The ransomware detection and prevention tool design by using signature and anomaly based detection methods

Abstract

Bilgisayarınızın ekranında `tüm dosyalarınız şifreleme algoritmaları kullanılarak şifrelenmiştir, şifreli dosyalarınıza erişebilmek için belirtilen süre içerisinde fidye ödemelisiniz, ödemezseniz dosyalarınıza bir daha erişemeyeceksiniz` benzeri bir mesaj çıkıyor ise, dosyalarınız büyük olasılıkla güçlü şifreleme algoritmaları kullanılarak saldırgan tarafından fidye yazılımlarından biri kullanılarak şifrelenmiştir.Sürekli kendini geliştirip güncelleyerek ağ ve bilgisayar ortamına aktarılan fidye yazılımları, saldırganlar tarafından en çok kullanılan zararlı yazılım çeşididir. Fidye yazılımları kullanıcıların dosyalarını güçlü kriptografik algoritmalar kullanarak şifrelemekte ve dosyaların açılabilmesi için de kullanıcıdan fidye istemektedir. İstenilen fidye miktarının ödenmesi sonucunda da dosyalar sadece kullanıcıya teslim edilen özel anahtar ile açılabilmektedir. Günümüzde birçok bilgisayarları hedef alan fidye yazılımları, saldırganlar tarafından yaygın olarak kullanılmakta ve her geçen gün de ailelerine yenileri eklenmektedir. Bu tip saldırılarda en çok kullanılan atak vektörleri, sosyal mühendislik tekniklerinin de kullanıldığı spam veya oltalama e-postalarıdır. Fidye yazılımları genellikle insan müdahalesi olmadan ağ üzerinde yayıldığından, bu tehdide maruz kalan mağdur sayısı da çok fazladır. Fidye yazılımlarına hedef olan dosya tipleri ise sürekli olarak değişmekte ve çeşitlilik arz etmektedir. Şu ana kadar fidye yazılımları saldırılarının hedef aldığı 70'den fazla dosya tipi bulunmaktadır.Zaman geçtikçe saldırganların kullandığı yöntemlerde birçok değişiklik meydana gelmiş, tehdidin boyutu ve etkisi de buna paralel bir şekilde artmıştır. Nihayetinde günümüzdeki yeni nesil fidye yazılımları halini almışlardır. Örneğin, yeni nesil fidye yazılımları hedef bilgisayardaki dosyaları şifrelerken hem simetrik hem de asimetrik şifreleme yöntemlerinin birlikte kullanıldığı hibrit şifreleme mekanizmasını tercih etmektedir. Saldırganın atlama noktaları üzerinden hedefine ulaşırken kendi konumunu gizlemesi sonucunda tespitinin çok zor hale gelmesi, istenen fidyenin ödenmesi için benzersiz ödeme mekanizması sağlayan Bitcoin kripto parasının kullanılması, şifrelenen dosyaların en çok kullanılan dosyalardan oluşması ve karşılığında kullanıcı veya kurumun fidye ödemek zorunda bırakılması fidye yazılımlarının diğer zararlı yazılımlara tercih edilmesine sebep olmuştur.Günümüze kadar fidye yazılımları ile şifrelenen dosyaların geri açılabilmesi için istenen fidye çeşitli yöntemlerle saldırgana ödenmiştir. Günümüzde ise genellikle saldırgan açısından kolaylık ve güvenlik sağlayan de facto standart haline gelen Bitcoin kripto parası kullanılmaktadır.Zararlı yazılımlar ile ilgili istatistiksel verilere baktığımızda fidye yazılımı tehdidinin hem kullanıcı bilgisayarlarında hem de organizasyonlarda ne kadar büyük maddi hasara sebep olduğu görülmektedir. 2017 yılı verilerine göre, zararlı yazılımlar içerisinde fidye yazılımlarının oranı yaklaşık yüzde 60 iken, meydana getirdiği zarar ise yaklaşık 5 milyar dolardır.Bilgisayarlarda kullanılan birçok antivirüs ve güvenlik yazılımları, veritabanlarındaki hash imza örnekleri ile statik analiz işlemi yapmaktadır. Bu sebeple sadece fidye yazılımları değil diğer zararlı yazılımların tespitinde de başarısız olmaktadırlar. Fidye yazılımları genellikle imza tabanlı tespit yöntemini kullanan antivirüs ve güvenlik yazılımlarını atlatabilmek için geliştiricileri tarafından sürekli yenilenmektedir. Dolayısıyla her geçen gün fidye yazılımları çok daha karmaşık ve tehlikeli bir hal almaktadır.Özellikle sıfırıncı gün ataklarının imza hash örnekleri antivirüs veritabanlarına kaydedilmemiş olduğundan, fidye yazılımının anomali tabanlı tespit yöntemini de kullanılarak tespit edilmesi büyük önem arz etmektedir. Anomali tabanlı tespit yapılabilmesi için en önemli zaruri faktör ise zararlının yeteneğini ve davranışlarını tespit edebilecek kadar veriyi analiz edebilmektir. Anomali tabanlı tespit yöntemi iki aşamadan oluşmaktadır. Bunlar `eğitim/öğrenme` ve `monitör/tespit` aşamalarıdır. Eğitim aşamasında birçok akademik yayınlardan ve önde gelen uluslararası siber güvenlik firmalarının raporlarından faydalanılmıştır. Ayrıntılı literatür taraması ve Kali Linux, Windows 7 ve Windows 10 makineler üzerinde yapılan testler sonucu en temel fidye yazılımlarının davranışları öğrenilmiştir. Başka bir ifadeyle, makine öğrenmesi teknikleri kullanılmamış, aracımızın tasarlanması için fidye yazılımlarının olağan ve anormal davranışları bir çok kaynaktan elde edilmiş ve monitör aşamasında girdi olarak kullanılmıştır.Fidye yazılımlarının Windows işletim sistemlerine sahip makinelerde nasıl tespit edilebileceği ve engellenebileceği çalışmamızda yer almaktadır. Önerdiğimiz fidye yazılımı tespit ve önleme aracımız Windows işletim sistemindeki servislerin, işlemlerin davranışları ile kütük kayıtlarını kontrol edecek ve fidye yazılımının dosya sistemi üzerindeki başlatmaya çalıştığı şifreleme işlemlerini sürekli olarak takip edecektir. Ayrıca yeni nesil fidye yazılımlarının kullandığı yöntem olan asimetrik şifreleme anahtarlarını saklandığı C&C sunucusu ile bağlantı kurup kurmadığı, ağ trafiği analizi ve bilgisayara indirilen dosyaların statik olarak imza tabanlı kontrolünü de yapacaktır.Çalışmamızda fidye yazılımlarının olağan davranışları tespit edilerek bu davranışların meydana geldiği zaman şifreleme işlemi başlamadan önce engelleyen fidye yazılımı tespit ve önleme aracının oluşturulması amaçlanmıştır. Bu aracı oluştururken hem anomali tabanlı hem de imza tabanlı tespit yöntemleri kullanılmıştır. Tespit yöntemleri altında da statik, dinamik ve hibrit olmak üzere üç farklı teknik kullanılmaktadır. Statik tespit tekniği zararlı çalıştırılmadan önce engellenmesini, dinamik tespit tekniği zararlının çalışıyorken veya sonrasında engellenmesini, hibrit tespit tekniği ise zararlının sürekli olarak kontrolünü kapsamaktadır. Aracımızın hibrit tespit tekniğini kullanarak, hem imza tabanlı hem de anomali tabanlı tespit metotlarını kullanıyor olması, fidye yazılımı tespit ve önleme amaçlı kullanılan diğer araçlara olan üstünlükleridir.İmza tabanlı tespit yöntemi yanı sıra anomali tabanlı tespit yöntemini de kullanan hibrit bir yapıdaki fidye yazılımı tespit ve önleme aracının fidye yazılımlarını, minimum yanlış alarm oranı ile en az dosya kaybı yaşanacak şekilde tespit etme ve önleme konusunda çok daha başarılı olacağı da aşikârdır. Fidye yazılımı tespit ve önleme aracımız, imza tabanlı ve anomali tabanlı tespit aşamalarında bir anormallik tespit ettiğinde kullanıcıya erken bir uyarı sağlayacak ve fidye yazılımının çalışmasını engelleyecektir. Ayrıca aracımız anomali tabanlı tespit aşaması sayesinde sadece bilinen fidye yazılımlarına karşı değil aynı zamanda daha önce hiç var olmamış sıfırıncı gün fidye yazılımlarına karşı da koruma sağlayacaktır. Çalışmamızın temel amacı, fidye yazılımlarına karşı korunmak için ticari yazılımlara yüksek ücretler ödemeye gerek duymayan bir çözüm olarak kullanılabilecek bir fidye yazılımı tespit ve önleme aracının temel özellikleri ile ilgili kullanıcılara, yazılım geliştiricilere ve güvenlik yöneticilerine bakış açısı kazandırmak ve öneriler sunabilmektir. Bu sebeple de çalışmamızın Ek'inde önerdiğimiz fidye yazılımı tespit ve önleme aracının python programlama dilinde yazılmış kodu da sunulmaktadır. Geliştirmeye açık olan bu kodun, ticari bir fidye yazılımı tespit ve önleme aracının tasarlanmasında örnek teşkil edeceği ve fidye yazılımları ile ilgili ileride hazırlanacak akademik çalışmalara da yol gösterici olacağı düşünülmektedir.

