Publicación:
Análisis del ransomware Ryuk, impacto en los sistemas afectados y técnicas API Hooking y de aprendizaje automático como medidas de mitigación ante el ransomware

Vista sencilla de ítem
dc.contributor.authorSantamaría Claro, Héctor
dc.date.accessioned2024-05-20T12:32:51Z
dc.date.available2024-05-20T12:32:51Z
dc.date.issued2022-10-05
dc.description.abstractLa amenaza del ransomware se ha convertido en los últimos años en motivo de preocupación para empresas y usuarios. Algunos ataques han implicado costes millonarios, así como pérdida de información valiosa. Este trabajo se centra en el ransomware y en las particularidades que giran en torno a este tipo de software malicioso, poniendo el foco en Ryuk, ransomware muy sofisticado que comparte características comunes con otros programas utilizados con los mismos fines. Primeramente, se exponen de forma breve ciertos métodos que los ciberdelincuentes llevan a cabo para ocultar y distribuir malware mostrando ejemplos de su implementación. Después de esto, comienza un análisis riguroso de una muestra de Ryuk: estático, dinámico y de código; se recopila información que revela la forma de interactuar con el sistema operativo, el movimiento lateral o propagación y el cifrado de archivos. Aprovechando las averiguaciones con respecto a las capacidades criptográficas de la muestra analizada y otros tipos de ransomware, se crea un programa capaz de monitorizar los procesos del sistema mediante API Hooking. Este desarrollo puede detectar procesos que realicen llamadas a determinadas funciones de Windows para bloquearlos, extraer información relevante para un analista o recuperar, en algunas implementaciones, las contraseñas de cifrado generadas. Finalmente, se realiza un estudio sobre la generación de modelos predictivos para detectar ransomware mediante dos algoritmos de aprendizaje automático, proveyéndose de características estáticas comunes a cualquier fichero Portable Ejecutable.es
dc.description.abstractThe threat of ransomware has become a cause for concern for companies and users in recent years. Some attacks have involved costs in the millions, as well as loss of valuable information. This paper focuses on ransomware and the particularities surrounding this type of malware, focusing on Ryuk, a very sophisticated ransomware that shares common characteristics with other programs used for the same purposes. First of all, certain methods that cybercriminals use to hide and distribute malware are briefly presented, showing examples of their implementation. This is followed by a rigorous analysis of a sample of Ryuk: static, dynamic and code; information is gathered that reveals how it interacts with the operating system, lateral movement or propagation and file encryption. Taking advantage of the findings regarding the cryptographic capabilities of the analyzed sample and other types of ransomware, a program capable of monitoring system processes using API Hooking is created. This development can detect processes that make calls to certain Windows functions in order to block them, extract relevant information for an analyst or recover, in some implementations, the encryption passwords generated. Finally, a study is made on the generation of predictive models to detect ransomware using two machine learning algorithms, providing them with static features common to any Portable Executable file.en
dc.description.versionversión final
dc.identifier.urihttps://hdl.handle.net/20.500.14468/14489
dc.language.isoes
dc.publisherUniversidad Nacional de Educación a Distancia (España). Escuela Técnica Superior de Ingeniería Informática. Departamento de Sistemas de Comunicación y Control
dc.relation.centerE.T.S. de Ingeniería Informática
dc.relation.departmentSistemas de Comunicación y Control
dc.rightsAtribución-NoComercial-SinDerivadas 4.0 Internacional
dc.rightsinfo:eu-repo/semantics/openAccess
dc.rights.urihttp://creativecommons.org/licenses/by-nc-nd/4.0
dc.subject.keywordsransomware
dc.subject.keywordsRyuk
dc.subject.keywordsCryptoAPI
dc.subject.keywordsAPI Hooking
dc.subject.keywordsaprendizaje automático
dc.subject.keywordsÁrboles de Decisión
dc.subject.keywordsmachine learning
dc.subject.keywordsDecision Tree Algorithms
dc.titleAnálisis del ransomware Ryuk, impacto en los sistemas afectados y técnicas API Hooking y de aprendizaje automático como medidas de mitigación ante el ransomwarees
dc.typetesis de maestríaes
dc.typemaster thesisen
dspace.entity.typePublication
Archivos
Bloque original
Mostrando 1 - 1 de 1
Miniatura
Nombre:
Santamaria_Claro_Hector_TFM.pdf
Tamaño:
7.85 MB
Formato:
Adobe Portable Document Format
Descargar
Colecciones
Trabajos de fin de máster (TFM)