| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari:maliciozni_ms_word_dokumenti [2023/01/13 03:49]
hr51659 [Uvod] |
racfor_wiki:seminari:maliciozni_ms_word_dokumenti [2024/12/05 12:24] (trenutno)
|
| |
| |
| Analiza malicioznih dokumenata je dinamičko područje koje zahtjeva veliku dozu kreativnosti, iskustva i specijaliziranog domenskog znanja. Najbitnije pravilo je da se maliciozni dokumenti ne otvaraju i pokreću na računalu koje sadrži povjerljive informacije ili je povezano s ostalim računalima na lokalnoj mreži. Već na ovom pravilu pronalazimo neke izuzetke, maliciozni programi mogu biti dovoljno napredni da znaju kad se izvršavaju u virtualnim strojevima, testnim okolinama ili u izoliranom mrežnom području. U takvim slučajevima potrebno je ući dublje u analizu malwarea, modificirati parametrne testnog okruženja i pokušati ponovo. Napadači i istraživači se kontinuirano igraju mačke i miša gdje jedna strana pokušava steći prednost nad drugom. Te nakon što istraživači razviju novu metodu detekcije ili zaštite, napadači pronađu način da to zaobiđu. | Analiza malicioznih dokumenata je dinamičko područje koje zahtjeva veliku dozu kreativnosti, iskustva i specijaliziranog domenskog znanja. Najbitnije pravilo je da se maliciozni dokumenti ne otvaraju i pokreću na računalu koje sadrži povjerljive informacije ili je povezano s ostalim računalima na lokalnoj mreži. Već na ovom pravilu pronalazimo neke izuzetke, maliciozni programi mogu biti dovoljno napredni da znaju kad se izvršavaju u virtualnim strojevima, testnim okolinama ili u izoliranom mrežnom području [3]. U takvim slučajevima potrebno je ući dublje u analizu malwarea, modificirati parametrne testnog okruženja i pokušati ponovo. Napadači i istraživači se kontinuirano igraju mačke i miša gdje jedna strana pokušava steći prednost nad drugom. Te nakon što istraživači razviju novu metodu detekcije ili zaštite, napadači pronađu način da to zaobiđu. |
| |
| Kako bi izbjegli detekciju antivirusnim software-om ili filtrima, makro naredbe se obfusciraju (maskiraju pravu svrhu programskog koda) ili koriste kao "payload delivery method", gdje je i "payload" (krajnji maliciozni kod ili ponovo međukorak u dostavi) dodatno obfusciran enkodiranjem, podijelom, konkatenacijom i slično. Takve metode dodatno otežavaju analizu malicioznih dokumenata. | Kako bi izbjegli detekciju antivirusnim software-om ili filtrima, makro naredbe se obfusciraju (maskiraju pravu svrhu programskog koda) ili koriste kao "payload delivery method", gdje je i "payload" (krajnji maliciozni kod ili ponovo međukorak u dostavi) dodatno obfusciran enkodiranjem, podijelom, konkatenacijom i slično [4]. Takve metode dodatno otežavaju analizu malicioznih dokumenata. |
| ===== Zaključak ===== | ===== Zaključak ===== |
| |
| |
| |
| | [1] Concept, http://virus.wikidot.com/concept, [13.1.2022.] |
| |
| [1] [[http://virus.wikidot.com/concept]] | [2] Awati, Rahul, Rosencrance, Linda, macro virus, updated September 2021., https://www.techtarget.com/searchsecurity/definition/macro-virus, [13.1.2022.] |
| |
| [1] [[https://www.techtarget.com/searchsecurity/definition/macro-virus]] | [3] Armasu, Lucian, Malicious Microsoft Word Files Use New Techniques To Evade Security Sandboxes, 10.6.2016., https://www.tomshardware.com/news/malicious-word-files-evade-sandboxes,32034.html, [13.1.2022.] |
| |
| [2] [[https://smartermsp.com/tech-time-warp-introducing-the-concept-of-a-macro-virus/]] | [4] Maharjan, Nishan, A MS word malware analysis Part2: Analyzing malicious macros, 4.5.2020., https://medium.com/@nishanmaharjan17/a-ms-word-malware-analysis-part2-analyzing-malicious-macros-2a17d96d086f, [13.1.2022.] |
| |
| [4] [[https://www.tomshardware.com/news/malicious-word-files-evade-sandboxes,32034.html]] | |
| |
| [5] [[https://medium.com/@nishanmaharjan17/a-ms-word-malware-analysis-part2-analyzing-malicious-macros-2a17d96d086f]] | |
| |
| |
