Skip to main content
QUICK REVIEW

[论文解读] Forensic Science International: Digital Investigation

Simon Davies, Richard Macfarlane|arXiv (Cornell University)|Dec 15, 2020
Advanced Malware Detection Techniques被引用 89
一句话总结

本文证明,通过在感染过程中对内存进行实时分析,可以从未加密的NotPetya、Bad Rabbit和Phobos勒索病毒中提取对称加密密钥,从而成功解密文件。通过构建关键密钥存在的详细时间线并结合实时取证分析,本研究证明内存 forensics 为勒索病毒的缓解和恢复提供了切实可行的路径。

ABSTRACT

Memory was captured from a system infected by ransomware and its contents was examined using live forensic tools, with the intent of identifying the symmetric encryption keys being used. NotPetya, Bad Rabbit and Phobos hybrid ransomware samples were tested during the investigation. If keys were discovered, the following two steps were also performed. Firstly, a timeline was manually created by combining data from multiple sources to illustrate the ransomware's behaviour as well as showing when the encryption keys were present in memory and how long they remained there. Secondly, an attempt was made to decrypt the files encrypted by the ransomware using the found keys. In all cases, the investigation was able to confirm that it was possible to identify the encryption keys used. A description of how these found keys were then used to successfully decrypt files that had been encrypted during the execution of the ransomware is also given. The resulting generated timelines provided a excellent way to visualise the behaviour of the ransomware and the encryption key management practices it employed, and from a forensic investigation and possible mitigation point of view, when the encryption keys are in memory.

研究动机与目标

  • 调查现代勒索病毒家族使用的对称加密密钥是否可在系统感染期间的内存中被识别。
  • 通过整合多个取证来源的数据,构建勒索病毒行为的时间线,重点关注内存中加密密钥的存在与持续时间。
  • 评估通过实时内存分析发现的密钥是否可用于成功解密勒索病毒加密的文件。
  • 提供一种取证方法论,用于识别和利用短暂存在的加密密钥,以支持事件响应和数据恢复。

提出的方法

  • 对感染了NotPetya、Bad Rabbit和Phobos勒索病毒样本的系统执行了实时内存采集。
  • 使用实时取证工具分析捕获的内存镜像,以定位对称加密密钥。
  • 通过整合多个取证来源的数据,手动构建时间线,以映射勒索病毒活动的时序。
  • 时间线特别追踪了加密密钥在内存中出现的时间点及其持续存在的时间。
  • 通过使用提取出的密钥进行解密尝试,以验证其正确性和实用性。
  • 该方法强调实时分析,以在密钥被覆盖或清除前捕获其短暂状态。

实验结果

研究问题

  • RQ1现代勒索病毒使用的对称加密密钥是否可从实时系统内存中可靠提取?
  • RQ2加密密钥在加密过程开始后于内存中持续存在多长时间?
  • RQ3是否可以重建密钥存在与行为的时间线,以理解勒索病毒的运作方式和密钥管理机制?
  • RQ4使用从内存中提取的密钥是否可行实现对勒索病毒加密文件的成功解密?

主要发现

  • 本研究确认,NotPetya、Bad Rabbit和Phobos勒索病毒使用的对称加密密钥可成功识别于实时内存中。
  • 加密密钥在内存中保持可测量的持续时间,为取证采集和恢复提供了时间窗口。
  • 生成的时间线有效可视化了勒索病毒的行为和密钥生命周期,有助于取证分析。
  • 通过使用从内存中提取的密钥,成功实现了对加密文件的解密,证明了实际恢复的可行性。
  • 结果表明,实时内存取证是勒索病毒缓解和数据恢复的可行方法。
  • 该方法为事件响应人员提供了一条实用的取证路径,可在不支付赎金的情况下恢复数据。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。