bakalářská práce

Detekce útoků na lokální a IoT zařízení v průběhu dynamické analýzy škodlivého softwaru

Autor práce: Bc. Magdaléna Bellayová

Ak. rok: 2022/2023

Vedoucí: Ing. Dominika Regéciová

Oponent: Ing. Zbyněk Křivka, Ph.D.

Abstrakt:

V posledných rokoch sa IoT škodlivý softvér stal významnou hrozbou pre IoT infraštruktúru. Charakteristickým aspektom tejto hrozby je využívanie zraniteľností ako vektora infekcie. Práca poskytuje informácie o vektoroch útoku na zariadenia, existujúcich IoT škodlivých softvéroch, ale aj o spôsoboch analýzy a detekcie škodlivých softvérov a IoT honeypot riešeniach pre zachytávanie IoT škodlivého softvéru. V rámci tejto práce boli pre firmu Avast v ich systéme vytvorené virtuálne zariadenia simulujúce zraniteľnosti v podobe otvorených portov, na ktorých sú spustené honeypoty služieb, a implementované komponenty sandboxu CAPEv2 na detekciu útokov na tieto zariadenia. Zariadenia sú zapojené v existujúcej CAPEv2 sieti, v ktorej prebieha analýza škodlivých softvérov.

Klíčová slova:

sandboxing, honeypot, CAPEv2, detekcia útoku, dynamická analýza

Termín obhajoby

14.06.2023

Práce bude zveřejněna

13.06.2026

Výsledek obhajoby

obhájeno (práce byla úspěšně obhájena)

znamkaCznamka

Klasifikace

C

Průběh obhajoby

Studentka nejprve prezentovala výsledky, kterých dosáhla v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Studentka následně odpověděla na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studentky na položené otázky rozhodla práci hodnotit stupněm C.

Otázky k obhajobě

  1. Popište, z jakého důvodu nebylo provedeno testování úspěšnosti a co by případně bylo potřeba, aby toto testování mohlo být provedeno?
  2. Virtuální zařízení jste navrhla se třemi rozhraními (NIC). Proč více jak jedno a proč právě tři?
  3. V čem je architektura odlišná oproti klasické, když se  rozíří  o IoT zařízení?

Jazyk práce

slovenština

Fakulta

Fakulta informačních technologií

Ústav

Ústav informačních systémů

Studijní program

Informační technologie (BIT)

Složení komise

doc. Dr. Ing. Petr Hanáček (předseda)
doc. Ing. Ondřej Ryšavý, Ph.D. (člen)
doc. Mgr. Kamil Malinka, Ph.D. (člen)
Ing. Tomáš Milet, Ph.D. (člen)
Ing. Josef Strnadel, Ph.D. (člen)

Posudek vedoucího
Ing. Dominika Regéciová

Studenta navrhla a implementovala nové moduly detekující útoky na simulované IoT zařízení.


Rovněž nastudovala a otestovala několik metod pro detekování těchto útoků.


Studentka vše zároveň otestovala v reálném provozu, kde však zatím nedošlo k zachycení skutečných útoků. Navržený systém bude dále nasazen a používán firmou Gen.


S konzultantem jsme naráželi na potíže s domluvou a chybějící proaktivností ze strany studentky, zvláště pak v zimním semestru, nakonec se ji však podařilo splnit body zadání


Z těchto důvodů navrhuji hodnocení za C.

Kritérium hodnocení Slovní hodnocení
Informace k zadání

Zadání považuji za náročnější. Studentka si musela nastudovat obsáhlou teorii hrozeb IoT zařízení, stejně tak velké množství technologií včetně sandboxů, honeypotů a Suricata pravidel.

Studentka se rovněž musela seznámit s již existujícími systémy společnosti a stejně tak open-source nástroji, aby mohla navrhnout a implementovat řešení pro detekci útoků na IoT zařízení.

Zadání pak bylo splněno ve všech bodech.
Práce s literaturou

Studentka si hledal zdroje informací aktivně sama. Čerpala především z technických dokumentací, ale i odborných publikací a článků. Řádně citovala a odkazovala se na použité zdroje.
Aktivita během řešení, konzultace, komunikace

Studentka průběžně konzultovala řešení, aktivně si studovala teoretickou stránku projektu. Dohodnuté termíny a cíle bylo místy potřeba připomínat, či řešit se zpožděním, studentka se ale snažila chodit na konzultace připravena. S větší pečlivostí a dochvilností by práce mohla být ještě výrazně lepší, zároveň však s konzultantem oceňujeme vynaložené úsilí a zadání bylo splněno.
Aktivita při dokončování

Větší část zadání byla splněna až v letním semestru, a i poté byla práce dokončena se zpožděním proti plánu. Nakonec se však studentce podařilo dokončit práci tak, abychom řešení a technickou dokumentaci dokázali s konzultantem projít a připomínkovat.
Publikační činnost, ocenění

-
Výsledný počet bodů navržený vedoucím: 77

Známka navržená vedoucím: C

Posudek oponenta
Ing. Zbyněk Křivka, Ph.D.

