuk. (2019). Cybercrime as a Threat to the Banking System of Ukraine and Cryptology as a Means of its Prevention. International Workshop on Cyber Hygiene (CybHyg-2019). (pp. 421-431).

Serhii Semenov, Denys Voloshyn & Viacheslav Davydov. (2019). Data Protection Method of an Unmanned Aerial Vehicle based on Obfuscation Procedure. International Workshop on Cyber Hygiene (CybHyg-2019). (pp. 515-525).

Viacheslav Liskin, Egor Serdobolskiy, Iryna Sopilko & Tetiana Okhrimenko. (2019). Two-factor User Authentication Using Biometrics. International Workshop on Cyber Hygiene (CybHyg-2019). (pp. 526-535).Размещено на Allbest.ru