Ründetarkvara intsidentide ja levitamisviiside analüüs graafilise modelleerimise abil

Nimi
Guillaume Brodar
Kokkuvõte
Tänapäeval peaaegu igas seadmes kasutatav veebilehitseja on soodsaim keskkond kurivara levitamiseks, kuna võimaldab ründeprogrammidel ekspluateerida hulgaliselt erinevaid vahendeid alates veeblihitseja üldisest ülesehitusest ja pluginatest kuni sellega seotud operatsioonisüsteemi eripäradeni. Seega on veebilehitsejates kasutatavad ründetarkvara komplektid üks levinumaid kurivara esinemisvorme ning seetõttu ka märkimisväärseks probleemiks nii digitaalse ekspertiisi spetsialistidele kui kurivara tõrje valdkonnas üldiselt.
Kuigi salvestatud võrgupakettidest võib leida indikaatoreid, mis võimaldavad analüütikul tuvastada kurivara olemuse, pole need tihti piisavad süsteemi kompromiteerituse ulatuse määramiseks. Taoliste indikaatorite üksipulgi läbitöötamine on aeganõudev protsess ning intsidendi analüüs ja terviklik ülevaade sõltuvad sealjuures peamiselt kolmandate osapoolte kaudu saadud infost.
Analüüsi käigus saab protsesse küll osaliselt automatiseerida kasutades avalikult kättesaadavaid programme nagu VirusTotal, WHOIS ja erinevad (IP, domeeni või veebilehe põhised) mustad nimekirjad. Seda osa protsessist tutvustab ka antud töö esimene pool.
Graafiline modelleerimine aitab kaasa erinevatest allikatest pärineva info ja seoste koondamisel ühtsesse ja kergemini hoomatavasse vaatesse. Töö teine osa keskendubki viisidele, kuidas kasutada graafilise modelleerimise võimalusi nii üksikute intsidentide analüüsiks kui konkreetse ründetarkvara erinevate levitamisviiside kuvamiseks täpsema tervikpildi saamise eesmärgil.
Töö viimane osa demonstreerib moodusi, kuidas antud lähenemine aitab välja tuua seosed ja seaduspärad, mille põhjal on võimalik teha pahavara tuvastamise ja tõrjumisega seonduvaid otsuseid ja järeldusi.
Lõputöö keel
inglise
Lõputöö tüüp
Magister - Küberkaitse
Juhendaja(d)
Toomas Lepik, Raimundas Matulevicius
Kaitsmise aasta
2017
 
PDF