|
|
Defeating Ransomware By Hooking System Calls On Windows Os
Touš, Filip
This paper explains why ransomware needs to use the Windows API to encrypt files andhow this can be utilized to protect sensitive data from ransomware. Critical API functions are examinedon a low level and a generic method to monitor and possibly block their usage through systemcall hooks is presented. This approach is then demonstrated with a custom kernel mode driver whichcan keep protected files safe from any user mode malware. It is then compared to current ransomwareprotection in Windows 10.
|
|
|
Analýza škodlivého softwaru
Bláha, Michael ; Caha, Tomáš (oponent) ; Člupek, Vlastimil (vedoucí práce)
Cílem mojí bakalářské práce je navrhnout bezpečné prostředí pro analýzu škodlivého softwaru. V teoretické části práce se věnuji základnímu dělení počítačových virů. Poté popisuji dva hlavní postupy při analyzování škodlivého softwaru, a to statickou a dynamickou analýzu. Popisuji, z jakého důvodu se používají a jaké nástroje spadají do těchto kategorií. Dále prezentuji svoji metodologii pro bezpečnou analýzu škodlivého softwaru. V praktické části práce se věnuji vytvoření analytického prostředí na platformách Windows 10 a Fedora. Používám jak grafické prostředí, tak i příkazový řádek k vytvoření virtuálních počítačů. Abych mohl analyzovat síťový provoz, vytvářím takzvaný „falešný internet“ s programem INetSim. V poslední části práce se věnuji ukázce analýzy vybraných druhů počítačových virů. Postupuji podle mnou popsané metodologie. Ke každé analýze píšu krátké shrnutí a výsledky. Na konci práce se zabývám možnou obranu před škodlivým softwarem.
|
|
|
Trestněprávní a kriminologické aspekty šíření ransomware
Fousek, Jan ; Gřivna, Tomáš (vedoucí práce) ; Bohuslav, Lukáš (oponent)
Kriminologické a trestněprávní aspekty šíření ransomware Abstrakt Tato diplomová práce se zabývá jednotlivými aspekty, se kterými se setkáváme v oblasti kriminologie a trestního práva v souvislosti s problematikou šíření škodlivého programu (malware) v podobě ransomware. Práce je rozdělena do dvou hlavních částí, a to části teoretické, která se dále člení na kapitoly týkající se obecně kyberkriminality, obecně malware a následně kriminologických aspektů šíření ransomware a trestněprávních aspektů šíření ramsomware, a to jak z hmotněprávního hlediska, tak z procesněprávního. Jednotlivé kapitoly jsou dále členěny na dílčí podkapitoly a ty zahrnují nejen otázky pachatelů a obětí ransomware či trestněprávní kvalifikace tohoto fenoménu, ale rovněž i pojmy příbuzné, jejichž zmínka by měla sloužit k širšímu pochopení tohoto druhu kyberkriminality. Ten je typický zejména svým distančním charakterem páchání, vysokou mírou latence a poměrně nízkou možností dopadení jejich pachatelů. Druhou částí práce je část analytická. V této části kombinuji kriminologické výzkumné metody, když se snažím verifikovat hypotézu týkající se růstu čísel evidovaných skutků odpovídají ransomware. Hypotéza je následující: "Počet zaregistrovaných útoků ransomware Policií ČR v České republice od roku 2016 roste." Tato hypotéza nakonec...
|
|
|
Obfuskační techniky ransomware
Jacko, Jerguš ; Barabas, Maroš (oponent) ; Kačic, Matej (vedoucí práce)
Táto práca sa snaží navrhnúť, implementovať a poukázať na nové techniky obfuskácie činnosti ransomvéru s využitím princípov entropie dat, ktoré nespadajú do detekčných možností známych anti-ransomvérových a anti vírových nástrojov. Navrhované techniky sa zameriavajú na zmenu činnosti ransomvéru vo fáze znehodnotenia (šifrovanie alebo obfuskácia) súborov na napadnutom systéme.
