Haittaohjelmien analysointi automaattisilla sekä manuaalisilla työkaluilla
Nieminen, Salla; Penttilä, Jenna (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202503244860
https://urn.fi/URN:NBN:fi:amk-202503244860
Tiivistelmä
Opinnäytetyön toimeksiantajana toimi Jyväskylän ammattikorkeakoulun IT-instituutti. Työn tavoitteena oli kehittää kaksi haittaohjelmaa, tietojen varastaja ja pelotteluohjelma, osaksi Malware Analysis -opintojaksoa sekä vertailla manuaalisia ja automaattisia haittaohjelmien analyysityökaluja. Tarkoituksena oli selvittää eri analyysimenetelmien vahvuuksia ja heikkouksia sekä arvioida, miten niiden yhdistäminen vaikuttaa analyysin tarkkuuteen ja kattavuuteen. Haittaohjelmien analysointi on keskeinen osa kyberturvallisuutta, ja kehittyneet haittaohjelmat muodostavat merkittävän uhan sekä yksityishenkilöille että organisaatioille.
Työ toteutettiin tutkimuksellisena kehittämistyönä hyödyntäen laadullisia ja vertailevia tutkimusmenetelmiä. Haittaohjelmat kehitettiin vaiheittain, minkä jälkeen niitä analysoitiin ilmaisilla työkaluilla, kuten Ghidra, x64dbg, Radare2, DiE, YARA, ANY.RUN, VirusTotal ja Hybrid Analysis. Työkaluja arvioitiin tarkkuuden, nopeuden, käytettävyyden ja yhteensopivuuden perusteella. Tulosten perusteella havaittiin, että manuaalisten ja automaattisten työkalujen yhdistäminen paransi analyysin kattavuutta ja tarkkuutta. Lisäksi tunnistettiin, mitkä analyysivaiheet soveltuvat parhaiten manuaalisesti ja mitkä automaattisesti suoritettaviksi.
Tulokset osoittivat, että manuaalinen analyysi mahdollistaa syvällisemmän tarkastelun ja monimutkaisten haittakoodin piilotustekniikoiden tunnistamisen, mutta on aikaa vievää. Automaattinen analyysi puolestaan tuottaa nopeampia tuloksia, mutta ei aina havaitse kaikkia haittaohjelmien kehittyneitä piirteitä. Yhdistämällä molempia menetelmiä analyysin tarkkuus ja luotettavuus paranivat merkittävästi. Haittaohjelmien analysointiprosessi vaatii teknistä osaamista sekä kykyä soveltaa erilaisia menetelmiä tapauskohtaisesti.
Työn tuloksena syntyi opas haittaohjelmien analysointiin, jota voidaan hyödyntää sekä opetuksessa että kyberturvallisuusalan ammattilaisten työssä. Oppaan avulla voidaan kehittää analyysimenetelmiä ja syventää osaamista haittaohjelmien tutkimisessa. Jatkokehitysmahdollisuutena tunnistettiin analyysityökalujen laajempi testaus sekä uusien haittaohjelmatyyppien kehittäminen analyysimenetelmien edelleen parantamiseksi. Lisäksi tulevaisuudessa voitaisiin tutkia tekoälyn hyödyntämistä haittaohjelmien analysoinnissa ja tunnistamisessa. The commission for this thesis was provided by the IT Institute of Jyväskylä University of Applied Sciences. The objective of the study was to develop two types of malware, an information stealer and scareware, as part of the Malware Analysis course and to compare manual and automated malware analysis tools. The aim was to identify the strengths and weaknesses of different analysis methods and assess how their combination affects the accuracy and comprehensiveness of the analysis. Malware analysis is a crucial aspect of cybersecurity, as advanced malware poses a significant threat to both individuals and organizations.
The study was conducted as a research-based development project utilizing qualitative and comparative research methods. The malware samples were developed in stages and then analyzed using free tools such as Ghidra, x64dbg, Radare2, DiE, YARA, ANY.RUN, VirusTotal, and Hybrid Analysis. The tools were evaluated based on accuracy, speed, usability, and compatibility. The results indicated that combining manual and automated tools improved the comprehensiveness and accuracy of the analysis. Additionally, it was determined which phases of the analysis process are best suited for manual execution and which can be performed automatically.
