Detekce ransomware

Název práce: Detekce ransomware
Autor(ka) práce: Chadima, Vojtěch
Typ práce: Diplomová práce
Vedoucí práce: Doucek, Petr
Oponenti práce: Hološka, Jiří
Jazyk práce: Česky
Abstrakt:
Ransomware je druh škodlivého software (malware), jehož podstatou je provést na napadeném stroji určité změny (např. zašifrování souborů), a následně požadovat tzv. výkupné (typicky ve finanční formě), za jehož uhrazení je přislíbeno vrátit napadený stroj do stavu před útokem (tedy např. dešifrovat soubory). Tato práce se zabývá problematikou ransomware z pohledu útočníků, jejich motivace, způsoby legalizace výnosů a metod, kterými se tvůrci ransomware snaží zamezit, či zkomplikovat jeho detekci a analýzu. Dále jsou popsány typické způsoby jeho šíření a detekce, a technické analýzy několika konkrétních významných útoků ransomware z posledních let (WannaCry, CryptoLocker, NotPetya). Hlavní zaměření práce je spojeno s vybranými open-source nástroji, jmenovitě GRR, Sysmon a osquery, které je možné využít pro účely detekce ransomware. Autor tyto nástroje zakomponoval do několika řešení, které se jsou schopná detekovat a v některých případech zamezit útokům konkrétních rodin ransomware. Tato řešení tak mohou mimo jiné sloužit jako Proof of Concept kupříkladu pro firmy, pro které by bylo komerční řešení zaměřené na stejnou oblast příliš nákladné či náročné na implementaci a následný provoz.
Klíčová slova: WannaCry; Sysmon; GRR; detekce ransomware; osquery; sandbox
Název práce: Ransomware detection
Autor(ka) práce: Chadima, Vojtěch
Typ práce: Diploma thesis
Vedoucí práce: Doucek, Petr
Oponenti práce: Hološka, Jiří
Jazyk práce: Česky
Abstrakt:
Ransomware is classified as a category of malicious software (often reffered to as malware), which is designed to perform changes on the targeted sytem (e.g. encrypt certain files), and subsequently demand a payment of ransom, which is promised to result in restoring the system state (for instance by decrypting the once encrypted files). This thesis provides information on ransomware from the attackers’ viewpoint, including their motivation and money laundering schemes typical for the industry, and methods used by attackers to evade detection and analysis. Further, common ransomware distribution and detection are described, together with technical analyses of selected recent well-known ransomware attack, i.e. WannaCry, CryptoLocker and NotPetya. Main focus of this thesis is open-source tools which can be leveraged for ransomware detection, and their usage in Proof-of-Concept type of solutions. Author presents a few of solutions he created which were designed to detect and in some cases mitigate particular ransomware families attacks. These solution can be useful for entities like small businesses, which could find commercial solutions focused on this area too costly or too complex in terms of implementation and maintenance.
Klíčová slova: Sysmon; GRR; osquery; ransomware detection; sandbox; WannaCry

Informace o studiu

Studijní program / obor: Aplikovaná informatika/Podniková informatika
Typ studijního programu: Magisterský studijní program
Přidělovaná hodnost: Ing.
Instituce přidělující hodnost: Vysoká škola ekonomická v Praze
Fakulta: Fakulta informatiky a statistiky
Katedra: Katedra systémové analýzy

Informace o odevzdání a obhajobě

Datum zadání práce: 5. 11. 2020
Datum podání práce: 2. 5. 2021
Datum obhajoby: 8. 6. 2021
Identifikátor v systému InSIS: https://insis.vse.cz/zp/75008/podrobnosti

Soubory ke stažení

    Poslední aktualizace: