1. Repositório Institucional - Universidade Federal de Uberlândia
  2. Faculdade de Computação (FACOM)
  3. TCC - Sistemas de Informação (Monte Carmelo)
Por favor, use este identificador para citar o enlazar este ítem: https://repositorio.ufu.br/handle/123456789/48151
Tipo de documento: Trabalho de Conclusão de Curso
Tipo de acceso: Acesso Aberto
Título: Extração automatizada de chaves criptográficas em Ransomwares: uma abordagem forense baseada em AOB
Autor: Gama, Gabriel Alves
Primer orientador: Molinos, Diego Nunes
Primer miembro de la banca: Miani, Rodrigo Sanches
Segundo miembro de la banca: Sendin, Ivan da Silva
Resumen: Ameaças do tipo ransomware têm-se consolidado como um dos principais vetores de ataques cibernéticos, apresentando crescimento contínuo tanto em incidência quanto na complexidade de suas técnicas. Relatórios recentes apontam impactos financeiros expressivos, com prejuízos que atingem milhões de dólares por incidente. Esses ataques empregam mecanismos criptográficos para cifrar arquivos em sistemas comprometidos, condicionando a recuperação dos dados ao pagamento de resgate, geralmente associado à disponibilização da chave ou do mecanismo de decifragem. Nesse contexto, este trabalho propõe um mecanismo de extração automatizada de chaves criptográficas de ransomwares por meio da análise de memória volátil durante a execução do malware.Para garantir controle sobre o comportamento interno do malware e viabilizar experimentos reprodutíveis, foi desenvolvida uma amostra própria de ransomware, inspirada conceitualmente em amostras tais como WannaCry e LockBit. A abordagem fundamenta-se no uso de assinaturas Array of Bytes (AOB) para identificar, em tempo de execução, rotinas associadas à geração e ao armazenamento temporário da chave criptográfica na memória volátil. O processo experimental envolveu análise estática com a ferramenta IDA Free, inspeção dinâmica de memória com Cheat Engine e a implementação de uma ferramenta automatizada, denominada AOBTool. Os resultados indicam que a chave pode ser localizada e extraída da memória antes de seu descarte, em tempo inferior ao necessário para a conclusão do processo de criptografia dos arquivos, evidenciando o potencial da técnica como suporte à computação forense e à mitigação de incidentes envolvendo ransomware
Abstract: Ransomware threats have emerged as a primary vector for cyberattacks, with incidence and the complexity of their techniques continuing to grow. Recent reports highlight the significant financial impacts of these attacks, with losses reaching millions of dollars per incident. Ransomware typically employs cryptographic mechanisms to encrypt files on compromised systems, making data recovery contingent on the payment of a ransom, generally associated with the receipt of the cryptographic key or a decryption tool. In this context, this work proposes an automated mechanism for extracting cryptographic keys from ransomware by analyzing volatile memory during malware execution. To gain greater control over the malware’s internal behavior and to enable reproducible experi ments, a custom ransomware sample was developed, inspired by notable strains such as WannaCry and LockBit. The proposed approach leverages AOB (Array of Bytes) signa tures to identify, in real-time, routines related to the generation and temporary storage of cryptographic keys in volatile memory. The experimental process involved static analysis with IDA Free, dynamic memory inspection with Cheat Engine, and the development of an automated tool, AOBTool. The results indicate that the cryptographic key can be located and extracted from memory before it is disposed of, within a timeframe shorter than that required to complete the file encryption process. This highlights the potential of the proposed technique as a valuable support tool for digital forensics and for mitigating ransomware-related incidents.
Palabras clave: Ransomware
Engenharia Reversa
Extração de Chaves
AOB
Análise de Memória
Reverse Engineering
Key Extraction
Memory Forensics
AOB Signature
Ransomware
Área (s) del CNPq: CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO::METODOLOGIA E TECNICAS DA COMPUTACAO::SISTEMAS DE INFORMACAO
Idioma: por
País: Brasil
Editora: Universidade Federal de Uberlândia
Cita: GAMA, Gabriel Alves. Extração automatizada de chaves criptográficas em Ransomwares: uma abordagem forense baseada em AOB. 2025. 72 f. Trabalho de Conclusão de Curso (Graduação em Sistemas de Informação) – Universidade Federal de Uberlândia, Uberlândia, 2025
URI: https://repositorio.ufu.br/handle/123456789/48151
Fecha de defensa: 19-dic-2025
Aparece en las colecciones:TCC - Sistemas de Informação (Monte Carmelo)

Ficheros en este ítem:
Fichero Descripción TamañoFormato 
ExtraçãoAutomatizadaChaves.pdfTCC1.66 MBAdobe PDFVista previa
Visualizar/Abrir
Mostrar el registro Dublin Core completo del ítem


Los ítems de DSpace están protegidos por copyright, con todos los derechos reservados, a menos que se indique lo contrario.