1. 软市首页
  2. 软件开发

勒索软件:进化、分类和防御解决方案综述

软件开发

勒索软件

  • 2.相关研究
  • 3.勒索软件和勒索软件的进化
  • 4.勒索软件的分类
    • 以目标为指向的
    • 勒索法分类
    • 著名勒索病毒家族的分类
  • 5.勒索软件防御研究
    • 分析
    • 勒索软件探测
    • 勒索软件恢复
  • 6.OPEN ISSUE
  • 7.结论
  • 参考文献
摘要
近年来,勒索软件已经成为针对终端用户、政府和商业组织的最臭名昭著的恶意软件之一。对于网络犯罪分子来说,它已经成为一项非常有利可图的业务,收入达数百万美元,对财务损失达数十亿美元的组织来说是一个非常严重的威胁。许多研究被提出以解决勒索软件威胁,包括涵盖勒索软件研究的某些方面的调查。然而,在文献中没有研究从目标平台的多样性方面对勒索病毒和勒索病毒防御研究进行完整的介绍。由于勒索软件已经在pc /工作站/台式机/笔记本电脑中流行,并在移动设备中变得更加流行,最近已经在IoT/CPS中流行,并可能很快在IoT/CPS领域进一步增长,了解勒索软件和分析与目标平台有关的防御机制变得更加迫切。为了填补这一空白,并推动进一步的研究,本文从个人计算机/工作站、移动设备和计算机等方面对勒索病毒及其防御研究进行了全面的综述
物联网/ CPS平台。涵盖1990-2020年期间的137项研究,对勒索软件的演变进行了详细概述,全面分析了勒索软件的关键构建模块,对重要的勒索软件家族进行了分类,并对关于pc /工作站、移动设备和IoT/CPS平台的勒索软件防御研究(即分析、检测和恢复)进行了广泛概述。
此外,为未来的勒索病毒研究得出了一个广泛的开放问题列表。我们相信这项调查将通过提供一个最先进的勒索软件研究的完整画面来推动进一步的研究。

近年来,一种独特的恶意软件,即勒索软件,所涉及的事件数量急剧增加。这种臭名昭著的恶意软件不仅针对普通终端用户,还针对政府和几乎任何行业的商业组织。
众多事件包括财富500公司[185]、银行[51]、云提供商[52]、芯片制造商[159]、邮轮运营商[177]、威胁监测服务[93]、政府[3,194]、医疗中心和医院[54]、学校[4]、大学[137],甚至警察部门[69]。
据预测,由于勒索软件给组织造成的总损失将会持续
到2021年,每11秒就会有一个新组织受到这些攻击[72]。更糟糕的是,据报道,在2020年,德国发生了第一起因勒索软件攻击而造成的人员死亡事件[118]。上述事件已经使勒索病毒成为威胁和国防行为体(即政府、工业和学术界)之间的头号军备竞赛问题。
勒索软件(勒索软件)是恶意软件的一个子集,旨在限制对系统或数据的访问,直到攻击者满足要求的赎金数额[155]。根据勒索软件的使用方法,一般分为加密受害者文件的加密勒索软件和阻止受害者访问其系统的储物柜勒索软件两种。不管使用的方法是什么,这两种勒索软件都要求支付赎金以释放文件或访问系统。尽管第一个勒索软件出现于1989年,并且断断续续地存在了30多年,但它自2005年以来一直是最臭名昭著的威胁之一[103]。网络犯罪分子已经完善了勒索软件的攻击组件(例如,更强大的加密技术、伪匿名支付方法、类似蠕虫的功能等),甚至开始通过学习过去的经验和利用技术进步来服务勒索软件即服务(RaaS)[162]。
文献中存在大量的分析、检测和防御研究来解决勒索病毒威胁。针对勒索软件研究的某些方面提出了一些调查。然而,目前尚无研究涵盖勒索软件的演化、特征、攻击阶段,以及针对多种平台(即pc /工作站、移动设备和IoT/CPS平台)的勒索软件防御研究的完整情况。我们认为这是文献中的一个重要研究缺口,因为了解勒索软件的关键特征和现有的防御解决方案在对抗这种不断增长的威胁方面变得越来越重要。由于勒索软件已经在pc /工作站/台式机/笔记本电脑中流行,并在移动设备中更加流行,最近已经在IoT/CPS中流行,并可能很快在IoT/CPS领域进一步发展,因此了解勒索软件并分析与目标平台相关的防御机制变得更加必要。为了填补这一研究空白,本文对pc /工作站、移动设备和IoT/CPS平台的勒索软件和勒索软件防御解决方案进行了全面的调查。我们的调查涵盖了1989-2020年期间在各种会议或期刊上发表的137项研究。这是文献中的第一项研究,全面分析了勒索软件的演变,给出了勒索软件的分类,并调研了各种平台(如pc /工作站、移动设备、IoT/CPS环境)上的勒索软件防御研究(即分析、检测和恢复)的最新进展。

