Detekce metod obcházení obranných mechanismů v post-mortem forenzní analýze Windows pomocí nástroje KAPE

Abstract

Tato práce se věnuje vybraným technikám z kategorie vyhýbání se obraně, kategorizované dle matice MITRE ATT&CK, konkrétně technikám odstraňování indikátorů, oslabení obran a skrývání artefaktů. Tyto techniky jsou v práci detailně popsány, včetně indikátorů použitelných pro jejich detekci, a taktéž popsání četnosti použití těchto technik ve škodlivých programech a aktivitách v reálném světě. Následně je popsán nástoj KAPE a jeho použití ve forenzní analýze, a jak může být tento nástroj použit pro sběr artefaktů, jenž mohou posloužit k detekci technik popsaných v této práci. Dále práce navazuje implementací detekčního nástroje využívající výstupy z nástroje KAPE. Nakonec je vytvořený nástroj otestován, a to nejen na příkladech inspirovaných skutečnými škodlivými programy. Práce je zakončena diskuzemi nad výsledky z vytvořeného nástroje a popisuje jeho výhody i limity.

This thesis focuses on selected techniques from the Defense Evasion category, categorised according to the MITRE ATT&CK matrix, namely Indicator Removal, Impair Defenses and Hide Artifacts techniques. These techniques are described in detail, including the indicators used to detect them, as well as a description of the frequency of use of these techniques in real-world malicious programs and activities. The KAPE tool and its use in forensic analysis is then described, and how this tool can be used to collect artifacts that can be used to detect the techniques described in this thesis. The thesis then proceeds with the implementation of a detection tool using the outputs of the KAPE tool. Finally, the developed tool is tested, also on examples inspired by real malicious programs. The thesis concludes with a discussion of the results from the developed tool, describing its advantages and limitations.