Haittaohjelmien tutkiminen manuaalisin ja automaattisin menetelmin
Salonen, Asko (2018)
Salonen, Asko
Turun ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2018120420067
https://urn.fi/URN:NBN:fi:amk-2018120420067
Tiivistelmä
Haittaohjelmat ovat jo pitkään olleet osa nykyistä tietoyhteiskuntaa. Viime aikoina haittaohjelmat ovat käyneet entistä tuhoisammiksi uusien uhria kiristävien haittaohjelmien myötä. Näin ollen tarve haittaohjelmilta ja kohdistetuilta hyökkäyksiltä suojautumiseen käy entistä akuutimmaksi. Kunnolliseen suojautumiseen haittaohjelmien varalta tarvitaan ymmärrystä siitä, miten haittaohjelma onnistuu saastuttamaan uhrinsa ja mitä haittaohjelma tekee saastuneella tietokoneella. Vaarallisimpia ovat haittaohjelmat, jotka salakirjoittavat tiedostot niin, ettei käyttäjä pysty enää avaamaan tiedostojaan. Vaarallisia ovat lisäksi haittaohjelmat, jotka siirtävät arkaluontoista materiaalia, esimerkiksi kuvia, ja tietoa, kuten salasanoja, haittaohjelman kirjoittajalle.
Opinnäytetyön tavoitteena oli tarkastella menetelmiä haittaohjelmien analysoimiseksi, löytää ilmaisia haittaohjelmien analysointiin käytettäviä työkaluja ja suorittaa pienimuotoista haittaohjelmien analysointia käyttäen hyväksi teoriaosuudessa esiin tuotuja työkaluja.
Haittaohjelmien manuaalista analysointia varten asennettiin kaksi virtuaalikonetta. Haittaohjelmien analysointi suoritettiin virtuaalikoneilla, koska virtuaalikoneet on helppo palauttaa tilaan ennen infektiota, hankkimiskustannuksia ei ole ja ylläpito on edullista. Toinen virtuaalikoneista saastutettiin haittaohjelmalla, jonka jälkeen haittaohjelman toimintaa tutkittiin teoriaosuudessa löydetyillä analysointityökaluilla. Automaattinen analysointi suoritettiin käyttämällä ilmaista analysointityökalua, Cuckoo Sandboxia. Cuckoo Sandboxille syötettiin haittaohjelma, jonka Cuckoo Sandbox käynnisti omassa virtuaalikoneessaan. Cuckoo Sandbox listasi haittaohjelman tekemät muutokset käyttöjärjestelmään ja antoi haittaohjelmalle arvosanan haitallisuuden perusteella.
Työn pohjalta voidaan todeta, että kattava haittaohjelmien analysointi onnistuu täysin ilmaiseksi, manuaalisesti ja automaattisesti. Ainoana esteenä voidaan pitää taitotiedon puutetta, sillä koodi- ja muistianalyysi vaativat kattavaa ymmärrystä ohjelmoinnista ja yleisesti tietotekniikasta.
Opinnäytetyön tavoitteena oli tarkastella menetelmiä haittaohjelmien analysoimiseksi, löytää ilmaisia haittaohjelmien analysointiin käytettäviä työkaluja ja suorittaa pienimuotoista haittaohjelmien analysointia käyttäen hyväksi teoriaosuudessa esiin tuotuja työkaluja.
Haittaohjelmien manuaalista analysointia varten asennettiin kaksi virtuaalikonetta. Haittaohjelmien analysointi suoritettiin virtuaalikoneilla, koska virtuaalikoneet on helppo palauttaa tilaan ennen infektiota, hankkimiskustannuksia ei ole ja ylläpito on edullista. Toinen virtuaalikoneista saastutettiin haittaohjelmalla, jonka jälkeen haittaohjelman toimintaa tutkittiin teoriaosuudessa löydetyillä analysointityökaluilla. Automaattinen analysointi suoritettiin käyttämällä ilmaista analysointityökalua, Cuckoo Sandboxia. Cuckoo Sandboxille syötettiin haittaohjelma, jonka Cuckoo Sandbox käynnisti omassa virtuaalikoneessaan. Cuckoo Sandbox listasi haittaohjelman tekemät muutokset käyttöjärjestelmään ja antoi haittaohjelmalle arvosanan haitallisuuden perusteella.
Työn pohjalta voidaan todeta, että kattava haittaohjelmien analysointi onnistuu täysin ilmaiseksi, manuaalisesti ja automaattisesti. Ainoana esteenä voidaan pitää taitotiedon puutetta, sillä koodi- ja muistianalyysi vaativat kattavaa ymmärrystä ohjelmoinnista ja yleisesti tietotekniikasta.