1989年到2020年的勒索病毒演变的详细概述,包括勒索病毒的构建模块和著名勒索病毒家族的出现。
勒索软件、关键构建模块及其特征的全面分析,以及著名勒索软件家族的分类
索软件防御研究(即勒索软件分析,勒索软件检测和勒索软件恢复)的广泛概述,以多种平台为重点
(pc /工作站、移动设备和IoT/CPS平台)。
出了在未来的勒索软件防御研究和实践中需要解决的大量开放研究问题。

本调查的结构组织如下:第2节给出了相关工作。第3节概述了勒索软件及其演变。第4节分析了勒索软件的关键构建模块,并提出了一个值得注意的勒索软件家族的分类(作为在线补充材料)。第5节给出了关于pc /工作站,移动设备和IoT/CPS平台的勒索软件防御研究的广泛概述。第6节介绍了在未来的勒索病毒防御研究中需要解决的开放研究问题。第七部分是论文的总结。

2.相关研究

PASS,不是本文转载的目的所在。主要描述了其他研究者对勒索软件的工作近况和重心。

3.勒索软件和勒索软件的进化

勒索软件是恶意软件的一个子集,它阻止或限制用户访问他们的系统和/或数据,直到支付赎金[104]。勒索软件的主要目的是向受害者勒索钱财。根据采用的方法,勒索软件一般分为两类。
加密勒索软件:这种勒索软件加密受害者的文件,删除或覆盖原始文件,并要求支付赎金来解密文件。
锁定勒索软件:这种类型的勒索软件阻止受害者通过锁定屏幕或浏览器访问其系统,并要求支付赎金来解锁系统。与加密勒索软件不同,它不加密系统或用户数据。
勒索软件攻击阶段的概览如图1所示,这是我们基于之前的研究[16,23,41,100,119]所建立的。尽管有些勒索软件在所示模型中可能不具有单独的阶段,如Communication with C&C,但我们在此工作中的模型概括了勒索软件的攻击阶段。勒索软件的攻击阶段可以总结如下:

勒索软件:进化、分类和防御解决方案综述
勒索软件作为一种新型的网络犯罪商业模式,随着2015年“勒索软件即服务”(ransomware – As -a- service, RaaS)的出现,勒索软件的威胁上升到了一个新的维度。RaaS旨在提供用户友好、易于修改的勒索软件套件,任何人都可以在地下市场购买这些套件。这是勒索病毒进化的重要一步,因为它可以很容易地重新打包以感染任何平台,这使它与平台无关。RaaS提升了全球勒索软件攻击的数量
2017年,WannaCry勒索软件出现,成为当年最严重的网络犯罪。在微软Windows的帮助下,它影响了150个国家的25万多个系统SMB服务器远程代码执行漏洞。它使用AES用不同的密钥对每个文件进行加密,然后使用2048位RSA对单个密钥进行加密
2018年,PureLocker出现了,它是用PureBasic编程语言编写的,这使它与平台无关。它使用混合加密,并显示一个勒索信,攻击者要求受害者通过质子不可追踪的安全电子邮件服务联系他/她。
近年来,网络罪犯开始设计新的勒索软件家族,以特定的受害者为目标。其中一个例子是2019年的Ryuk,它只针对企业[159]。与其他勒索软件不同,Ryuk主要通过其他恶意软件感染目标,其中最著名的是TrickBot。
在2020年的全球大流行期间,对卫生中心的需求及其脆弱性增加了对卫生组织的勒索病毒攻击数量,甚至出现了一种名为Corona[6]的新勒索病毒菌株。科罗娜的目标是医院,它正在加密患者的健康记录。在那之后,它显示了一条以covid -19为主题的赎金信息。
从勒索软件的演变过程可以看出,这种臭名昭著的威胁始于1989年的弱威胁,缺乏强而快速的加密技术、多样化的感染载体、(伪)匿名支付方式和种类繁多的目标。然而,随着技术的发展,勒索软件的作者从以前的失败尝试和技术进步中吸取了教训,因此使勒索软件成为头号网络威胁。这种演变不仅影响最终用户,而且影响组织、企业和关键基础设施。虽然安全研究人员可以在第一个例子之后成功地恢复文件/系统
(不成功的)勒索软件攻击,目前,几乎不可能恢复的文件/系统没有赎金或恢复可用的备份。成功的勒索软件攻击不仅会给目标造成金钱和时间的损失,还会损害声誉。随着勒索软件从平台依赖到平台独立,从简单的勒索软件到成熟的RaaS模型,它变得越来越普遍,威胁着几乎每一个计算机化的系统/目标。

