研究人員發展及時偵測技術,96.9%勒贖軟體難逃法眼

研究人員發展及時偵測技術,96.9%勒贖軟體難逃法眼 研究人員發展的這項技術,可以偵測勒贖軟體對檔案系統的寫入時複製COW行為,搭配掃描記憶體中是否有可疑的加密行為,以偵測是否有勒贖軟體正在執行,及時向作業系統要求停止執行,暫時保留資料,並回復檔案。 文/林妍溱 | 2017-07-28發表 示意圖,與新聞事件無關。 因應日愈猖獗的勒贖軟體,美國安全大會Black Hat 2017上,義大利研究人員發表能偵測勒贖軟體、阻斷行為,甚至及時將檔案解密的最新安全技術。 米蘭理工大學教授Andrea Continella及其團隊發表名為ShieldFS的專案。根據研究團隊表示,ShieldFS是一套Windows核心模組,可監控及記錄檔案系統活動。它會自動建立偵測模型來偵測檔案系統中的寫入時複製(copy-on-write, COW)活動。一般勒贖軟體複製受害檔案、寫入程式碼加密,最後以分身置換掉原始檔案就是一種COW行為。 而ShieldFS除了能偵測COW,還會尋找使用加密質數的現象。它特別會掃瞄記憶體中是否有可疑活動,像是區塊加密金鑰排程(block cipher key schedule),這些都是勒贖軟體正在加密檔案的指標。ShieldFS即藉此分辨出runtime中的正常行為及勒贖軟體。 而除了偵測外,ShieldFS還會出手干預惡意軟體行為。使用一種「即時自我修復的虛擬檔案系統」技術,偵測到勒贖軟體時,ShieldFS會發出訊號給作業系統要求停止動作,透過虛擬檔案系統攔截COW作業,暫時保留原始檔案,讓它能及時將檔案解密回復。 研究人員指出,由於ShieldFS是偵測加密行為有無,而非按照特徵識別碼比對惡意程式,因此比傳統防毒軟體更能偵測未見過的勒贖軟體,對於快速變化的勒贖軟體的偵測更有用。研究人員宣稱ShieldFS在WannaCry加密僅200個檔案就已經偵測到,而且因為能自動回復,因此沒有任何檔案因此損失。此外,網路上1483個勒贖軟體包括知名的Locky、TeslaCrypt、CryptoLocker、CryptoWall、ZeroLocker幾乎都難逃法眼,偵測率高達96.9%。(來源:ShieldFS) 研究團隊表示目前這項技術仍在開發中,近期內可望完成可實際操作的版本。  iThome Security

更多訊息更多資料都在這裡喔!~PPLS~芙婷寶~台北醫美~南極寶~蚯蚓粉~青春元素~地龍酵素~台北微整形~力雪達~血栓溶解酵素~地龍粉~蝦紅素~蜂王乳~膠股力~膠骨力~智勝王~蜂王漿

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *