【BlackHat 2017】勒索软件未来的终极克星?研究人员发明ShieldFS文件系统

2017-07-28 461195人围观 ,发现 4 个不明物体 资讯

勒索软件未来的终极克星?研究人员发明ShieldFS文件系统

Black Hat 2017 美国黑客大会于北京时间 7 月 28 日 9 点结束,但后续的 DEF CON 等会议仍在如火如荼地进行。今年的 Black Hat 大会上分享了很多议题,FreeBuf 也对此进行了图文直播,并设立专题报道,各位感兴趣的可以点击查看

今年的WannaCry病毒与NotPetya病毒在全球范围内广泛传播,让全世界都看到了勒索软件的威力。然而面对这些肆虐的勒索病毒即使是很多杀毒软件厂商也束手无策,解决方案也往往是备份备份再备份。而在今年的BlackHat 2017黑帽大会上发布的新议题可能能让这一难题彻底解决。

来自意大利的研究人员开发了一种Windows驱动和定制的一种文件系统,能够检测到勒索软件感染的迹象,终止恶意行为,并且把被加密的软件还原。

米兰理工大学的7名研究人员开发了这个文件系统,并把它叫做ShieldFS。在昨天的BlackHat大会上他们介绍了相关的细节。

工作原理

要解释ShieldFS的工作原理,我们可以把这个文件系统的特性分成两大部分,第一部分是检测,第二部分是文件恢复。

检测

首先,研究人员将在两批电脑中使用他们的文件系统读写嗅探工具IRPLogger对磁盘行为进行记录。检测的主要是Copy-On-Write (COW)操作。这种操作在勒索软件中非常普遍,勒索软件往往会选择一份文件,进行加密,然后替换源文件。

这两批电脑中一批是11名志愿者的11台电脑,由于用户行为不同,他们还被归为三类:家庭用户、开发者以及办公用户。收集到的IRP记录多达17亿,压缩的数据达28.3G。

勒索软件未来的终极克星?研究人员发明ShieldFS文件系统

另一批是一些安装了勒索软件的电脑。研究人员用到了来自5个病毒家族的383个样本。为了模拟真实的使用环境,研究人员在Windows 7系统中安装了Adobe阅读器、微软Office套件、浏览器以及播放器(这样能够模拟出真实的磁盘读取情况),并且放置了一些浏览器记录、用户文件,这样勒索软件就会认为这是一个真实用户,从而触发加密过程。

接下来,研究人员对采集到的数据进行监督分类,用监督分类器识别特征。得出的结论是,正常系统中的行为与安装了勒索软件的系统有很大的区别。下图中的蓝色线条代表的是正常软件读写操作的情况,红线则是勒索软件的情况,可以清楚地看出差异。通过这样的方法,ShieldFS能够识别出勒索软件和普通软件。

勒索软件未来的终极克星?研究人员发明ShieldFS文件系统

文件恢复

但要进行上面提到的“检测”,就意味着勒索软件必须进行读写操作,也就是说一部分文件已经被加密,作为一套完整的方案,ShieldFS提供了进行文件恢复的方法。

启用ShieldFS后,任何新创建的进程就会被文件系统识别为“未知”状态。当且仅当这个进程第一次进行写入或者删除操作时,ShieldFS会把文件内容复制到一个安全的、只读的存储区域。接下来,新进程就开始执行操作,当ShieldFS采集到足够多的特征后,就会用上文提到的特征判断这是个正常软件、可疑软件或是恶意软件。

如果软件被FS判断为正常,之前复制的那些文件就可以被删除,或者可以作为缓存加快部分文件的读写速度;而当程序被判断为恶意时,系统就会停止它的进程,还原文件,并且在它的进程中寻找加密使用到的密码,如果找到了密码和加密方式就很有可能是勒索病毒,因此程序可以对可疑的程序进行进一步鉴定。

检测率

研究人员使用了305个之前没有参与实验的勒索软件样本,这些样本来自11个勒索软件家族。实验中,ShieldFS成功检测出298个样本,检测率高达97.7%。惊人的是,在漏掉7个样本的情况下ShieldFS成功保护了所有被加密的文件。

勒索软件未来的终极克星?研究人员发明ShieldFS文件系统

与此同时为了减少误报率,ShieldFS对2245个正规软件进行了模型适配,这样就减少了正规的软件遭到屏蔽的情况。

可能很多读者会把一些备份软件,比如微软的卷影复制服务(Shadow Volume)跟他相提并论,但是ShieldFS的高明之处在于它进行了实时的备份。在实际的情况中,备份往往是不及时的,刚刚修改的文件对于用户来说也具有很大的价值,更何况有些勒索软件还会特意加密备份的文件。而ShieldFS则能在成本较低的情况下提供更加完善的解决方案,这可能是未来检测勒索软件的新思路。

以下是ShieldFS实际环境中的演示视频。研究人员仍在进行改进,打算在将来公开发布,以开源的形式发布在这里

*参考来源:BleepingComputers,本文作者:Sphinx,转载请注明来自FreeBuf.COM

相关推荐

这些评论亮了

  • 围观群众A 回复
    开源?开毛玩笑,然后勒索软件对着源代码更新,反勒索软件检测,只加密文件头,RAR注入加密,延时慢速加密,开机引导加密,加密分区表
    )16( 亮了
发表评论

已有 4 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php