4.勒索软件的分类

勒索软件有多种分类方式。在本研究中,我们根据勒索软件的目标、感染方法、C&C通信和恶意行为(破坏技术)进行了分类,如图3所示。在本节中,我们首先提供每个分类类别的概述,然后根据我们的方法对著名的勒索病毒家族进行分类。

以目标为指向的

勒索软件可以根据它们的目标分为两类,这两类是相互正交的:目标受害者和目标平台。
Ransomware的受害者。勒索软件可以针对各种类型的受害者。分析勒索病毒的受害者类型可以为设计实用的防御机制提供有价值的信息。勒索软件的受害者可以分为两类:最终用户和组织。
最终用户是第一批勒索软件家族的主要目标。缺乏安全意识和技术援助使勒索软件对终端用户特别有效[155]。
加密勒索软件可以加密存储在个人设备(例如个人电脑、笔记本电脑、智能手机等)中值得支付的个人文件。与此同时,除非支付赎金,否则储物柜变体可能会锁定最终用户的设备并阻止访问。不出所料,最终用户要求的赎金金额明显低于组织目标的金额[155]。此外,一个单一的勒索软件可能会感染成千上万的最终用户系统,这使得它有利可图。
组织最初并不是勒索软件的主要目标。然而,随着勒索软件的不断发展,包括政府、医院[94]、企业和学校[83]在内的许多类型的组织经常成为攻击目标。在这些攻击中,网络罪犯提前选择他们的目标,并试图造成最大程度的破坏,以期获得大笔赎金[139]。
Locker勒索软件可以锁定目标使用的计算机,这可能导致该组织的整个行动停止[194]。同样,加密勒索软件可以加密存储在组织系统中的有价值的信息,并使其无法访问,直到支付巨额赎金。网络罪犯还可以威胁将目标的数据公之于众。

