Kandidatuppsats. Malware: Det moderna hotet mot företag. Digital forensik 15hp. IT-forensik och informationssäkerhet 180hp

Kandidatuppsats

IT-forensik och informationssäkerhet 180hp

Malware: Det moderna hotet mot företag

Digital forensik 15hp

Halmstad 2021-06-15

Oliver Karlsson och Erik Magnusson

ii

Förord

Vi vill tacka vår handledare Eric Järpe för den hjälpen vi fått i form av råd, tankar och idéer. Utan den hjälpen hade det varit svårt att få struktur på arbetet.

Erik Magnusson Oliver Karlsson

Halmstad 2021-05-21

iii

iv

Sammanfattning

I denna uppsats granskas de vanligast förekommande typerna av malware, deras funktioner samt de konsekvenser som förekommer vid angrepp. Konsekvenser innebär skador vid stöld eller förstörelse av data, som finns på den drabbade enheten. Syftet med denna uppsats är att ge en överblick av de nuvarande största hoten för företag med Windowsdatorer när det kommer till malware. En

litteraturstudie användes för att framställa vilka de vanligaste typerna av malware är, hur de valda typerna av malware delas in och deras funktion.

I arbetet genomförs även ett experiment för att utläsa mer exakt hur vissa malware opererar när de infekterar ett operativsystem. Informationen som utvunnits av experimentet kombinerades med informationen från litteraturstudien och har sammanställts i denna rapport.

I diskussionen tas de olika konsekvenserna upp i mer detalj samt med exempel på hur de skiljer sig åt när de påverkar ett företag. Informationen utvunnen från

experimentet diskuteras, vilken typ av malware de definieras som samt vad de ändrade i systemet.

I slutsatsen visas de vanligaste typerna av malware i en tabell med hänsyn till både konsekvenserna samt sannolikheten. Effekterna av programvaran diskuteras också och några exempel tas upp.

v

vi

Abstract

This report is a study of the most common types of malwares, their functions and the possible consequences from an attack. Consequences meaning economic damages through theft or destruction of data on the infected machine. The purpose of this report is to provide an overview of the current greatest threats towards businesses using Windows computers, in the form of malware. A literature study was used to identify the most commonly occurring malwares and specifically how the different types of malwares is being categorized and how they operate. For this report, an experiment has also been performed in order to analyse specific malwares more thoroughly, in order to understand exactly what they do when infecting an operative system as well as how they affect the system. The combination of the data from the literature study, together with the data from the experiment provided the result of this report.

In the discussion, the various consequences are addressed in more detail and with examples of how they differ when they affect a company. The information extracted from the experiment is discussed, what type of malware they are defined as and what they changed in the system.

The conclusion shows the most common types of malwares in a table regarding both the consequences and the probability of infection. The effects of the malware are also discussed, and some examples are presented.

vii

viii

Innehållsförteckning

1. Inledning 1

1.1 Bakgrund 1

1.1.1 Mask 1

1.1.2 Utpressningsprogram (ransomware) 2

1.1.3 Trojaner 2

1.1.4 Annonsprogram 2

1.1.5 Malware Analys 2

1.2 Frågeställningar 3

1.3 Problematisering av frågeställning 3

1.4 Avgränsningar 4

2. Metod 5

2.1 Litteraturstudie 5

2.2 Experimentmetod 5

2.3 Problematisering av metodval 8

3. Litteraturstudie 9

3.1 Klassificering 9

3.2 Trickbot och Ryuk 11

4. Resultat 13

4.2 Utpressningsprogrammet Ryuk 14

5. Diskussion 17

5.1 Hotbild 17

5.2 Experiment 18

6. Slutsats 21

ix

x

Tabell- och figurförteckning

Tabell 1 Använda program och verktyg i experimentet. 7

Tabell 2 Resultat från antivirus på Trickbot 13

Tabell 3 Resultat från antivirus på Ryuk 14

Tabell 4 Filer Ryuk undvek att kryptera 15

Figur 1 Riskmatris för malwaretyper 16

xi

1

1. Inledning

I dagens moderna samhälle förlitar sig många företag på datorer. Allt fler apparater blir uppkopplade och känslig information passerar genom dem varje dag, detta har gjort dem till en attraktiv angreppspunkt. Skadlig programvara som

utpressningsprogram har redan visat sig ha möjligheten att lamslå hela företag och sjukhus. Kostnaderna för företaget blir omfattande oavsett om lösensumman betalas eller om arbetet avstannar tills den skadliga programvaran kan avlägsnas från

enheterna.

Att öka förståelsen av skadlig programvara både för att förebygga förekomsten och för att kunna motarbeta dem effektivt blir alltmer relevant för att skydda enheter mot attacker.

Denna uppsats sammanställer några av de vanligast förekommande typer av malwareattacker, baserat på en årsrapport över malwareattacker 2020 från Malwarebytes LABS. Arbetet kommer också utföra experiment i form av en malwareanalys för att få en djupare förståelse i hur vissa malware agerar. I en malwareanalys granskas beteende hos malware för att förstå hur de fungerar, vad som skiljer dem åt och vilket ändamål de används för (Gandotra, Bansal & Sofat, 2014).

Resultatet av experimentet ställs sedan tillsammans med informationen insamlad i litteraturstudien för att ge en klar bild över hur olika malware fungerar, vilka

konsekvenser de kan resultera i och vilken typ av hotbild de utgör.

1.1 Bakgrund

I bakgrunden beskrivs lite kort de vanligaste typerna av skadlig programvara, samt historia om hur de första exemplaren av skadlig programvara skapades inom dessa kategorier.

Malware är mjukvara skapad för att skada enheter eller för att agera mot

ägarintresse. Idag finns en hel rad med olika typer av malware och några av de vanligaste är annonsprogram, trojaner, maskar och utpressningsprogram (Malwarebytes, 2021).

1.1.1 Mask

Den första datormasken som spreds via internet upptäcktes 1988 och skrevs av Robert Tappan Morris. Den fick sin start via datorsystemen vid Massachusetts Institute of Technology och skiljde sig från tidigare skadlig kod genom att själv starta sig som en process på den infekterade enheten för att sedan fortsätta sprida sig själv. Masken skapades som ett test och var menad att visa flertalet sårbarheten inom UNIX systemen som då användes. Ett misstag i koden gav masken en inbyggd 14 procent chans att infektera ett system den redan hade infekterat. Detta hade

2 effekten av en DDOS attack som sakta stal enheternas processorkraft tills de

kraschade i stället för att bara existera i bakgrunden som en varning. Det beräknas att Morrismasken infekterade och tog ner 10 procent av alla enheterna uppkopplade till det amerikanska forskningsnätverket mellan olika forskningsinstitut (Love, 2018).

1.1.2 Utpressningsprogram (ransomware)

Ett av de första utpressningsprogram var Aids Info Disk som infekterade DOS systemets start BAT fil. Programmet gömde alla filer på enheten samt krypterade alla namnen. En skärm av text uppmanade sedan ägaren av enheten att skicka pengar till ett konto i Panama för att få filerna upplåsta igen. Det finns också en mindre vanlig version som hotar med att läcka all data som finns på enheten till offentligheten via internet om inte lösensumman betalas i tid. Denna har använts mot företag främst på grund av deras potentiellt operations känsliga information (Love, 2018).

Grundfunktionen av programmet fungerar likt utpressningsprogram som fortfarande cirkulerar idag, till exempel Wannacry och Petya.

