Vilka verktyg fungerar och vilka fungerar inte för att dölja skadlig kod? Det undersöker forskare från FOI i rapporten Verktyg som döljer skadlig kod – en systematisk granskning. Kunskapen är inte minst viktig för att kunna genomföra trovärdiga cybersäkerhetsövningar.

Skadlig kod i datorer kan till exempel leda till att viktiga funktioner stängs ner, att information stjäls eller att datorn används för att göra angrepp mot andra. Skadlig kod är ett mycket brett begrepp. I rapporten studerar författarna Hannes Holm, Erik Hyllienmark och Mats Persson bakdörrar, en typ av skadlig kod som möjliggör fjärrstyrning av andra datorer.

Författarna tar avstamp i det arbete som utförts inom projektet Verktyg och Experiment för Computer Network Operations (VECNO). Där har FOI utvecklat verktyget Lore för automatisering av cyberangrepp under cybersäkerhetsövningar. Ett viktigt tredjepartsverktyg som används av Lore är bakdörren Meterpreter. Lore behöver Meterpreter för att utföra flertalet kommandon på fjärrstyrda datorer, som exempelvis att eskalera behörigheter eller vidarebefordra trafik genom den.

– Men moderna antivirusprogram är väldigt bra på att upptäcka Meterpreter. Det gjorde att Lore inför det här arbetet inte fungerade så väl vid cybersäkerhetsövningar med sådana detektorer, säger Hannes Holm.

– Det går att bygga nya bakdörrar men det är väldigt kostsamt. Alternativet är att använda verktyg som döljer Meterpreter.

De flesta verktygen framtagna i utbildningssyfte

Rapporten beskriver just det arbete som utfördes inom VECNO för att identifiera verktyg som kan tillämpas av Lore under cybersäkerhetsövningar för att dölja bakdörren Meterpreter.

Forskarna studerade källkoden för 174 verktyg i databasen Github. Github är den mest omfattande databasen för mjukvara skriven som öppen källkod.

De flesta av verktygen bedömer forskarna är framtagna i utbildningssyfte snarare än för att dölja skadlig kod i skarpt läge.

– Vi såg till exempel att många verktyg inte uppdaterats och de hade utformats på ett trivialt sätt, säger Hannes Holm.

Forskarna har dock identifierat ett antal verktyg som nu de undersöker djupare.

– Vi tar de ”bakdörrsdöljarverktyg” vi anser vara bäst och testar dem på måldatorer med fullt uppdaterade antivirusprogram. Vi ber verktygen dölja olika varianter av Meterpreter samt en godartad kod, som är legitim, på alla tänkbara sätt. På så sätt får vi veta om antiviruset även ser ”bakdörrsdöljarverktyget” som skadligt.

För närvarande stöds 20 verktyg som genererar cirka 30 000 testfall.

Frågor forskarna ställer sig är exempelvis om antivirus upptäcker en dold bakdörr på disken när den exekveras (körs) av en användare eller när ett fjärrstyrningskommando körs.

Utöver att identifiera praktiskt användbara verktyg för tillämpning i framtida cybersäkerhetsövningar så kommer studien även svara på vilka metoder som fungerar och inte fungerar när det gäller att dölja skadlig kod.