勒索软件的目标平台。了解勒索软件行为的另一个关键点是目标平台。勒索软件以各种平台为目标。大多数情况下,它是专门为平台和目标操作系统设计的,因为它经常利用系统特定的库/函数(即系统调用)来执行其恶意操作[155]。在本研究中,我们将互换使用平台和操作系统术语,并将勒索软件的目标平台分为三类:pc /工作站、移动设备和物联网/CPS设备。 个人电脑/工作站。勒索软件最常见的目标是pc /工作站。由于在用户中非常流行[179],大多数勒索软件都以安装Windows操作系统的pc和工作站为目标。此外,还有一些勒索软件家族针对其他操作系统,例如macOS的KeRanger和GNU/Linux平台的LinuxEncoder。受害者可以通过重新安装操作系统来减轻屏幕锁定勒索软件的攻击。另一方面,对于加密勒索软件,由于使用了先进的加密技术,几乎不可能解密和恢复文件[183]。因此,加密勒索软件家族是pc /工作站的主要威胁。 移动设备。随着移动设备在社会上的日益普及,智能手机等移动设备成为勒索软件的理想目标。在移动设备方面,勒索软件成为目标 Android和iOS平台,因为这两个平台分享了全球最大的移动操作系统市场。苹果有一个严格控制的生态系统,应用程序在发布给用户之前会被彻底审查。可能因为这个原因,iOS用户没有受到勒索软件的影响。 只有伪造的iOS设备勒索软件的例子[136]。恰恰相反,由于Android平台的开放生态系统,勒索软件对Android用户构成了严重威胁。事实上,第一个针对移动设备的储物柜勒索软件,即Android Defender -在2013年出现,目标是Android平台,并在次年出现了第一个加密勒索软件Simplocker[147]。即使对于个人电脑/工作站来说,加密勒索软件也更多威胁比储物柜变种,它是相反的方式,移动勒索软件。潜在的原因是,在pc /工作站上,寄存柜勒索软件的影响可以通过删除硬盘驱动器来避免[172],而在移动设备上,相同的过程并不容易。 物联网/ CPS设备。物联网和CPS设备目前还不是勒索软件的主要目标。然而,这类设备在包括但不限于智能家居、智能健康、智能建筑、智能交通、智能城市、智能工厂等众多部署领域变得越来越普遍[135,149]。事实上,工业物联网和CPS设备(如plc、RTUs、RIOs等)已经在推动智能电网、水和天然气管道、核电站和化工厂的工业控制系统。尽管目前针对此类设备的现有勒索软件[61]并不普遍,但未来对手可以更多地针对此类环境。 ## 感染方向 勒索软件的作者采用了传统恶意软件使用的感染技术来感染他们的目标。勒索病毒的感染方式可以分为恶意电子邮件、短信(SMS)、恶意应用程序、下载驱动、漏洞等5种。 恶意电子邮件是勒索病毒最常用的感染载体。攻击者向带有勒索软件附件的受害者发送垃圾邮件[164]。这种垃圾邮件活动可以使用僵尸网络来传播[110,139]。勒索软件可能附带一个恶意文件,或者电子邮件可能包含一个恶意链接,一旦访问就会触发安装勒索软件(驱动下载)。 手机勒索软件经常使用SMS消息或IMs。在这类感染中,攻击者向受害者发送SMS消息或IMs,这将导致他们浏览恶意网站,并将勒索软件下载到他们的平台上[140,147]。 勒索软件攻击者使用恶意应用程序开发并部署包含勒索软件的移动应用程序,这些应用程序伪装成良性应用程序[140,147]。 当用户不知情地访问受感染的网站或点击恶意广告(即恶意广告)时,就会发生驱动下载,然后恶意软件在用户不知情的情况下被下载和安装[176]。 受害者平台中的漏洞,如操作系统[40]、浏览器[163]或软件中的漏洞,可以被勒索软件作者用作感染载体。攻击者可以使用辅助应用程序、漏洞利用工具包来利用目标系统中的已知漏洞或零日漏洞。攻击者可以通过恶意广告和恶意链接将受害者重定向到这些工具包。 ## CC(命令-控制)通信 命令-控制(command-and-control, C&C)服务器是攻击者域内的远程服务器[130]。C&C服务器经常被对手用来通信和配置恶意软件。在勒索软件背景下,C&C服务器主要被加密勒索软件家族用于发送或接收加密密钥,用于加密受害者的文件和/或应用程序。 勒索软件家族大多使用HTTP或HTTPS协议实现此目的[175]。勒索软件家族可以通过硬编码的IP地址或域名连接到C&C服务器,或者使用域名生成算法(DGA)动态快速流动/生成/移位域名。 硬编码的IP /域:勒索软件家族可以将硬编码的IP地址或域嵌入到他们的二进制文件中,以建立到C&C服务器的连接。在这种方法中,每次攻击都保持相同的IP地址或域,为攻击者提供了可靠的通信。然而,这些硬编码值可以被防御系统用来创建用于检测的特征码。 动态域:域生成算法(DGA)被勒索病毒族用来动态联系C&C服务器。这些算法通过快速流动/生成/移动域名,为每次通信向服务器提供唯一的域名。这种形式的通信为勒索软件提供了更健壮的通信,防火墙无法轻易检测到它 ## 恶意行为 尽管所有勒索病毒家族的设计目的都是向受害者勒索钱财,但就恶意行为而言,它们可以表现出不同的特征。勒索软件可以采取的恶意行动可以分为两类:加密和锁定。 加密是由加密勒索软件家族实施的恶意行为,目的是防止访问受害者的文件,除非支付赎金。勒索软件首先准备密钥,然后开始加密过程。以前,勒索软件家族只对位于硬盘[39]特定部分的文件进行加密。随着时间的推移,勒索软件的作者开始瞄准可能包含受害者有价值信息的特定文件类型(例如。doc、。zip、。pdf)。经过加密处理后,勒索软件可以对原始受害文件显示各种破坏行为,如删除或覆盖。在本小节中,我们首先解释勒索软件使用的加密技术,然后简要概述破坏行为。 加密技术:勒索软件可以使用对称、非对称或混合加密技术。为了执行加密操作,勒索软件可以利用系统api,或位于勒索软件实际源代码中的预实现加密算法[168]。 对称密钥加密:对称密钥加密只使用一个密钥对文件进行加密和解密。与非对称密钥加密相比,它加密大量文件所需的资源更少,因此勒索软件可以更快地加密受害者文件[180]。 然而,攻击者需要确保受害者在加密过程后无法访问密钥[155]。加密密钥要么在目标系统上生成,要么嵌入到勒索软件二进制文件中。加密完成后,勒索软件通过C&C通信将加密密钥发送给攻击者。虽然勒索软件家族一直在使用不同的对称密钥加密算法,但AES(高级加密标准)是最流行的算法。 非对称密钥加密:在这种方法中,勒索软件利用一对密钥,即公钥和私钥,对文件进行加密和解密。非对称密钥加密虽然对大量的文件加密效率不高,但由于加密和解密需要单独的密钥,解决了密钥保护问题。攻击者可以像TeslaCrypt[87]那样将公钥嵌入到二进制文件中,这样勒索软件就可以在不连接C&C的情况下启动加密。它们还可以在受害者系统上生成密钥,如CryptoLocker[45]。在一些勒索软件家族中,如WannaCry[12],攻击者的公钥是通过C&C通信传递的。因此,启动加密需要连接到C&C服务器。此外,一些变种可以为每个受害者生成唯一的公私密钥对。这使得攻击者可以解密一个受害者的文件,而不会泄露私钥,而私钥也可以用来解密其他受害者的文件[155]。 RSA (Rivest-Shamir-Adleman)是最常用的非对称密钥算法。 混合加密:攻击者在混合加密中结合了两种加密技术的优点。在这方面,勒索软件首先使用对称密钥加密来快速加密受害者的文件。然后用攻击者的公钥对所使用的对称密钥进行加密。一般来说,攻击者的公钥被嵌入到勒索软件的二进制文件中,因此这些变体在攻击过程中不需要连接到C&C服务器。 破坏行为:勒索软件在完成加密过程后,对受害者的原始文件进行破坏时,可以表现出不同的行为。一些勒索软件家族会对文件进行加密,这样他们就会用加密版本覆盖原始文件。另一方面,一些家族通过修改主文件表(Master File Table, MFT)删除受害者的原始文件,并创建一个包含原始文件加密版本的新文件[103]。为了消除从文件系统快照中恢复文件的机会,一些勒索软件如锁定后,删除Windows卷影副本感染。

