Detección de amenazas informáticas de tipo Malware Bancario o Ransomware Móvil hacia dispositivos Android, integrando IOC en una técnica semiautomatizada y con base en comportamientos analizados de incidentes.

Arango Gómez, Oscar Dario

View/Open

Date

2022

Author

Arango Gómez, Oscar Dario

Advisor

Vargas Motoya, Héctor Fernando

TY - GEN T1 - Detección de amenazas informáticas de tipo Malware Bancario o Ransomware Móvil hacia dispositivos Android, integrando IOC en una técnica semiautomatizada y con base en comportamientos analizados de incidentes. AU - Arango Gómez, Oscar Dario Y1 - 2022 UR - http://hdl.handle.net/20.500.12622/5700 PB - Instituto Tecnológico Metropolitano AB - En la Actualidad el uso de dispositivos móviles se ha arraigado de tal manera que dependemos y depositamos toda la información relevante en ellos, por lo anterior es de vital importancia asegurar y cuidar el activo más valioso, la información personal en estos dispositivos. Algunas de las amenazas hacia los dispositivos móviles como los Smartphone se ve reflejado en ataques como el robo de información o el cifrado malicioso, ejecutado a través de malware de tipo Ransomware, por lo cual, para lograr proteger la información lo primero es determinar si un comportamiento es anormal dentro del dispositivo ya sea real o sospechoso o si se trata de un incidente de seguridad o no. Por lo anterior, en este proyecto de grado de maestría se hizo una identificación de amenazas (Ransomware) usando indicadores de compromiso IoC y proponiendo diferentes medidas de control para la reducción de posibles impactos negativos. Por esta razón, el proyecto se desarrolló en varias fase, en la Fase 1 se realizara el estudio de las distribuciones de Android que se usaran ara el desarrollo de esta tesis, enfocándonos en el mayor uso, adicional fue necesario determinar el estado del sistema antes de la ocurrencia de un evento de seguridad para cuando se presente el evento, mediante la caracterización de los Malware bancarios para dispositivos móviles tipo Android en sus dos últimas versiones más usadas, y realizando la caracterización de estos malware por medio de los IoC y así poder comparar en línea la afectación de algún proceso del teléfono haciendo una revisión de múltiples variables como lo son aumento del tráfico de red, alto consumo de CPU o de memoria RAM, lentitud en la respuesta de procesos, ejecución de aplicaciones extrañas, cambios en los archivos de configuración, que en conjunto permiten detectar o inferir que algo extraño está ocurriendo y de forma paralela empezar a perfilar una respuesta acorde con la tipología del evento., después de verificar el estado del sistema se procede a caracterizar los diferentes Indicadores de compromiso para dispositivos móviles. En la Fase 2 se determinó un Mecanismo de clasificación de acuerdo al nivel de impacto de las amenazas al dispositivo Móvil con lo cual se realiza una construcción propia de una tabla de clasificación. En la Fase 3 se realizó la construcción de una herramienta semiautomatizada, que, con baja intervención del usuario, se pudo detectar, clasificar y proponer una remediación básica en tiempo real algunos tipos de malware que quiera afectar un dispositivo. Seguidamente, se conoció la afectación que un Malware realiza en un dispositivo y para esto se tienen los Indicadores de Compromiso o IoC, los cuales describen de forma clara y precisa el actuar y afectación de diferentes códigos maliciosos, luego de tener identificado claramente el actuar de cada código malicioso, se procedió a cargar los IOC a la herramienta semiautomatizada, la cual basada en comportamientos de los procesos del Android en sus dos últimas versiones, se encargara automáticamente de contener la amenaza. En la Fase 4 se realizó la validación del proceso de detección, clasificación y control, así se determinó si esta herramienta logra la protección dispositivos móviles que son usados para las labores diarias, con ello lograr una acción de protección activa y en línea que permita reducir en tiempo real posibles riesgos. Palabras clave: Android, Ataques Informáticos, Incidente de Seguridad, IOC, Malware Bancario, Ransomware, Semiautomatizada, Smartphone. ER - @misc{20.500.12622_5700, author = {Arango Gómez Oscar Dario}, title = {Detección de amenazas informáticas de tipo Malware Bancario o Ransomware Móvil hacia dispositivos Android, integrando IOC en una técnica semiautomatizada y con base en comportamientos analizados de incidentes.