Περίληψη: | Στόχος της εργασίας είναι η ανάλυση των δομών του κακόβουλου λογισμικού WannaCry με στατικές μεθόδους, αλλά και η δημιουργία αποτελεσματικών κανόνων YARA για την ανίχνευσή του.
Αρχικά, περιγράφονται τα κύρια είδη κακόβουλου λογισμικού. Παρουσιάζονται τα χαρακτηριστικά τους, οι θεμελιώδεις διαφορές μεταξύ των ειδών και τεχνικές που χρησιμοποιούνται για την απόκρυψή τους. Στη συνέχεια, περιγράφονται οι βασικές τεχνικές που χρησιμοποιούνται για την ανάλυση (στατική, δυναμική, μνήμης), και παρουσιάζονται μερικές εφαρμογές που μπορούν να εκτελέσουν αυτές τις αναλύσεις. Παράλληλα, περιγράφονται οι κανόνες YARA, η δομή τους, η χρησιμότητά τους και ο τρόπος δημιουργίας τους. Έπειτα, γίνεται η ανάλυση ενός δείγματος του WannaCry. Για αρχή, εξάγονται κάποιες στοιχειώδεις πληροφορίες για το εκτελέσιμο αρχείο. Ακολουθεί μία διεξοδική ανάλυση του WannaCry χρησιμοποιώντας αντίστροφη μηχανική με το εργαλείο Ghidra. Στο σημείο αυτό φαίνεται η λειτουργία του βασικού κορμού του συγκεκριμένου λογισμικού. Με βάση τις πληροφορίες που προέκυψαν από την ανάλυση, δημιουργούνται μερικοί κανόνες YARA, με σκοπό την ταυτοποίηση δειγμάτων του WannaCry. Τέλος, γίνεται έλεγχος της αποτελεσματικότητας των κανόνων αυτών. Ο έλεγχος γίνεται με εφαρμογή κάθε κανόνα YARA σε φάκελο με 27 διαφορετικά δείγματα εκτελέσιμων του WannaCry. Οι κανόνες συγκρίνονται μεταξύ τους, αλλά και με το σύνολο κανόνων του ερευνητή ασφαλείας, Florian Roth.
|