1.1.3 Trojaner

Den första trojanen kallades ANIMAL och gjordes av programmeraren John Walker 1975. Walker skapade ett program där användaren ombads tänka på ett djur och sedan svara på 20 frågor. Programmet skulle sedan baserat på svaren av frågorna kunna avgöra vilket djur personen tänkte på och presentera detta för användaren.

Programmet blev mycket populärt och för att underlätta spridningen skapade Walker programmet PERVADE vilket kördes när ANIMAL startades. Medan ANIMAL

spelades kontrollerade PERVADE alla enhetens mappar och gjorde en kopia av ANIMAL i varje mapp som det inte hittades i (Kaspersky Lab, 2020).

1.1.4 Annonsprogram

Annonsprogram har sin början i 1995 och räknades inte som skadlig programvara, eftersom programmet inte installeras utan användarens kännedom. Därför började annonsprogram skapas av offentliga företag då de inte var olagliga. Efter 2008 började lagändringar göra det svårare att implementera annonsprogram utan att bryta mot lagen. Idag är annonsprogram den vanligaste typen av skadlig

programvara (Milosevic, 2013).

1.1.5 Malware Analys

En malwareanalys är en process för att försöka fastställa syftet och

tillvägagångssättet av skadlig programvara. Den kan även användas för att ta reda på var programvaran skapades. Det finns två olika sätt att utföra en malwareanalys på: statisk analys och en dynamisk analys. Vid en statisk analys undersöks koden som bygger upp programvaran utan att den är aktiv. Filerna demonteras till mer grundläggande tillstånd av maskinkod som sedan försöks översättas till

monteringskod, som kan förstås av människor.

3 Statisk analys kan ge information om den skadliga programvarans syfte genom exempelvis om den är programmerad att kontakta IP-adresser eller att ladda ner ytterligare programvara till den infekterade enheten (Saurabh, 2018).

En dynamisk analys är en kontroll av en aktivt skadlig programvara i en kontrollerad miljö. En simulerad version av ett operativsystem sätts upp och kör sedan den

skadliga programvaran och observeras. Detta för att se hur den agerar samt hur den påverkar systemet i en kontrollerad miljö som inte riskerar att enheten skadas eller att programvaran sprids. En dynamisk analys ger en snabbare inblick i hur den skadliga programvaran fungerar jämfört med en statisk eftersom koden inte måste demonteras (Saurabh, 2018). Moderna skadliga programvaror har dock i många fall blivit uppbyggd med möjligheten att upptäcka om de är i en simulerad miljö och förblir då inaktiv för att förhindra analys. En kombination av både statisk och dynamisk analys kallas hybridanalys och på en skadlig programvara är det

effektivaste sättet att upptäcka hur den fungerar samt vad den påverkar. Om det vid en dynamisk analys upptäcker att programvaran skriver om vissa filer på enheten kan den statiska analysen kontrollera vad som ändrades samt vad syftet var. På detta sätt ger hybridanalysen en ny syn på programvaran som de separata delarna inte har möjlighet till (Mokoena & Zuva, 2017).

1.2 Frågeställningar

Tidigare artiklar som “Malware in Mobile Devices” har sammanställt de vanligaste malwarehoten mot Android (Jörgensson, 2018). Uppsatsen valdes att göras med fokus på malwarehot mot Windowsdatorer på grund av att det i dagens marknad är det överlägset vanligaste operativsystemet (Statcounter, 2020). Arbetet kommer även gå in djupare med hjälp av ett experiment på specifika malware. I denna

uppsats gjordes en litteraturstudie samt ett experiment för att ge förståelse och svara på följande frågeställningar.

● Vilka är de största hoten inom malware för företag med Windowsdatorer?

● Hur ser funktionaliteten och ändamålen ut hos dessa malware?

Vill ta reda på vad det är företag ska vara vaksamma för gällande skadlig

programvara när de använder windows enheter för att förhoppningsvis minska risken att drabbas och på så vis minska utbredning.

Öka förståelsen av hur dessa program fungerar samt deras syfte inom infekterade enheter.

1.3 Problematisering av frågeställning

Konsekvenserna från olika varianter av skadlig programvara kan variera mycket, även inom samma kategori. Ett utpressningsprogram kan orsaka mindre

konsekvenser än ett annat utpressningsprogram. I uppsatsen bedöms typer av malware och inte specifika varianter för att ge en generell bild. I vissa fall kan därför

4 resultatet se annorlunda ut i praktiken, i form av både mindre och större

konsekvenser. Däremot finns det vissa begränsningar för den potentiella skada ett malware av vissa typer kan orsaka.

1.4 Avgränsningar

Det finns en enorm mängd olika varianter av skadlig programvara vilket gör detta till ett väldigt omfattande område. Uppsatsen avgränsades till endast vanligt

förekommande skadlig programvara vars syfte är att orsaka monetär eller materiell skada hos ett offer. För malwareanalysen, vilket utgjorde experimentet, begränsades antalet programvaror det utfördes på till två. Detta då analysen var en tidskrävande process och experimentet därför inte var rimligt att utföra på alla olika typer av skadlig programvara. För utförandet av experimentet i den använda testmiljön krävdes även åtkomst till den skadliga programvaran samt att inte

nätverksuppkoppling var ett krav för dess fungerande. Urvalet av skadlig programvara begränsades därför, och experimentet utfördes på

utpressningsprogrammet Ryuk och trojanen Trickbot.

5

2. Metod

Metoden för uppsatsen var dels en litteraturstudie som användes för att samla in information från flera vetenskapliga artiklar om skadlig programvara. Information i litteraturstudien ger oss en överblick på olika klassifikationer av malware, deras bakgrund, samt vilka funktioner och egenskaper de olika typerna kännetecknas av.

Information om förekomsten kombinerat med funktioner hos en skadlig programvara tillät oss sedan att göra en bedömning av hotet programvaran utgör.

Metoden bestod även av ett experiment vilket i sin tur består utav två typer av malwareanalys. Delvis en statisk analys där information om egenskaper och funktioner hos ett visst malware utvinns genom att granska programfilens innehåll.

Den andra delen är en dynamisk analys där vi, i en kontrollerad testmiljö och med hjälp av analytiska verktyg, observerar hur ett malware beter sig och de olika konsekvenserna det kan ha på ett system.

2.1 Litteraturstudie

En litteraturstudie ansågs vara den lämpligaste metoden för att ge oss en bild om hur olika malware klassificeras, vilka typer som finns och hur typerna definieras.

Utöver detta kommer litteraturstudien även ge en generell bild över saker att vara uppmärksam på när experimentet senare utförs och vilka typiska karaktärsdrag och kännetecken som bör uppmärksammas. Litteraturstudien kommer också att hjälpa oss planera hur experimentet bör utföras och om det finns några egenskaper hos malware som skulle kunna orsaka ett annat resultat i testmiljön jämfört med hur det hade blivit i ett verkligt fall.

År 2020 förekom 6 135 219 trojaner, 3 997 158 annonsprogram, 490 201 bakdörrar, 440 368 spionprogram, 391 854 datormaskar, 243 208 bluff-antivirus, 199 838 utpressningsprogram och 167 252 webbläsarkapare (Malwarebytes, 2021).

I uppsatsen används statistik från Malwarebytes årsrapport över 2020 (figur 1) för att identifiera vilka malware kategorier som är mest aktuella. Malwarebytes inkluderar även programvara som inte nödvändigtvis har som syfte att göra skada men som potentiellt kan utgöra en risk. För denna uppsats användes enbart programvara vars syfte är att orsaka någon form av skada på ett offer. Figur 1 baseras på förekomsten av olika malware typer under 2020 hos företag (Malwarebytes, 2021).

