Nové přístupy k detekci backdoorů

Abstract

Tato práce prezentuje detailní průzkum aplikačních backdoorů ukrytých v souborech formátu Portable Executable a navrhuje nové metody jejich heuristické detekce. Čtyři aplikační backdoory použité v rozsáhlých útocích na softwarové dodavatele byly zanalyzovány za použití reverzního inženýrství a bylo ukázáno, že vykazují anomální vlastnosti, kterých lze využít při hledání podobných backdoorů. Tyto anomální vlastnosti slouží jako základ tří heuristických detekcí, které byly naimplementovány a jejichž výkon byl vyhodnocen na datasetu obsahujícím jak neškodné, tak backdoorované aplikace.This thesis presents a detailed examination of application backdoors hidden in Portable Executable files and proposes novel anomaly-based methods for their heuristic detection. Four application backdoors used in large-scale supply chain attacks were reverse-engineered and shown to exhibit anomalous properties that could be utilized in the search for similar backdoors. These anomalous properties serve as the basis for three heuristic detections that were implemented and had their performance evaluated on a dataset composed of both benign and backdoored applications.