Ransomware is a particular category of malicious software that aims to encrypt the data of the infected users, making them unusable, and ask- ing for a ransom in exchange for the decryption keys necessary to restore them. The attacks have become increasingly refined and difficult to counter, to the point that, even considering the different solutions designed against this threat, damage remains considerable, and ransomware keeps spreading. The exploitation of technologies aimed at keeping anonymity, such as the Tor network and payments via BitCoin, has also allowed the authors of the attacks to proceed by remaining untraceable. As a result, the spread of this type of attacks has led researchers and security firms to study prevention methods, mostly on two different fronts: on one side they focused on the study of samples collected from known infections, in an attempt to define effective methods of prevention, while on the other side they try to trace the root of the attacks, investigating on the authors and trying to find the source of the infection. Our work is focused on this last aspect of the research: in an attempt to provide more in-depth information useful for studying the ecosystem behind the attacks, we have developed RansomScan, a frame- work for fully automated extraction of data from ransomware samples. By running the samples in a monitored environment and collecting the artifacts left in the system at the end of the malicious activity, we can extract useful information such as BitCoin wallets addresses used for the payment of ran- som or URL addresses that points to hosts controlled by attackers. In this way, we obtain more information about the sample and the family to which the sample belongs, and track payments by identifying potential aggregation wallets or even physical owners. The total flexibility and generality of the framework allows a customization of the analyses, and guarantees results on any working sample, regardless of family or age, minimizing the need for human intervention during its execution. We evaluated RansomScan per- forming analysis on 532 samples coming from different sources: from the 219 samples that were actually working, we were able to extract 117 pay- ment addresses and more than 181 relevant URLs, thus extracting useful information from all the working samples.

Ransomware è una categoria di software dannoso che mira a crittografare i dati degli utenti, in modo da renderli inutilizzabili, e chiedere poi un riscatto in cambio delle chiavi di decodifica necessarie per il ripristino dei dati. Gli attacchi sono diventati sempre più raffinati e difficili da contrastare, al punto che, anche considerando le diverse soluzioni pensate contro questa minaccia, il danno rimane considerevole e gli attacchi ransomware continuano a diffondersi. Lo sfruttamento di tecnologie volte a mantenere l'anonimato, come la rete Tor e i pagamenti tramite BitCoin, ha permesso agli autori degli attacchi di procedere mantenendo l'anonimato. La diffusione di questo tipo di attacchi ha indotto i ricercatori e le aziende specializzate in sicurezza informatica a studiare metodi di prevenzione, principalmente su due fronti diversi: da un lato si sono concentrati sullo studio di campioni raccolti da attacchi precedenti, nel tentativo di definire metodi efficaci di prevenzione, mentre dall'altro lato cercano di risalire alla radice degli attacchi, indagando sugli autori e cercando di trovare le fonti delle infezioni. Il nostro lavoro è focalizzato su quest'ultimo aspetto della ricerca: in un tentativo di fornire informazioni più approfondite utili per lo studio dell'ecosistema dietro agli attacchi, abbiamo sviluppato RansomScan, un framework per l'estrazione completamente automatizzata di dati da campioni di ransomware. Dall'esecuzione dei campioni in un ambiente monitorato e dalla raccolta degli artefatti lasciati nel sistema al termine dell'attività del campione, possiamo estrarre informazioni utili come gli indirizzi dei portafogli BitCoin utilizzati per il pagamento del riscatto, o indirizzi URL che puntano a host controllati dai malintenzionati. In questo modo siamo in grado di ottenere ulteriori informazioni sul campione analizzato e sulla famiglia a cui appartiene, e tracciare i pagamenti identificando potenziali portafogli di aggregazione o addirittura proprietari fisici. La totale flessibilità e generalità del framework consente una personalizzazione delle analisi e garantisce risultati su qualsiasi campione funzionante, indipendentemente dalla famiglia o dall'età, riducendo al minimo la necessità di un intervento umano durante la sua esecuzione. Abbiamo valutato RansomScan effettuando analisi su 532 campioni provenienti da diverse fonti: dai 219 campioni effettivamente funzionanti, siamo stati in grado di estrarre 117 indirizzi BitCoin e più di 181 URL sospetti, ottenendo informazioni utili da tutti i campioni funzionanti testati.