}, year = {2022}, abstract = {En la Actualidad el uso de dispositivos móviles se ha arraigado de tal manera que dependemos y depositamos toda la información relevante en ellos, por lo anterior es de vital importancia asegurar y cuidar el activo más valioso, la información personal en estos dispositivos. Algunas de las amenazas hacia los dispositivos móviles como los Smartphone se ve reflejado en ataques como el robo de información o el cifrado malicioso, ejecutado a través de malware de tipo Ransomware, por lo cual, para lograr proteger la información lo primero es determinar si un comportamiento es anormal dentro del dispositivo ya sea real o sospechoso o si se trata de un incidente de seguridad o no. Por lo anterior, en este proyecto de grado de maestría se hizo una identificación de amenazas (Ransomware) usando indicadores de compromiso IoC y proponiendo diferentes medidas de control para la reducción de posibles impactos negativos. Por esta razón, el proyecto se desarrolló en varias fase, en la Fase 1 se realizara el estudio de las distribuciones de Android que se usaran ara el desarrollo de esta tesis, enfocándonos en el mayor uso, adicional fue necesario determinar el estado del sistema antes de la ocurrencia de un evento de seguridad para cuando se presente el evento, mediante la caracterización de los Malware bancarios para dispositivos móviles tipo Android en sus dos últimas versiones más usadas, y realizando la caracterización de estos malware por medio de los IoC y así poder comparar en línea la afectación de algún proceso del teléfono haciendo una revisión de múltiples variables como lo son aumento del tráfico de red, alto consumo de CPU o de memoria RAM, lentitud en la respuesta de procesos, ejecución de aplicaciones extrañas, cambios en los archivos de configuración, que en conjunto permiten detectar o inferir que algo extraño está ocurriendo y de forma paralela empezar a perfilar una respuesta acorde con la tipología del evento., después de verificar el estado del sistema se procede a caracterizar los diferentes Indicadores de compromiso para dispositivos móviles. En la Fase 2 se determinó un Mecanismo de clasificación de acuerdo al nivel de impacto de las amenazas al dispositivo Móvil con lo cual se realiza una construcción propia de una tabla de clasificación. En la Fase 3 se realizó la construcción de una herramienta semiautomatizada, que, con baja intervención del usuario, se pudo detectar, clasificar y proponer una remediación básica en tiempo real algunos tipos de malware que quiera afectar un dispositivo. Seguidamente, se conoció la afectación que un Malware realiza en un dispositivo y para esto se tienen los Indicadores de Compromiso o IoC, los cuales describen de forma clara y precisa el actuar y afectación de diferentes códigos maliciosos, luego de tener identificado claramente el actuar de cada código malicioso, se procedió a cargar los IOC a la herramienta semiautomatizada, la cual basada en comportamientos de los procesos del Android en sus dos últimas versiones, se encargara automáticamente de contener la amenaza. En la Fase 4 se realizó la validación del proceso de detección, clasificación y control, así se determinó si esta herramienta logra la protección dispositivos móviles que son usados para las labores diarias, con ello lograr una acción de protección activa y en línea que permita reducir en tiempo real posibles riesgos. Palabras clave: Android, Ataques Informáticos, Incidente de Seguridad, IOC, Malware Bancario, Ransomware, Semiautomatizada, Smartphone.