Samotný text práce je zajímavý a informačně bohatý. Bohužel nebyla zvolena dobrá konfigurace testovacího prostředí, takže nebylo možné otestovat nástroj v provozu sítě, ale pouze na simulovaných jednotlivých útocích na konkrétní uzly. Samotná implementace je také spíše jednoduchá, což sráží celkové hodnocení těsně pod osmdesátibodovou hranici, takže hodnotím dobře (C).

Kritérium hodnocení Slovní hodnocení Body
Náročnost zadání

Stupeň hodnocení: obtížnější zadání

Zadání považuji za mírně obtížnější, protože vyžaduje práci s nástroji, které jsou firemní a navíc stále ve vývoji (např. CAPEv2). Občas je tedy nutné se vypořádat i s tím, že nefungují 100%.
Rozsah splnění požadavků zadání

Stupeň hodnocení: zadání splněno s drobnými výhradami

Výtku mám v části testování a vyhodnocení, kde nebyly prezentovány výsledky ohledně úspěšnosti detekce, ale došlo pouze k funkčním testům, že detekce probíhá v pořádku pro zkušební testy.
Rozsah technické zprávy

Stupeň hodnocení: je v obvyklém rozmezí

Text práce má asi 70 normostran včetně několik diagramů, které významně pomáhají pochopit návrh i implementaci.
Prezentační úroveň technické zprávy

Práce jako celek je členěna logicky. Trochu lépe mohly být jednotlivé kapitoly a sekce provázány, aby byl čtenář lépe spraven o účelech jednotlivých sekcí, což občas plyne spíše ze zadání nebo pozdější kapitoly o implementaci. Některé návrhové otázky zůstaly otevřené až do popisu v kapitole o implementaci. Pro lepší pochopitelnost návrhu by bylo vhodné více provázat obr. 5.1 a 5.2, což částečně provádí až obr. 6.1, ale s trochu jinou terminologií.

 80
Formální úprava technické zprávy

I když je text slovensky, takže se mohu mýlit, tak je text dobře čitelný a neruší jej téměř žádné překlepy, chyby v interpunkci či typografické chyby.

 90
Práce s literaturou

Literatura zahrnuje na bakalářskou práci až nevídaných 72 pramenů. Výborný dojem hatí fakt, že citace jsou uniformní, takže chybí jména časopisů či konferencí nebo vydavatelů, takže nelze na první pohled poznat, zda je o odborný článek, konferenční příspěvek či webový nerecenzovaný článek.

 80
Realizační výstup

Zdrojové kódy se skládají z řady konfiguračních skriptů, jejichž parametry bylo třeba navrhnout a otestovat. Moduly a testy jsou pak v několika desítkách malých skriptů jazyka Python, které jsou dokumentovány jen stručně ve slovensky psaném README.md.

 70
Využitelnost výsledků

Na základě zkušeností s nově vzniklým nástrojem již v Avastu/Gen pracují na lepším začlenění nástroje Suricata do CAPEv2 a rozšiřují tento nástroj o další možnosti. Návrh samotného virtuálního zařízení bude v Avastu pravděpodobně dál používán a vyvíjen. Zda bude současný návrh dostačující i pro pokročilejší analytickou práci s malware pro IoT zařízení je otázkou.
Otázky k obhajobě:
  1. Virtuální zařízení jste navrhla se třemi rozhraními (NIC). Proč více jak jedno a proč právě tři?
  2. Popište, z jakého důvodu nebylo provedeno testování úspěšnosti a co by případně bylo potřeba, aby toto testování mohlo být provedeno?
Výsledný počet bodů navržený oponentem: 78

Známka navržená oponentem: C

Důvod odložení zveřejnění

Zveřejnění bakalářské práce je v souladu s ustanovením § 47b odst. 4 zákona č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách), ve znění pozdějších předpisů, odloženo o 3 roky. Důvodem odložení zveřejnění je ochrana duševního vlastnictví a skutečnost, že bakalářská práce obsahuje obchodní tajemství ve smyslu příslušných ustanovení zákona č. 89/2012 Sb., občanského zákoníku.

Odpovědnost: Mgr. et Mgr. Hana Odstrčilová