I uppsatsen gjordes en konsekvensbedömning för att, kombinerat med förekomsten, framställa den aktuella hotbilden olika malwaretyper utgör. De uppskattade

konsekvenserna av de olika malware som beaktas i studien är baserat på egenskaperna hos malware och vilka skador det potentiellt kan orsaka.

Källorna till litteraturstudien består till största del av vetenskapliga artiklar hämtade från databaser såsom IEEE, ScienceDirect, SpringerLink och ResearchGate.

2.2 Experimentmetod

Figur SEQ Figur \* ARABIC 1 Förekomst av skadliga malware typer hos företag 2020 enligt Malwarebytes statistik

6 Experimentet genomförs för att, kombinerat med litteraturstudien, rikta in sig och dokumentera beteende, funktionalitet och konsekvenser hos malware som är vanligt förekommande. Experimentet riktar in sig mer på specifika malware i stället för en generalisering hos en viss typ för att undersöka de dominerande hoten inom en malwarekategori för att identifiera funktionaliteten hos dessa och ge svar på frågeställningen.

När det kommer till en malwareanalys, så finns det två primära tillvägagångssätt för hur dessa går till. I en statisk analys, vilket är den vanligaste typen, analyseras den skadliga koden utan att köras. Detta genom att se över beståndsdelar och funktioner inom den skadliga programvaran. Detta innebär även att en statisk analys anses säkrare, då den skadliga koden är i ett passivt läge. Det andra tillvägagångssättet är en dynamisk analys, vilket innebär att studera beteendet hos skadlig kod när den körs. För denna metod krävs en säker testmiljö, då aktiv skadlig programvara

eventuellt kan både orsaka skada på enheten programvaran körs på, samt sprida sig till andra enheter (Saurabh, 2018). I följande stycke beskrivs förberedelserna för testmiljön.

Maskinen som användes under experimentet är utrustad med Ubuntu Linux som operativsystem. Att använda Linux på enheten är inte nödvändigt, men en

säkerhetsåtgärd. Den skadliga kod som analyserades i experimentet är skapad för Windows, i form av .exe filer. Detta betyder att i ett scenario där den skadliga programvaran tar sig ut ur testmiljön, kan inte programmet köras av ett Linux operativsystem och orsakar ingen skada på den fysiska maskinen. Det innebär också att skadlig programvara på ett säkert sätt kan hämtas och hanteras utanför testmiljön, där nätverksanslutning finns.

På den fysiska maskinen installerades Virtualbox, som är ett av det populäraste hypervisor-programmen för virtualisering. Med hjälp av Virtualbox skapades en virtuell Windows 7 maskin, vilket utgör testmiljön för experimentet. På Windows 7 maskinen stängs både brandväggen och automatiska uppdateringar av. Anledningen till detta är för att öka sårbarheten på enheten, för att i sin tur ge ett mer

övergripande resultat i experimentet. Det kan hända att sårbarheter som utnyttjas, av de malware som används i experimentet, har åtgärdats i senare versioner av

Windows 7. Brandväggen kan även blockera handlingar som den skadliga koden försöker utföra. För att få ut rikligt med information om hur ett malware beter sig, bör dessa funktioner vara avstängda. Som ett ytterligare säkerhetssteg körs den virtuella maskinen utan vare sig åtkomst till internet eller det lokala nätverket. Experimentet utförs på privata maskiner och därför vidtas säkerhetsåtgärder som eventuellt kan vara överflödiga.

Den skadliga kod som används består av hämtade malwareprover från Malware Bazaar men det finns en mängd olika andra databaser för malware. Ett urval gjordes för att hitta en tillgänglig databas med ett stort urval av malwareprover. För att välja en skadlig kod som är vanligt förekommande baserades urvalet på årsrapporten från Malwarebytes (Malwarebytes, 2021). Detta resulterade i att den skadliga

programvara som analyserats är vanligt förekommande men inte nödvändigtvis den absolut mest förekommande. Valet av skadlig programvara påverkades till störst del av vilken skadlig programvara som kunde hämtas. Utöver detta uteslöts vissa typer

7 av malware, då den dynamiska analysen skulle förhindras av brist på

nätverksanslutning. Även om “Emotet” framstår som den vanligaste info-samlande trojanen enligt Malwarebytes rapport, valdes Trickbot för experimentet i dess ställe.

Detta beror på att Emotet togs ner, som en följd av ett samarbete mellan

myndigheter i flertalet länder, efter Malwarebytes rapport släpptes (Europol, 2021).

Använda

program/verktyg:

Ändamål:

Virtualbox Skapar en virtuell maskin, vilket gör det möjligt att testa skadlig programvara utan att en fysisk dator tar skada.

PeStudio Samlar information ifrån ett malware för statisk analys.

Process hacker 2 Manuell övervakning av processer samt möjlighet att läsa strings från en process.

Process Monitor Loggar aktivitet hos en process.

ProcDOT Skapar en visuell bild över all relevant information insamlad av Process Monitor för enklare avläsning.

Regshot Presenterar förändringar i registret vid mellan två olika tidpunkter.

Tabell 1 Använda program och verktyg i experimentet.

På testmiljön installerades flertalet olika program och verktyg för att övervaka och utvinna information om förändringar som sker efter att enheten infekterats med skadlig programvara, samt för att utvinna information från filen som innehåller den skadliga koden. För den statiska analysen importerades den skadliga programvaran i PeStudio, vilket är ett verktyg som framkallar bland annat metadata, inbäddade filer, importer, exporter och strings. Här kan information utvinnas om hur

programvaran är uppbyggd, vilka funktioner och resurser som kallas på, samt vilken systemtyp den riktas mot.

Under den dynamiska analysen övervakades händelser och förändringar på systemet när den skadliga koden kördes. Här användes Process Hacker 2 för att i realtid övervaka förändringar i de körande processerna. Tillsammans med Process Hacker 2 körs Process Monitor, vilket loggar alla förändringar i både processerna och filsystemet. Denna loggfil kan i efterhand noggrant undersökas.

Regshot är ett annat verktyg som användes för att övervaka förändringar i registret.

Programmet gör det möjligt att ta en avbild både före och efter den skadliga

programvaran körs, för att sedan kunna fastställa förändringar som skett. Med dessa verktyg förberedda kan den skadliga koden köras.

I efterhand importeras Process Monitor till programmet ProcDOT. Eftersom Process Monitor loggar alla processändringar, innehåller loggfilen även data från processer som inte har något med den skadliga programvaran att göra. ProcDOT rensar bort

8 irrelevant data och presenterar visuellt innehållet av loggfilen för att enklare kunna avläsa den data som är relevant.

2.3 Problematisering av metodval

Det finns en stor mängd malware, med olika egenskaper och uppbyggnad. Eftersom litteraturstudien består av arbeten som generaliserar olika typer av malware, kan informationen som samlas in skilja sig ganska mycket från de fallen som används i experimentet. Till skillnad från litteraturstudien genomförs experimentet på specifik skadlig programvara, vilket betyder att resultatet från experimentet kanske inte stämmer in på andra malware av samma typ. Vissa malware försöker upptäcka om de körs i en virtuell miljö eller inte, och beter sig annorlunda därefter. Detta kan påverka resultatet från experimentet, och det är därför viktigt att försöka skapa en realistisk testmiljö.

