Název:
Analýza síťové komunikace Ransomware
Překlad názvu:
Ransomware Traffic Analysis
Autoři:
Šrubař, Michal ; Grégr, Matěj (oponent) ; Ryšavý, Ondřej (vedoucí práce) Typ dokumentu: Diplomové práce
Rok:
2017
Jazyk:
cze
Nakladatel: Vysoké učení technické v Brně. Fakulta informačních technologií
Abstrakt: [cze][eng]
Cílem této práce je přiblížení problematiky malware typu ransomware a následně analýza síťové komunikace crypto-ransomware a možné detekce tohoto typu malware. Práce popisuje v jakém prostředí zkoumání této síťové komunikace bylo provedeno a jaká byla zvolena metodologie. První část práce se zabývá samotnou analýzou síťového provozu tohoto typu malware se zaměřením na HTTP a DNS komunikaci. Dále se zabývá anomáliemi, které je možné během komunikace tohoto malware pozorovat na síti. Soustředí se také na chování uživatele, jehož zařízení ransomware infikuje. Výsledkem práce je popis čtyřech detekčních metod, které jsou schopny rozpoznat ransomware ze síťové komunikace za použití HTTP protokolu. Práce dále přináší popis několika signatur, které mohou být použity jako ukazatel možné infekce ransomware.
The focus of this work is crypto-ransomware; a variant of malware, an analysis of this malware’s network communication, and the identification of means by which it may be detected in the network. The thesis describes the methodology and environment in which the malware’s network communications were studied. The first part of the thesis provides a network traffic analysis of this type of malware with a focus on HTTP and DNS communication, including anomalies that can be observed in the network during this malware’s activity. The thesis also includes a discussion of the user behavior of devices infected by this type of malware. The resulting data was used to identify and describe four detection methods that are able to recognize the malware from its network communication using the HTTP protocol. Finally, a description of several signatures that can be used as indicators of a possible infection by this malware are provided.
Klíčová slova:
Crypto-malware; DNS; HTTP POST Check-in; Malware; Malware lab; Ransomware; TOR.; WannaCry; Škodlivý software; Crypto-malware; Crypto-ransomware; DNS; HTTP POST Check-in; Malware; Malware lab; Ransomware; TOR.; WannaCry
Instituce: Vysoké učení technické v Brně
(web)
Informace o dostupnosti dokumentu:
Plný text je dostupný v Digitální knihovně VUT. Původní záznam: http://hdl.handle.net/11012/69476