Análisis del ransomware Ryuk, impacto en los sistemas afectados y técnicas API Hooking y de aprendizaje automático como medidas de mitigación ante el ransomware

Santamaría Claro, Héctor. (2022). Análisis del ransomware Ryuk, impacto en los sistemas afectados y técnicas API Hooking y de aprendizaje automático como medidas de mitigación ante el ransomware Master Thesis, Universidad Nacional de Educación a Distancia (España). Escuela Técnica Superior de Ingeniería Informática. Departamento de Sistemas de Comunicación y Control

Ficheros (Some files may be inaccessible until you login with your old.e-spacio credentials)
Nombre Descripción Tipo MIME Size
Santamaria_Claro_Hector_TFM.pdf Santamaria_Claro_Hector_TFM.pdf application/pdf 7.85MB

Título Análisis del ransomware Ryuk, impacto en los sistemas afectados y técnicas API Hooking y de aprendizaje automático como medidas de mitigación ante el ransomware
Autor(es) Santamaría Claro, Héctor
Resumen La amenaza del ransomware se ha convertido en los últimos años en motivo de preocupación para empresas y usuarios. Algunos ataques han implicado costes millonarios, así como pérdida de información valiosa. Este trabajo se centra en el ransomware y en las particularidades que giran en torno a este tipo de software malicioso, poniendo el foco en Ryuk, ransomware muy sofisticado que comparte características comunes con otros programas utilizados con los mismos fines. Primeramente, se exponen de forma breve ciertos métodos que los ciberdelincuentes llevan a cabo para ocultar y distribuir malware mostrando ejemplos de su implementación. Después de esto, comienza un análisis riguroso de una muestra de Ryuk: estático, dinámico y de código; se recopila información que revela la forma de interactuar con el sistema operativo, el movimiento lateral o propagación y el cifrado de archivos. Aprovechando las averiguaciones con respecto a las capacidades criptográficas de la muestra analizada y otros tipos de ransomware, se crea un programa capaz de monitorizar los procesos del sistema mediante API Hooking. Este desarrollo puede detectar procesos que realicen llamadas a determinadas funciones de Windows para bloquearlos, extraer información relevante para un analista o recuperar, en algunas implementaciones, las contraseñas de cifrado generadas. Finalmente, se realiza un estudio sobre la generación de modelos predictivos para detectar ransomware mediante dos algoritmos de aprendizaje automático, proveyéndose de características estáticas comunes a cualquier fichero Portable Ejecutable.
Abstract The threat of ransomware has become a cause for concern for companies and users in recent years. Some attacks have involved costs in the millions, as well as loss of valuable information. This paper focuses on ransomware and the particularities surrounding this type of malware, focusing on Ryuk, a very sophisticated ransomware that shares common characteristics with other programs used for the same purposes. First of all, certain methods that cybercriminals use to hide and distribute malware are briefly presented, showing examples of their implementation. This is followed by a rigorous analysis of a sample of Ryuk: static, dynamic and code; information is gathered that reveals how it interacts with the operating system, lateral movement or propagation and file encryption. Taking advantage of the findings regarding the cryptographic capabilities of the analyzed sample and other types of ransomware, a program capable of monitoring system processes using API Hooking is created. This development can detect processes that make calls to certain Windows functions in order to block them, extract relevant information for an analyst or recover, in some implementations, the encryption passwords generated. Finally, a study is made on the generation of predictive models to detect ransomware using two machine learning algorithms, providing them with static features common to any Portable Executable file.
Notas adicionales Trabajo de Fin de Máster. Máster Universitario en Ciberseguridad. UNED
Materia(s) Ingeniería Informática
Palabra clave ransomware
Ryuk
CryptoAPI
API Hooking
aprendizaje automático
Árboles de Decisión
machine learning
Decision Tree Algorithms
Editor(es) Universidad Nacional de Educación a Distancia (España). Escuela Técnica Superior de Ingeniería Informática. Departamento de Sistemas de Comunicación y Control
Director/Tutor Robles Gómez, Antonio
Fecha 2022-10-05
Formato application/pdf
Identificador bibliuned:master-ETSInformatica-CBS-Hsantamaria
http://e-spacio.uned.es/fez/view/bibliuned:master-ETSInformatica-CBS-Hsantamaria
Idioma spa
Versión de la publicación acceptedVersion
Nivel de acceso y licencia http://creativecommons.org/licenses/by-nc-nd/4.0
info:eu-repo/semantics/openAccess
Tipo de recurso master Thesis
Tipo de acceso Acceso abierto

 
Versiones
Versión Tipo de filtro
Contador de citas: Google Scholar Search Google Scholar
Estadísticas de acceso: 347 Visitas, 380 Descargas  -  Estadísticas en detalle
Creado: Tue, 28 Mar 2023, 22:09:25 CET