锁定。储物柜勒索软件家族锁定系统组件,防止受害者进入。根据目标的不同,勒索软件的锁定可以分为三类:屏幕锁定、浏览器锁定和主引导记录(MBR)锁定。
屏幕锁定勒索软件锁定系统的图形用户界面,阻止访问,同时要求赎金解除限制。他们可以使用不同的方法锁定受害者的屏幕,包括使用操作系统函数(例如CreateDesktop)来创建一个新的桌面并使其持久[103]。一些勒索软件家族,如Reveton[33]可以下载图像或C&C服务器的HTML页面,并动态创建它们的锁横幅。屏幕锁定勒索软件也可以针对移动设备。在这方面,屏幕锁定经常应用于Android勒索软件家族[147]。为了锁定移动设备,虽然有些家族(如LockerPin)将特定参数设置为Android系统api以使Android屏幕持久,但其他家族(如WipeLocker)禁用移动设备的特定按钮(如Home按钮)[76]。
浏览器锁定勒索软件家庭锁定受害者的网络浏览器,并要求赎金。攻击者通过将受害者重定向到包含恶意代码的网页来锁定受害者的浏览器JavaScript代码。与其他恶意勒索软件的策略不同,从浏览器锁中恢复相对简单。为了恐吓受害者,这种勒索软件可以显示“电脑因违反法律而被阻止”的勒索信息。
MBR锁定勒索软件家族,如Seftad[68],目标系统的主引导记录(MBR)。系统的MBR包含引导操作系统所需的信息。因此,这种恶意行为的目的是防止系统通过用伪造的MBR替换原始的MBR或加密原始的MBR来加载引导代码。

