Diseño e implementación de prototipos para detección de comportamiento malicioso
El ransomware es un tipo de programa malicioso que ha visto un crecimiento constante en los últimos años. Con el objetivo de facilitar su detección y disminuir el impacto que tiene, surgió CryptoDrop, un programa que permite detectar ransomware por medio de 3 indicadores principales que permiten det...
- Autores:
-
Muñoz Ardila, Miguel Andrés
- Tipo de recurso:
- Trabajo de grado de pregrado
- Fecha de publicación:
- 2021
- Institución:
- Universidad de los Andes
- Repositorio:
- Séneca: repositorio Uniandes
- Idioma:
- spa
- OAI Identifier:
- oai:repositorio.uniandes.edu.co:1992/55235
- Acceso en línea:
- http://hdl.handle.net/1992/55235
- Palabra clave:
- Programas maliciosos
CryptoDrop
Detección de ramsonware
Ingeniería
- Rights
- openAccess
- License
- http://creativecommons.org/licenses/by-nc-nd/4.0/
| Summary: | El ransomware es un tipo de programa malicioso que ha visto un crecimiento constante en los últimos años. Con el objetivo de facilitar su detección y disminuir el impacto que tiene, surgió CryptoDrop, un programa que permite detectar ransomware por medio de 3 indicadores principales que permiten detectar el comportamiento típico de programas de ransomware, de tal manera que CryptoDrop es capaz de detener el proceso malicioso antes de que cumpla su objetivo completamente. Este proyecto implementa un monitoreo con base en estos indicadores, en una plataforma Linux. Adicionalmente, se proponen alternativas para mejorar los resultados finales y se comparan las nuevas opciones. Como alternativa que busca mejorar los resultados iniciales obtenidos por CryptoDrop, se desarrolló un prototipo basado en este mismo, el cual utiliza 3 indicadores esenciales propuestos por CryptoDrop y a este se le añadió un componente clave encontrado en otras soluciones para el ransomware, la creación de un backup de la información monitoreada para poder asegurar que esta pueda ser recuperada en caso de que antes de lograr detener el ransomware este ya haya encriptado parte de la información, situación en la cual la información original podría perderse permanentemente. Este acercamiento proporcionó resultados en general exitosos, logrando mantener una tasa muy baja de archivos encriptados por el ransomware antes de ser detenido (6 archivos en el peor de los casos), a la vez que se logra una tasa de recuperación del 100% de los archivos encriptados, gracias al backup realizado previamente. Sin embargo, esta solución conlleva un alto costo de capacidad de almacenamiento en la máquina. Por otro lado, falla en disminuir la presencia de falsos positivos como resultado del uso de archivadores por compresión como es el caso de 7-Zip o WinRAR; esto se debe a que los cambios en los archivos provocados por estos programas dan resultados muy similares a los que podría dar un programa ransomware. |
|---|