Digital forensics methods for recovering ransomware encryption keys

Abstract

Το ransomware έχει αυξηθεί σταθερά σε κλίμακα, κόστος, πολυπλοκότητα και αντίκτυπο από τότε που πρωτοεμφανίστηκε πριν από σχεδόν 35 χρόνια. Οι ειδικοί ασφαλείας εμπλέκονται συνεχώς σε μια μάχη με τους προγραμματιστές ransomware, προσπαθώντας να προστατεύσουν την ψηφιακή τους υποδομή από αυτές τις επιθέσεις. Πρόσφατες παραλλαγές ransomware έχουν αρχίσει να χρησιμοποιούν έναν συνδυασμό συμμετρικής και ασύμμετρης κρυπτογράφησης για το κλείδωμα των αρχείων των χρηστών. Αυτή η μεταπτυχιακή διατριβή διερευνά εάν μπορούν να χρησιμοποιηθούν ψηφιακές εγκληματολογικές τεχνικές για την αποκάλυψη των κλειδιών κρυπτογράφησης που χρησιμοποιούνται από τέτοιο κακόβουλο λογισμικό. Για τη διεξαγωγή αυτής της έρευνας, δημιουργήθηκε ένα ασφαλές και απομονωμένο εικονικό περιβάλλον όπου εκτελέστηκαν διάφορα δείγματα ransomware. Στη συνέχεια, η μνήμη από τα μολυσμένα συστήματα καταγράφηκε και εξετάστηκε χρησιμοποιώντας δύο διαφορετικά εγκληματολογικά εργαλεία για τον εντοπισμό των συμμετρικών κλειδιών κρυπτογράφησης που χρησιμοποιούνται από το ransomware.Επιπλέον, όταν οι εγκληματολογικές αναλύσεις μνήμης δεν απέδωσαν αποτελέσματα, χρησιμοποιήθηκε μια εναλλακτική μέθοδος που περιλαμβάνει το CryptoAPI hooking με το εργαλείο Frida. Η μελέτη εξέτασε δείγματα ransomware, συμπεριλαμβανομένων των Jigsaw, NotPetya, Thanos, Gpcode, WannaCry και Phobos σε δύο διαφορετικά λειτουργικά συστήματα. Αυτά τα δείγματα επιλέχθηκαν λόγω της υψηλής δημοσιότητας τους, των σημαντικών απαιτήσεων λύτρων και της σημαντικής διατάραξης που προκάλεσαν σε πολλούς οργανισμούς. Η έρευνα έδειξε με επιτυχία ότι είναι δυνατό να ανακαλυφθούν τα κλειδιά κρυπτογράφησης που χρησιμοποιούνται από αυτά τα δείγματα ransomware. Τα ευρήματα, μαζί με τις προκλήσεις που αντιμετωπίστηκαν κατά τη διάρκεια της έρευνας, παρουσιάζονται στην παρούσα διατριβή.