Ransomware behaviour analysis in Linux environment

Dias, Ricardo Cunha

Ransomware behaviour analysis in Linux environment

Detalhes bibliográficos
Autor(a) principal:	Dias, Ricardo Cunha
Data de Publicação:	2024
Tipo de documento:	Dissertação
Idioma:	eng
Título da fonte:	Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)
Texto Completo:	https://hdl.handle.net/1822/94074
Resumo:	Dissertação de mestrado em Informatics Engineering

Metadados do item

id	RCAP_87c74705d48b608c38daad9cb92f80c4
oai_identifier_str	oai:repositorium.sdum.uminho.pt:1822/94074
network_acronym_str	RCAP
network_name_str	Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)
repository_id_str	https://opendoar.ac.uk/repository/7160
spelling	Ransomware behaviour analysis in Linux environmentSystem calls analysisRansowmareBehaviour analysisInformation securityLinux securityAnálise de chamadas ao sistemaRansowmareAnálise comportamentalSegurança da informaçãoSegurança em LinuxEngenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e InformáticaDissertação de mestrado em Informatics Engineeringn the current spectrum of the world, there’s been a significant increase in cybersecurity threats, one of each is ransomware threats from whom Linux environments have become a more recent target compared to Windows environments and the area of study of ransomware in Linuxsystems have been relatively under studied compared to their Windows counterparts, despite the growing diversity of Linux operating systems and their significance in various infrastructures. To address this research gap, this dissertation conducts a comprehensive investigation into the behaviour of ransomware in a compromised Linux system. The study employs both Static and Dynamic analyses to gain insights into the behaviours and characteristics of three distinct ransomware payload families, Avos, RansomExx, and REvil. To test the analysis, a customized sandbox environment has been developed using VirtualBox (Oracle, 2023) and the Lubuntu operating system. A set of automated tests have been created with shell and python scripts to carry out Dynamic analysis tests. The Static Analysis uncovered that these payload families contained visible strings associated with malicious activities, and some of the executables presented obfuscation to challenge reverse engineering efforts. This suggests a strong likelihood that the payload’s primary objective is malicious. In the Dynamic Analysis, examining ransomware payloads in action yielded valuable insights. Notably, the analysis uncovered that the overall behaviour is significantly similar between all three families studied. The research also identified the influence of the number of files and file size on the ransomware behaviour, particularly in terms of execution time and the number of executions by the system calls. This effect highlights the importance of specific system calls, such as write, read, lseek, stat, and newfstat. This system calls plays a crucial role in the behaviour of ransomware payloads across the families studied, and they also highlight the similarities with file-intensive programs with no maliciousness. Intricate relationships are also observed between lseek,read, and write system calls, indicating efficient file manipulation by the ransomware. Some patterns found that might help distinguish the payloads from non-malicious behaviour are the intriguing pattern discovered between error behaviour and the system call futex. In the payloads where the system call futex is present, the majority of the errors that occurred during the payloads execution are related to this system call this pattern although not as evident is also replicated in the clock_nanosleep system call behaviour. A distinguishable pattern found in the rename and chmod system callsis that the number of executions is the same as the number of files present in the directory encrypted. This research also allowed to detect in the studied families, a process behaviour that showed specific malicious intentions targeting VMware systems, confirming the findings from (VMware, 2022). In the realm of future research, this study paves the way for further exploration of the significance of specific system calls in ransomware payloads and their responses to various environmental factors. This understanding can significantly enhance ransomware detection methods in Linux systems. Moreover, it sets the stage for future investigations into Linux ransomware across diverse scenarios, including different Linux operating systems, containerized environments, and a wide array of ransomware payloads, such as Locker Ransomware.No mundo atual, tem-se observado um aumento significativo de ameaças a nível de cibersegurança, uma das quais são as ameaças de ransomware, das quais os ambientes Linux se tornaram um alvo recente comparativamente aos ambientes Windows. Esta área de estudo de ransomware em sistemas Linux está relativamente pouco estudada comparativamente aos sistemas Windows, apesar da crescente diversidade de sistemas operativos Linux e da sua importância em várias infraestruturas. Para colmatar esta carência ao nível da investigação, esta dissertação conduz uma investigação compreensiva sobre o comportamento do ransomware num sistema Linux afetado. Este estudo utiliza análises estáticas e dinâmicas para obter informações sobre os comportamentos e as características de três famílias distintas de cargas úteis de ransomware Avos, RansomExx e REvil. Para testar a análise, foi desenvolvido um ambiente sandbox personalizado utilizando o VirtualBox (Oracle, 2023) e o sistema operativo Lubuntu. Foi criado um conjunto de testes automatizados com o auxilio de scripts shell e python para efetuar testes análise dinâmica. O Análise estática revelou que os binários destas famílias de ransomware continham cadeias de caracteres visíveis associadas a actividades maliciosas e alguns dos binários apresentavam ofuscação para desafiar os esforços de engenharia reversa. Isto sugere uma forte