Finding Educationally Friendly Malware

Abstract

Denne rapporten er en masteroppgave som har mål om å undersøke hva utdanningsvennlig skadevare kan være, og hjelpe lærere med å finne dem. Vi ønsker å finne hva som identifiserer skadevaren som utdanningsvennlig, og lage ett automatisk rammeverk som kan hjelpe lærere finne disse filene ved mindre tidsbruk rundt manuell analyse.

Med et økende nummer av systemer som blir sammenkoblet gjennom internettet, så blir angrepsoverflaten til ondsinnet programvare større. For å bekjempe ondsinnet programvare, også kjent som skadevare, så installerer man anti-skadevaresystemer for å oppdage og fjerne dem, men for at systemet skal vite hva den ser etter må ett menneske ha gjort analyse først. Skadevareanalyse er et vanskelig fagfelt som krever dyp forståelse for blant annet operativsystem, programmeringsspråket Assembly, og skadevareteknikker. [1] I senere år så har det vært en økning i utdanningsmuligheter, gjennom universiteter eller kurs på internett, som gjør det lettere å bli skadevareanalytiker. Vi ønsker å hjelpe utdanningsprosessen ved å gi lærere ett verktøy som kan forbedre tidsbruk og effektivisere arbeidet som gjøres for å finne skadevare som kan brukes for utdanningsformål fra nye studenter til viderekommende analytikere. Ved å kutte ned tiden brukt på å analyse skadevare så kan lærere fokusere mer på å lage godt og motiverende undervisningsopplegg som skaper bedre skadevareanalytikere for fremtiden. Med flinkere analytikere så kan vi lage bedre deteksjonssystemer slik at vi bedre kan bekjempe ondsinnet skadevare i fremtiden.

Fra høsten 2020 til våren 2021 så har vi intervjuet eksperter og gjennomgått forskjellig utdanningsressurser for å forstå hva utdanningsvennlig skadevare kan være. Vi fant ut hva som er uønsket ved ett skadevareeksempel, og indikatorer som kunne identifisere mulige filer. Vi analyserte så forskjellige arbeidsflyter og hvordan man kunne gjøre skadevareanalyse for å finne verktøy som kunne hjelpe oss finne utdanningsvennlig skadevare. Etter at vi visste hva vi skulle se etter, og hvilke verktøy som kunne gi oss den informasjonen så lagde vi ett program som kunne ta ett tilfeldig sett med skadevare. Programmet produsere så en delmengde med mulige utdanningsvennlige skadevarefiler med en tilhørende analyserapport som forklarte hva som ble funnet og hvor.

For å verifisere at programmet lagde en delmengde som inneholdt utdanningsvennlige filer så lagde vi senarioer og testet analysene «blindt». Ved bruk av senarioer og den nye arbeidsflyten som rammeverket gir, så fant vi skadevare som var passende for senarioet. Vi så at prosessen fra å ikke ha noen skadevareeksempler og ingen forkunnskaper om filene, til vi hadde filer som møtte kriteriene våre var signifikant mer forenklet og ga raske resultater. Vi brukte minimum med tid i en disassembler, og brukte den bare for å verifisere funn og undersøke om kodeseksjonene kunne brukes i en utdanningssetting.

This report is a master thesis whose purpose is to understand what educationally friendly malware is, and help educators find them. We want to find what indicate that it is educationally friendly and to create an automated framework that can help educators spend less time doing manual analysis to find them.

With the increasing number of systems connecting to the Internet, the attack surface of malicious software, known as malware, grows. To combat malwares, we imply antimalware systems for detection and removal of them, but before the antimalware system knows what it is looking for a human must have done an analysis. Malware analysis is a difficult subject that requires deep understanding on subject such as operating systems, assembly language and malware techniques. [1] In later years there has been an increase in educational resources, such as university courses or online classes, that makes it easier to become a malware analyst. We want to help the educational process and give the educators a tool that can improves their efficiency in finding malware samples suitable for new students to novice reversers. By shortening down the time used to analyze malware the educators can focus more on other aspects, such as creating better course content that motivates and makes better malware analysts for tomorrow. With better analysts we can create better detection systems and have a sharper edge against malicious software in the future.

From the autumn of 2020 to the spring of 2021, we interviewed experts and researched educational resources to understand what educational malware was. We discovered what was undesired in a malware sample, and indicators that could be used to locate potential samples. We then analyzed different workflows and how you could do malware analysis, to discover tools that could help us find educationally friendly malware. After we knew what to look for, and which tools that could give us that information, we created a program that could take an arbitrarily set of malwares. The program creates a subset of potential educationally friendly malwares with an accompanying report that explains what is found and where.

To verify that the program created a usable output for finding samples, we created scenarios and tested them from a “blind” perspective. We found by using the scenarios and working through the defined process, that we were able to find suitable malware from the sample sets. The process from having no sample and no previous knowledge about the samples, to having a sample that met our criteria was significantly more streamlined and gave results quickly. We spent minimum time in a disassembler, only to verify findings and to assess if the code sections could be used for educational purposes.