Δυναμική ανάλυση κακόβουλου λογισμικού και χρήση των LOLBAS/LOLBINs

Abstract

Στην παρούσα μεταπτυχιακή διατριβή δείξαμε τον τρόπο δράσης επιθέσεων από κακόβουλα λογισμικά Ransomware. Αυτό το δείξαμε δημιουργώντας εικονικά μηχανήματα μέσω του Virtual Box και κάνοντας χρήση του Cuckoo Sandbox. Πριν ξεκινήσουμε τις αναλύσεις κάναμε μερική παραμετροποίηση του εικονικού μηχανήματος Windows 10 με τους καλύτερους δυνατούς τρόπους ώστε να μην μπορούν να το ανιχνεύσουν τα Ransomware και να έχουμε καλύτερα αποτελέσματα όσον αφορά την λειτουργικότητά τους. Μέσω δυναμικής ανάλυσης εξετάσαμε τα δέκα πιο πετυχημένα είδη Ransomware. Συνολικά αναλύσαμε διακόσια δείγματα, δηλαδή είκοσι δείγματα από το κάθε ένα και παρουσιάσαμε τους μηχανισμούς λειτουργίας και τους μηχανισμούς για την αποφυγή εντοπισμού και ανάλυσης από ερευνητές ασφαλείας. Επίσης εντοπίσαμε μέσω των Json αποτελεσμάτων τα LOLBAS αρχεία, και παρουσιάσαμε τα είδη των κρυπτογραφικών μεθόδων καθώς και τα μηνύματα που αφήνουν στον χρήστη για την πληρωμή λύτρων. Επίσης παρουσιάσαμε μια πληθώρα τεχνικών και ιδιαιτεροτήτων του κάθε Ransomware. Δείξαμε επίσης γραφήματα συνολικών στατιστικών στοιχείων για την καλύτερη κατανόηση των αναλύσεών μας, την επίδειξη των δυνατοτήτων της εικονικής μηχανής μας, αλλά και την βαρύτητα μιας τέτοιας επίθεσης σε οποιοδήποτε σύστημα μολύνουν. Η συγκεκριμένη διατριβή μπορεί να φανεί πολύ χρήσιμη σε ερευνητές ασφαλείας ώστε να ξέρουν τι θα εντοπίσουν ακολουθώντας την σχετική υλοποίηση αλλά και πληροφοριακά για την δημιουργία αμυντικών μηχανισμών των συστημάτων τους.