研究人员发展及时侦测技术,96.9%勒赎软件难逃法眼
因应日愈猖獗的勒赎软件,美国安全大会Black Hat 2017上, 意大利研究人员发表 能侦测勒赎软件、阻断行为,甚至及时将档案解密的最新安全技术。 米兰理工大学教授Andrea Continella及其团队发表名为ShieldFS的专案。
根据研究团队表示 ,ShieldFS是一套Windows核心模组,可监控及记录档案系统活动。它会自动建立侦测模型来侦测档案系统中的写入时複制活动。一般勒赎软件複制受害档案、写入程式码加密,最后以分身置换掉原始档案就是一种COW行为。
而ShieldFS除了能侦测COW,还会寻找使用加密质数的现象。它特别会扫瞄内存中是否有可疑活动,像是区块加密金钥排程,这些都是勒赎软件正在加密档案的指标。ShieldFS即藉此分辨出runtime中的正常行为及勒赎软件。 而除了侦测外,ShieldFS还会出手干预恶意软件行为。使用一种“即时自我修复的虚拟档案系统”技术,侦测到勒赎软件时,ShieldFS会发出讯号给作业系统要求停止动作,透过虚拟档案系统拦截COW作业,暂时保留原始档案,让它能及时将档案解密回复。
研究人员指出,由于ShieldFS是侦测加密行为有无,而非按照特征识别码比对恶意程式,因此比传统防毒软件更能侦测未见过的勒赎软件,对于快速变化的勒赎软件的侦测更有用。研究人员宣称ShieldFS在WannaCry加密仅200个档案就已经侦测到,而且因为能自动回复,因此没有任何档案因此损失。此外,网路上1483个勒赎软件包括知名的Locky、TeslaCrypt、CryptoLocker、CryptoWall、ZeroLocker几乎都难逃法眼,侦测率高达96.9%。
研究团队表示目前这项技术仍在开发中,近期内可望完成可实际操作的版本。