Ransomware, which constantly improves by updating itself and transferring to the network and computing environment, is the most common type of malware used by the attackers recently. Ransomware demands ransom from the user for decrypting the encrypted files. As a result of the payment of the desired amount of ransom, the files can be opened with the decryption key delivered to the user.Various antivirus software using signature-based detection method fail to detect the malware because they perform analysis via hash signature samples in databases. Because hash signature samples of zero-day attacks are not recorded in antivirus software databases, detecting ransomware by using anomaly-based detection method is more effective. The most important factor for anomaly-based detection method is to be able to analyze the data sufficiently to determine the ability and the behavior of the ransomware. This method consists of two phases. These are `training/learning` and `monitoring/detecting` phases. In training phase, many academic publications, international cyber security vendors' reports on ransomware, and interview with cyber security experts have been examined and utilized during bringing out our study, and consequently, the attack vectors of the ransomware, the core features, the identification methods and the movements based on the Windows OSs have been found. That is, machine learning techniques have not been used, and so all materials have been evaluated as inputs to the design of our tool.In our study, after presenting the behavior of the ransomware in detail, in the monitoring/detecting phase, how the ransomware detection and prevention tool should be created to detect and prevent ransomware on Windows OSs will be explained. It is also evident that the tool in the hybrid structure using signature-based detection method, along with anomaly-based detection method, will be even more successful in detecting and preventing ransomware with minimum false-positive rate and minimum file loss.We consider that we can give a better perspective to the users, software developers, and security administrators about the key features of the ransomware detection and prevention tool that can be used as a solution that does not require high fees for commercial software to protect against ransomware, and we can more easily take measures against ransomware. In our study, the code written in the Python programming language of the ransomware detection and prevention tool proposed in the Appendices of our study is also presented. This code, which is open to development, is thought to be an example of the design of a commercial ransomware detection and prevention tool and maybe a guide to future academic studies on ransomware and other malicious software.