Professional Documents
Culture Documents
CHK Analizislab Ea 090312
CHK Analizislab Ea 090312
Analízis labor
Szekeres Balázs
műszaki igazgató
PTA CERT-Hungary Központ
1
Célok
Malware analízis kapacitás: Fő célja PTA CHK
tevékenységének szakmai támogatása, elsősorban
Malware analízis, támadási technikák analízise,
érzékelő(hálózat) információinak analízise és egyéb
analízis tevékenységek végrehajtásával.
Teszt/gyakorlat kapacitás kialakítása: Fő célja a
PTA CHK által elvégzendő tesztek támogatása,
valamint a támogatott szervezetek részére teszt
eszközrendszer biztosítása (pl. gyakorlatok során).
Oktatási kapacitás kialakítása: Fő célja a PTA CHK
által szervezett oktatásokhoz bemutató infrastruktúra
biztosítása.
Feladatok
Malware analízis kapacitás kialakítása:
− Analízis infrastruktúra
− Analízis szolgáltatás
Teszt/gyakorlat kapacitás kialakítása:
− Teszt/gyakorlat Infrastruktúra
− Teszt/gyakorlat szolgáltatás
Oktatási kapacitás kialakítása
− Oktatási infrastruktúra
− Oktatási szolgáltatás
Analízis labor
Az analízis labor elsődleges feladata a malware vizsgálat,
azaz a rosszindulatú számítógépes programok – ide
tartoznak a vírusok, férgek, kém programok, agresszív
reklámprogramok, a rendszer ellenőrzését láthatatlanul
végző rootkit-ek stb. - elemzése. Az analízis során célunk az
ismeret szerzés, értékelés és mérlegelés az alábbi
témakörökben:
− károk felmérése
− a fertőzés ismérveinek felderítése, a fertőzés
azonosításának módja más eszközökön
− a támadó ismereteinek/tapasztalatainak felmérése
− sérülékenység azonosítása
− a támadó elfogása
− egyéb kérdések megválaszolása:
Analízis labor
● Üzleti kérdések:
● Mi a kártékony szoftver célja?
● Hogyan került hozzánk?
● Kinek a célpontjai vagyunk és milyen képességekkel
bírnak az ellenfeleink?
● Hogyan lehetséges megszabadulni tőlük?
● Mit szereztek meg?
● Mióta van az eszközünkön?
● Milyen módon terjed?
● Hogyan találhatom meg más eszközökön?
● A jövőben hogyan tudom megakadályozni a fertőzést?
Analízis labor
● Technikai kérdések:
● Hálózati jelzőréteg?
● Hoszt alapú jelzőréteg?
● Ellenállási mechanizmus?
● A fordítás időpontja?
● A telepítés időpontja?
● Milyen nyelven íródott?
● Csomagolva van?
● Az analízálás akadályozására tervezték-e?
● Felszerelték-e rootkit funkciókkal?
Analízis labor - Infrastruktúra
A laboratórium egy olyan környezetet jelent, ahol kontrollált
körülmények között tudományos kutatás,
tapasztalatszerzés és felmérés, értékelés folyhat. A
kialakításánál törekedtünk arra, hogy a hálózat felépítése
képes legyen dinamikusan követni a labor méretében
bekövetkező változásokat. Ezt tükrözi az egyszerűen
fürtözhető, skálázható architektúra. A labor felépítéséből
fakadóan két fő szegmensre bontható:
− Alap Infrastruktúra: elhelyezés, hálózati alap
infrastruktúra, tároló kapacitás (secure host)
− Izolált alhálózatok: elemzésre elkülönített alhálózatok,
virtuális gépek, szimulált internet kapcsolat, Common
Services gép, analyzer gép, honeypot, stb.
Analízis labor - Infrastruktúra
Analízis labor - Infrastruktúra
Teszt/gyakorlat, oktatás
Közös infrastruktúra, de az analízis labortól fizikailag
szeparált
Működésük időben szétválasztott (pl. Teszttel vagy
gyakorlattal egy időben nem zajlik oktatás
Az infrastruktúra elemek mindkét célra felhasználhatók
A számítógépes hálózati kialakítás a felmerült
igényekhez igazodik, ugyanakkor az egyértelműen
behatárolható, hogy önálló internet kapcsolattal, egy
útvonal választóval és minimálisan egy switch
eszközzel rendelkezik.
Időzítés
Infrastruktúra kialakítás – 2009. május vége
Infrastruktúra üzemeltetése - folyamatos
Szakértők képzése – folyamatos
Szolgáltatások kialakítása – 2009. július vége
Analízis labor éles indulása – 2009. július vége
Teszt/gyakorlat és oktatás – 2009. július végétől
folyamatos, igény szerint