9

3. Litteraturstudie

I litteraturstudien beskrivs de mest förekommande typerna av malware hos företag under 2020. Här identifieras de kännetecken och egenskaper som kategoriserar olika typer av malware. Utöver dessa gjordes också en studie av de malware som används i experimentet.

3.1 Klassificering

Klassificeringen av olika typer av skadliga programvaror baseras på hur de sprider sig till olika värdar och hur de angriper enheten. De olika namnen som till exempel virus har valts för deras angreppssätt liknar sättet ett virus angriper cellerna på levande organismer. Trojaner har döpts efter den trojanska hästen eftersom den använder samma princip, att dölja intentionerna genom att låtsas vara ofarlig. Detta sätt att dela in olika programvaror hjälper också personer som saknar kunskaper om IT att lättare få förståelse vad som menas med de olika typerna.

Skadlig programvara som benämns som bakdörrar är programvara vars syfte är att ta sig runt säkerhetsåtgärder för att ge förövaren behörigheter på en dator eller nätverk. Behörigheten ger tillgång till systemet för eventuell stöld av personlig eller finansiell data (Reynolds, 2020). Programvaran skapar en väg runt

säkerhetskontroller, en bakdörr, in i systemet (Aycock, 2006).

Spionprogram är en form av skadlig programvara vars ändamål är att samla in information från en dator. Informationen som samlas in kan bestå av lösenord, bankuppgifter eller annan värdefull information (Aycock, 2006). Informationen samlas in utan offrets vetskap och kan sedan skickas i väg till förövaren (Stafford &

Urbaczewski, 2004)

Bluff-antivirus är, som namnet insinuerar, ett program som låtsas vara ett legitimt antivirusprogram. Programmen bidrar sällan med något större skydd, utan lurar användaren att det finns malware eller liknande hot på systemet. Det förekommer även att bluff-antivirus installerar skadlig programvara för att sedan presentera sig själv som en lösning för att bli av med detta säkerhetshot. Syftet med dessa program är att sedan lura användaren på en mindre summa pengar för att bluff-antiviruset ska ta bort den skadliga programvara som i vissa fall inte existerar. (Cova et al., 2009) Webbläsarkapare ändrar inställningarna för en webbläsare. I vissa fall betyder detta att användaren skickas till hemsidor där de förväntas köpa tjänster.

Webbläsarkapare kan också användas för att samla in data från webbläsaren eller för att visa upp reklam för användaren. Denna typ av skadlig programvara installeras ofta som en toolbar, som ett extra program när annan programvara installeras på enheten (Malwarebytes, 2016).

Ett datorvirus fungerar likt ett cellvirus och är designat för att sprida sig från offer till offer genom att multiplicera sig självständigt. Viruset jobbar via att koppla sig till ett giltigt program eller dokument och har möjligheten att orsaka skada mot datorn från att endast ändra filer eller förstöra datorn helt (Aycock, 2006). Eftersom viruset

10 sprids från värd till värd krävs det ofta ett ursprungligt offer för att viruset ska få spridning. Det krävs också att offret släpper in viruset i datorn via någon handling, som att öppna filer skickade i ett mejl eller att offret laddar ner filer från suspekta källor. Konsekvenserna av ett datavirus som sprider sig aktivt över nätverket kan göra det näst intill omöjligt att använda internet på en infekterad enhet då mycket används för att skicka viruset. Viruset kan också börja applicera sig till alla filer som skickas från enheten via email eller andra tjänster (Moir, 2009).

En datormask är mjukvara som autonomt kan multiplicera sig själv samt sprida sig vidare till andra datorer (Moir, 2009). Skillnaden från ett virus är att en mask inte kräver någon handling från användaren för att fortsätta sin spridning, den behöver heller inte använda ett annat program för att få tillgång till datorn. En mask utnyttjar oftast sårbarheter i mjukvaror för att få tillgång och jobbar i bakgrunden ibland utan att upptäckas av användaren. En mask kan båda vara skapad för att stjäla data, förstöra datorn genom att till exempel fylla hårddisken eller för att ge angriparen en väg in att kontrollera datorn (Kramer & Bradfield, 2009).

Utpressningsprogram(ransomware) fungerar genom att efter den har fått tillgång till enheten, kryptera och förhindra tillgång till en enhets data innan en lösensumma betalas. Vissa hotar även med att förstöra data efter en förutsatt tid om inga pengar betalats. I vissa fall blir enheten oanvändbar och det visas bara en bild efter start av enheten med information om hur du betalar. Lösen krävs ut via olika kryptovalutor då det är extremt svårt att spåra vem pengarna skickas till via dessa valutor.

Utpressningsprogram sprids ofta genom olika typer av phishing men har också skickats via sårbarheter i olika typer av mjukvaror (Love, 2018).

En trojan fungerar genom att låtsas vara ett legitimt program för att få tillgång till enheten, när de väl fått tillgång kan den, bland annat stjäla, eller förstöra data eller enheten själv (Kramer & Bradfield, 2009). Till skillnad från en mask kan en trojan inte multiplicera sig själv eller sprida sig mellan olika offer. En trojan kan inte aktiveras autonomt utan en användare måste starta trojanen på enheten själv för att den ska fungera (Aycock, 2006).

Annonsprogram sprids oftast via legitim programvara genom att försöka få användare att omedvetet gå med på att de installeras i samband med andra program. Att göra det oklart vad som måste installeras för att få det legitima programmet att fungera samt presentera redan ifyllda extraprogram är några sätt som annonsprogram använder för att få tillgång till enheter. Vissa annonsprogram visar sedan snabbt en stor mängd annonser på enheten för att snabbt generera pengar åt skaparen av programmet. Andra försöker dölja sin verksamhet bättre genom att visa mer dolda annonser inom andra program, till exempel toolbars i en webbläsare eller annonser vid sidorna av textdokument (Aycock, 2006).

Skadlig programvara i användning är ofta en kombination av flera typer i stället för en specifik. Spridningen av annonsprogram sker ofta via trojaner, de ser ut och fungerar som officiella applikationer men i bakgrunden installeras flertalet

annonsprogram. Utpressningsprogram sprids också ofta via olika typer av maskar för att nå ut till ett stort antal enheter och för att inte påverka sin egen spridning genom att de infekterade enheterna blir oförmögna att fortsätta sprida programvaran.

11

3.2 Trickbot och Ryuk

Trickbot är en banking trojan riktad mot företag inom finanssektorn. Det

huvudsakliga syftet med denna skadliga programvara är att stjäla bankuppgifter från webbläsare när en användare besöker sin internetbank (Gezer et al., 2019). När Trickbot infekterar ett system duplicerar sig programmet till \AppData\Roaming och programvaran sätter upp sig själv som en process som automatiskt startar med Windows. Trickbot hämtar offrets IP-adress och hämtar hem moduler och

konfigurationsfiler vilket sedan möjliggör skapandet av en förfalskad sida av offrets internetbank. När offret försöker nå sin internetbank når denne i stället Trickbots förfalskade version. Detta malware samlar sedan in och skickar den information som offret matar in vid inloggningsförsök på internetbanken (Gezer et al., 2019).

Ryuk är ett utpressningsprogram från 2018 som riktar sig mot större företag.

Attacker med Ryuk är ofta välplanerade och riktade mot specifika måltavlor.

