Digital forensics methods for recovering ransomware encryption keys
| dc.contributor.advisor | Patsakis, Constantinos | |
| dc.contributor.advisor | Πατσάκης, Κωνσταντίνος | |
| dc.contributor.author | Tassios, Paraskevas | |
| dc.contributor.author | Τάσσιος, Παρασκευάς | |
| dc.date.accessioned | 2024-07-16T06:14:45Z | |
| dc.date.available | 2024-07-16T06:14:45Z | |
| dc.date.issued | 2024-07 | |
| dc.identifier.uri | https://dione.lib.unipi.gr/xmlui/handle/unipi/16609 | |
| dc.identifier.uri | http://dx.doi.org/10.26267/unipi_dione/4031 | |
| dc.description.abstract | Το ransomware έχει αυξηθεί σταθερά σε κλίμακα, κόστος, πολυπλοκότητα και αντίκτυπο από τότε που πρωτοεμφανίστηκε πριν από σχεδόν 35 χρόνια. Οι ειδικοί ασφαλείας εμπλέκονται συνεχώς σε μια μάχη με τους προγραμματιστές ransomware, προσπαθώντας να προστατεύσουν την ψηφιακή τους υποδομή από αυτές τις επιθέσεις. Πρόσφατες παραλλαγές ransomware έχουν αρχίσει να χρησιμοποιούν έναν συνδυασμό συμμετρικής και ασύμμετρης κρυπτογράφησης για το κλείδωμα των αρχείων των χρηστών. Αυτή η μεταπτυχιακή διατριβή διερευνά εάν μπορούν να χρησιμοποιηθούν ψηφιακές εγκληματολογικές τεχνικές για την αποκάλυψη των κλειδιών κρυπτογράφησης που χρησιμοποιούνται από τέτοιο κακόβουλο λογισμικό. Για τη διεξαγωγή αυτής της έρευνας, δημιουργήθηκε ένα ασφαλές και απομονωμένο εικονικό περιβάλλον όπου εκτελέστηκαν διάφορα δείγματα ransomware. Στη συνέχεια, η μνήμη από τα μολυσμένα συστήματα καταγράφηκε και εξετάστηκε χρησιμοποιώντας δύο διαφορετικά εγκληματολογικά εργαλεία για τον εντοπισμό των συμμετρικών κλειδιών κρυπτογράφησης που χρησιμοποιούνται από το ransomware.Επιπλέον, όταν οι εγκληματολογικές αναλύσεις μνήμης δεν απέδωσαν αποτελέσματα, χρησιμοποιήθηκε μια εναλλακτική μέθοδος που περιλαμβάνει το CryptoAPI hooking με το εργαλείο Frida. Η μελέτη εξέτασε δείγματα ransomware, συμπεριλαμβανομένων των Jigsaw, NotPetya, Thanos, Gpcode, WannaCry και Phobos σε δύο διαφορετικά λειτουργικά συστήματα. Αυτά τα δείγματα επιλέχθηκαν λόγω της υψηλής δημοσιότητας τους, των σημαντικών απαιτήσεων λύτρων και της σημαντικής διατάραξης που προκάλεσαν σε πολλούς οργανισμούς. Η έρευνα έδειξε με επιτυχία ότι είναι δυνατό να ανακαλυφθούν τα κλειδιά κρυπτογράφησης που χρησιμοποιούνται από αυτά τα δείγματα ransomware. Τα ευρήματα, μαζί με τις προκλήσεις που αντιμετωπίστηκαν κατά τη διάρκεια της έρευνας, παρουσιάζονται στην παρούσα διατριβή. | el |
| dc.format.extent | 55 | el |
| dc.language.iso | en | el |
| dc.publisher | Πανεπιστήμιο Πειραιώς | el |
| dc.rights | Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα | * |
| dc.rights | Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα | * |
| dc.rights.uri | http://creativecommons.org/licenses/by-nc-nd/3.0/gr/ | * |
| dc.title | Digital forensics methods for recovering ransomware encryption keys | el |
| dc.title.alternative | Μέθοδοι ψηφιακής εγκληματολογίας για την ανάκτηση κλειδιών κρυπτογράφησης ransomware | el |
| dc.type | Master Thesis | el |
| dc.contributor.department | Σχολή Τεχνολογιών Πληροφορικής και Επικοινωνιών. Τμήμα Πληροφορικής | el |
| dc.description.abstractEN | Ransomware has steadily increased in scale, cost, complexity, and impact since it first appeared nearly 35 years ago. Security experts are constantly engaged in a battle with ransomware developers, striving to protect their digital infrastructure from these attacks. Recent variants of ransomware have begun using a combination of symmetric and asymmetric encryption to lock users' files.This master thesis investigates whether digital forensic techniques can be used to uncover the encryption keys utilized by such malicious software. To conduct this research, a secure and isolated virtual environment was set up where various ransomware samples were executed. Memory from the infected systems was then captured and examined using two different forensic tools to identify the symmetric encryption keys used by the ransomware. Additionally, an alternative method involving CryptoAPI hooking with the Frida tool was employed when memory forensics did not yield results.The study tested ransomware samples including Jigsaw, NotPetya, Thanos, Gpcode, WannaCry, and Phobos on two different operating systems. These samples were selected due to their high-profile nature, significant ransom demands, and substantial disruption to numerous organizations.The investigation successfully demonstrated that it is possible to discover the encryption keys used by these ransomware samples. The findings, along with the challenges faced during the investigation, are presented in this thesis. | el |
| dc.contributor.master | Κυβερνοασφάλεια και Επιστήμη Δεδομένων | el |
| dc.subject.keyword | Digital forensics | el |
| dc.subject.keyword | Ransomware | el |
| dc.subject.keyword | Frida tool | el |
| dc.subject.keyword | Memory forensics | el |
| dc.subject.keyword | CryptoAPI hooking | el |
| dc.date.defense | 2024-07-05 |
Αρχεία σε αυτό το τεκμήριο
Αυτό το τεκμήριο εμφανίζεται στις ακόλουθες συλλογές
-
Τμήμα Πληροφορικής
Department of Informatics
Εκτός από όπου διευκρινίζεται διαφορετικά, το τεκμήριο διανέμεται με την ακόλουθη άδεια:
Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα
Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα