示意圖,與新聞事件無關。

因應日愈猖獗的勒贖軟體,美國安全大會Black Hat 2017上,義大利研究人員發表能偵測勒贖軟體、阻斷行為,甚至及時將檔案解密的最新安全技術。
 
米蘭理工大學教授Andrea Continella及其團隊發表名為ShieldFS的專案。根據研究團隊表示,ShieldFS是一套Windows核心模組,可監控及記錄檔案系統活動。它會自動建立偵測模型來偵測檔案系統中的寫入時複製(copy-on-write, COW)活動。一般勒贖軟體複製受害檔案、寫入程式碼加密,最後以分身置換掉原始檔案就是一種COW行為。
 
而ShieldFS除了能偵測COW,還會尋找使用加密質數的現象。它特別會掃瞄記憶體中是否有可疑活動,像是區塊加密金鑰排程(block cipher key schedule),這些都是勒贖軟體正在加密檔案的指標。ShieldFS即藉此分辨出runtime中的正常行為及勒贖軟體。
 
而除了偵測外,ShieldFS還會出手干預惡意軟體行為。使用一種「即時自我修復的虛擬檔案系統」技術,偵測到勒贖軟體時,ShieldFS會發出訊號給作業系統要求停止動作,透過虛擬檔案系統攔截COW作業,暫時保留原始檔案,讓它能及時將檔案解密回復。
 
研究人員指出,由於ShieldFS是偵測加密行為有無,而非按照特徵識別碼比對惡意程式,因此比傳統防毒軟體更能偵測未見過的勒贖軟體,對於快速變化的勒贖軟體的偵測更有用。研究人員宣稱ShieldFS在WannaCry加密僅200個檔案就已經偵測到,而且因為能自動回復,因此沒有任何檔案因此損失。此外,網路上1483個勒贖軟體包括知名的Locky、TeslaCrypt、CryptoLocker、CryptoWall、ZeroLocker幾乎都難逃法眼,偵測率高達96.9%。(來源:ShieldFS)


 
研究團隊表示目前這項技術仍在開發中,近期內可望完成可實際操作的版本。

 


Advertisement

更多 iThome相關內容