probabilidade de o objetivo principal do payload ser malicioso. Na Analise Dinâmica, que permite examinar as executáveis em ação, permitiu obter informação valiosa. A análise revelou que o comportamento geral é significativamente semelhante entre as três famílias estudadas. Além disso, a investigação identificou a influência do número de ficheiros e do tamanho dos ficheiros no comportamento do ransomware, particularmente em termos de tempo de execução e do número de execuções de chaamdas ao sistema. Este efeito realça a importância de algumas chamadas ao sistema específicas, tais como write, read, lseek, stat e newfstat. Estas chamadas ao sistema desempenham um papel crucial no comportamento dos payloads de ransomware nas famílias estudadas, embora também realce as semelhanças de comportamento com programas de ficheiros intensivos sem intenções maliciosas. São também observadas relações intrincadas entre as chamadas ao sistema lseek,read e write, indicando uma manipulação eficiente dos ficheiros por parte do ransomware. Alguns padrões encontrados que podem distinguir os payloads de programas não-maliciosos são, o padrão descoberto entre o comportamento de erros e a chamada ao sistema futex. Nos casos em que o futex está presente na execução, a maioria dos erros ocorreu dentro desta chamada ao sistema, este mesmo padrão, embora não tão evidente, também é encontrado na chamada ao sistema clock_nanosleep. Outro padrão interessatne encontrado é o padrão presente nas chamadas ao sistema rename e chmod estas têm sempre o mesmo número de execuções que o número de ficheiros presentes na diretoria que foi afetada. Esta investigação permitiu ainda detetar, que nas famílias estudadas, um comportamento nos processes que revelam intenções maliciosas específicas dirigidas a sistemas VMware, confirmando as conclusões do estudo (VMware, 2022). No âmbito de futuras investigações, este estudo abre caminho para uma maior exploração da im portância de chamadas ao sistema específicas no comportamento do Ransomware e das suas reacções a vários elementos do ambiente. Esta compreensão pode melhorar significativamente os métodos de deteção de ransomware em sistemas Linux. Além disso, prepara o terreno para futuras investigações sobre o ransomware em Linux nos diversos cenários, incluindo diferentes sistemas operativos Linux, ambientes em contêineres e a diferentes tipos de ransomware, como o Locker.Fonte, VictorSilva, João Marco CardosoUniversidade do MinhoDias, Ricardo Cunha2024-06-282024-06-28T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttps://hdl.handle.net/1822/94074eng203670302info:eu-repo/semantics/openAccessreponame:Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)instname:FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologiainstacron:RCAAP2025-01-04T01:19:27Zoai:repositorium.sdum.uminho.pt:1822/94074Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireinfo@rcaap.ptopendoar:https://opendoar.ac.uk/repository/71602025-05-28T19:20:46.191965Repositórios Científicos de Acesso Aberto de Portugal (RCAAP) - FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologiafalse
dc.title.none.fl_str_mv	Ransomware behaviour analysis in Linux environment
title	Ransomware behaviour analysis in Linux environment
spellingShingle	Ransomware behaviour analysis in Linux environment Dias, Ricardo Cunha System calls analysis Ransowmare Behaviour analysis Information security Linux security Análise de chamadas ao sistema Ransowmare Análise comportamental Segurança da informação Segurança em Linux Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática
title_short	Ransomware behaviour analysis in Linux environment
title_full	Ransomware behaviour analysis in Linux environment
title_fullStr	Ransomware behaviour analysis in Linux environment
title_full_unstemmed	Ransomware behaviour analysis in Linux environment
title_sort	Ransomware behaviour analysis in Linux environment
author	Dias, Ricardo Cunha
author_facet	Dias, Ricardo Cunha
author_role	author
dc.contributor.none.fl_str_mv	Fonte, Victor Silva, João Marco Cardoso Universidade do Minho
dc.contributor.author.fl_str_mv	Dias, Ricardo Cunha
dc.subject.por.fl_str_mv	System calls analysis Ransowmare Behaviour analysis Information security Linux security Análise de chamadas ao sistema Ransowmare Análise comportamental Segurança da informação Segurança em Linux Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática
topic	System calls analysis Ransowmare Behaviour analysis Information security Linux security Análise de chamadas ao sistema Ransowmare Análise comportamental Segurança da informação Segurança em Linux Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática
description	Dissertação de mestrado em Informatics Engineering
publishDate	2024
dc.date.none.fl_str_mv	2024-06-28 2024-06-28T00:00:00Z
dc.type.status.fl_str_mv	info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv	info:eu-repo/semantics/masterThesis
format	masterThesis
status_str	publishedVersion
dc.identifier.uri.fl_str_mv	https://hdl.handle.net/1822/94074
url	https://hdl.handle.net/1822/94074
dc.language.iso.fl_str_mv	eng
language	eng
dc.relation.none.fl_str_mv	203670302
dc.rights.driver.fl_str_mv	info:eu-repo/semantics/openAccess
eu_rights_str_mv	openAccess
dc.format.none.fl_str_mv	application/pdf
dc.source.none.fl_str_mv	reponame:Repositórios Científicos de Acesso Aberto de Portugal (RCAAP) instname:FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologia instacron:RCAAP
instname_str	FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologia
instacron_str	RCAAP
institution	RCAAP
reponame_str	Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)
collection	Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)
repository.name.fl_str_mv	Repositórios Científicos de Acesso Aberto de Portugal (RCAAP) - FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologia
repository.mail.fl_str_mv	info@rcaap.pt
_version_	1833598033127800832

Ransomware behaviour analysis in Linux environment

Registros relacionados