Elaborarea laboratorului de analiză a fișierelor malițioase

Abstract

Prezenta teză de master a fost întocmită pe baza surselor bibliografice studiate și practicii de examinare a fișierelor malițioase de-a lungul ultimilor 5 ani în calitate de specialist și expert judiciar în domeniul mijloacelor și tehnologiilor informaționale.

Mai întâi de toate, este redată prin introducere o luare de cunoștință de cauză cu privire la situația actuală în lumea Cyber global cât și în Republica Moldova, a amenințărilor căror sunt expuși utilizatorii sistemelor informatice, entitățile economice cât și instituțiile de stat, necesității dezvoltării segmentului de examinare și analiză a produselor malițioase. Ulterior, în capitolul ”CONSIDERAȚII TEORETICE” sunt expuse definițiile/abrevierele care vor fi întâlnite în prezenta lucrare de master, precum și descrierea și reprezentarea virușilor.

În capitolul 3 este descris cum se configurează unui mediu de laborator izolat, căci este crucială înainte de a analiza programele rău intenționate și va preveni răspândirea accidentală a virusului în sistemul și rețeaua gazdă. Capitolele 4 și 5 sunt destinate descrierii modalităților și etapelor de analize a fișierelor malițioase, și anume statică și dinamică.

Sunt expuse o mare parte din surse bibliografice necesare cu tematica de analize malware, ce au servit drept sursă de inspirație la examinarea sistemelor informatice infectate și fișierelor malițioase.

Ca surse pentru întocmirea a două rapoarte de examinare, au fost selectate:

- un sistem informatic (bloc de sistem) infectat la începutul anului 2015 cu un malware de tip ransomware denumit ”Zeus”;

- două dispozitive de stocare a informației de tip optic cu un fișier de tip Excel malițios și copii de rezervă a două site-uri WEB compromise, ce constituie dintr-o campanie de atac cibernetic de tip ”Phishing Email”.

This master's thesis was prepared based on the bibliographic sources studied and the practice of examining malicious files over the past 5 years as a specialist and forensic expert in the field of information technologies.

First of all, it introduces an awareness of the current situation in the global cyber world and in the Republic of Moldova, the threats to which users of information systems, economic entities and state institutions are exposed, the need to develop the segment in examination and analysis of malicious products.

Subsequently, in the chapter "THEORETICAL CONSIDERATIONS" are presented definitions/abbreviations that will be encountered in this master's thesis, as well as the description and representation of viruses.

Chapter 3 describes how to configure an isolated laboratory environment, as it is crucial before analyzing malicious programs and will prevent the accidental spread of the virus to the host system and network. Chapters 4 and 5 are intended to describe the ways and stages of analysis of malicious files, namely static and dynamic.

A large part of the necessary bibliographic sources on the subject of malware analysis are exposed, which served as a source of inspiration when examining infected computer systems and malicious files.

As sources for the preparation of two analysis reports, the following were selected:

- a computer system infected in early of 2015 with a ransomware malware called "Zeus";

- two optical storage devices with a malicious Excel file and backup copies of two compromised WEB sites, consisting of a "Phishing Email" cyber attack campaign.