Programmet använder en kombination av AES-256 och RSA-4096 för att kryptera filerna (Hassan, 2019). När en enhet infekteras tar Ryuk bort alla Windows backup filer för att en återställning inte ska kunna göras. Filerna på enheten krypteras sedan och ett krav om lösensumma i Bitcoin dyker upp på enheten. Denna summa är relativt stor, vanligtvis mellan 15–50 BTC (Hassan, 2019) vilket motsvarade ungefär 1.2–4 miljoner kronor 2019.

12

13

4. Resultat

I resultatet presenteras den information som utvunnits från de analyserade malware exemplaren i experimentet. Detta innefattar både statisk och dynamisk analys av banking trojanen Trickbot samt utpressningsprogrammet Ryuk.

4.1 Banking Trojanen TrickBot

Resultat från antivirusprogram:

Totalt antal

Varnade för malware

Varnade inte för malware

Identifierade Trojan

Identifierade Trickbot

70st 48st 22st 27st 2st

Tabell 2 Resultat från antivirus på Trickbot

Trickbot skannades av 70st antivirusprogram, varav 48st varnade för skadlig programvara.

25 av dessa identifierade Trickbot som en trojan och enbart två benämnde det som Trickbot.

Analysen initieras genom att importera .exe filen till PeStudio för den statiska analysen. Ifrån överblicksfönstret avläses att detta malware är skapat i C++ för ett 32-bit system. Malware filen har vid något tillfälle bytt namn och hette tidigare

“Holiday Parties.exe”. Sedan är de flesta importerade resurserna på ryska. Denna information kan vara av intresse vid sökningar efter information om detta malware.

PeStudio bidrar med en lista över funktioner filen försöker importera. Denna information ger vaga aningar om vad ett malware kan tänkas åstadkomma.

Importerade funktioner av intresse:

Write, Read, Create -files

I detta fall importeras funktioner för att skapa, ändra och läsa filer, vilket är bra att veta vid den dynamiska analysen då ett extra öga kan hållas på filändringar.

Sleep

Sleep funktionen aktiveras också på, vilket potentiellt kan ställa till problem när analyser utförs i en sandbox, vilket är bra att vara medveten om.

IsDebuggerPresent

Ytterligare en funktion som kan användas för att motarbeta malware analyser, då ett malware med hjälp av denna funktion kan försöka avgöra om det körs i en debugger.

När detta malware körs snappar verktygen, för processövervakning, upp lite

information om vad som händer. Den skadliga filen dyker upp som en process och skapar först en .tmp fil i \local\Temp, efter detta körs cmd.exe en kort stund innan processen stängs ner. Det mest intressanta som händer är dock att filen skapar en wermgr.exe process som fortsätter köras när de andra processerna stängs ner.

14 Detta malware maskerar sig alltså som wermgr.exe. Processen wermgr.exe fortsatte att vara aktiv under resterande tid av analysen.

Vid omstart av maskinen skapar filen återigen processen wermgr.exe som en autostart. wermgr.exe försöker sedan ansluta till ett flertal olika IP-adresser i bland annat Ryssland, Bulgarien, Iran och Colombia och nå en directory döpt efter

maskinen experimentet utfördes på, med grupp tag “yas58”. Processen når även ut till en lokal mapp döpt till “7Zip-1133317553” i AppData/Roaming. I denna mapp ligger en kopia av trojanens originalfil tillsammans med en konfigurationsfil, samt en batchfil, som båda är krypterade. Härifrån körs då en autostart på wermgr.exe när systemet startas om. Detta innebär också att även om originalfilen raderas, ligger det en kopia på systemet. Utöver detta skapas en temporär fil i \AppData\Local\Temp med namnet “logAC24.tmp” denna fil existerar enbart i en kort period innan den tas bort igen.

De registerförändringar som Regshot visade tydde på en förändring av värden för Windows Defender. Specifikt handlade det om intervallen för Windows Defenders schemalagda skanning av systemet.

4.2 Utpressningsprogrammet Ryuk

Totalt antal

Varnade för malware

Varnade inte för malware

Identifierade

Utpressningsprogram eller Kryptering

Identifierade Ryuk

70st 56st 14st 7st 2st

Tabell 3 Resultat från antivirus på Ryuk

Ryuk filen skannades av 70st olika antivirusprogram. Av dessa var det 56st som varnade för skadlig programvara. Av dessa identifierade sju programvaran som ett utpressningsprogram eller att det handlade kryptering. Det var dock enbart två som specificerade att det var just Ryuk.

Denna skadliga kod är skriven i programmeringsspråket Borland Delphi och är även detta skapat för 32-bit Windows system. Ursprungligen kallades filen somit.exe innan den publicerades som prov för analys.

Bland de importerade funktionerna fanns “FindNextVolumeMountPoint”, vilket är en funktion som möjliggör en kontinuerlig genomsökning av mappar över hårddiskar

15 eller andra installerade lagringsutrymmen. Den skadliga programvaran har också möjlighet att skapa och stänga ner processer, funktioner för att hitta specifika filer samt skapa, ta bort och redigera filer. Utöver detta importeras flera funktioner som kan användas för att förhindra eller försvåra analyser, som Sleep och

IsDebuggerPresent. Ytterligare en importerad funktion av intresse är möjligheten att avläsa filtyper.

Ryuk startade tre nya .exe filer som varit inbäddade i originalfilen. Dessa filer verkar vara döpta till en följd slumpade bokstäver följt av “lan.exe”, i två av fallen, och

“rep.exe” i det tredje. Programmen körs med argumenten “8 LAN” respektive “9 REP”. Utöver dessa körs icacls.exe och ger fulla rättigheter till alla användare på de två volymerna som finns på enheten. Ryuk kör även flertalet Net-kommandon för att stänga av “audioendpointbuilder” och “samss”. SAMSS är en tjänst som tillhör Windows Security Account Manager, vilket är en databas som hanterar

användaruppgifter (Microsoft 2009). Likt Trickbot gör även Ryuk registerändringar för Windows Defender.

Filtyper som inte krypterades: Mappar där inget krypterades:

Executable (.exe) Windows

Dynamic-link Library (.dll) Chrome Initialization (.ini)

Multilingual User Interface (.mui)

Tabell 4 Filer Ryuk undvek att kryptera

Ryuk började sedan att gå igenom och kryptera alla filtyper som inte är essentiella för att enheten ska fungera, till exempel krypterades inte .exe eller .dll filer. Bland annat Systemfiler, Batchfiler, Dokument och alla typer av mediafiler omvandlades dock till krypterade RYUK filer. Vissa mappar exkluderades även helt ifrån

krypteringsprocessen. I varje mapp på enheten dök det även upp en HTML fil med namnet “RyukReadMe”. Denna fil innehåller instruktioner om hur personen eller teamet bakom Ryuk kan kontaktas tillsammans med uppmaningar om att skicka med filer för “test dekryptering”.

16

Figur 1 Riskmatris för malwaretyper

Figuren ovan visar bedömningen av hotbilden av malware i form av en riskmatris. De olika malwarekategorierna bedömdes på en skala från låg till hög i sannolikhet, baserat på Malwarebytes rapport. Samt liten till stor konsekvens, vilket bedömdes efter funktionaliteten hos de olika typerna som utvanns ur experimentet samt litteraturstudien.

17

5. Diskussion

I diskussionen granskas innehållet i litteraturstudien och resoneras kring det hot som olika typer av malware utgör. Diskussionen involverar även resonemang kring

resultatet från experimentet.

