Ransomware: Behavior-based detection of malicious software

Bachelor Studiengang IT Security

Stefan Hagl, BSc

Betreuer: Dipl.-Ing. Robert Luh, BSc

Ausgangslage

Malware ist eine wachsende Bedrohung für Firmen und AnwenderInnen. Eine Subkategorie davon ist Crypto-Ransomware. Im Jahr 2015 war diese die sich am schnellsten entwickelnde Sparte schädlicher Software. Ransomware verschlüsselt Dateien und verlangt für eine erfolgreiche Entschlüsselung die Zahlung von Lösegeld. In der Vergangenheit wurden seitens der Malware-AutorInnen immer wieder Fehler bei der kryptografischen Implementierung gemacht, welche es erlaubten, die verschlüsselten Dateien erfolgreich wiederherzustellen, ohne dass eine Zahlung notwendig war. Leider werden die verwendeten Verschlüsselungsmethoden und Implementierungen immer besser, sodass es für die Opfer mittlerweile fast unmöglich ist, die Dateien ohne Zahlung zu entschlüsseln.

Es ist zu erwarten, dass zukünftige Artenfamilien von Crypto-Ransomware in die Bereiche „Industrie 4.0“ oder „Smart Homes“ eindringen werden und auf diese Weise immer neue Gerätetypen befallen. Aktuelle Sicherungen sind nach einer erfolgreichen Attacke oft der einzige Weg, um die betroffenen Systeme und Daten wiederherzustellen. Erfolgreiche Zero-Day-Attacken zeigen, dass die alleinige Verwendung von Anti-Viren-Software nicht mehr ausreichend ist und neue Defensivmaßnahmen entwickelt werden müssen.

Ziel

Das Ziel dieser Bachelorarbeit ist es, zu evaluieren, wie Infektionen durch Crypto-Ransomware so früh wie möglich erkannt werden können, wenn konventionelle Verteidigungsmechanismen versagen. Mittels Literaturanalyse werden bestimmte Verhaltensmuster dieses Malwaretyps dargestellt. Ransomware nutzt oft spezifische Betriebssystem-APIs (Application Programming Interface), generiert wiedererkennbaren Netzwerkverkehr und ist während der Verschlüsselung der Dateien innerhalb des Dateisystems aktiv. Neue theoretische Herangehensweisen, wie solche Verhaltensmuster erkannt werden können, werden präsentiert und gegen aktive Ransomware-Samples in einer virtuellen Sandbox getestet.

Ergebnis

Basierend auf diesen Ergebnissen war es möglich, eine Erkennungsstrategie abzuleiten, welche dazu beiträgt, schädliche Verhaltensmuster von Crypto-Ransomware oder anderer unbekannter Software zu identifizieren. Die Analysen machten es außerdem möglich, konkrete API-Erkennungsmuster zu entwickeln. Diese Muster beschreiben Abfolgen von verwendeten API-Calls, welche in verschiedenen logischen Strukturen dargestellt wurden. Sie stellen eine potentielle Basis für das Design zukünftiger Erkennungssoftware dar und unterstützen aktuelle, musterbasierte Lösungen zur Abwehr von Malware.