|
|
|
Automatic Detection of Cryptography Used in Code
Mička, Richard ; Šilhavý, Pavel (oponent) ; Hajný, Jan (vedoucí práce)
This thesis covers the topic of automatic detection of cryptography used in application code, which currently requires a lot of manual effort to analyze for a given unknown program sample. In this thesis, a possibility of implementing an automated tool for analysing the usage of Microsoft CryptoAPI cryptographic library by analysed programs is researched. This library is distributed with Microsoft Windows and can be misused by an attacker to cause significant harm to a victim. By recognizing cryptographic operations used and by presenting the summary of their use, it is in certain situations possible to distinguish malicious programs just based on the presented analysis summary. Main objective of this thesis was creation of such automatic analyser module integrated into Cuckoo sandbox. Along with the design proposal of such analyser, this thesis includes CryptoAPI library and Cuckoo sandbox functionality exploration and description. Proposed automatic analyser was successfully created, deployed and tested in production environment and the achieved results were discussed.
|
|
|
Analýza ransomwaru GlobeImposter
Procházka, Ivo ; Komosný, Dan (oponent) ; Martinásek, Zdeněk (vedoucí práce)
Cílem této diplomové práce je analýza vzorku ransomwaru GlobeImposter získaného z~napadeného zařízení. Teoretická část práce se zabývá rozdělením škodlivého kódu a~typů ransomwaru podle funkce a~popisem práce se šifrovacími algoritmy a~klíči. Dále jsou představeny postupy statické a~dynamické analýzy škodlivého kódu a~požadavky na testovací prostředí. V~praktické části je popsán zdroj vzorku škodlivého kódu a navržené prostředí (virtuální a~na fyzickém hardwaru) a~provedena statická a~dynamická analýza získaného vzorku ransomwaru GlobeImposter. V~závěru práce jsou zhodnoceny dosažené výsledky a~navržen další postup k~realizaci dekompilátoru pro analyzovaný vzorek.
|
|
|
Trestněprávní a kriminologické aspekty šíření ransomware
Zavadil, Stanislav ; Gřivna, Tomáš (vedoucí práce) ; Bohuslav, Lukáš (oponent)
Trestněprávní a kriminologické aspekty šíření ransomware Abstrakt Tato diplomová práce se zabývá šířením ransomware a zkoumá vybrané trestněprávní a kriminologické aspekty tohoto fenoménu kybernetické kriminality. Ransomware je druhem škodlivého software, jehož prostřednictvím pachatel zašifruje, zablokuje nebo jinak zamezí přístupu k počítačovému systému nebo datům v takovémto systému a v souvislosti s tím požaduje peněžní či jiné plnění. V diplomové práci je nejprve ransomware popsán po funkční a technologické stránce, včetně jeho historie, členění na jednotlivé druhy a uvedení několika významných příkladů nákaz. Konkrétně jsou představeny ransomware WannaCry, Petya, DoubleLocke a Vir Policie. Následuje část, v níž jsou popsány možné trestněprávní kvalifikace dle hmotné části trestního práva, včetně zhodnocení specifik jednotlivých druhů ransomware a potenciálního vývoje této trestné činnosti. Závěrečná část se zabývá kriminologickými aspekty šíření ransomware. Začíná popisem stavu a dynamiky, zahrnuje také podrobnosti o latenci této kriminality a trendech. Následuje pohled na pachatele a oběti ransomware optikou vybraných kriminologických teorií. Kriminologická část práce je uzavřena kapitolou o kontrole a prevenci, která obsahuje rovněž praktické části, které mají za cíl pomoci při prevenci. Klíčová...
