Analýza programů SSH – Tomáš Šlancar

Anotace:

Tahle bakalářská práce se zaměřuje na analýzu infikovaných SSH programů využitím systémových volání, které spadá do kategorie dynamické analýzy. Práce je rozdělená do tří částí. První se zabývá vytvořením prostředí pro sběr systémových volání. Celé to využívá Docker pro izolaci, pro sběr systémových volání Sysdig. Oba nástroje ovládá skript v Pythonu. Druhá část navrhuje způsob analýzy. K ní je využito porovnávání systémových volání infikovaného SSH programu oproti čistému SSH programu. Navržená metoda je následně otestována na archivu malweru poskytnutý firmou ESET. Výsledkem práce je zhodnocení tohoto přístupu. SSH klient ukazuje slušný potenciál pro využití, zatímco server ne. Další možný vývoj je navržený pro oba. …víceméně

Abstract:

The thesis focuses on infected SSH executables using system calls, which fall under category dynamic analysis. It should collect system calls, find and show possible malicious behavior. The thesis is divided into three parts. The first part is about creating the environment for system call collection. It uses Docker for isolation, Sysdig for system collection, and a Python script, which controls both tools. The second part proposes a possible approach for analysis. It uses a comparison of system calls from an infected SSH binary against clean SSH binaries. The result is a possible malicious behavior. In the last part, these steps and tools are tested on a collection of binaries provided by ESET. The outcome of this thesis is that for SSH clients, this approach showed reasonable potential but did not show any for SSH servers. However, it proposes further possible development steps for both. …víceméně