RansomScan : extracting intelligence from ransomware families

BUCCI, GIOVANNI
2017/2018

Abstract

Ransomware is a particular category of malicious software that aims to encrypt the data of the infected users, making them unusable, and ask- ing for a ransom in exchange for the decryption keys necessary to restore them. The attacks have become increasingly refined and difficult to counter, to the point that, even considering the different solutions designed against this threat, damage remains considerable, and ransomware keeps spreading. The exploitation of technologies aimed at keeping anonymity, such as the Tor network and payments via BitCoin, has also allowed the authors of the attacks to proceed by remaining untraceable. As a result, the spread of this type of attacks has led researchers and security firms to study prevention methods, mostly on two different fronts: on one side they focused on the study of samples collected from known infections, in an attempt to define effective methods of prevention, while on the other side they try to trace the root of the attacks, investigating on the authors and trying to find the source of the infection. Our work is focused on this last aspect of the research: in an attempt to provide more in-depth information useful for studying the ecosystem behind the attacks, we have developed RansomScan, a frame- work for fully automated extraction of data from ransomware samples. By running the samples in a monitored environment and collecting the artifacts left in the system at the end of the malicious activity, we can extract useful information such as BitCoin wallets addresses used for the payment of ran- som or URL addresses that points to hosts controlled by attackers. In this way, we obtain more information about the sample and the family to which the sample belongs, and track payments by identifying potential aggregation wallets or even physical owners. The total flexibility and generality of the framework allows a customization of the analyses, and guarantees results on any working sample, regardless of family or age, minimizing the need for human intervention during its execution. We evaluated RansomScan per- forming analysis on 532 samples coming from different sources: from the 219 samples that were actually working, we were able to extract 117 pay- ment addresses and more than 181 relevant URLs, thus extracting useful information from all the working samples.
CARMINATI, MICHELE
CONTINELLA, ANDREA
ING - Scuola di Ingegneria Industriale e dell'Informazione
20-dic-2018
2017/2018
Ransomware è una categoria di software dannoso che mira a crittografare i dati degli utenti, in modo da renderli inutilizzabili, e chiedere poi un riscatto in cambio delle chiavi di decodifica necessarie per il ripristino dei dati. Gli attacchi sono diventati sempre più raffinati e difficili da contrastare, al punto che, anche considerando le diverse soluzioni pensate contro questa minaccia, il danno rimane considerevole e gli attacchi ransomware continuano a diffondersi. Lo sfruttamento di tecnologie volte a mantenere l'anonimato, come la rete Tor e i pagamenti tramite BitCoin, ha permesso agli autori degli attacchi di procedere mantenendo l'anonimato. La diffusione di questo tipo di attacchi ha indotto i ricercatori e le aziende specializzate in sicurezza informatica a studiare metodi di prevenzione, principalmente su due fronti diversi: da un lato si sono concentrati sullo studio di campioni raccolti da attacchi precedenti, nel tentativo di definire metodi efficaci di prevenzione, mentre dall'altro lato cercano di risalire alla radice degli attacchi, indagando sugli autori e cercando di trovare le fonti delle infezioni. Il nostro lavoro è focalizzato su quest'ultimo aspetto della ricerca: in un tentativo di fornire informazioni più approfondite utili per lo studio dell'ecosistema dietro agli attacchi, abbiamo sviluppato RansomScan, un framework per l'estrazione completamente automatizzata di dati da campioni di ransomware. Dall'esecuzione dei campioni in un ambiente monitorato e dalla raccolta degli artefatti lasciati nel sistema al termine dell'attività del campione, possiamo estrarre informazioni utili come gli indirizzi dei portafogli BitCoin utilizzati per il pagamento del riscatto, o indirizzi URL che puntano a host controllati dai malintenzionati. In questo modo siamo in grado di ottenere ulteriori informazioni sul campione analizzato e sulla famiglia a cui appartiene, e tracciare i pagamenti identificando potenziali portafogli di aggregazione o addirittura proprietari fisici. La totale flessibilità e generalità del framework consente una personalizzazione delle analisi e garantisce risultati su qualsiasi campione funzionante, indipendentemente dalla famiglia o dall'età, riducendo al minimo la necessità di un intervento umano durante la sua esecuzione. Abbiamo valutato RansomScan effettuando analisi su 532 campioni provenienti da diverse fonti: dai 219 campioni effettivamente funzionanti, siamo stati in grado di estrarre 117 indirizzi BitCoin e più di 181 URL sospetti, ottenendo informazioni utili da tutti i campioni funzionanti testati.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
RansomScan_Bucci_2018.pdf

accessibile in internet per tutti

Descrizione: Thesis Document
Dimensione 1.68 MB
Formato Adobe PDF
1.68 MB Adobe PDF Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/144825