Development of a customized remote access trojan (RAT) for educational purposes within the field of malware analysis

Abstract

Hver dag blir oppdages og registreres store mengder ondsinnet programvare i forskjellige databaser hos forskjellige institutter, selskaper og leverandører. Tallet på eksisterende skadevare har økt drastisk for hvert år som går, og de aller fleste personer og firmaer er ett potentielt mål. Opp gjennom årene har det allerede blitt sett flere store og svært skadelige, komplekse og sofistikerte skadevarer, og på grunn av den raskt-akselererende økningen i skadelige programvare og det allerede store antallet forskjellige typer som finnes, har det vært vanskelig å få dekket den arbeidskraften som kreves innenfor feltet. Dette gjør det igjen vanskelig å ligge i forkant av den pågående cyberkampen kunnskapsmessig. Å utdanne grunnleggende kunnskap og ferdigheter innenfor skadevare analyse er essensielt for å kunne forebygge, detektere og stoppe skadelig programvare. Arbeid innenfor data sikkerhet, som inngår blant annet skadevare analyse, er imidlertid spådd til å være en av de 10 mest raskt voksende yrkene gjennom det neste tiåret og det finnes allerede flere kurs for grunnleggende kunnskapslæring på nett, hos universiteter og private sektorer.

Denne oppgaven undersøker de pedagogiske aspektene ved skadevare analyse og foreslår bruk av selvlaget skadevare som en pedagogisk tilnærming. Den utviklede skadevaren er tilpasset utdanning og har dermed konfigurasjoner og funksjonaliteter rettet mot læringsmål innenfor feltet. Data ble samlet inn gjennom kvalitativ forskning ved bruk av fenomenologisk tilnærming og semistrukturert intervju som metode. Den utviklede skadevaren ble brukt som et middel til å samle inn data om bruken av selvlaget skadevare i en pedagogisk setting og ble dermed også testet i et pedagogisk miljø der studenter og lærere var målgruppen. Resultatene viste at den utviklede skadevare omfatter flere fordelaktige aspekter ved læring ettersom den enkelt kan tilpasses basert på ønsket læringsutbytte. Imidlertid er den skadelige programvaren begrenset til å illustrere mindre sofistikerte trussel aktører, og det er behov for ytterligere skadevare eksempler for å dekke flere ønskede læringsmål og for å støtte en progresjon i læringen.

There are hundreds of thousands new malware samples registered each day by different vendors and institutes, and the numbers keep increasing for each year. Most people and corporations are possible targets and there has already been seen some most serious, sophisticated, and complex cyber-attacks that had devastating consequences. The fast growing numbers of malware has created an educational gap within the field of malware analysis for years. It is however predicted that the work within the cyber domain will be the 10th fastest growing occupation for the next decade. There is already a lot of courses provided by both the public and the private sectors and this thesis investigates the educational aspects of malware analysis and suggests using self-made malware as an educational approach.

The developed malware is adapted towards an educational setting and has thus configurations and functionalities directed towards learning objectives within the field. The developed malware was used as a mean to collect the data on the use of self-made malware in an educational setting and was thus also tested in an educational environment where students and educators were the targeted audience. Datta was collected through qualitative research using phenomenological approach and semi-structured interview as method. The development phase resulted in a remote access trojan (RAT) that encompasses the ability to communicate to an infected device, in addition to other common functions found in malware. Having the ability to execute further commands on a client makes it situational adaptable and can thus be used to mirror different threat actors all depending on what learning objectives wanted to cover. However due to its simplicity, the malware is though limited to illustrate less sophisticated threat actors and it is needed for additional malware samples to cover additional desired learning objectives in order to support knowledge and skill progress.