Sigma-havainnointisäännöstön kehittäminen Akira-kiristyshaittaohjelmatoimijan toimintaperiaatteiden mukaan
Jokela, Justus (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202405028891
https://urn.fi/URN:NBN:fi:amk-202405028891
Tiivistelmä
Viime aikoina kiristyshaittaohjelmat ovat nousseet merkittäväksi uhaksi kyberturvallisuudelle koko maailmassa. Erityisesti viime vuonna Akira-niminen kiristyshaittaohjelma on herättänyt laajaa huomiota toiminnallaan. Tämän opinnäytetyön tavoitteena oli tutkia Akiran dokumentoituja toimintatapoja ja luoda niiden perusteella Sigma-havainnointisäännöstöä, jonka avulla Akiran toimintaa voidaan havaita ja siten estää.
Työ toteutettiin analysoimalla Akiran tunnettuja toimintatapoja ja luomalla niiden pohjalta Sigma-säännöstöä. Työssä käytiin läpi myös Sigma-formaatti ja sen käyttötarkoitukset. Lisäksi työssä kuvattiin Akiran tyypillinen hyökkäys käyttäen Unified Kill Chain -mallia. Säännöt luotiin Windows-ympäristöihin, sillä Akiran on havaittu kohdentavan hyökkäyksiään pääasiassa Windows-ympäristöihin.
Työn tavoitteessa onnistuttiin, ja lopputuloksena syntyi kahdeksan Sigmasääntöä, joiden avulla voidaan havaita Akiran toimintaa hyökkäyksen eri vaiheissa. Johtopäätöksenä todettiin, että sääntöjä on tarve jatkokehittää ja testata produktioympäristössä, sillä Akiran kaltaiset toimijat kehittävät toimintatapojaan jatkuvasti.
Työ toteutettiin analysoimalla Akiran tunnettuja toimintatapoja ja luomalla niiden pohjalta Sigma-säännöstöä. Työssä käytiin läpi myös Sigma-formaatti ja sen käyttötarkoitukset. Lisäksi työssä kuvattiin Akiran tyypillinen hyökkäys käyttäen Unified Kill Chain -mallia. Säännöt luotiin Windows-ympäristöihin, sillä Akiran on havaittu kohdentavan hyökkäyksiään pääasiassa Windows-ympäristöihin.
Työn tavoitteessa onnistuttiin, ja lopputuloksena syntyi kahdeksan Sigmasääntöä, joiden avulla voidaan havaita Akiran toimintaa hyökkäyksen eri vaiheissa. Johtopäätöksenä todettiin, että sääntöjä on tarve jatkokehittää ja testata produktioympäristössä, sillä Akiran kaltaiset toimijat kehittävät toimintatapojaan jatkuvasti.