Безопасность информационных технологий

В настоящее время многие аналитические компании отмечают значительный рост компьютерных инцидентов с использованием программ-шифровальщиков. Данный вид вредоносного программного обеспечения частично или полностью изменяет файлы пользователей, вынуждая заплатить выкуп для восстановления файлов. По результатам проведённого в работе сравнительного анализа существующих способов обнаружения программ-шифровальщиков были выявлены их недостатки и принято решение о разработке нового средства обнаружения с использованием аппарата машинного обучения. Анализ недавних атак с использованием программ- шифровальщиков позволил выявить ряд особенностей взаимодействия с файловой системой, присущих только вредоносным программам данного вида. Для сбора информации о таких событиях выбран механизм Windows Event Tracing for Windows (ETW), который предустановлен во все современные сборки Windows и имеет широкие возможности по регистрации различных событий ОС. Для выбора подходящего алгоритма машинного обучения были протестированы следующие алгоритмы: одноклассовый метод опорных векторов (One Class Support Vector Machines), алгоритм изолирующего леса (Isolation Forest) и алгоритм локального уровня выброса (Local Outlier Factor). В качестве основного был выбран алгоритм Isolation Forest. С использованием механизма ETW были получены два набора данных для легитимных программ, и для программ-шифровальщиков. Для безопасной генерации наборов данных, соответствующих программам-шифровальщикам, был разработан демонстрационный прототип ПО, который реализовал основные алгоритмы взаимодействия с файловой системой популярных программ-шифровальщиков. Полученная выборка была поделена в отношении 30% и 70% для обучающего и тестового наборов соответственно. Данные из тестовой выборки не участвовали в процессе обучения. Программная реализация системы обнаружения выполнена на языке Python. Разработанная система была успешно опробована с использованием недавних программ-шифровальщиков WannaCry и TeslaCrypt, а также популярных образцов легитимного ПО VeraCrypt, TrueCrypt, 7z, СУБД Oracle.

1. CYBER THREAT REPORT, 2022. URL: https://www.infopoint-security.de/media/2022-sonicwall-cyber-threat-report.pdf (дата обращения: 20.02.2022).

2. A Survey on Detection Techniques for Cryptographic Ransomware, 2019.
URL: http://dataset.tlm.unavarra.es/ransomware/articles/IEEEAccess.pdf (дата обращения: 20.02.2022).

3. Analyzing WannaCry Ransomware Considering the Weapons and Exploits, 2022.
URL: https://icact.org/upload/2018/0708/20180708_finalpaper.pdf (дата обращения: 20.02.2022).

4. Threat spotlight: the curious case of Ryuk ransomware, 2019. URL: https://blog.malwarebytes.com/threat-spotlight/2019/12/threat-spotlight-the-curious-case-of-ryuk-ransomware/ (дата обращения: 20.02.2022).

5. RYUK RANSOMWARE, 2021.
URL: https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-006.pdf (дата обращения: 20.02.2022).

6. Digital CoronaVirus: Yet Another Ransomware Combined with Infostealer, 2020.
URL: https://www.acronis.com/en-us/blog/posts/digital-coronavirus-yet-another-ransomware-combined-infostealer/ (дата обращения: 20.02.2022).

7. Hive Attacks. Analysis of the Human-Operated Ransomware Targeting Healthcare, 2021.
URL: https://www.sentinelone.com/labs/hive-attacks-analysis-of-the-human-operated-ransomware-targeting-healthcare/ (дата обращения: 20.02.2022).

8. A Survey on Ransomware: Evolution, Taxonomy, and Defense Solutions, 2022.
URL: https://arxiv.org/pdf/2102.06249.pdf (дата обращения: 20.02.2022).

9. Advances In Malware Detection-An Overview, 2021.
URL: https://arxiv.org/pdf/2104.01835.pdf
(дата обращения: 20.02.2022).

10. Peeler: Profiling Kernel-Level Events to Detect Ransomware, 2020. URL: https://ndss21-summer.hotcrp.com/doc/ndss21-summer-paper121.pdf?cap=0121aPNQ0EBTM4to (дата обращения: 12.12.2020).

11. A Comparison of Malware Detection Techniques Based on Hidden Markov Model, 2016.
URL: https://www.scirp.org/pdf/JIS_2016042209291406.pdf (дата обращения: 20.02.2022)

12. Kalinkin A. Ransomware detection, 2022. URL: https://github.com/kalinkinartem1/Ransomware-detection (дата обращения: 20.02.2022).

13. Introduction to One-class Support Vector Machines, 2013.
URL: http://rvlasveld.github.io/blog/2013/07/12/introduction-to-one-class-support-vector-machines/ (дата обращения: 20.02.2022).

14. Anomaly detection using Isolation Forest – A Complete Guide, 2021.
URL: https://www.analyticsvidhya.com/blog/2021/07/anomaly-detection-using-isolation-forest-a-complete-guide/ (дата обращения: 20.02.2022).

15. Anomaly Detection Techniques in Python, 2019. URL: https://medium.com/learningdatascience/anomaly-detection-techniques-in-python-50f650c75aaf (дата обращения: 20.02.2022).