5.1 Hotbild

Hur farligt en typ av malware är baseras på en sammanställning av hur stor skada det kan orsaka mot en enhet eller användare, samt hur stor risken är att bli drabbad av just den typen av skadlig programvara.

Annonsprogram är en av den vanligaste typen av skadlig programvara i cirkulation idag men konsekvenserna av den typen av malware är förhållandevis milda i jämförelse med annan skadlig programvara. Ett annonsprogram som injekterar annonser i alla applikationer på datorn kan vara störande och påverka prestandan negativt men leder inte till någon förlust av data eller förstörelse av enheten (Aycock, 2006). En dator infekterad av annonsprogram kan fortfarande användas för sitt syfte.

En dator infekterad av ett utpressningsprogram försätts nästan direkt ur funktion och originalanvändningen blir omöjlig efter den har blivit drabbad. Om man inte finner något sätt att få bort utpressningprogrammet kan det krävas att operativsystemet installeras igen eller att hårddisken i enheten byts till en icke infekterad (Love, 2018).

Detta leder till förlust av all data som lagrades på enheten när den blev infekterad om man inte gjort säkerhetskopior. Det är omöjligt att fortsätta enhetens vanliga operation medan den är påverkad av utpressningprogrammet. Risken att drabbas av ett utpressningsprogram är dock relativt liten jämfört med andra typer av skadlig programvara, därför anses denna typ vara ett mindre hot.

Bluff antivirus är exempel på skadlig programvara som både har låg chans att infektera ens enhet då de inte förekommer ofta jämfört med andra typer, och konsekvenserna efter att ha blivit drabbad av ett bluff-antivirus är så pass milda att de knappt påverkar enheten och leder i värsta fall till en mindre ekonomisk kostnad (Cova et al., 2009). Därför anses bluff-antivirus som ett väldigt litet hot mot företag.

Även webbläsarkapare anses som ett mindre hot med låga spridningssiffor och minimala konsekvenser i form av milt påverkad prestanda och möjliga mindre monetära förluster (Malwarebytes, 2016).

Bakdörrsprogram är en typ av skadlig programvara som har ett lågt antal infektioner årligen men vars konsekvenser för företag är förödande. En enhet infekterad med bakdörrsprogram ger utomstående, fientliga, parter tillgång till insidan på ett företags nätverk och kan leda till förlust av känslig information samt förlust av

affärshemligheter (Reynolds, 2020). Dessa extrema konsekvenser gör att hotet från ett bakdörrsprogram blir högt fast förekomsten är låg.

Spionprogram ligger på nästan samma nivå som bakdörrsprogram då de kan ge obehöriga tillgång till inre delarna av företag genom förlusten av till exempel inloggningsinformation, dock är spionprogram mer begränsade till ett

18 övervakningssyfte, och kan inte direkt påverka den infekterade enheten (Aycock, 2006). Därför anses konsekvenserna vara mindre vid ett spionprograms-angrepp än vid ett bakdörrs-angrepp.

En datormask har man låg risk att bli drabbad av men det är svårare att avgöra dess konsekvenser. Om ett företag drabbas av en datormask kan den snabbt spridas via det lokala nätverket och infektera alla enheter uppkopplade. Hur stor skadan blir beror direkt på vad masken innehåller då de oftast används som ett spridningssätt för andra typer av skadlig programvara. En datormask som infekterar alla enheter på ett företag och sedan laddar ner annonsprogram får ju betydligt mindre

konsekvenser jämfört med en datormask som installerar bakdörrar (Kramer &

Bradfield, 2009). Att bedöma hur stort hot som datormaskar utgör blir därför svårt att sätta i exakta siffror.

Trojaner är den överlägset vanligaste typen av skadlig programvara i cirkulation idag. Den stora risken att bli drabbad gör att hotbilden ökar markant. Dock framstår samma problem vid bedömningen av trojanernas konsekvens som vid

datormaskarnas. En trojan används ofta för att sprida andra typer av skadlig programvara och att bli infekterad av en trojan laddad med en webbläsarkapare orsakar milda konsekvenser medan en trojan laddad med utpressningsprogram ger mer akuta problem (Kramer & Bradfield, 2009). Trojaner har även en väldigt bred benämning på vad som faller under titeln trojan - alla typer av skadlig programvara som på något sätt försöker verka som ett legitimt program faller in i denna kategori.

Detta gör att inom malware statistik kan många malware räknas flera gånger eftersom de faller in i flera olika kategorier.

5.2 Experiment

Enligt litteraturstudien är en trojan en form av skadlig programvara som utger sig för att vara ett legitimt program. Detta är precis vad Trickbot i vårt experiment gjorde, i form av wermgr.exe, vilket är ett program som ingår i Windows operativsystem.

Detta innebär att det är väldigt svårt att upptäcka att en dator är infekterad om inte användaren besitter goda kunskaper inom ämnet. Förutsatt att det inte finns ett antivirusskydd installerat som ger utslag.

Något som vi tyvärr inte lyckades få reda på i experimentet var bevis på att trojanen faktiskt samlade in data. Baserat på litteraturstudien vet vi dock att Trickbot används för att samla in bankuppgifter. Våra spekulationer på varför denna information inte kunde utvinnas, beror antingen på att vissa funktioner inte körs av Trickbot om inte en nätverksanslutning är etablerad. Det kan även bero på att Trickbot identifierade enheten som en virtuell maskin, utan vår vetskap, och därför betedde sig

annorlunda. Baserat på resultatet från experimentet vet vi att versionen av Trickbot som experimentet utfördes på möjligtvis kan använda sig av anti-analystekniker då både funktionen IsDebuggerPresent och Sleep importerades. Det är möjligt att ytterligare metoder användes men ingenting observerades motarbeta vår analys under experimentets gång.

19 Utöver information om vad detta malware gör, kan vi troligtvis även begränsa

Trickbots ursprung till ett rysktalande land. Detta är dock spekulationer baserade på att de resurser som användes var skrivna på ryska.

Trickbot försökte nå ut till flertalet IP-adresser och skapa en fil med datorns namn, i en mapp kallad “yas58”. Detta tyder på att wermgr.exe troligtvis försöker skicka information om enheten den körs på, till dessa IP-adresser. Yas58 är en så kallad gtag, vilket spekuleras användas för att kategorisera den insamlade data efter vilken iteration av Trickbot som används (Intel 471, 2020).

Den temporära filen “logAC24.tmp” är troligtvis en temporär lagringsplats för

eventuella insamlade data, innan den skickas i väg. I experimentet kunde denna fil tyvärr inte kommas åt, vilket betyder att mer exakt information om vad som lagras i denna fil inte kan avgöras.

Registerändringen för Windows Defender verkar vara en defensiv funktion för att skydda sig mot eventuella virusskanningar. På den virtuella maskinen fanns inget installerat AV-program, men det är möjligt att liknande åtgärder vidtas för att undvika att bli upptäckt av andra applikationer.

Ryuk som är ett utpressningsprogram, ger tydliga resultat på vad som händer.

Eftersom detta inte är en trojan försöker den inte gömma sig, syftet är snarare att tydligt visa att den skadliga programvaran är närvarande.

Här såg vi importerade funktioner med syfte att söka igenom hårddiskar, identifiera filtyper samt hantera filer och processer. Just att identifiera filtyper är av stor vikt, eftersom syftet med ett utpressningsprogram är att kunna kräva offret på pengar.

