Desarrollo y análisis de modelos de detección de crypto-ransomware en base a tráfico de compartición de ficheros

• Autores: Eduardo Berrueta Irigoyen
• Directores de la Tesis: Daniel Morató (dir. tes.)
• Lectura: En la Universidad Pública de Navarra ( España ) en 2022
• Idioma: español
• Número de páginas: 215
• Enlaces
  • Tesis en acceso abierto en: Academica-e
• Resumen
  • español

    Hoy en día la información se ha convertido en un bien muy preciado tanto para los usuarios como para las empresas. Desde el año 2015 han cobrado importancia los ataques dirigidos a secuestrar esta información y pedir un rescate económico para su recuperación. Son los llamados 'crypto-ransomware'. Durante la realización de este trabajo se han analizado más de 90 variantes distintas de ransomware, tratando de establecer patrones de comportamiento comunes para poder detectar la infección de un usuario. Aunque afectan por igual a usuarios particulares y a empresas, son estas últimas las más perjudicadas por la infección, ya que habitualmente tiene un coste económico muy elevado debido a la paralización de su actividad. Además, sus archivos de datos están alojados en servidores centrales a los que tienen acceso todos los trabajadores. Un único usuario infectado puede provocar enormes pérdidas de información muy valiosa para la empresa. En esta tesis nos centramos en este tipo de escenarios en que la información se aloja en servidores centrales a los que acceden los usuarios desde sus máquinas. La estrategia que se ha seguido para la detección ha sido capturar en un punto intermedio el tráfico intercambiado por usuarios y servidores y analizarlo en busca de patrones conocidos de tráfico de ransomware. En un primer trabajo se desarrolló una herramienta basada en el tipo de operación que realiza cada usuario sobre los archivos del servidor, siendo necesario el análisis de cada mensaje del protocolo de compartición de ficheros. Se lograron unos resultados de detección del 100% de los binarios estudiados con una tasa de falsos positivos muy baja (1 cada 15 días en redes con 300 usuarios). Sin embargo, la principal limitación es que no es eficaz en los casos en que el protocolo de compartición de ficheros vaya cifrado en la red, lo cual es habitual en versiones modernas. Para superar esta limitación se desarrolla otro modelo, basado ya en patrones de tráfico en lugar de en el tipo de operaciones que ejecutan los usuarios. Para establecer patrones entre las características se comparan varios modelos de machine learning y deep learning analizando sus resultados y escogiendo el que mejor se adapta a nuestro escenario. Una vez seleccionado el modelo, se analiza cronológicamente la evolución del mismo como si hubiera sido empleado en un entorno real y entrenado con las variantes de ransomware aparecidas desde 2015 hasta 2021. Se presentan los resultados y extraen conclusiones sobre la necesidad de mantener un entrenamiento constante del modelo para mejorar la eficiencia de la detección. Como consecuencia del estudio del comportamiento de los más de 90 binarios, se han publicado en un repositorio de acceso abierto las trazas de tráfico objeto del estudio, así como la secuencia de operaciones llevadas a cabo por los ransomware sobre los ficheros alojados en el servidor.

  • English

    Since 2015, the attacks targeting enterprises' and users' data have gained importance due to the value this data has for both. This kind of attacks is called 'crypto-ransomware' and it encrypts the data stored in the local machine or in servers, asking for a payment to recover it. The aim of this thesis is to detect this kind of attacks. We have collected and analysed more than 90 different ransomware variants in order to learn the common behaviour patterns for being able to detect them. Enterprises are more affected by these attacks, comparing to home users. Usually an attack to an enterprise has a high economic cost due to the high value the information has and the necessity of stopping its activity until recovering it. Therefore, in a common enterprises' network there usually are servers that store all the data making it accessible for all users in the network. A single user infected by ransomware could encrypt all data stored in these servers, causing high information loss and economic damage. In this work we focus on this king of scenarios, in which the information is stored in servers and accessible by the users. For the firrst detection tool developed in this thesis, we captured the network traffic between the users and the shared server. We found common traffic patterns that were not present in a normal user traffic capture and we used them for detecting the attack. Specifically, we used the read, write and delete operations that ransomware must perform for distinguish their traffic from users'. The tool, that must decode the network protocol, achieved a 100% detection rate in all studied binaries with a false positive rate low (1 in 15 days of 300 users' traffic). However, the main limitation is that the tool is not effective in scenarios with encrypted file-sharing protocols, which is usual in actual modern versions. Other version of the tool is developed in oder to overcome this limitation, basing the detection in traffic patterns instead of in the operations performed by the users. We have compared diffeerent machine learning models in order to find the one that best fits our scenario. Once selected, we have analysed its evolution chronologically emulating real implementation in which the model is updated when new ransomware sample appears. We have updated the model with samples appeared from 2015 to 2021 and the detection efficiency improves training it with every new sample. The traffic traces used in this study have been shared in a public repository, availables for other researchers. There are also available the ransomwares' operation sequences performed on the server stored files.

  • euskara

    Gaur egun ondasun preziatu bat bihurtu da informazioa, bai enpresentzat eta baita erabiltzaileentzat ere. 2015etik aurrera, erasoak informazio hau bahitzeko eta dirua eskatzeko bera berreskuratzeko hartu dute itzal handia. Eraso hau 'ransomware' deitzen da. Tesia egin bitartean 90 ransomware desberdin baino gehiago aztertu dira, jokabideeredu ororenak bilatzen infekzio bat detektatzeko. Nahiz eta enpresetan eta erabiltzaileetan eragin, enpresak dira kaltetu gehien, erasoek enpresako lana geldiarazi egiten dutelako. Gainera, haien dokumentuak zerbitzari zentraletan daude eta langile guztiak sarbidea dute. Langile bat infektatzen denean, eragiten die dokumentu guztiei. Lan honetan zentratu egiten gara kasu horietan, enpresek dokumentuak partekatzen dituztenean , zerbitzari zentraletan. Ransomware detekzioa egiten da sare tra_koa atzitzen erabiltzaileen eta zerbitzariaren erdian. Trafiko hau aztertzen da, ransomware-ko jokabide-eredu ororenak bilatzeko. Lehen lanean programa bat egin zen erabiltzaileen operazio motetan oinarrituta. Operazioa jakiteko, protokoloaren mezu bakoitza aztertzea beharrezkoa zen, eta hori limitazio garrantzitsu bat zen, protokolo berrienak enkriptatutak daudelako. Programa honek 100% rasomware detektatu zituen, faltsa alarma bakarra sortzen 15 egunetan. Hala ere, komentatu den limitazioarekin ezin du ibili enpresa gehienetan. Limitazio hau gainditzeko beste programa bat egin zen, trafikoaren patroian oinarrituta erabiltzaileen operazioen ordez. Konparazio batzuk egiten diren machine learning eta deep learning ereduen artean, haien emaitza aztertzen eta gure kasu onena moldatzen duena aurkitzen. Eredua aurkitu eta gero, bere eboluzioa aztertzen da kronologikoki 2015 eta 2021en artean jaitsi diren ransomware-ekin. Aurkezten dira emaitzak eta konklusioiak, azpimarratzen ereduaren entrenamendu konstantea garrantzitsua dela detekzioaren efizientzia hobetzeko. Tesi hau egiten ari garenean, 94 ransomware bildu ditugu eta patekatu ditugu repositorio ireki batean. Horrela beste ikertzaileek aprobetxatu ditzakete. Ransomware-en operazioen sekuentziak partekatu ditugu repositorio honetan, erabilgarria eta konpletoa egiteko.