File Filtering to Streamline Analysis of Security Incidents – Bc. Ondřej Malaník

Abstract:

Cílem této práce je navržení a vytvoření postupu, doplněného o nástroje a implementaci daného postupu, schopného analýzy obsahu systémových disků, obrazů disků anebo obrazů Dockeru vůči potenciálnímu malwaru a malwarem infikovaných balíků, obzvláště pak binárních balíků a z nich spustitelných souborů. Na začátku této práce jsou popsána již existující řešení, balíkovací správce, a možné hrozby a útoky na správce systémových balíků. Poté se práce soustředí na popisování rozhodnutí, která proběhla během implementace práce a pomohla tak utvořit jednotný celek. Autor provedl rozhodnutí použít metodu vytváření korpusu za běhu programu, s cílem využít daný korpus k ověření již nainstalovaných balíků. Dále je popsán průběh analýzy a její možné výstupy . Hlavním výsledkem této práce je použití vytvořeného nástroje na analýzu. Z výsledků analýzy bylo zjištěno, že převážná většina analyzovaných Docker obrazů neobsahovala žádné potenciálně nebezpečné soubory, případně soubory s nízkou závažností. Analýza systému Windows se ukázala jako neefektivní a byla navrhnuta další vylepšení, popřípadě kompletní změna postupu analýzy na tomto systému. Závěrem autor navrhuje další možný výzkum na tuto práci navazující, rozšíření této práce o další správce balíků a zautomatizování výběru nástroje na základě analyzované platformy. …moreless

Abstract:

The aim of this thesis is to design and create a methodology, completed by tooling and implementing the workflow steps, capable of analyzing the contents of system disks, disk images, or Docker images for potential malware-infected packages and other files, especially binaries, and executables. At the beginning of this thesis, various existing solutions, package managers, and attack vectors with possible attacks on package managers are described. The work continues by describing design decisions taken during the implementation phase and further elaborates on the decision to implement on-demand corpus creation as the base for validating the integrity of packages. After that, the workflow itself is described, outlying the main steps, and the chapter concludes with a results presentation. The analysis investigates existing Docker images uploaded to Dockerhub and discusses the measured results. We have found that most analyzed images reported no issues or low-severity issues that do not possess any threats. Windows analysis proved to be lengthy and tedious and needs reworking or a complete change of approach and is subject to further improvements. The last part of this thesis discusses possible subsequent research and workflow improvements that would lead to better automation and ease of use for the end user. It gives examples of further extending the functionality of the created toolset, one such improvement being the automation of correct Docker image selection based on the analyzed system. …moreless