ABORDAGENS INTELIGENTES PARA DETECÇÃO DE NOVAS FAMÍLIAS DE RANSOMWARE UTILIZANDO TÉCNICAS DE APRENDIZADO DE MÁQUINA
Segurança cibernética, Malware, Detecção de ransomware, Aprendizado de máquina, Análise de features.
Ransomware é um tipo de software malicioso que tem como objetivo criptografar os arquivos do usuário e exigir um resgate para desbloqueá-los. Trata-se de uma ameaça cibernética que se propaga de forma maliciosa e pode causar significativos danos financeiros, além do comprometimento de privacidade e integridade dos dados. Este estudo tem como objetivo aprofundar o entendimento das características do ransomware e propor um modelo de análise estática para atuar como uma camada adicional de segurança antes da execução de arquivos binários. O estudo é dividido em três propostas, sendo a primeira sobre a compreensão das ações do ransomware através da análise de características comportamentais. A segunda proposta visa melhorar a detecção de ransomware com base no cabeçalho de binários executáveis utilizando a rede neural convolucional Xception. Por fim, a terceira proposta analisa abrangentemente os binários executáveis, combinando características estruturais, com foco na detecção de novas famílias de ransomware. As principais conclusões prévias destacam a relevância das chamadas de API como o grupo de características mais importante, a baixa relevância das APIs nativas de criptografia do Windows para a classificação de ransomware e as características mais significativas de ransomware tendem a envolver manipulação de threads/processos, operações de memória física e comunicação. A investigação também identificou que os campos de cabeçalho mais decisivos são o Optional Header e os primeiros Section Headers. Além disso, a abordagem proposta demonstrou sucesso na discriminação entre ransomware e softwares benignos e é viável para implementação prática devido aos baixos tempos de teste.