Diseño e implementación de prototipos para detección de comportamiento malicioso
El ransomware es un tipo de programa malicioso que ha visto un crecimiento constante en los últimos años. Con el objetivo de facilitar su detección y disminuir el impacto que tiene, surgió CryptoDrop, un programa que permite detectar ransomware por medio de 3 indicadores principales que permiten det...
- Autores:
-
Muñoz Ardila, Miguel Andrés
- Tipo de recurso:
- Trabajo de grado de pregrado
- Fecha de publicación:
- 2021
- Institución:
- Universidad de los Andes
- Repositorio:
- Séneca: repositorio Uniandes
- Idioma:
- spa
- OAI Identifier:
- oai:repositorio.uniandes.edu.co:1992/55235
- Acceso en línea:
- http://hdl.handle.net/1992/55235
- Palabra clave:
- Programas maliciosos
CryptoDrop
Detección de ramsonware
Ingeniería
- Rights
- openAccess
- License
- http://creativecommons.org/licenses/by-nc-nd/4.0/
| id |
UNIANDES2_cb831ef02c97546e7033855b4d9819e2 |
|---|---|
| oai_identifier_str |
oai:repositorio.uniandes.edu.co:1992/55235 |
| network_acronym_str |
UNIANDES2 |
| network_name_str |
Séneca: repositorio Uniandes |
| repository_id_str |
|
| dc.title.spa.fl_str_mv |
Diseño e implementación de prototipos para detección de comportamiento malicioso |
| title |
Diseño e implementación de prototipos para detección de comportamiento malicioso |
| spellingShingle |
Diseño e implementación de prototipos para detección de comportamiento malicioso Programas maliciosos CryptoDrop Detección de ramsonware Ingeniería |
| title_short |
Diseño e implementación de prototipos para detección de comportamiento malicioso |
| title_full |
Diseño e implementación de prototipos para detección de comportamiento malicioso |
| title_fullStr |
Diseño e implementación de prototipos para detección de comportamiento malicioso |
| title_full_unstemmed |
Diseño e implementación de prototipos para detección de comportamiento malicioso |
| title_sort |
Diseño e implementación de prototipos para detección de comportamiento malicioso |
| dc.creator.fl_str_mv |
Muñoz Ardila, Miguel Andrés |
| dc.contributor.advisor.none.fl_str_mv |
Rueda Rodríguez, Sandra Julieta |
| dc.contributor.author.spa.fl_str_mv |
Muñoz Ardila, Miguel Andrés |
| dc.subject.keyword.none.fl_str_mv |
Programas maliciosos CryptoDrop Detección de ramsonware |
| topic |
Programas maliciosos CryptoDrop Detección de ramsonware Ingeniería |
| dc.subject.themes.none.fl_str_mv |
Ingeniería |
| description |
El ransomware es un tipo de programa malicioso que ha visto un crecimiento constante en los últimos años. Con el objetivo de facilitar su detección y disminuir el impacto que tiene, surgió CryptoDrop, un programa que permite detectar ransomware por medio de 3 indicadores principales que permiten detectar el comportamiento típico de programas de ransomware, de tal manera que CryptoDrop es capaz de detener el proceso malicioso antes de que cumpla su objetivo completamente. Este proyecto implementa un monitoreo con base en estos indicadores, en una plataforma Linux. Adicionalmente, se proponen alternativas para mejorar los resultados finales y se comparan las nuevas opciones. Como alternativa que busca mejorar los resultados iniciales obtenidos por CryptoDrop, se desarrolló un prototipo basado en este mismo, el cual utiliza 3 indicadores esenciales propuestos por CryptoDrop y a este se le añadió un componente clave encontrado en otras soluciones para el ransomware, la creación de un backup de la información monitoreada para poder asegurar que esta pueda ser recuperada en caso de que antes de lograr detener el ransomware este ya haya encriptado parte de la información, situación en la cual la información original podría perderse permanentemente. Este acercamiento proporcionó resultados en general exitosos, logrando mantener una tasa muy baja de archivos encriptados por el ransomware antes de ser detenido (6 archivos en el peor de los casos), a la vez que se logra una tasa de recuperación del 100% de los archivos encriptados, gracias al backup realizado previamente. Sin embargo, esta solución conlleva un alto costo de capacidad de almacenamiento en la máquina. Por otro lado, falla en disminuir la presencia de falsos positivos como resultado del uso de archivadores por compresión como es el caso de 7-Zip o WinRAR; esto se debe a que los cambios en los archivos provocados por estos programas dan resultados muy similares a los que podría dar un programa ransomware. |
| publishDate |
2021 |
