研究人員發展勒索軟體及時偵測技術

• 發布日期：108-11-28
• 發布單位：刑事警察大隊

因應日愈猖獗的勒索軟體，義大利米蘭理工大學教授Andrea Continella及其團隊，近日於Black Hat 2017發表能偵測勒索軟體、阻斷行為，甚至及時將檔案解密的最新安全技術。這項名稱為ShieldFS的研究專案，是設計一套Windows核心模組程式，用以監控及記錄檔案系統活動。它會自動建立偵測模型來偵測檔案系統中的寫入時複製(copy-on-write, COW)活動。一般勒索軟體複製受害檔案、寫入程式碼加密，最後以分身置換掉原始檔案就是一種COW行為。而ShieldFS除了能偵測COW，還會尋找使用加密質數的現象。它特別會掃描記憶體中是否有可疑活動，如區塊加密金鑰排程(block cipher key schedule)等，這些活動都是勒索軟體正在加密檔案的指標。ShieldFS即藉此分辨出runtime中的正常行為及勒索軟體。
而除了偵測外，ShieldFS還會出手干預惡意軟體行為。使用一種「即時自我修復的虛擬檔案系統」技術，偵測到勒索軟體時，ShieldFS會發出訊號給作業系統要求停止動作，透過虛擬檔案系統攔截COW作業，暫時保留原始檔案，讓它能及時將檔案解密回復。研究人員指出，由於ShieldFS是偵測加密行為有無，而非按照特徵識別碼比對惡意程式，因此比傳統防毒軟體更能偵測未見過的勒索軟體，對於快速變化的勒索軟體的偵測更有用。研究人員宣稱ShieldFS在WannaCry加密僅200個檔案就已經偵測到，而且因為能自動回復，因此沒有任何檔案因此損失。此外，ShieldFS針對網路上1483個勒索軟體包括知名的Locky、TeslaCrypt、CryptoLocker、CryptoWall、ZeroLocker的行為活動幾乎都能偵測出來，偵測率高達96.9%。不過，研究團隊表示目前這項技術仍在開發中，期望近期內可望完成可實際操作的版本。
資料來源參考：
http://shieldfs.necst.it/
https://www.bleepingcomputer.com/news/security/shieldfs-can-stop-and-revert-the-effects-of-ransomware-infections/
https://www.blackhat.com/docs/us-17/wednesday/us-17-Continella-ShieldFS-The-Last-Word-In-Ransomware-Resilient-Filesystems.pdf
http://www.ithome.com.tw/news/115845
參考網站：
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=15987