Exploring Destructive Malware: A Practical Approach to Wiper Malware

Abstract

I senere år har bruken av løsepengevirus, wiper-angrep og annen destruktiv skadevare økt betydelig. Disse angrepene har fått omfattende økonomiske og samfunnsmessige konsekvenser. Digitaliseringsdirektoratet har identifisert denne trenden som en alvorlig trussel mot infrastrukturen de administrerer, siden nedetid i systemene etter et angrep kan få betydelige følger. De ønsker derfor mer informasjon om denne trusselen.

Vi har i denne oppgaven valgt en praktisk tilnærming for å forstå virkemåten til - og teknologien bak - destruktive skadevaretyper, med spesielt fokus på "wipere". Gjennom eksperimentell testing med hjelp fra OpenAI ChatGPT 4 til utvikling av kode, ble en egen wiper-skadevare utviklet. Denne er basert på teknikker fra tidligere angrep, og ble kontinuerlig testet i et Windows-miljø med forskjellige endepunktssikkerhetsløsninger for å lære mer om hvordan Windows responderer, og for å utvikle potensielt effektive beskyttelsesstrategier mot denne typen skadevare.

Testingen viste at Windows har en generell svak basiskonfigurasjon som gjør systemet utsatt for denne typen skadevare, spesielt gjennom ukritisk tilgangshåndtering og manglende deteksjon av antivirusløsningene. Tiltakene er derfor primært utformet for å motvirke disse svakhetene.

In recent years, the use of ransomware, wiper attacks, and other destructive malware has increased significantly. These attacks have led to extensive economic and societal consequences. The Norwegian Digitalisation Agency has identified this trend as a serious threat to the infrastructure they manage, as downtime in systems following an attack can have substantial repercussions, and as a result of this, they seek more information about this threat.

In this assignment, we have adopted a practical approach to understand the mechanisms and technology behind destructive types of malware, with a particular focus on "wipers". Through experimental testing with assistance from OpenAI ChatGPT 4 for code development, we developed our own wiper malware. This is based on techniques from previous attacks, and was continuously tested in a Windows environment with various endpoint security solutions, to learn more about how Windows responds and to develop potentially effective protection strategies against this type of malware.

Our testing revealed that Windows has a generally weak baseline configuration, making the system susceptible to this type of malware, particularly through permissive privilege management and lack of detection by endpoint protection solutions. Therefore, the measures are primarily designed to counteract these weaknesses.