| dc.date.issued.none.fl_str_mv |
2021 |
| dc.date.accessioned.none.fl_str_mv |
2022-02-22T19:53:40Z |
| dc.date.available.none.fl_str_mv |
2022-02-22T19:53:40Z |
| dc.type.spa.fl_str_mv |
Trabajo de grado - Pregrado |
| dc.type.driver.spa.fl_str_mv |
info:eu-repo/semantics/bachelorThesis |
| dc.type.version.spa.fl_str_mv |
info:eu-repo/semantics/acceptedVersion |
| dc.type.coar.spa.fl_str_mv |
http://purl.org/coar/resource_type/c_7a1f |
| dc.type.content.spa.fl_str_mv |
Text |
| dc.type.redcol.spa.fl_str_mv |
http://purl.org/redcol/resource_type/TP |
| format |
http://purl.org/coar/resource_type/c_7a1f |
| status_str |
acceptedVersion |
| dc.identifier.uri.none.fl_str_mv |
http://hdl.handle.net/1992/55235 |
| dc.identifier.pdf.spa.fl_str_mv |
26116.pdf |
| dc.identifier.instname.spa.fl_str_mv |
instname:Universidad de los Andes |
| dc.identifier.reponame.spa.fl_str_mv |
reponame:Repositorio Institucional Séneca |
| dc.identifier.repourl.spa.fl_str_mv |
repourl:https://repositorio.uniandes.edu.co/ |
| url |
http://hdl.handle.net/1992/55235 |
| identifier_str_mv |
26116.pdf instname:Universidad de los Andes reponame:Repositorio Institucional Séneca repourl:https://repositorio.uniandes.edu.co/ |
| dc.language.iso.spa.fl_str_mv |
spa |
| language |
spa |
| dc.rights.uri.*.fl_str_mv |
http://creativecommons.org/licenses/by-nc-nd/4.0/ |
| dc.rights.accessrights.spa.fl_str_mv |
info:eu-repo/semantics/openAccess |
| dc.rights.coar.spa.fl_str_mv |
http://purl.org/coar/access_right/c_abf2 |
| rights_invalid_str_mv |
http://creativecommons.org/licenses/by-nc-nd/4.0/ http://purl.org/coar/access_right/c_abf2 |
| eu_rights_str_mv |
openAccess |
| dc.format.extent.spa.fl_str_mv |
27 páginas |
| dc.format.mimetype.spa.fl_str_mv |
application/pdf |
| dc.publisher.spa.fl_str_mv |
Universidad de los Andes |
| dc.publisher.program.spa.fl_str_mv |
Ingeniería de Sistemas y Computación |
| dc.publisher.faculty.spa.fl_str_mv |
Facultad de Ingeniería |
| dc.publisher.department.spa.fl_str_mv |
Departamento de Ingeniería de Sistemas y Computación |
| institution |
Universidad de los Andes |
| bitstream.url.fl_str_mv |
https://repositorio.uniandes.edu.co/bitstreams/5dbac58e-c6fc-4740-a6c4-48c5216bebf4/download https://repositorio.uniandes.edu.co/bitstreams/70214674-f18e-4296-9f68-0484e835ef78/download https://repositorio.uniandes.edu.co/bitstreams/c46aa225-8595-4101-9ebe-036c4e1b09fe/download |
| bitstream.checksum.fl_str_mv |
0086cb55e6c4a97874ad2a1f1b656865 846b7f3e7890b61add017a9dc7a5ad84 8efe8bd22d6c103f82609b6683bd2ad9 |
| bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 |
| repository.name.fl_str_mv |
Repositorio institucional Séneca |
| repository.mail.fl_str_mv |
adminrepositorio@uniandes.edu.co |
| _version_ |
1818111887554904064 |
| spelling |
Al consultar y hacer uso de este recurso, está aceptando las condiciones de uso establecidas por los autores.http://creativecommons.org/licenses/by-nc-nd/4.0/info:eu-repo/semantics/openAccesshttp://purl.org/coar/access_right/c_abf2Rueda Rodríguez, Sandra Julietavirtual::10642-1Muñoz Ardila, Miguel Andrés6ed93c1b-abe7-44f3-981e-c5300aa7b1595002022-02-22T19:53:40Z2022-02-22T19:53:40Z2021http://hdl.handle.net/1992/5523526116.pdfinstname:Universidad de los Andesreponame:Repositorio Institucional Sénecarepourl:https://repositorio.uniandes.edu.co/El ransomware es un tipo de programa malicioso que ha visto un crecimiento constante en los últimos años. Con el objetivo de facilitar su detección y disminuir el impacto que tiene, surgió CryptoDrop, un programa que permite detectar ransomware por medio de 3 indicadores principales que permiten detectar el comportamiento típico de programas de ransomware, de tal manera que CryptoDrop es capaz de detener el proceso malicioso antes de que cumpla su objetivo completamente. Este proyecto implementa un monitoreo con base en estos indicadores, en una plataforma Linux. Adicionalmente, se proponen alternativas para mejorar los resultados finales y se comparan las nuevas opciones. Como alternativa que busca mejorar los resultados iniciales obtenidos por CryptoDrop, se desarrolló un prototipo basado en este mismo, el cual utiliza 3 indicadores esenciales propuestos por CryptoDrop y a este se le añadió un componente clave encontrado en otras soluciones para el ransomware, la creación de un backup de la información monitoreada para poder asegurar que esta pueda ser recuperada en caso de que antes de lograr detener el ransomware este ya