}, url = {http://hdl.handle.net/20.500.12622/5700} }RT Generic T1 Detección de amenazas informáticas de tipo Malware Bancario o Ransomware Móvil hacia dispositivos Android, integrando IOC en una técnica semiautomatizada y con base en comportamientos analizados de incidentes. A1 Arango Gómez, Oscar Dario YR 2022 LK http://hdl.handle.net/20.500.12622/5700 PB Instituto Tecnológico Metropolitano AB En la Actualidad el uso de dispositivos móviles se ha arraigado de tal manera que dependemos y depositamos toda la información relevante en ellos, por lo anterior es de vital importancia asegurar y cuidar el activo más valioso, la información personal en estos dispositivos. Algunas de las amenazas hacia los dispositivos móviles como los Smartphone se ve reflejado en ataques como el robo de información o el cifrado malicioso, ejecutado a través de malware de tipo Ransomware, por lo cual, para lograr proteger la información lo primero es determinar si un comportamiento es anormal dentro del dispositivo ya sea real o sospechoso o si se trata de un incidente de seguridad o no. Por lo anterior, en este proyecto de grado de maestría se hizo una identificación de amenazas (Ransomware) usando indicadores de compromiso IoC y proponiendo diferentes medidas de control para la reducción de posibles impactos negativos. Por esta razón, el proyecto se desarrolló en varias fase, en la Fase 1 se realizara el estudio de las distribuciones de Android que se usaran ara el desarrollo de esta tesis, enfocándonos en el mayor uso, adicional fue necesario determinar el estado del sistema antes de la ocurrencia de un evento de seguridad para cuando se presente el evento, mediante la caracterización de los Malware bancarios para dispositivos móviles tipo Android en sus dos últimas versiones más usadas, y realizando la caracterización de estos malware por medio de los IoC y así poder comparar en línea la afectación de algún proceso del teléfono haciendo una revisión de múltiples variables como lo son aumento del tráfico de red, alto consumo de CPU o de memoria RAM, lentitud en la respuesta de procesos, ejecución de aplicaciones extrañas, cambios en los archivos de configuración, que en conjunto permiten detectar o inferir que algo extraño está ocurriendo y de forma paralela empezar a perfilar una respuesta acorde con la tipología del evento., después de verificar el estado del sistema se procede a caracterizar los diferentes Indicadores de compromiso para dispositivos móviles. En la Fase 2 se determinó un Mecanismo de clasificación de acuerdo al nivel de impacto de las amenazas al dispositivo Móvil con lo cual se realiza una construcción propia de una tabla de clasificación. En la Fase 3 se realizó la construcción de una herramienta semiautomatizada, que, con baja intervención del usuario, se pudo detectar, clasificar y proponer una remediación básica en tiempo real algunos tipos de malware que quiera afectar un dispositivo. Seguidamente, se conoció la afectación que un Malware realiza en un dispositivo y para esto se tienen los Indicadores de Compromiso o IoC, los cuales describen de forma clara y precisa el actuar y afectación de diferentes códigos maliciosos, luego de tener identificado claramente el actuar de cada código malicioso, se procedió a cargar los IOC a la herramienta semiautomatizada, la cual basada en comportamientos de los procesos del Android en sus dos últimas versiones, se encargara automáticamente de contener la amenaza. En la Fase 4 se realizó la validación del proceso de detección, clasificación y control, así se determinó si esta herramienta logra la protección dispositivos móviles que son usados para las labores diarias, con ello lograr una acción de protección activa y en línea que permita reducir en tiempo real posibles riesgos. Palabras clave: Android, Ataques Informáticos, Incidente de Seguridad, IOC, Malware Bancario, Ransomware, Semiautomatizada, Smartphone. OL Spanish (121)