数据漏出。除了加密和破坏,一些勒索病毒家族,特别是最近的勒索病毒家族,还试图窃取受害者的宝贵信息(例如信用卡信息、公司文件、个人文件等)[115]。事实上,一些勒索软件家庭要求支付两笔赎金。因此,一种支付用于发送密钥来解密文件,另一种用于防止发布被盗信息[160]。这种行为的动机是向受害者索要更多的赎金,并加快支付过程。

勒索法分类

勒索软件的主要目的是向受害者勒索金钱(即赎金)。勒索软件勒索手段的基本特点是匿名性。在勒索软件的演变过程中,网络罪犯使用了不同的勒索方法。支付方式,如保费短信,预付费代金券,如Paysafe卡已被勒索软件家庭使用。然而,比特币等加密货币由于其去中心化和不受监管的性质、伪匿名性以及不受当地法律当局的约束,目前是勒索资金的最首选方法。

著名勒索病毒家族的分类

由于篇幅限制,我们在在线补充材料中提供了著名勒索病毒家族的分析和分类。我们真诚地建议读者阅读本文的其余部分本章通过本文的DOI链接。我们的分类包括1989-2020年期间在野外观察到的著名勒索软件家族。为了构建著名勒索软件家族的数据集,我们使用了安全公司的主要攻击实例[6,33,38,39,68],学术论文[11,41,58,103,119]和流行的博客文章[45,63,97,106,147,155,160,187]。

勒索软件:进化、分类和防御解决方案综述
检测技术:基于机器学习的检测是pc /工作站勒索软件检测中最广泛使用的方法。73%的研究采用基于ml的检测。
在基于机器学习的研究中,使用行为特征的研究占大多数(43%),其次是使用结构特征的研究(12%),以及同时使用行为特征和结构特征
(18%)。第二种流行的勒索软件检测技术是基于规则的检测,有14%的研究使用了这种技术。除了基于ml和基于规则的系统外,研究人员还使用了来自不同领域的多种检测技术来检测勒索软件,如表2和图5(a)所示。
检测功能:API调用和文件/目录功能是用于pc /工作站勒索软件检测最流行的功能。由于勒索软件在文件系统上执行恶意操作,并在执行操作时进行各种API调用,文件/目录功能和
API调用是勒索软件模式中最受关注的特性。研究人员也使用其他特征。但是,它们不像API调用和文件/目录功能那样频繁地被利用。这可能是因为这些特性依赖于平台(例如dll、registry),或容易混淆(例如字符串、操作码、网络流量),或与已经压缩的文件类型(例如熵)存在问题。
评估数据集:VirusTotal是pc /工作站勒索软件检测系统最流行的数据源。其次是VirusShare、hybridanalysis.com等。我们可以看到,大多数研究都使用了来自多个勒索软件家族的样本(数据集中使用的家族平均数量为10)。如表2所示,许多研究在其数据集中使用了超过1000个勒索软件样本。考虑到数据集中良性样本的数量,我们可以看到,一些研究人员试图使用平衡数据集,而另一些研究人员选择基于不平衡数据集来评估他们的方案。虽然大多数研究报告了勒索软件家庭的数量,但有些研究没有说明。
检测精度:针对pc /工作站的勒索软件检测研究报告显示其检测率非常高。TPR在73% ~ 100%之间变化,FPR在0 ~ 16.9%之间变化。
许多研究报告了完美的TPR(即100%),看起来过于乐观。我们可以看到,这些研究中使用的家庭数量在8到29之间变化。如果雇佣的勒索软件家族数量增加,一些研究的检测精度可能会发生变化。

