Publicación: Análisis del ransomware Ryuk, impacto en los sistemas afectados y técnicas API Hooking y de aprendizaje automático como medidas de mitigación ante el ransomware
Cargando...
Fecha
2022-10-05
Autores
Editor/a
Director/a
Tutor/a
Coordinador/a
Prologuista
Revisor/a
Ilustrador/a
Derechos de acceso
Atribución-NoComercial-SinDerivadas 4.0 Internacional
info:eu-repo/semantics/openAccess
info:eu-repo/semantics/openAccess
Título de la revista
ISSN de la revista
Título del volumen
Editor
Universidad Nacional de Educación a Distancia (España). Escuela Técnica Superior de Ingeniería Informática. Departamento de Sistemas de Comunicación y Control
Resumen
La amenaza del ransomware se ha convertido en los últimos años en motivo de preocupación para empresas y usuarios. Algunos ataques han implicado costes millonarios, así como pérdida de información valiosa. Este trabajo se centra en el ransomware y en las particularidades que giran en torno a este tipo de software malicioso, poniendo el foco en Ryuk, ransomware muy sofisticado que comparte características comunes con otros programas utilizados con los mismos fines. Primeramente, se exponen de forma breve ciertos métodos que los ciberdelincuentes llevan a cabo para ocultar y distribuir malware mostrando ejemplos de su implementación. Después de esto, comienza un análisis riguroso de una muestra de Ryuk: estático, dinámico y de código; se recopila información que revela la forma de interactuar con el sistema operativo, el movimiento lateral o propagación y el cifrado de archivos. Aprovechando las averiguaciones con respecto a las capacidades criptográficas de la muestra analizada y otros tipos de ransomware, se crea un programa capaz de monitorizar los procesos del sistema mediante API Hooking. Este desarrollo puede detectar procesos que realicen llamadas a determinadas funciones de Windows para bloquearlos, extraer información relevante para un analista o recuperar, en algunas implementaciones, las contraseñas de cifrado generadas. Finalmente, se realiza un estudio sobre la generación de modelos predictivos para detectar ransomware mediante dos algoritmos de aprendizaje automático, proveyéndose de características estáticas comunes a cualquier fichero Portable Ejecutable.
The threat of ransomware has become a cause for concern for companies and users in recent years. Some attacks have involved costs in the millions, as well as loss of valuable information. This paper focuses on ransomware and the particularities surrounding this type of malware, focusing on Ryuk, a very sophisticated ransomware that shares common characteristics with other programs used for the same purposes. First of all, certain methods that cybercriminals use to hide and distribute malware are briefly presented, showing examples of their implementation. This is followed by a rigorous analysis of a sample of Ryuk: static, dynamic and code; information is gathered that reveals how it interacts with the operating system, lateral movement or propagation and file encryption. Taking advantage of the findings regarding the cryptographic capabilities of the analyzed sample and other types of ransomware, a program capable of monitoring system processes using API Hooking is created. This development can detect processes that make calls to certain Windows functions in order to block them, extract relevant information for an analyst or recover, in some implementations, the encryption passwords generated. Finally, a study is made on the generation of predictive models to detect ransomware using two machine learning algorithms, providing them with static features common to any Portable Executable file.
The threat of ransomware has become a cause for concern for companies and users in recent years. Some attacks have involved costs in the millions, as well as loss of valuable information. This paper focuses on ransomware and the particularities surrounding this type of malware, focusing on Ryuk, a very sophisticated ransomware that shares common characteristics with other programs used for the same purposes. First of all, certain methods that cybercriminals use to hide and distribute malware are briefly presented, showing examples of their implementation. This is followed by a rigorous analysis of a sample of Ryuk: static, dynamic and code; information is gathered that reveals how it interacts with the operating system, lateral movement or propagation and file encryption. Taking advantage of the findings regarding the cryptographic capabilities of the analyzed sample and other types of ransomware, a program capable of monitoring system processes using API Hooking is created. This development can detect processes that make calls to certain Windows functions in order to block them, extract relevant information for an analyst or recover, in some implementations, the encryption passwords generated. Finally, a study is made on the generation of predictive models to detect ransomware using two machine learning algorithms, providing them with static features common to any Portable Executable file.
Descripción
Categorías UNESCO
Palabras clave
ransomware, Ryuk, CryptoAPI, API Hooking, aprendizaje automático, Árboles de Decisión, machine learning, Decision Tree Algorithms
Citación
Centro
E.T.S. de Ingeniería Informática
Departamento
Sistemas de Comunicación y Control