Algoritmo de detección de ransomwares mediante tráfico SMB en redes con directorios compartidos (REDFISH)

Este trabajo presenta una solución para detectar una infección por ransomware en un equipo de una red local con directorios compartidos por SMB en uno o varios servidores. Se basa en el análisis de tráfico de las versiones 1 y 2 de este protocolo, en la cantidad de bytes leídos y escritos y en las eliminaciones que haga el usuario en ficheros del servidor. Deben establecerse tres parámetros que caracterizarán al algoritmo (N, T y Vumbral), y que determinarán la cantidad de ficheros que encriptará el ransomware antes de su detección. Aunque esos N ficheros van a ser encriptados en todos los casos en que se detecte el ransomware, se ha desarrollado una herramienta de recuperación para conseguir recuperar estos ficheros, de forma que podemos considerar la herramienta como sin pérdidas. Los resultados son del 100 % de detección de ransomware con una probabilidad de falso positivo menor del 1 % en la mayoría de los días testeados. Las pruebas se han realizado con un total de 53 muestras distintas de ransomware de 18 familias diferentes, corriendo en un entorno virtualizado. Los falsos positivos se han evaluado con muestras de tráfico de usuario de 6 días laborables en la red local de la UPNA y 1 día completo en otra red empresarial.

This work presents a novel solution for detecting a ransomware infection of a com- puter in a LAN network with one or more shared directories by SMB protocol. It is based on the SMB traffic analysis, counting the read and written bytes by the user or by the server and the deletion of shared files. Three main parameters must be set in order to the algorithm to work properly (N, T and Vumbral), and they will determine how many files will be encrypt by the ransomware until its detection. Although these N files must be encrypted in all detection cases, a file-recovery tool has been developed in order to make the algorithm zero-losses. It has been achieved 100% of detection with plenty low false positive rate (lower than 1% in most of the days tested). The tests have been performed with 53 different ransomware samples of 18 families, running in a virtualized environment. The false positive rate has been evaluated using user traffic samples of 6 days in the local network of the UPNA, and 1 complete day of other enterprise network.