移动设备勒索软件检测。在本小节中,我们将对移动设备上的勒索软件检测系统进行分类和概述。从现有的工作来看,研究人员采用的检测技术主要有基于规则的、基于形式化方法的、基于机器学习的以及混合检测技术。正如第4节所述,Android是移动勒索软件最流行的目标,本小节中总结的检测系统是用于
Android平台。
基于规则的检测:研究人员提出了三种基于规则的移动勒索软件检测系统,它们使用阈值进行检测。RanDroid[24]从应用程序中提取图像和字符串,并计算它们与勒索软件样本图像和字符串的相似度。
根据阈值检测手机勒索软件。在Song等[173]的检测系统中,修改和删除事件在预定的目录中被监控。在这种情况下,该系统会检查CPU、内存和I/O使用率是否超过阈值,并检测勒索软件。在这方面的最后一个研究是Chen等人提出的RansomProber .[47]。它监视预定义的目录,以检测熵的显著变化。如果检测到这种情况,RansomProber会尝试将执行加密的应用程序与前台运行的应用程序进行匹配,以了解加密操作是良性的还是恶意的。由于某些应用程序可能看起来是良性的,但却充当了勒索软件的角色,RansomProber试图通过检查良性加密应用程序通常显示的应用程序上的用户界面元素(即按钮、文件列表元素、提示文本)来检测此类应用程序。
基于形式化方法的检测:两项研究采用了形式化方法来检测移动勒索软件。[129]提出的防御方案及其在[50]中的扩展版本利用通信系统演算(CCS)形式化模型来检测移动勒索软件。该方案首先将应用程序的字节码转换为CCS模型,将字节码中的每条指令转换为CCS进程;描述了CCS模型下勒索软件行为的时序逻辑性质。检测系统利用描述的时序逻辑性质进行形式化验证来检测勒索软件。
基于机器学习的检测。
通过结构特征:在使用结构特征的基于ml的移动设备勒索软件检测系统方面,研究人员使用API包[20,121]、类和方法[157]、权限[21]、本机指令格式的操作码[111]、的灰度图像移动应用程序源代码[98],以及移动应用程序的结构熵[57]来构建和评估各种ML分类器。
一些研究人员试图将移动勒索软件检测任务卸载到云端,以节省移动设备的资源。在这方面,Alzahrani等人提出了RanDetector .[22]在服务器端提取权限、意图和加密相关的API包,并使用它们训练各种ML分类器进行勒索软件检测。类似的,Faris等[65]的检测系统提取移动应用的API包和权限,利用樽海鞘算法选择最佳特征,利用核极限学习机分类器检测移动勒索软件。
通过硬件行为:Azmoodeh等[32]利用移动应用程序的功耗行为来检测勒索软件。他们使用PowerTutor应用程序定期收集良性和勒索软件的功耗,并在收集的数据上分析了许多ML分类器的性能。
通过结构和行为特征:文献中的一些研究旨在从移动勒索软件样本的静态和动态分析中受益,并使用获得的特征来构建ML模型。Ferrante等人[67]提出了一种移动勒索软件检测系统,通过静态分析提取操作码频率,通过动态分析获得CPU、内存、网络使用情况和系统调用统计信息。总共使用了87个特征来训练和评估各种ML分类器。在DNA-Droid[76]中,提出了一个两层检测框架。DNA-Droid的第一层由一个ML分类器组成,该分类器使用图像、字符串、API包和权限的结构特征来确定样本的恶意性得分。如果第一层确定样本是可疑的,那么第二层在运行时分析其API调用并使用ML分类器来检测勒索软件。
混合检测:除了只使用上述一种检测技术的研究外,文献中也有一些研究使用了这些方法的一组。在这方面,
由Andronio等人提出的HelDroid。[27]使用NLP分类器来检测勒索软件的威胁文本,采用污点分析来检测与勒索软件相关的加密操作的执行流,并利用权限和函数调用的启发式方法来检测恶意行为。作为另一个混合检测系统,GreatEatlon由Zheng等人[202]提出,旨在通过向其威胁性文本、加密和锁定检测器添加新功能来改进HelDroid。GreatEatlon首先利用静态分析得到的大量特征,使用多机器学习分类器集成来检测可疑移动应用程序包;在HelDroid的检测器中增加了对设备管理API滥用、反射滥用和条件执行流控制的检测,以检测移动勒索软件
面向移动设备的勒索软件检测研究综述。针对移动设备的勒索软件检测系统总结如表3所示。下表概述了有关技术、使用的特征、数据集(即数据源、勒索软件家族和相应数量的勒索软件样本,以及良性样本)和检测精度(即:TPR和FPR为%)。图6显示了研究使用的技术、特征和评估数据集的分布。
检测技术和特点:如图6(a)所示,机器学习是移动设备中应用最广泛的勒索软件检测技术。本文回顾的超过60%的移动勒索软件检测系统采用了ML。考虑到所使用的特征,大多数研究使用通过静态分析获得的结构特征来构建ML模型。这可能是由于移动设备的资源限制,不适合对应用程序进行实时行为分析。移动勒索软件检测中还包括基于规则、基于形式化方法和混合检测技术。

