IoT botnetek elemzése

Topics: IoT, Malware

Az elmúlt években világossá vált, hogy az IoT eszközök biztonsági réseit kihasználva a támadók világméretű, összehangolt támadásokat is képesek indítani. 2016-ban nagy port kavart a Mirai botnet, amely elosztott túlterheléses támadást (DDoS) hajtott végre, majd nem sokkal később felfedezték a Persirai, valamint az Amnesia botneteket. A botnetekbe kényszerített eszközöket a támadók távolról, az Interneten keresztül irányítják, a fertőzött eszközök a parancsokra reagálva hajtják végre a támadást.

A hallgató feladata:
- Megismerni az IoT eszközökre készült rosszindulatú kódokat, kiemelt figyelmet fordítva a botnetekre
- Botnetekhez köthető rosszindulatú kódok gyűjtése
- Kiválasztott, jól definiált támadás detektálása az összegyűjtött mintákban

Maximum number of students: 1 student

Contact: Dorottya Papp (CrySyS Lab)

Android malware támadások és a védekezés helyzete

Topics: Malware

A kártékony kódok jelenléte ma már a mobiltelefonokon sem ritkaság. Az antivírus cégek és programok igyekeznek ezeket felismerni, de ki tudja, milyen minőségben látják el a feladatukat. Sok esetben elképzelhető, hogy a vírusokat nem tartalmukról, hanem egyszerűen hash lenyomatukról azonosítják. Az androidos programok digitálisan alá vannak írva, de nem maga az APK fájl, hanem a benne levő fájlok. Ennek következtében az APK hash lenyomata manipulálható egyszerű módszerekkel úgy, hogy a digitális aláírás érvényes marad. A hallgató feladata az androdios kártékony kódok kapcsán előforduló, a fentiekhez hasonló apróbb-nagyobb vizsgálatok elvégzése. Irodalomkutatás: mik a trendek a területen. Konkrét minták vizsgálata: Mintaadatbázisainkban levő kártékony alkalmazások alátámasztják-e az irodalmi trendeket? Lehet-e könnyen megváltoztatni androidos kártékony programokat, hogy utána az antivirus programok már nem ismerik fel kártékonynak? A pontosabb feladatok és elvégzendő munka a hallgatóval közösen kerül kijelölésre.

Maximum number of students: 1 student

Contact: Boldizsár Bencsáth (CrySyS Lab)

Malware adattár fejlesztése és kezelése

Topics: Malware

Malware adattárunkban 100 terabyte-nál is több kártékony kódmintát tárolunk. Gyakran felmerül, hogy ebben a nagy adatmennyiségben kellene elosztott módon keresni. A keresésre elkészült már egy yara keresőre épült elosztott keresés, de ennek felhasználói felülete hagyott kivetni valókat, nehezen használható, lassú. A hallgató feladata megismerni a malware adattár felépítését, megvizsgálni működését, esetleg statiszikákat csinálni a benne tárolt tartalomról. Gyorsítani és felhasználóbaráttá tenni a kereséseket. Természetesen a hallgató első feladata megismerni a rendszer felépítését és megbarátkozni a környezettel és a rendszer használatával. A pontosabb elvégzendő feladatok és határidők a hallgatóval közösen kerülnek megbeszélésre.

Maximum number of students: 1 student

Contact: Boldizsár Bencsáth (CrySyS Lab)

Obfuszkált malware minták automatizált deobfuszkációja

Topics: Malware

A kártékony kódokat nagy mennyiségük miatt főként automatizált elemzésekkel kezelik az antivirus cégek. A kártékony kódok készétői pedig természetesen mindent megtesznek, hogy ha lehet, ne lehessen automatikus elemzéssel rájönni, hogy mit is csinál a programjuk, sőt, lehetőleg még kézi elemzést se lehessen könnyen végezni. Ez igaz lehet hagyományos malware támadásokra (botnetek, ransomware), de igaz lehet célzott támadásokra is. Az analízis megnehezítésére több eszköz van, ezek egyike a kódobfuszkáció, packelés és más módszerek. Számos ismert obfuszkációs technika létezik, de kifejlesztettek már számos módszert arra is, hogy az így védett kódot unpackeljük, deobfuszkáljuk, vagy más módszerekkel elemezzük. A hallgató elsődleges feladata a téma megismerése, a jelenleg használt védelmi és támadási technikák vizsgálata, az irodalom megismerése. A pontosabb feladatokat a hallgatóval szóban beszéljük meg, de ilyen feladatok lehetnek: Automatizált deobfuszkáció megvalósítás és integrálása malware adatbázis rendszerünkbe, nagy malware adatbázisunk alapján az obfuszkációra vonatkozó statisztikák készítése, ismeretlen obfuszkációval védett programok keresése, azokra új automatizált deobfuszkációs megoldás tervezése, de akár a deobfuszkáció elméleti vizsgálata is.

Maximum number of students: 1 student

Contact: Boldizsár Bencsáth (CrySyS Lab)

Whitelisting alapú végpontvédelem

Topics: Malware

Számítógépek kártékony kód elleni védelménél whitelisting alkamlazása esetén a hagyományos hozzáállást megfordítjuk. Tipikus PC környezetben minden alkalmazás lefuthat, csak az nem, amelyet kártékonynak gondolunk pl. antivirus adatbázisok alapján. Whitelisting esetében pont fordítva történik, nem futhat semmilyen alkalmazás a gépen, csak azok, amelyekről úgy gondoljuk, hogy nem kártékonyak, információnk van róluk, és engedélyezettek. A whitelisting főleg vállalati környezetben hatékony, ahol ritkán telepítenek új szoftvereket a gépekre. A hallgató feladata a whitelisting megoldások jelenlegi helyzetének megvizsgálása. Milyen főbb megoldások vannak? Vannak-e ingyenes megoldások? Mik a jelenlegi kihívások a whitelisting területén, könnyű-e megkerülni a megoldást, esetleg mik a fő kényelmetlenségek? Hogyan lehetne javítani a megoldások működésén új gondolatok alapján? Feltételezésünk, hogy a whitelisting megoldások működését segíthetik olyan megoldásaink felhasználása, mint a CrySyS Lab ROSCO rendszere, vagy éppen ismert kártékony kódokat tartalmazó 100 TB fölötti malware adatbázisa. A témához kapcsolódóan van ipari partnere a laboratóriumnak, amely cég alkalmaz whitelisting terméket és így konkrét tapasztalatokkal és kérdésekkel tud segíteni ismert piaci termékkel kapcsolatban is. Az elvégzendő pontosabb feladatok és határidők hallgatóval szóban kerülnek egyeztetésre.
A projekt szorosan kapcsolódik ipari partnerünk, a MOL érdeklődési területeihez, és lehetőséget biztosít a MOL kiberbiztonsági szakértőivel történő együttműködésre.

Maximum number of students: 1 student

Contact: Boldizsár Bencsáth (CrySyS Lab)