Analýza škodlivého kódu vloženého do kancelářských dokumentů – Jiří Poláček

Anotace:

Tato diplomová práce se zabývá tématem analýzy škodlivých kancelářských dokumentů konzumovaných aplikacemi Microsoft Office Word a Microsoft Office Excel. Práce stručně popisuje vnitřní strukturu výchozích formátů dokumentů těchto aplikací, které jsou používané pro přenos škodlivého obsahu, a popisuje vybrané známé typy zranitelností, kterých škodlivý obsah zneužívá. Dále práce navrhuje postup analýzy vzorku škodlivého dokumentu od přípravy, zajištění a identifikace vzorku, následované statickou a dynamickou analýzou jeho obsahu v kontrolovaném testovacím prostředí, až po interpretaci a prezentaci zjištěných výsledků. Součástí práce je popis vybraných softwarových nástrojů pro analýzu škodlivých dokumentů, a popis nového softwarového nástroje Maldox, který slouží k automatizaci vyhledávání vzorů v dílčích komponentách dokumentu pomocí YARA pravidel. Použití navrhovaného postupu a nástrojů je demonstrováno v analýze reálných vzorků škodlivých dokumentů, které byly získány z databáze společnosti VirusTotal. …víceméně

Abstract:

This diploma thesis focuses on an analysis of malicious office documents consumed by Microsoft Office Word and Microsoft Office Excel applications. The thesis briefly describes an internal structure of the applications' default document formats used for distribution of malicious content and describes selected known vulnerabilities exploited by the malicious content. The thesis also describes a recommended procedure of the malicious document analysis including preparation, collecting and identification of document samples followed by a static and dynamic analysis of its contents in a controlled testing environment, ending with the interpretation and presentation of results. The thesis describes selected software tools for the malicious documents analysis and Maldox - a new software tool for automation of pattern matching using YARA rules. The usage of the recommended procedure and described tools is demonstrated in an analysis of real samples of malicious documents from VirusTotal's database. …víceméně