Bibliographic managers

Refworks

Zotero

BibTeX

CiteULike

Metadata

Show full item record

PDF Documents

Title

Detection of computer threats of the Banking Malware or Mobile Ransomware type towards Android devices, integrating IOC in a semi-automated technique and based on analyzed incident behaviors.

Abstract

En la Actualidad el uso de dispositivos móviles se ha arraigado de tal manera que dependemos y depositamos toda la información relevante en ellos, por lo anterior es de vital importancia asegurar y cuidar el activo más valioso, la información personal en estos dispositivos. Algunas de las amenazas hacia los dispositivos móviles como los Smartphone se ve reflejado en ataques como el robo de información o el cifrado malicioso, ejecutado a través de malware de tipo Ransomware, por lo cual, para lograr proteger la información lo primero es determinar si un comportamiento es anormal dentro del dispositivo ya sea real o sospechoso o si se trata de un incidente de seguridad o no. Por lo anterior, en este proyecto de grado de maestría se hizo una identificación de amenazas (Ransomware) usando indicadores de compromiso IoC y proponiendo diferentes medidas de control para la reducción de posibles impactos negativos. Por esta razón, el proyecto se desarrolló en varias fase, en la Fase 1 se realizara el estudio de las distribuciones de Android que se usaran ara el desarrollo de esta tesis, enfocándonos en el mayor uso, adicional fue necesario determinar el estado del sistema antes de la ocurrencia de un evento de seguridad para cuando se presente el evento, mediante la caracterización de los Malware bancarios para dispositivos móviles tipo Android en sus dos últimas versiones más usadas, y realizando la caracterización de estos malware por medio de los IoC y así poder comparar en línea la afectación de algún proceso del teléfono haciendo una revisión de múltiples variables como lo son aumento del tráfico de red, alto consumo de CPU o de memoria RAM, lentitud en la respuesta de procesos, ejecución de aplicaciones extrañas, cambios en los archivos de configuración, que en conjunto permiten detectar o inferir que algo extraño está ocurriendo y de forma paralela empezar a perfilar una respuesta acorde con la tipología del evento., después de verificar el estado del sistema se procede a caracterizar los diferentes Indicadores de compromiso para dispositivos móviles. En la Fase 2 se determinó un Mecanismo de clasificación de acuerdo al nivel de impacto de las amenazas al dispositivo Móvil con lo cual se realiza una construcción propia de una tabla de clasificación. En la Fase 3 se realizó la construcción de una herramienta semiautomatizada, que, con baja intervención del usuario, se pudo detectar, clasificar y proponer una remediación básica en tiempo real algunos tipos de malware que quiera afectar un dispositivo. Seguidamente, se conoció la afectación que un Malware realiza en un dispositivo y para esto se tienen los Indicadores de Compromiso o IoC, los cuales describen de forma clara y precisa el actuar y afectación de diferentes códigos maliciosos, luego de tener identificado claramente el actuar de cada código malicioso, se procedió a cargar los IOC a la herramienta semiautomatizada, la cual basada en comportamientos de los procesos del Android en sus dos últimas versiones, se encargara automáticamente de contener la amenaza. En la Fase 4 se realizó la validación del proceso de detección, clasificación y control, así se determinó si esta herramienta logra la protección dispositivos móviles que son usados para las labores diarias, con ello lograr una acción de protección activa y en línea que permita reducir en tiempo real posibles riesgos. Palabras clave: Android, Ataques Informáticos, Incidente de Seguridad, IOC, Malware Bancario, Ransomware, Semiautomatizada, Smartphone.

Abstract

At present, the use of mobile devices has taken root in such a way that we depend on and deposit all the relevant information on them, therefore it is of vital importance to ensure and take care of the most valuable asset, the personal information on these devices. Some of the threats to mobile devices such as Smartphones are reflected in attacks such as information theft or malicious encryption, executed through Ransomware-type malware, therefore, in order to protect information, the first thing is to determine if a behavior is abnormal within the device whether real or suspicious or whether it is a security incident or not. Therefore, in this master's degree project, an identification of threats (Ransomware) was made using IoC compromise indicators and proposing different control measures to reduce possible negative impacts. For this reason, the project was developed in several phases, in Phase 1 the study of the Android distributions that will be used for the development of this thesis will be carried out, focusing on the greatest use, additionally it is necessary to determine the state of the system before of the occurrence of a security event for when the event occurs, through the characterization of banking malware for mobile devices such as Android in its last two most used versions, and characterizing these malware through IoCs and thus be able to compare online the affectation of some phone process by reviewing multiple variables such as increased network traffic, high CPU or RAM memory consumption, slow response of processes, execution of strange applications, changes in files of configuration, which together allow us to detect or infer that something strange is happening and in parallel begin to outline a response in accordance With the typology of the event, after verifying the status of the system, we proceed to characterize the different Compromise Indicators for mobile devices. In Phase 2, it is intended to determine a classification mechanism according to the level of impact of the threats to the mobile device, with which an own construction of a classification table is carried out. In Phase 3, the construction of a semi-automated tool will be carried out, which, with low user intervention, detects, classifies and remediates in real time some types of malware that wants to affect a device. Next, it is necessary to know the affectation that a Malware carries out on a device and for this we have the Indicators of Compromise or IoC, which clearly and precisely describe the action and affectation of different malicious codes, after having clearly identified the act of each malicious code, we will proceed to upload the IOCs to the semi-automated tool, which, based on the behavior of the Android processes in its last two versions, will automatically take care of containing the threat. In Phase 4, the validation of the detection, classification and control process will be carried out, in this way it will be determined if this tool achieves the protection of mobile devices that are used for daily tasks, thereby achieving an active and online protection action that allows reducing possible risks in real time. Keywords: Android, Computer Attacks, Security Incident, IOC, Banking Malware, Ransomware, Semi-automated, Smartphone

Statistics Google Analytics

Collections

Maestría en Seguridad Informática [32]

Except where otherwise noted, this item's license is described as http://creativecommons.org/licenses/by-nc-nd/4.0/