Herramienta de extracción de información de malware

Abstract

Los ataques de ransomware alrededor del mundo son cada vez más frecuentes debido al incremento en el uso de dispositivos con acceso a Internet. Este hecho provoca que el número de usuarios vulnerables a este tipo de software malicioso aumente vertiginosamente. La información recolectada en tiempo real acerca del comportamiento del ransomware es escasa. Esto se debe a que las herramientas forenses para la extracción de esta información se centran en entornos controlados y la toma de muestras o análisis de los ordenadores de las víctimas reales es muy difícil de realizar. En este trabajo se propone una herramienta que extrae información en tiempo real de un ataque de ransomware para facilitar las tareas de análisis forense, la clasificación del ransomware y la correlación de las cuentas bitcoin asociadas. La herramienta diseñada combina la captura de pantalla del ataque del ordenador victima con el reconocimiento de patrones para determinar si corresponden a una muestra de ransomware. Adicionalmente, se realiza el reconocimiento óptico de caracteres, el volcado de la memoria RAM y la extracción de archivos relevantes para el análisis. Con el fin de evaluar, la herramienta resultante, se realizaron experimentos con distintas muestras de ransomware sobre un ordenador real infectado con dichas muestras.Ransomware attacks around the world are becoming more frequent due to the increase in the use of devices with Internet access. This fact causes that the number of vulnerable users to this type of malicious software increases vertiginously. The information collected in real time about the behavior of ransomware is scarce. This is because the forensic tools for extracting this information focus on the controlled environments and the sampling or analysis of the computers of the actual victims is very difficult to perform. In this work we offer a tool that extracts information in real time from a ransomware attack to facilitate the tasks of forensic analysis, the classification of ransomware and the correlation of the associated bitcoin accounts. The designed tool combines the capture of the computer attack screen with pattern recognition to determine if it corresponds to a sample of ransomware. Additionally, optical character recognition, RAM memory volume and extraction of relevant files for analysis are performed. For the purpose of the evaluation, the resulting tool, an experiment was registered with ransomware samples on a real computer infected with the samples.