Nové přístupy k detekci backdoorů
Novel approaches to the detection of backdoors
Typ dokumentu
diplomová prácemaster thesis
Autor
Jan Vojtěšek
Vedoucí práce
Kokeš Josef
Oponent práce
Lórencz Róbert
Studijní obor
Počítačová bezpečnostStudijní program
InformatikaInstituce přidělující hodnost
katedra informační bezpečnostiPráva
A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.htmlVysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html
Metadata
Zobrazit celý záznamAbstrakt
Tato práce prezentuje detailní průzkum aplikačních backdoorů ukrytých v souborech formátu Portable Executable a navrhuje nové metody jejich heuristické detekce. Čtyři aplikační backdoory použité v rozsáhlých útocích na softwarové dodavatele byly zanalyzovány za použití reverzního inženýrství a bylo ukázáno, že vykazují anomální vlastnosti, kterých lze využít při hledání podobných backdoorů. Tyto anomální vlastnosti slouží jako základ tří heuristických detekcí, které byly naimplementovány a jejichž výkon byl vyhodnocen na datasetu obsahujícím jak neškodné, tak backdoorované aplikace. This thesis presents a detailed examination of application backdoors hidden in Portable Executable files and proposes novel anomaly-based methods for their heuristic detection. Four application backdoors used in large-scale supply chain attacks were reverse-engineered and shown to exhibit anomalous properties that could be utilized in the search for similar backdoors. These anomalous properties serve as the basis for three heuristic detections that were implemented and had their performance evaluated on a dataset composed of both benign and backdoored applications.
Kolekce
- Diplomové práce - 18106 [115]