|
|
|
Kriminologické a trestněprávní aspekty fenoménu ransomware
Johanovský, Tomáš ; Gřivna, Tomáš (vedoucí práce) ; Bohuslav, Lukáš (oponent)
Kriminologické a trestněprávní aspekty fenoménu ransomware Abstrakt Tato diplomová práce se zabývá aktuálním tématem kybernetické kriminality a v něm se zaměřuje na fenomén ransomware, který v odborné české literatuře v podobném rozsahu dosud nebyl nikdy popsán. Ransomware je škodlivý kód, který zasahuje do provozu počítače a následně vyžaduje od poškozených osob peníze za obnovení přístupu k počítačovému systému a datům v něm obsaženým. V textu práce jsou přiblíženy základní pojmy nutné pro definici fenoménu ransomware (kyberprostor, kybernetická kriminalita, počítačový systém, škodlivý kód, kryptoměna a darknet). Rozebrána jsou specifika kybernetické kriminality oproti jiným druhům trestné činnosti a její vývoj a aktuální rozsah v České republice. Stěžejní část práce je věnována analýze fungování ransomware od jeho historického vývoje, přes hlavní identifikované varianty, kterými jsou falešný antivirus, dále policejní, zamykací a šifrovací ransomware, až po předpoklady budoucího vývoje v této oblasti. Z kriminologického hlediska je pozornost zaměřena na unikátní interakci pachatele a poškozeného, která u ransomware nabývá překvapivých forem zákaznické podpory, odpovědí na často kladené otázky a návodů pro pořízení virtuálních měn. Důraz je kladen na prevenci a snížení škod samotného ransomware útoku a...
|
|
|
Aplikace pro grafickou reprezentaci průběhu útoku
Safonov, Yehor ; Gerlich, Tomáš (oponent) ; Martinásek, Zdeněk (vedoucí práce)
V dnešní době zajištění bezpečnosti koncových stanic je velmi aktuálním tématem. Složitost programovací výbavy výpočetních systémů sebou přináší větší pravděpodobnost vzniku zranitelností, které následně mohou sloužit novým kotevním bodem pro realizaci možného útoku cíleného jak na koncovou stanici, tak i~na celou počítačovou síť. Jedním z~hlavních cílů této bakalářské práce je vytvořit takový nástroj, který by umožňoval správci systému provádět efektivnější analýzu a protiopatření zaměřené na předcházení vzniku negativních dopadů hrozeb. Z teoretického hlediska se bakalářská práce bude zaměřovat na problematiku nejběžnějších útoků na moderní operační systémy se zaměřením na systém Windows. Následně se bude věnovat problematice škodlivého kódu, zejména principům jeho fungování, specifickým vlastnostem a také aktuálním trendům. V praktické části bude důraz položen na realizaci robustní aplikaci, která se v budoucnu stane součástí vyvíjejícího se projektu společnosti TrustPort. V první řádě bude provedena analýza prostředí použití a porovnání různých způsobů grafických zobrazení. Následně budou definovány množiny funkčních, nefunkčních a kritických požadavků, na základě kterých bude udělán návrh aplikace, konkrétně její architektury a uživatelského rozhraní. V dalším kroku bude proveden popis implementace navržené aplikace, která z hlediska srozumitelnosti byla rozdělena do několika etap. Dle realizovaných částí bude funkcionalita aplikace otestována na nejběžněji detekovaných útocích na uživatele. Na konci práce budou definována možná rozšíření a udělán stručný závěr.
|
|
|
Analýza síťové komunikace Ransomware
Šrubař, Michal ; Grégr, Matěj (oponent) ; Ryšavý, Ondřej (vedoucí práce)
Cílem této práce je přiblížení problematiky malware typu ransomware a následně analýza síťové komunikace crypto-ransomware a možné detekce tohoto typu malware. Práce popisuje v jakém prostředí zkoumání této síťové komunikace bylo provedeno a jaká byla zvolena metodologie. První část práce se zabývá samotnou analýzou síťového provozu tohoto typu malware se zaměřením na HTTP a DNS komunikaci. Dále se zabývá anomáliemi, které je možné během komunikace tohoto malware pozorovat na síti. Soustředí se také na chování uživatele, jehož zařízení ransomware infikuje. Výsledkem práce je popis čtyřech detekčních metod, které jsou schopny rozpoznat ransomware ze síťové komunikace za použití HTTP protokolu. Práce dále přináší popis několika signatur, které mohou být použity jako ukazatel možné infekce ransomware.
|
host ::
RSS.