Om i stället alla filer krypteras skulle enheten sluta fungera vilket hade begränsat offret förmåga att betala och då missgynnat utpressarna. Ryuk vill därför enbart kryptera filer som kan tänkas värdefulla för offret, men som inte påverkar enhetens funktionalitet. Detta betydde dock inte att alla program fungerade som de skulle efter att Ryuk kört krypteringen. Vissa problem uppstod under experimentets gång. Även om .exe filerna var intakta och programmen startade, var de beroende av andra typer av filer för att fungera korrekt. Loggfiler med resultat från analysen blev även krypterade i processen. Dessa problem löstes genom att använda vissa av

verktygen med hjälp av andra datorer och även genom att låta Ryuk köras i olika tidsintervall för att kunna avbryta krypteringsprocessen innan den nådde de filer vi behövde.

Programmen som startades av Ryuk med argumenten “8 LAN” är högst troligt kopplat till Ryuks användning utav Wake-on-LAN för att sprida den skadliga programvaran till avstängda enheter på det lokala nätverket (Snooke & Shimeall, 2020). Däremot kunde inte syftet med “9 REP” avgöras med experimentet.

Något som skapade viss förvirring var kommandot att stänga av tjänsten

“Audioendpointbuilder”. Denna tjänst hittar och hanterar ljudenheter, vilket gör det svårt att se varför denna tjänst är nödvändig att stänga av. Den andra tjänsten,

“samss”, är av större relevans. Enligt Windows beskrivning av tjänsten, signalerar den till andra tjänster att Security Accounts Manager (SAM) är redo att ta emot

20 signaler. Genom att stänga av tjänsten kan andra tjänster misslyckas med att starta.

Detta kan i sin tur hindra varningar om misstänksam aktivitet från att skickas.

I båda fallen blev den skadliga programvaran påkommen av en klar majoritet av de 70 antivirusprogrammen. Trots att andelen som lyckades identifiera vilken typ av skadlig programvara det handlade om var aning mindre, är den viktiga aspekten att användaren varnas för skadliga filer. Siffrorna för identifieringen är aningen

vilseledande då ett fåtal av antivirusprogrammen inte försökte göra just detta. Vi kan dock se en stor skillnad på hur många som identifierade typen av skadlig

programvara i de båda fallen. Ryuk fick ett väldigt lågt antal (7) antivirus som identifierade det som ett utpressningsprogram medan ett större antal (27) identifierade Trickbot som en trojan. Dock var det 27 antivirusprogram som identifierade Ryuk som en trojan. Vilket egentligen inte är helt fel. Anledningen till detta är att ett malware inte är helt begränsat till en enskild kategori. Detta är något som inte alltid framgick tydligt när litteraturstudien gjordes. Ryuk är till största del ett utpressningsprogram men delar även vissa egenskaper med en trojan, till exempel kräver Ryuk, likt en trojan, att användaren aktiverar programmet. Vad gäller att imitera ett legitimt program stämmer det inte lika bra, men detta är samtidigt en aningen vag benämning. När Ryuk väl körs försöker den inte maskera processerna likt Trickbot. Däremot om Ryuk liknar ett legitimt program när det skickas till ett offer, för att denne med större sannolikhet ska köra programmet, faller det till viss grad in under typen trojan.

Omfattningen av konsekvenserna som ett resultat av att utsättas för dessa malware är något relativt. I de flesta av fallen är nog Trickbot det mest förödande. Då detta är en trojan utvecklad för att samla in bland annat bankuppgifter är de eventuella konsekvenserna ganska tydliga. Det är ekonomisk stöld som utgör det värsta scenariot. Storleken på konsekvensen baseras därför på bankkontots innehåll, begränsningar eller eventuella säkerhetsspärrar hos banken. Ryuk däremot ägnar sig inte åt stöld i den traditionella benämningen utan pressar i stället offret på pengar i utbyte mot tillgång till deras filer. Här finns det egentligen två olika konsekvenser, antingen betalas en lösensumma för att få filerna dekrypterade. Vi har inte som en del av experimentet försökt ta kontakt med personen eller personerna bakom Ryuk, storleken på lönesumman är därför inte känd. Enligt litteraturstudien var denna summa mellan 1.2 och 4 miljoner kronor i Bitcoin år 2019 (Hassan, 2019). Det finns heller inte någon garanti att de är till någon hjälp när summan väl betalats. I den andra situationen, där summan inte betalas, blir förlusten det eventuellt ekonomiska samt sentimentala värdet av innehållet på datorn.

I båda dessa scenarion skiljer sig konsekvenserna väldigt mycket åt mellan olika fall.

För ett mindre företag, som inte hanterar känslig information, är kanske inte värdet på datorns innehåll lika högt utan Trickbot utgör i stället ett större hot. Däremot kan Ryuk orsaka väldigt stor skada för ett företag som hanterar just denna typ av

information eller vars verksamhet i stora delar befinner sig på ett lokalt nätverk. Inget av dessa malware har, på egen hand, egenskaperna att sprida sig, likt ett virus eller en mask. Resultatet tyder dock på att Ryuk kan påverka och kryptera andra enheter på nätverket, baserat på dess Wake on LAN funktion. Detta gäller troligtvis enbart filer som är åtkomstbara för den infekterade enheten. Det är givetvis mycket möjligt att kombinera dessa med andra malware, för att möjliggöra en spridning. Vilket också drastiskt skulle påverka de eventuella konsekvenserna.

21

6. Slutsats

I detta kapitel presenteras uppsatsens slutsatser och besvarar frågeställningarna.

● Vilka är de största hoten inom malware för företag med Windowsdatorer?

Resultatet av arbetet pekar mot trojaner som det nuvarande största hotet, i form av skadlig programvara, mot Windows enheter. Både deras stora utbredning och lätta spridning samt möjligheterna att orsaka större skador för den drabbade gör det till det främsta hotet i listan. Den breda kategoriseringen av Trojaner innebär en stor variation av eventuella konsekvenser. Även om en stor del trojaner inte

nödvändigtvis leder till extrema konsekvenser väger denna kategori upp det med den stora skillnaden i förekomsten.

Det andra största hotet enligt slutsatsen är bakdörrar, även om deras sällsynthet gör dem till ett mindre hot än trojaner, är deras möjlighet till att göra skada betydligt större.

Tredje hotet är utpressningsprogram, återigen ett av den mer ovanliga skadliga programvaran att bli drabbad av men om ens nätverk skulle blir infekterat, förlorar man tillgången till all sin data samt användningen av de påverkade enheterna omedelbart.

Fjärde största hotet räknar vi som spionprogram. Även om de är vanligare än de två tidigare nämnda, har denna typ av skadlig programvara mildare konsekvenser. Det är inte garanterat att bli utsatt för skador efter att en enhet blivit infekterad av spionprogram.

● Hur ser funktionaliteten och ändamålen ut hos dessa malware?

Baserat på resultatet från experimentet och litteraturstudien dras slutsatsen om funktionaliteten och ändamålen hos de malware som utgör det största hotet, det vill säga utpressningsprogram, bakdörrar, spionprogram och trojaner.

Hos trojaner kan både funktionen och ändamålen variera väldigt mycket. Trojanen Trickbot från experimentet gömde sig bland processerna genom att maskera sig som ett wermgr.exe, ett legitimt program, och samlar in bankuppgifter. I detta fall är

ändamålet att samla in bankuppgifter, men en trojan är egentligen enbart ett malware som utger sig för att vara ett legitimt program. Därför kan det finnas alla möjliga typer av varianter. Trickbot faller även till viss del in under kategorin

spionprogram. Spionprogram är alla typer av malware som samlar in information från det utsatta systemet, eftersom Trickbot samlar in bankuppgifter stämmer det in på denna kategori med. Som tidigare nämn i uppsatsen är det väldigt svårt att dela in malware i de vanliga kategorierna eftersom det förekommer en hel del överlappning.

