PTA CERT-Hungary Központ

Analízis labor

Szekeres Balázs
műszaki igazgató
PTA CERT-Hungary Központ

1
 Célok
 Malware analízis kapacitás: Fő célja PTA CHK
tevékenységének szakmai támogatása, elsősorban
Malware analízis, támadási technikák analízise,
érzékelő(hálózat) információinak analízise és egyéb
analízis tevékenységek végrehajtásával.
 Teszt/gyakorlat kapacitás kialakítása: Fő célja a
PTA CHK által elvégzendő tesztek támogatása,
valamint a támogatott szervezetek részére teszt
eszközrendszer biztosítása (pl. gyakorlatok során).
 Oktatási kapacitás kialakítása: Fő célja a PTA CHK
által szervezett oktatásokhoz bemutató infrastruktúra
biztosítása.
 Feladatok
 Malware analízis kapacitás kialakítása:
− Analízis infrastruktúra
− Analízis szolgáltatás
 Teszt/gyakorlat kapacitás kialakítása:
− Teszt/gyakorlat Infrastruktúra
− Teszt/gyakorlat szolgáltatás
 Oktatási kapacitás kialakítása
− Oktatási infrastruktúra
− Oktatási szolgáltatás
 Analízis labor
 Az analízis labor elsődleges feladata a malware vizsgálat,
azaz a rosszindulatú számítógépes programok – ide
tartoznak a vírusok, férgek, kém programok, agresszív
reklámprogramok, a rendszer ellenőrzését láthatatlanul
végző rootkit-ek stb. - elemzése. Az analízis során célunk az
ismeret szerzés, értékelés és mérlegelés az alábbi
témakörökben:
− károk felmérése
− a fertőzés ismérveinek felderítése, a fertőzés
azonosításának módja más eszközökön
− a támadó ismereteinek/tapasztalatainak felmérése
− sérülékenység azonosítása
− a támadó elfogása
− egyéb kérdések megválaszolása:
 Analízis labor
● Üzleti kérdések:
● Mi a kártékony szoftver célja?
● Hogyan került hozzánk?
● Kinek a célpontjai vagyunk és milyen képességekkel
bírnak az ellenfeleink?
● Hogyan lehetséges megszabadulni tőlük?
● Mit szereztek meg?
● Mióta van az eszközünkön?
● Milyen módon terjed?
● Hogyan találhatom meg más eszközökön?
● A jövőben hogyan tudom megakadályozni a fertőzést?
 Analízis labor
● Technikai kérdések:
● Hálózati jelzőréteg?
● Hoszt alapú jelzőréteg?
● Ellenállási mechanizmus?
● A fordítás időpontja?
● A telepítés időpontja?
● Milyen nyelven íródott?
● Csomagolva van?
● Az analízálás akadályozására tervezték-e?
● Felszerelték-e rootkit funkciókkal?
 Analízis labor - Infrastruktúra
 A laboratórium egy olyan környezetet jelent, ahol kontrollált
körülmények között tudományos kutatás,
tapasztalatszerzés és felmérés, értékelés folyhat. A
kialakításánál törekedtünk arra, hogy a hálózat felépítése
képes legyen dinamikusan követni a labor méretében
bekövetkező változásokat. Ezt tükrözi az egyszerűen
fürtözhető, skálázható architektúra. A labor felépítéséből
fakadóan két fő szegmensre bontható:
− Alap Infrastruktúra: elhelyezés, hálózati alap
infrastruktúra, tároló kapacitás (secure host)
− Izolált alhálózatok: elemzésre elkülönített alhálózatok,
virtuális gépek, szimulált internet kapcsolat, Common
Services gép, analyzer gép, honeypot, stb.
Analízis labor - Infrastruktúra
Analízis labor - Infrastruktúra
 Teszt/gyakorlat, oktatás
 Közös infrastruktúra, de az analízis labortól fizikailag
szeparált
 Működésük időben szétválasztott (pl. Teszttel vagy
gyakorlattal egy időben nem zajlik oktatás
 Az infrastruktúra elemek mindkét célra felhasználhatók
 A számítógépes hálózati kialakítás a felmerült
igényekhez igazodik, ugyanakkor az egyértelműen
behatárolható, hogy önálló internet kapcsolattal, egy
útvonal választóval és minimálisan egy switch
eszközzel rendelkezik.
 Időzítés
 Infrastruktúra kialakítás – 2009. május vége
 Infrastruktúra üzemeltetése - folyamatos
 Szakértők képzése – folyamatos
 Szolgáltatások kialakítása – 2009. július vége
 Analízis labor éles indulása – 2009. július vége
 Teszt/gyakorlat és oktatás – 2009. július végétől
folyamatos, igény szerint