研究人员发明ShieldFS文件系统以拦截勒索软件
- A
为了应对日益猖獗的勒索软件,日前在美国举办的2017年黑帽大会上,有安全研究人员发布了可侦测和阻断勒索软件加密的安全防护技术。
这个名为ShieldFS的项目来自于米兰理工大学教授安德里亚团队,其主要功能是拦截勒索软件并及时的恢复被攻击者加密的文件。
据了解,ShieldFS是一套Windows核心模组,能够监控和记录文件系统的活动,会自动建立侦测模型来侦测档案系统中的写入时复制活动,当侦测到异常活动时,就会及时的终止对应的操作
我们知道,勒索软件通常都是对设备进行感染后就开始复制受害者文档、写入程式码加密、最后以加密的文件替换原始文件这种模式进行勒索的一种COW行为,在这一操作过程中,勒索软件需要占用大量的系统资源进行复制和写入操作,而在这一工程中,ShieldFS就会侦测到异常。
当然,除了能够侦测复制和写入操作之外,ShieldFS还能够寻找使用加密质数的现象,特别会扫描内存中是否存在可疑的活动或者进程,比如说区块加密金钥排程,这些都是勒索软件正在加密用户文件的重要指标,ShieldFS能够通过这一行为轻松分辨进程中到底是正常的行为还是勒索软件行为。
除了侦测手段之外,ShieldFS还能够出手干预恶意软件的行为,在侦测到勒索软件行为时启动名为实时自我修复虚拟文件系统的技术,发出讯号给作业系统要求立即停止相关动作,并通过虚拟档案系统来拦截勒索软件正在进行的操作,暂时保留原始档案,以便于及时的将这些文件解密恢复,从而达到干预勒索软件加密活动的目的。
安全亚牛人员指出,ShieldFS是通过软件的操作行为来判断其是否属于异常,并不是按照病毒的哈希值等特征码来对比恶意程式的,因此能够比传统安全软件更容易侦测到未曾发现的勒索软件,这对于快速迭代的勒索软件来说,侦测效果其实更加有效!
在实际的测试中,使用WannaCry勒索软件作为测试样本时发现,WannaCry在加密了200个文件后就已经被侦测到,而且因为能够自动恢复数据,并没有造成任何文件因此造成损失,同时,网络上知名的1483个勒索软件,包括Locky、TeslaCrypt、CryptoLocker、CryptoWall、ZeroLocker在内的多款勒索软件几乎难逃其法眼,侦测率高达96.9%。
该安全研究团队表示,这项技术目前仍在完善可开发中,开发完成后就会发布可实际操作的版本供用户测试和使用!