haya encriptado parte de la información, situación en la cual la información original podría perderse permanentemente. Este acercamiento proporcionó resultados en general exitosos, logrando mantener una tasa muy baja de archivos encriptados por el ransomware antes de ser detenido (6 archivos en el peor de los casos), a la vez que se logra una tasa de recuperación del 100% de los archivos encriptados, gracias al backup realizado previamente. Sin embargo, esta solución conlleva un alto costo de capacidad de almacenamiento en la máquina. Por otro lado, falla en disminuir la presencia de falsos positivos como resultado del uso de archivadores por compresión como es el caso de 7-Zip o WinRAR; esto se debe a que los cambios en los archivos provocados por estos programas dan resultados muy similares a los que podría dar un programa ransomware.Ransomware is a type of malware that has seen a constant growth over the last years. With the objective of facilitate its detection and diminish the impact that it has, CryptoDrop was created, a program that allows the detection of Ransomware using 3 main indicators that allow detecting the most common Ransomware behavior, this way CryptoDrop can stop the process before it can accomplish its objective. This project implements a monitoring process based in these indicators, in a Linux platform. Additionally, alternatives to improve the new results are proposed and new options are compared. As an alternative to improve the original results obtained by CryptoDrop, a prototype based on the same was developed, this one uses the 3 main indicators proposed by CryptoDrop and a key component found in other Ransomware alternatives is added, the creation of a backup of the monitored information that allows the recovery of all and any files that might have been encrypted before the detection of the malicious software, situation in which originally the information might have been lost for good. This approach accomplishes overall successful results, managing to maintain a very low rate of encrypted files by the ransomware before being stopped (6 files in the worst case), at the same time a recovery rate of 100% is obtained, thanks to the backup implemented. However, this alternative carries a heavy cost in Disk Storage. Furthermore, this approach fails recognizing false positives that appear with the use of compression filers, like 7-Zip o WinRAR, this is due to the behavior exhibit by these programs that is very similar to the ones of the Ransomware. Considering what is mentioned so far, future works in the area might potentially be focused on finding a solution that needs less Disk Storage, as well as finding differences in the behavior of the Ransomware against programs like WinRAR to diminish the number of fake positives allowing a better user experience.Ingeniero de Sistemas y ComputaciónPregrado27 páginasapplication/pdfspaUniversidad de los AndesIngeniería de Sistemas y ComputaciónFacultad de IngenieríaDepartamento de Ingeniería de Sistemas y ComputaciónDiseño e implementación de prototipos para detección de comportamiento maliciosoTrabajo de grado - Pregradoinfo:eu-repo/semantics/bachelorThesisinfo:eu-repo/semantics/acceptedVersionhttp://purl.org/coar/resource_type/c_7a1fTexthttp://purl.org/redcol/resource_type/TPProgramas maliciososCryptoDropDetección de ramsonwareIngeniería201615987Publicationhttps://scholar.google.es/citations?user=picn4ngAAAAJvirtual::10642-10000-0002-2111-9348virtual::10642-1https://scienti.minciencias.gov.co/cvlac/visualizador/generarCurriculoCv.do?cod_rh=0000143111virtual::10642-1e336d2eb-f251-470f-b975-2d5e63ce65c9virtual::10642-1e336d2eb-f251-470f-b975-2d5e63ce65c9virtual::10642-1THUMBNAIL26116.pdf.jpg26116.pdf.jpgIM Thumbnailimage/jpeg8801https://repositorio.uniandes.edu.co/bitstreams/5dbac58e-c6fc-4740-a6c4-48c5216bebf4/download0086cb55e6c4a97874ad2a1f1b656865MD53TEXT26116.pdf.txt26116.pdf.txtExtracted texttext/plain59720https://repositorio.uniandes.edu.co/bitstreams/70214674-f18e-4296-9f68-0484e835ef78/download846b7f3e7890b61add017a9dc7a5ad84MD52ORIGINAL26116.pdfapplication/pdf800117https://repositorio.uniandes.edu.co/bitstreams/c46aa225-8595-4101-9ebe-036c4e1b09fe/download8efe8bd22d6c103f82609b6683bd2ad9MD511992/55235oai:repositorio.uniandes.edu.co:1992/552352024-03-13 14:14:19.357http://creativecommons.org/licenses/by-nc-nd/4.0/open.accesshttps://repositorio.uniandes.edu.coRepositorio institucional Sénecaadminrepositorio@uniandes.edu.co |