Nyhet -

Systematisk granskning av verktyg som döljer skadlig kod

Vilka verktyg fungerar och vilka fungerar inte för att dölja skadlig kod? Det undersöker forskare från FOI i rapporten Verktyg som döljer skadlig kod – en systematisk granskning. Kunskapen är inte minst viktig för att kunna genomföra trovärdiga cybersäkerhetsövningar.

Skadlig kod i datorer kan till exempel leda till att viktiga funktioner stängs ner, att information stjäls eller att datorn används för att göra angrepp mot andra. Skadlig kod är ett mycket brett begrepp. I rapporten studerar författarna Hannes Holm, Erik Hyllienmark och Mats Persson bakdörrar, en typ av skadlig kod som möjliggör fjärrstyrning av andra datorer.

Författarna tar avstamp i det arbete som utförts inom projektet Verktyg och Experiment för Computer Network Operations (VECNO). Där har FOI utvecklat verktyget Lore för automatisering av cyberangrepp under cybersäkerhetsövningar. Ett viktigt tredjepartsverktyg som används av Lore är bakdörren Meterpreter. Lore behöver Meterpreter för att utföra flertalet kommandon på fjärrstyrda datorer, som exempelvis att eskalera behörigheter eller vidarebefordra trafik genom den.

– Men moderna antivirusprogram är väldigt bra på att upptäcka Meterpreter. Det gjorde att Lore inför det här arbetet inte fungerade så väl vid cybersäkerhetsövningar med sådana detektorer, säger Hannes Holm.

– Det går att bygga nya bakdörrar men det är väldigt kostsamt. Alternativet är att använda verktyg som döljer Meterpreter.

De flesta verktygen framtagna i utbildningssyfte

Rapporten beskriver just det arbete som utfördes inom VECNO för att identifiera verktyg som kan tillämpas av Lore under cybersäkerhetsövningar för att dölja bakdörren Meterpreter.

Forskarna studerade källkoden för 174 verktyg i databasen Github. Github är den mest omfattande databasen för mjukvara skriven som öppen källkod.

De flesta av verktygen bedömer forskarna är framtagna i utbildningssyfte snarare än för att dölja skadlig kod i skarpt läge.

– Vi såg till exempel att många verktyg inte uppdaterats och de hade utformats på ett trivialt sätt, säger Hannes Holm.

Forskarna har dock identifierat ett antal verktyg som nu de undersöker djupare.

– Vi tar de ”bakdörrsdöljarverktyg” vi anser vara bäst och testar dem på måldatorer med fullt uppdaterade antivirusprogram. Vi ber verktygen dölja olika varianter av Meterpreter samt en godartad kod, som är legitim, på alla tänkbara sätt. På så sätt får vi veta om antiviruset även ser ”bakdörrsdöljarverktyget” som skadligt.

För närvarande stöds 20 verktyg som genererar cirka 30 000 testfall.

Frågor forskarna ställer sig är exempelvis om antivirus upptäcker en dold bakdörr på disken när den exekveras (körs) av en användare eller när ett fjärrstyrningskommando körs.

Utöver att identifiera praktiskt användbara verktyg för tillämpning i framtida cybersäkerhetsövningar så kommer studien även svara på vilka metoder som fungerar och inte fungerar när det gäller att dölja skadlig kod.


Ämnen

Kontakter

Maria Hugosson Bygge

Maria Hugosson Bygge

Presskontakt Pressansvarig Pressansvarig 073 3713838
Albert Hager Bernats

Albert Hager Bernats

Presskontakt Kommunikatör 0708 586 657

FOI forskar för en säkrare värld

Totalförsvarets forskningsinstitut (FOI) är en statlig myndighet som bedriver världsledande forskning inom försvar och säkerhet till stöd för Sveriges militära och civila försvar. Med ett fokus på att förstå, förklara och förändra tillhandahåller vi ny kunskap och expertstöd. Många gånger sker arbetet tillsammans med olika allierade inom Nato. Forskningen tillämpas både inom försvarsmyndigheter och hos civila aktörer och spelar en avgörande roll i att bygga en relevant och effektiv försvarsförmåga.

FOI har ungefär 1 300 anställda. Cirka 950 av dessa är forskare på akademisk nivå. Majoriteten av FOI:s uppdrag är offentligt finansierade. Merparten av finansieringen kommer via uppdrag från Försvarsmakten, Försvarets materielverk (FMV) samt departement och myndigheter.

FOI - Totalförsvarets forskningsinstitut

Gullfossgatan 6
164 90 Kista
Sweden

Vår webbplats