[論文レビュー] Forensic Science International: Digital Investigation
本論文は、NotPetya、Bad Rabbit、Phobosランサムウェアが使用する対称暗号鍵が感染中におけるライブメモリから抽出可能であり、それがファイルの復号に成功する可能性を示している。鍵の存在に関する詳細なタイムライン作成とライブフォレンジック分析により、本研究ではメモリフォレンジックがランサムウェアの緩和および回復に実用的な道筋を提供することを証明した。
Memory was captured from a system infected by ransomware and its contents was examined using live forensic tools, with the intent of identifying the symmetric encryption keys being used. NotPetya, Bad Rabbit and Phobos hybrid ransomware samples were tested during the investigation. If keys were discovered, the following two steps were also performed. Firstly, a timeline was manually created by combining data from multiple sources to illustrate the ransomware's behaviour as well as showing when the encryption keys were present in memory and how long they remained there. Secondly, an attempt was made to decrypt the files encrypted by the ransomware using the found keys. In all cases, the investigation was able to confirm that it was possible to identify the encryption keys used. A description of how these found keys were then used to successfully decrypt files that had been encrypted during the execution of the ransomware is also given. The resulting generated timelines provided a excellent way to visualise the behaviour of the ransomware and the encryption key management practices it employed, and from a forensic investigation and possible mitigation point of view, when the encryption keys are in memory.
研究の動機と目的
- 現代のランサムウェアファミリーが使用する対称暗号鍵が、感染が進行中のシステムメモリに特定可能かどうかを調査すること。
- 複数のフォレンジックソースからのデータを関連付けることで、メモリ内での暗号鍵の存在と持続時間に焦点を当てたランサムウェア行動のタイムラインを構築すること。
- ライブメモリ分析により発見された鍵を用いて、ランサムウェアで暗号化されたファイルを復号する可能性を評価すること。
- 一時的な暗号鍵を特定・活用するフォレンジック手法を提供し、インcidet対応およびデータ回復を支援すること。
提案手法
- NotPetya、Bad Rabbit、Phobosランサムウェアの標本で感染したシステムに対して、ライブメモリの取得を実施した。
- 取得したメモリイメージを解析するため、ライブフォレンジックツールを用いて対称暗号鍵を特定した。
- 複数のフォレンジックソースからのデータ統合により、ランサムウェアの活動の順序をマップする手動のタイムラインを構築した。
- 特に、暗号鍵がメモリに出現したタイミングと、その保持期間を追跡した。
- 抽出された鍵を用いた復号試行により、その正しさと有用性を検証した。
- 鍵が上書きまたは削除される前に一時的な鍵状態をキャプチャできるよう、リアルタイム分析を重視した。
実験結果
リサーチクエスチョン
- RQ1現代のランサムウェアが使用する対称暗号鍵は、ライブシステムメモリから信頼性を持って抽出可能か?
- RQ2暗号化プロセスの開始後、ランサムウェアの暗号鍵はメモリにどの程度の期間保持されるか?
- RQ3鍵の存在と行動のタイムラインを再構築することで、ランサムウェアの動作と鍵管理の理解が可能か?
- RQ4抽出された鍵を用いて、ランサムウェアで暗号化されたファイルを成功裏に復号することは可能か?
主な発見
- 本研究では、NotPetya、Bad Rabbit、Phobosランサムウェアが使用する対称暗号鍵がライブメモリで実際に特定可能であることが確認された。
- 暗号鍵は測定可能な期間、メモリ内に保持されており、フォレンジック取得および回復のための時間的余地が存在した。
- 作成されたタイムラインは、ランサムウェアの行動と鍵ライフサイクルを効果的に可視化しており、フォレンジック分析を支援した。
- メモリから抽出された鍵を用いた暗号解除が成功したため、実用的な回復可能性が裏付けられた。
- 結果として、ライブメモリフォレンジックがランサムウェアの緩和およびデータ復旧に実用的であることが示された。
- 本アプローチにより、身代金を支払わずにインcidet対応担当者がデータを回復するための実用的かつ具体的なフォレンジックの道筋が提供された。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。