<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">vdgtu</journal-id><journal-title-group><journal-title xml:lang="ru">Вестник Дагестанского государственного технического университета. Технические науки</journal-title><trans-title-group xml:lang="en"><trans-title>Herald of Dagestan State Technical University. Technical Sciences</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2073-6185</issn><issn pub-type="epub">2542-095X</issn><publisher><publisher-name>Daghestan State Technical University</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.21822/2073-6185-2023-50-3-66-71</article-id><article-id custom-type="elpub" pub-id-type="custom">vdgtu-1342</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ТЕЛЕКОММУНИКАЦИИ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>INFORMATION TECHNOLOGY AND TELECOMMUNICATIONS</subject></subj-group></article-categories><title-group><article-title>Практический анализ вредоносного программного обеспечения</article-title><trans-title-group xml:lang="en"><trans-title>Practical Malware Analysis</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Елизаров</surname><given-names>Д. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Elizarov</surname><given-names>D. A.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Елизаров Дмитрий Александрович, кандидат технических наук, доцент; доцент кафедры «Информационная безопасность»,</p><p>644046, г. Омск, пр. Маркса, 35</p></bio><bio xml:lang="en"><p>Dmitry A. Elizarov, Cand. Sci.(Eng.), Assoc. Prof., Department «Information security»,</p><p>35 Marx Ave., Omsk 644046</p></bio><email xlink:type="simple">elizarovda@gmail.com</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Катков</surname><given-names>А. В.</given-names></name><name name-style="western" xml:lang="en"><surname>Katkov</surname><given-names>A. V.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Алексей Викторович Катков, студент,</p><p>644046, г. Омск, пр. Маркса, 35</p></bio><bio xml:lang="en"><p>Alexey V. Katkov, student,</p><p>35 Marx Ave., Omsk 644046</p></bio><email xlink:type="simple">elizarovda@gmail.com</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Омский государственный университет путей сообщения</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Omsk State University of Railways</institution><country>Russian Federation</country></aff></aff-alternatives><pub-date pub-type="collection"><year>2023</year></pub-date><pub-date pub-type="epub"><day>28</day><month>10</month><year>2023</year></pub-date><volume>50</volume><issue>3</issue><fpage>66</fpage><lpage>71</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Елизаров Д.А., Катков А.В., 2023</copyright-statement><copyright-year>2023</copyright-year><copyright-holder xml:lang="ru">Елизаров Д.А., Катков А.В.</copyright-holder><copyright-holder xml:lang="en">Elizarov D.A., Katkov A.V.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://vestnik.dgtu.ru/jour/article/view/1342">https://vestnik.dgtu.ru/jour/article/view/1342</self-uri><abstract><sec><title>Цель</title><p>Цель. В настоящее время главным способом атак на организации является вредоносное ПО (ВПО). Проблема усиления защиты от такого способа атаки остается актуальной и требует новых подходов. Основная задача – анализ ВПО для оценки угроз и своевременное обнаружение и принятия мер.</p></sec><sec><title>Метод</title><p>Метод. Для анализа следует использовать изолированную среду с настроенным окружением и ПО.</p></sec><sec><title>Результат</title><p>Результат. В данной работе описан процесс создания изолированного стенда для анализа ВПО и проведен практический анализ файла malware.bin, взятого с учебного ресурса cyberdefenders.org. Для предотвращения воздействия на сеть, которая связывает две виртуальные машины, сконфигурированы сетевые интерфейсы. В результате анализа техник и особенностей, используемых в данном вредоносном ПО, было выявлено, что оно принадлежит к семейству банковских троянов Dridex. Для получения информации из данного семейства можно использовать инструмент AppGate Lab Dridex Toolkit.</p></sec><sec><title>Вывод</title><p>Вывод. Основываясь на проведенном анализе с применением статических и динамических методов, можно разработать правила детектирования для дальнейшего определения ВПО.</p></sec></abstract><trans-abstract xml:lang="en"><sec><title>Objective</title><p>Objective. Currently, the main method of attack on organizations is malware. The problem of strengthening protection against this type of attack remains relevant and requires new approaches. The main task is to analyze malware to assess threats and timely detection and take action.</p></sec><sec><title>Method</title><p>Method. For analysis, you should use an isolated environment with a customized environment and software.</p></sec><sec><title>Result</title><p>Result. This paper describes the process of creating an isolated stand for malware analysis and conducted a practical analysis of the malware.bin file taken from the cyberdefenders.org educational resource. Network interfaces are configured to prevent impact to the network that connects the two virtual machines. As a result of the analysis of the techniques and features used in this malware, it was revealed that it belongs to the Dridex family of banking Trojans. To obtain information from this family, you can use the AppGate Lab Dridex Toolkit.</p></sec><sec><title>Conclusion</title><p>Conclusion. Based on the analysis performed using static and dynamic methods, detection rules can be developed for further identification of malware.</p></sec></trans-abstract><kwd-group xml:lang="ru"><kwd>кибератака</kwd><kwd>вредоносное программное обеспечение</kwd><kwd>расследование инцидентов</kwd><kwd>анализ</kwd><kwd>информационная безопасность</kwd></kwd-group><kwd-group xml:lang="en"><kwd>cyberattacks</kwd><kwd>malware</kwd><kwd>incident investigation</kwd><kwd>analysis</kwd><kwd>information security</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Актуальные киберугрозы для промышленных организаций: итоги 2022 года. URL: https://www.ptsecurity.com/ru-ru/research/analytics/industrial-cybersecurity-threatscape-2022/ (дата обращения: 25.03.2023).</mixed-citation><mixed-citation xml:lang="en">Current cyber threats for industrial organizations: results of 2022. URL: https://www.ptsecurity.com/ru-ru/research/analytics/industrial-cybersecurity-threatscape-2022/ (accessed date: 25.03.2023).</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Годовой ущерб от киберпреступлений может составить 165 млрд рублей. URL: https://www.banki.ru/news/lenta/?id=10961269 (дата обращения: 25.03.2023).</mixed-citation><mixed-citation xml:lang="en">The annual damage from cybercrime may amount to 165 billion rubles. URL: https://www.banki.ru/news/lenta/?id=10961269 (accessed date: 25.03.2023).</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Ghidra. URL: https://xakep.ru/2019/03/20/nsa-ghidra/ (дата обращения: 25.03.2023).</mixed-citation><mixed-citation xml:lang="en">Ghidra. URL: https://xakep.ru/2019/03/20/nsa-ghidra/ (accessed date: 25.03.2023).</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Ионеску А. Внутреннее устройство Windows. СПб: Питер, 2022. 563 с.</mixed-citation><mixed-citation xml:lang="en">Ionescu A. Windows internals. St. Petersburg: Peter, 2022. 563 p.</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.kaspersky.com/blog</mixed-citation><mixed-citation xml:lang="en">https://www.kaspersky.com/blog</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">https://habr.com/</mixed-citation><mixed-citation xml:lang="en">https://habr.com/ (общая информация по ИБ тематике)</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.anti-malware.ru/</mixed-citation><mixed-citation xml:lang="en">https://www.anti-malware.ru/</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">https://krebsonsecurity.com/</mixed-citation><mixed-citation xml:lang="en">https://krebsonsecurity.com/</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">https://edu.ptsecurity.com/mira/</mixed-citation><mixed-citation xml:lang="en">https://edu.ptsecurity.com/mira/</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">https://partners.kaspersky.com/</mixed-citation><mixed-citation xml:lang="en">https://partners.kaspersky.com/</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
