Master's Thesis
Methods of Analysis and Detection of PDF Malware
Author of thesis: Ing. Ľuboš Bever
Acad. year: 2023/2024
Supervisor: doc. Dr. Ing. Dušan Kolář
Reviewer: Ing. Zbyněk Křivka, Ph.D.
Abstract:Nowadays, malware is increasingly spread via PDF email attachments. These files attempt to deliver malware to the victim's device using social engineering. This work first identifies potential JavaScript threats to the Acrobat API. The gro of the thesis is a detailed analysis of 12 actual PDF file malware campaigns, studying also the propagation method, the prevalence of the samples and sometimes an in-depth analysis of the entire infection vector of the threat. More sophisticated campaigns have also been encountered, for optimal detection of which two extensions to the YARA modules have been developed - TLSH calculation and detection over /Launch actions. Several tools have been identified, analyzed, and detected to create such threats. A total of 24 classification and 115 detection YARA rules were created, all of which were successfully deployed in Avast Antivirus software.
Malware, PDF, E-mail attachments, Social engineering, JavaScript for Acrobat API, PDF malware creation tools, PDF malware detection, YARA, YARA rules, TLSH in YARA
Date of defence
17.06.2024
Date of publish
17.06.2027
Result of the defence
Defended (thesis was successfully defended)
Grading
A
Process of defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných, např. ohledně výpočtu TLS hashe a konkrétní použité implementace, různých pravidel pro jeden typ útoku a množství použitých referenčních obrázků. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A - výborně.
Topics for thesis defence
- Ve vašich nových Yara pravidlech se velmi často vyskytují "makra" začínající TECHNIQUE_PDF_..., které pravděpodobně spouští v odpovídajícím PDF modulu specializovaný kód. Uvažoval jste, zda by některé techniky bylo možnost zapisovat základními konstrukty jazyka Yara? Které techniky by bylo možné nahradit a jakým způsobem?
Language of thesis
Slovak
Faculty
Department
Study programme
Information Technology and Artificial Intelligence (MITAI)
Specialization
Cybersecurity (NSEC)
Composition of Committee
doc. Dr. Ing. Petr Hanáček (předseda)
doc. Ing. Michal Bidlo, Ph.D. (člen)
doc. Mgr. Adam Rogalewicz, Ph.D. (člen)
doc. Ing. Petr Matoušek, Ph.D., M.A. (člen)
Mgr. Kamil Malinka, Ph.D. (člen)
Ing. Vladimír Veselý, Ph.D. (člen)
Supervisor’s report
doc. Dr. Ing. Dušan Kolář
Grade proposed by supervisor: A
Reviewer’s report
Ing. Zbyněk Křivka, Ph.D.
Grade proposed by reviewer: A
Reasons for publication postponement
Publication of the final thesis has been postponed in compliance with the provisions of Section 47b (4) of Act No. 111/1998 Coll., on the Higher Education Institutions and on amendments and supplements to other acts, as amended.