I experimentet identifierades även använda säkerhetsåtgärder för att undvika både att upptäckas av säkerhetsprogram samt granskas av analysverktyg.

Utpressningsprogram är lite tydligare definierade då funktionaliteten och ändamålen i de flesta fall involverar kryptering av innehållet på hårddiskar för att sedan kräva offret på pengar för att återfå tillgång till sina filer. I vissa fall blir enheten helt oanvändbar efter krypteringen (Love, 2018). Medan i andra fall, likt Ryuk i

22 experimentet, går det fortfarande att till viss del att använda enheten. Detta då Ryuk filtrerar innehållet på enheten och undviker att kryptera filer på vissa delar av

hårddisken och även undviker vissa filtyper.

Målet med en bakdörr är att skapa en åtkomstpunkt till en enhet eller ett nätverk där säkerhetsåtgärder kringgås. En bakdörr i sig gör egentligen inte någon skada men skapar möjligheten att komma innehållet på en dator eller i ett nätverk för eventuell stöld eller sabotage (Reynolds, 2020). Konsekvenserna av en bakdörr kan därför variera och beror helt på vad förövaren är ute efter.

Spionprogram samlar aktivt in information från en enhet, vilket likt en bakdörr kan leda till både ekonomisk och materiell stöld (Aycock, 2006). Skillnaderna är dock stora då ett spionprogram inte ger förövaren tillgång till systemet, vilket betyder att det inte på något sätt kan modifiera enheten eller ta bort filer, utan samlar enbart in information.

i

Referenser

Aycock, J. (2006). Computer Viruses and Malware. University of Calgary, Canada https://books.google.se/books?hl=en&lr=&id=xnW-

qvk1gzkC&oi=fnd&pg=PA1&dq=malware+definitions&ots=utikneIl4v&sig=mrm2jjhVF YeDXTAoAm-WmElzMRU&redir_esc=y#v=onepage&q&f=false

Cova, M., Leita, C., Thonnard, O., Keromytis A., & Dacier, M. (2009). Gone Rogue:

An Analysis of Rogue Security Software Campaigns. European Conference on Computer Network Defense.

https://ieeexplore-ieee-org.ezproxy.bib.hh.se/document/5494349/

Europol. (2021). World’s Most Dangerous Malware EMOTET Disrupted Through Global Action. Newsroom.

https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most- dangerous-malware-emotet-disrupted-through-global-action

Federal Trade Commission. (2015). Malware.

https://www.consumer.ftc.gov/articles/0011-malware

Gezer, A., Warner, G., Wilson, C., & Prakash, S. (2019). A flow-based approach for Trickbot banking trojan detection. Computers and Security.

https://www.sciencedirect.com/science/article/pii/S0167404818309568

Hassan N.A. (2019) Ransomware Families. Ransomware Revealed.

https://link.springer.com/chapter/10.1007/978-1-4842-4255-1_3

Intel 471. (2020). Understanding the relationship between Emotet, Ryuk and TrickBot. Intel 471. https://intel471.com/blog/understanding-the-relationship- between-emotet-ryuk-and-trickbot/

Kaspersky. (2020). A Brief History of Computer Viruses & What the Future Holds.

Kapersky.

https://usa.kaspersky.com/resource-center/threats/a-brief-history-of-computer- viruses-and-what-the-future-holds

Kirillov, I & Beck, D & Chase, P & Martin, R. ( ) https://www.researchgate.net/profile/Robert-Martin-

43/publication/267691330_Malware_Attribute_Enumeration_and_Characterization/li nks/54bd188e0cf218d4a169ee0c/Malware-Attribute-Enumeration-and-

Characterization.pdf

Kramer, S & Bradfield, J. (2009). A general definition of malware. Springerlink.

https://link.springer.com/article/10.1007/s11416-009-0137-1

https://link.springer.com/content/pdf/10.1007/s11416-009-0137-1.pdf

Love, J. (2018). A Brief History of Malware, Its Evolution and Impact. Lastline Inc.

https://www.lastline.com/blog/history-of-malware-its-evolution-and-impact/

ii Malwarebytes. (2021). State of Malware. Malwarebytes

https://resources.malwarebytes.com/files/2021/02/MWB_StateOfMalwareReport202 1.pdf

Malwarebytes. (2016). Browser hijacker. Malwarebytes https://blog.malwarebytes.com/threats/browser-hijacker/

Microsoft. (2009). Security Account Manager (SAM). Windows Documentation.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server- 2003/cc756748(v=ws.10)?redirectedfrom=MSDN

Milosevic, M. (2013). History of malware.

https://www.researchgate.net/publication/235666537_History_of_malware

Moir, R. (2009). Defining Malware. Microsoft.

https://docs.microsoft.com/en-us/previous-versions/tn- archive/dd632948(v=technet.10)?redirectedfrom=MSDN

Mokoena, T. & Zuva T. (2017). Malware Analysis and Detection in Enterprise Systems. IEEE.

https://ieeexplore-ieee-org.ezproxy.bib.hh.se/document/8367429

Mundie, D & Mcintire, D. (2013). An Ontology for Malware Analysis. IEEE.

https://ieeexplore.ieee.org/abstract/document/6657289

Reynolds, R. (2020). The four biggest malware threats to UK business. Network Security. https://www.sciencedirect.com/science/article/pii/S1353485820300295 Saurabh. (2018) Advance Malware Analysis Using Static and Dynamic Methodology.

2018 International Conference on Advanced Computation and Telecommunication https://ieeexplore-ieee-org.ezproxy.bib.hh.se/document/8933769

Sikorski, M & Honig, A. (2012). Practical Malware Analysis. No Starch Press inc.

https://books.google.se/books?hl=en&lr=&id=DhuTduZ-

pc4C&oi=fnd&pg=PR2&dq=malware+definitions&ots=3fdUMqU59v&sig=A20Qjn__t UH896LACux07C6rktA&redir_esc=y#v=onepage&q=malware%20definitions&f=false Snoke, T.D., & Shimeall, T.J. (2020). An Updated Framework of Defenses Against Ransomware. Carnegie Mellon University.

https://resources.sei.cmu.edu/asset_files/WhitePaper/2020_019_001_644890.pdf Stafford, T. F. & Urbaczewski, A. (2004). Spyware: The Ghost in the Machine.

Communications of the Association for Information Systems.

https://aisel.aisnet.org/cgi/viewcontent.cgi?article=3274&context=cais Statcounter. (2020). Desktop Operating System Market Share Worldwide.

https://gs.statcounter.com/os-market-share/desktop/worldwide/2020

Stern, R. (2000). Napster: a walking copyright infringement? IEEE.

iii https://ieeexplore-ieee-

org.ezproxy.bib.hh.se/stamp/stamp.jsp?tp=&arnumber=888696 Vance, A. (2001). First P2P virus hits. IDG News Service.

https://www.computerworld.com/article/2799105/first-p2p-virus-hits.html

Besöksadress: Kristian IV:s väg 3 Postadress: Box 823, 301 18 Halmstad Telefon: 035-16 71 00

E-mail: registrator@hh.se www.hh.se

Oliver Karlsson

&

Erik Magnusson