1. Repositório Institucional - Universidade Federal de Uberlândia
  2. Faculdade de Computação (FACOM)
  3. TCC - Sistemas de Informação (Monte Carmelo)
Please use this identifier to cite or link to this item: https://repositorio.ufu.br/handle/123456789/48151
Document type: Trabalho de Conclusão de Curso
Access type: Acesso Aberto
Title: Extração automatizada de chaves criptográficas em Ransomwares: uma abordagem forense baseada em AOB
Author: Gama, Gabriel Alves
First Advisor: Molinos, Diego Nunes
First member of the Committee: Miani, Rodrigo Sanches
Second member of the Committee: Sendin, Ivan da Silva
Summary: Ameaças do tipo ransomware têm-se consolidado como um dos principais vetores de ataques cibernéticos, apresentando crescimento contínuo tanto em incidência quanto na complexidade de suas técnicas. Relatórios recentes apontam impactos financeiros expressivos, com prejuízos que atingem milhões de dólares por incidente. Esses ataques empregam mecanismos criptográficos para cifrar arquivos em sistemas comprometidos, condicionando a recuperação dos dados ao pagamento de resgate, geralmente associado à disponibilização da chave ou do mecanismo de decifragem. Nesse contexto, este trabalho propõe um mecanismo de extração automatizada de chaves criptográficas de ransomwares por meio da análise de memória volátil durante a execução do malware.Para garantir controle sobre o comportamento interno do malware e viabilizar experimentos reprodutíveis, foi desenvolvida uma amostra própria de ransomware, inspirada conceitualmente em amostras tais como WannaCry e LockBit. A abordagem fundamenta-se no uso de assinaturas Array of Bytes (AOB) para identificar, em tempo de execução, rotinas associadas à geração e ao armazenamento temporário da chave criptográfica na memória volátil. O processo experimental envolveu análise estática com a ferramenta IDA Free, inspeção dinâmica de memória com Cheat Engine e a implementação de uma ferramenta automatizada, denominada AOBTool. Os resultados indicam que a chave pode ser localizada e extraída da memória antes de seu descarte, em tempo inferior ao necessário para a conclusão do processo de criptografia dos arquivos, evidenciando o potencial da técnica como suporte à computação forense e à mitigação de incidentes envolvendo ransomware
Abstract: Ransomware threats have emerged as a primary vector for cyberattacks, with incidence and the complexity of their techniques continuing to grow. Recent reports highlight the significant financial impacts of these attacks, with losses reaching millions of dollars per incident. Ransomware typically employs cryptographic mechanisms to encrypt files on compromised systems, making data recovery contingent on the payment of a ransom, generally associated with the receipt of the cryptographic key or a decryption tool. In this context, this work proposes an automated mechanism for extracting cryptographic keys from ransomware by analyzing volatile memory during malware execution. To gain greater control over the malware’s internal behavior and to enable reproducible experi ments, a custom ransomware sample was developed, inspired by notable strains such as WannaCry and LockBit. The proposed approach leverages AOB (Array of Bytes) signa tures to identify, in real-time, routines related to the generation and temporary storage of cryptographic keys in volatile memory. The experimental process involved static analysis with IDA Free, dynamic memory inspection with Cheat Engine, and the development of an automated tool, AOBTool. The results indicate that the cryptographic key can be located and extracted from memory before it is disposed of, within a timeframe shorter than that required to complete the file encryption process. This highlights the potential of the proposed technique as a valuable support tool for digital forensics and for mitigating ransomware-related incidents.
Keywords: Ransomware
Engenharia Reversa
Extração de Chaves
AOB
Análise de Memória
Reverse Engineering
Key Extraction
Memory Forensics
AOB Signature
Ransomware
Area (s) of CNPq: CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO::METODOLOGIA E TECNICAS DA COMPUTACAO::SISTEMAS DE INFORMACAO
Language: por
Country: Brasil
Publisher: Universidade Federal de Uberlândia
Quote: GAMA, Gabriel Alves. Extração automatizada de chaves criptográficas em Ransomwares: uma abordagem forense baseada em AOB. 2025. 72 f. Trabalho de Conclusão de Curso (Graduação em Sistemas de Informação) – Universidade Federal de Uberlândia, Uberlândia, 2025
URI: https://repositorio.ufu.br/handle/123456789/48151
Date of defense: 19-Dec-2025
Appears in Collections:TCC - Sistemas de Informação (Monte Carmelo)

Files in This Item:
File Description SizeFormat 
ExtraçãoAutomatizadaChaves.pdfTCC1.66 MBAdobe PDFThumbnail
View/Open
Show full item record


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.