The findings showed that manual analysis allows for a more in-depth examination and better identification of complex obfuscation techniques used in malware, but it is time-consuming. Automated analysis, on the other hand, provides faster results but does not always detect all advanced malware features. By combining both approaches, the accuracy and reliability of the analysis were significantly improved. The malware analysis process requires technical expertise as well as the ability to apply different methods depending on the case.
As a result of the study, a guide to malware analysis was created, which can be utilized in both education and the work of cybersecurity professionals. The guide helps in developing analysis methods and deepening the understanding of malware research. Future development opportunities include broader testing of analysis tools and the creation of new types of malware to further refine analysis methods. Additionally, the potential use of artificial intelligence in malware analysis and detection could be explored in the future.
Työ toteutettiin tutkimuksellisena kehittämistyönä hyödyntäen laadullisia ja vertailevia tutkimusmenetelmiä. Haittaohjelmat kehitettiin vaiheittain, minkä jälkeen niitä analysoitiin ilmaisilla työkaluilla, kuten Ghidra, x64dbg, Radare2, DiE, YARA, ANY.RUN, VirusTotal ja Hybrid Analysis. Työkaluja arvioitiin tarkkuuden, nopeuden, käytettävyyden ja yhteensopivuuden perusteella. Tulosten perusteella havaittiin, että manuaalisten ja automaattisten työkalujen yhdistäminen paransi analyysin kattavuutta ja tarkkuutta. Lisäksi tunnistettiin, mitkä analyysivaiheet soveltuvat parhaiten manuaalisesti ja mitkä automaattisesti suoritettaviksi.
Tulokset osoittivat, että manuaalinen analyysi mahdollistaa syvällisemmän tarkastelun ja monimutkaisten haittakoodin piilotustekniikoiden tunnistamisen, mutta on aikaa vievää. Automaattinen analyysi puolestaan tuottaa nopeampia tuloksia, mutta ei aina havaitse kaikkia haittaohjelmien kehittyneitä piirteitä. Yhdistämällä molempia menetelmiä analyysin tarkkuus ja luotettavuus paranivat merkittävästi. Haittaohjelmien analysointiprosessi vaatii teknistä osaamista sekä kykyä soveltaa erilaisia menetelmiä tapauskohtaisesti.
Työn tuloksena syntyi opas haittaohjelmien analysointiin, jota voidaan hyödyntää sekä opetuksessa että kyberturvallisuusalan ammattilaisten työssä. Oppaan avulla voidaan kehittää analyysimenetelmiä ja syventää osaamista haittaohjelmien tutkimisessa. Jatkokehitysmahdollisuutena tunnistettiin analyysityökalujen laajempi testaus sekä uusien haittaohjelmatyyppien kehittäminen analyysimenetelmien edelleen parantamiseksi. Lisäksi tulevaisuudessa voitaisiin tutkia tekoälyn hyödyntämistä haittaohjelmien analysoinnissa ja tunnistamisessa.
The study was conducted as a research-based development project utilizing qualitative and comparative research methods. The malware samples were developed in stages and then analyzed using free tools such as Ghidra, x64dbg, Radare2, DiE, YARA, ANY.RUN, VirusTotal, and Hybrid Analysis. The tools were evaluated based on accuracy, speed, usability, and compatibility. The results indicated that combining manual and automated tools improved the comprehensiveness and accuracy of the analysis. Additionally, it was determined which phases of the analysis process are best suited for manual execution and which can be performed automatically.
The findings showed that manual analysis allows for a more in-depth examination and better identification of complex obfuscation techniques used in malware, but it is time-consuming. Automated analysis, on the other hand, provides faster results but does not always detect all advanced malware features. By combining both approaches, the accuracy and reliability of the analysis were significantly improved. The malware analysis process requires technical expertise as well as the ability to apply different methods depending on the case.
As a result of the study, a guide to malware analysis was created, which can be utilized in both education and the work of cybersecurity professionals. The guide helps in developing analysis methods and deepening the understanding of malware research. Future development opportunities include broader testing of analysis tools and the creation of new types of malware to further refine analysis methods. Additionally, the potential use of artificial intelligence in malware analysis and detection could be explored in the future.