Haittaohjelmien välttelytekniikat ja torjuntastrategiat
Semenius, Thomas (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025060621250
https://urn.fi/URN:NBN:fi:amk-2025060621250
Tiivistelmä
Kyberturvallisuuden kontekstissa haittaohjelmat muodostivat merkittävän uhan tietojärjestelmille erityisesti kehittyneiden välttelytekniikoiden vuoksi, jotka vaikeuttivat haitallisen toiminnan tuottamista ja analysointia. Jatkuvasti kehittyvien uhkakuvien ja kasvavan haittaohjelmatuotannon myötä oli tarpeellista selvittää, mitkä välttelytekniikat esiintyivät nykyaikaisessa haittaohjelmistossa ja millä keinoilla niiden tehokas torjunta voitiin toteuttaa. Työn tavoitteena oli tunnistaa ajantasaiset tekniikat, joilla haittaohjelmat pystyivät välttämään havaitsemista niin staattisen kuin dynaamisen analyysin aikana ja arvioida, miten niitä vastaan voitiin kehittää suojelutoimenpiteitä.
Tutkimuksessa sovellettiin kirjallisuuskatsausta sekä kokeellista menetelmä, jossa kehitettiin tarkoitukseen rakennettu haitallinen ohjelmaesimerkki, joka sisälsi dokumentoidut välttelymekanismit kuten anti-debugging, anti-disassembler, obfuskaation sekä sandbox evasion. Luodussa haittaohjelman läpikäynnissä on tarkoituksena oppia käyttämään ohjelmakoodin purkua ja analyysiä käyttäen nykyaikaisia työkaluja, joita ovat kuten x32/64dbg, IDA 9 sekä FlareVM. Näillä työkaluilla tutkittiin haittaohjelman toimintaa sekä analyysin välttelyä.
Tuloksissa ilmeni, että yhdistämällä useita yksinkertaisia tekniikoita – kuten PEB- ja API-pohjaisia debuggereiden tunnistuksia, virtuaalikoneprosessien tarkkailu voitiin luoda havaintoa välttelevä ohjelma, joka onnistui välttämään perustason hiekkalaatikkoympäristöjä. Tiedonkeruun perusteella havaittiin myös, että dynaamiset tarkistusmekanismit, kuten exception-pohjaiset ohjausvirran manipuloinnit ja ajastukseen perustuvat viivästyvät payloadit aiheuttavat lisähaasteita automatisoiduille analyysityökaluille.
Johtopäätöksenä todettiin, että haittaohjelmien välttelytekniikat perustuivat usein yksinkertaisiin, mutta tehokkaasti yhdistettyihin menetelmiin, joiden torjuminen edellytti laaja-alaista havaintomekanismien päivittämistä sekä analyysityökalujen kehittämistä. Etenkin aikapohjaiset sekä interaktiota vaativat tekniikat osoittautuivat tehokkaiksi perinteisiä dynaamisen analyysin ympäristöjä vastaan. Lisäksi ilmeni, että dokumentoitujen tekniikoiden läpinäkyvyys helpotti vastatoimien suunnittelua, mikä kannustaa jatkuvaa tutkimustyötä ja testausympäristöjen kehittämistä kyberturvallisuuden alalla.
Tutkimuksessa sovellettiin kirjallisuuskatsausta sekä kokeellista menetelmä, jossa kehitettiin tarkoitukseen rakennettu haitallinen ohjelmaesimerkki, joka sisälsi dokumentoidut välttelymekanismit kuten anti-debugging, anti-disassembler, obfuskaation sekä sandbox evasion. Luodussa haittaohjelman läpikäynnissä on tarkoituksena oppia käyttämään ohjelmakoodin purkua ja analyysiä käyttäen nykyaikaisia työkaluja, joita ovat kuten x32/64dbg, IDA 9 sekä FlareVM. Näillä työkaluilla tutkittiin haittaohjelman toimintaa sekä analyysin välttelyä.
Tuloksissa ilmeni, että yhdistämällä useita yksinkertaisia tekniikoita – kuten PEB- ja API-pohjaisia debuggereiden tunnistuksia, virtuaalikoneprosessien tarkkailu voitiin luoda havaintoa välttelevä ohjelma, joka onnistui välttämään perustason hiekkalaatikkoympäristöjä. Tiedonkeruun perusteella havaittiin myös, että dynaamiset tarkistusmekanismit, kuten exception-pohjaiset ohjausvirran manipuloinnit ja ajastukseen perustuvat viivästyvät payloadit aiheuttavat lisähaasteita automatisoiduille analyysityökaluille.
Johtopäätöksenä todettiin, että haittaohjelmien välttelytekniikat perustuivat usein yksinkertaisiin, mutta tehokkaasti yhdistettyihin menetelmiin, joiden torjuminen edellytti laaja-alaista havaintomekanismien päivittämistä sekä analyysityökalujen kehittämistä. Etenkin aikapohjaiset sekä interaktiota vaativat tekniikat osoittautuivat tehokkaiksi perinteisiä dynaamisen analyysin ympäristöjä vastaan. Lisäksi ilmeni, että dokumentoitujen tekniikoiden läpinäkyvyys helpotti vastatoimien suunnittelua, mikä kannustaa jatkuvaa tutkimustyötä ja testausympäristöjen kehittämistä kyberturvallisuuden alalla.