勒索软件:进化、分类和防御解决方案综述
就功能而言,API包/调用是移动勒索软件检测中最流行的功能,如图6(b)所示。API包/调用、权限和字符串构成了移动勒索软件检测中使用的51%的功能,这表明每两项研究中就有一项使用了这些功能。考虑图6(b)所示的特征,我们可以看到大多数特征是通过对应用包的静态分析获得的结构性特征。
评估数据集:移动设备勒索软件检测系统最流行的数据源是VirusTotal和HelDroid[27]的数据集。这些数据源后面是
Contagio、Koodus等数据集。我们可以看到,大多数研究使用多个数据源形成数据集。与pc /工作站的情况不同,大多数针对移动勒索软件检测的研究没有报告其数据集中的勒索软件家族数量。
从报告的研究来看,我们最多看到10个家庭被研究使用。考虑到恶意和良性样本的数量,大多数数据集都是不平衡数据集,能够更好地代表真实环境中良性和恶意移动应用的比例。
检测准确率:针对移动设备的勒索软件检测研究报告了非常高的检测率。TPR在83%到100%之间变化,而FPR在0到19%之间变化。只有一项研究报告了完美的TPR(即100%),而一些研究报告了超过99%的TPR。

面向物联网/CPS的勒索软件检测。由于物联网/CPS环境下的勒索软件检测还不是一个很好的研究领域,只有5项研究解决了此类环境下的勒索软件检测问题。考虑到检测研究,所有研究都使用了ML技术。
基于机器学习的检测。
通过网络流量行为:考虑基于ml的勒索软件检测系统
物联网/CPS,目前有两种研究。在第一项研究中,Maimó等[66]提出了一种用于医疗CPS集成临床环境(ICE)的勒索病毒防御系统。该系统监控医疗CPS设备与ICE系统之间的流量。通过提取TCP和UDP流特征,分别使用SVM和朴素贝叶斯分类器检测未知和已知勒索病毒株。在第二项研究中,Wani和Revathi提出了IoTSDN-RAN[190],旨在使用SDN控制器监测网络流量,并提取数据包大小、主机
受限应用协议(CoAP)头中的IP和目标服务器地址。将提取的特征通过IoTSDN训练一个带有主成分的朴素贝叶斯分类器
分析。
通过一组行为特征:al – hawaweh和Sitnikova[14],提出了一种基于dl的工业物联网环境中作为主机的工作站勒索软件检测系统。他们的系统依赖于经典的和变分的自动编码器,从API调用、注册表项、文件和目录操作的几个行为特征中选择最合适的特征。同一位作者在同一年发表了另一个工作[13],在相同的问题范围内,只使用变分自动编码器。与al – hawaweh和Sitnikova不同,Alrawashdeh和Purdy[19]专注于物联网和嵌入式设备中基于硬件的勒索软件检测。
他们提出了一种基于fpga的深度信念网络结构的硬件实现,该结构使用了一些功能,包括文件相关的功能(例如,扩展、操作、删除的扩展、源文件)、注册表键操作、HTTP方法和API统计。
物联网/CPS勒索软件检测研究综述:表4给出了物联网/CPS勒索软件检测系统的总结。该表概述了有关他们的技术、使用的特征、数据集(即数据源、勒索软件家族和相应数量的勒索软件样本,以及良性样本)和检测准确率(即TPR和FPR %)的研究。
检测技术与特点:目前研究人员仅使用机器学习技术对IoT/CPS环境下的勒索软件进行检测。尽管所有的研究都是针对IoT/CPS环境提出的,但只有Wani和Revathi[190]提出的IoTSDN-RAN真正考虑了物联网特定的平台/协议(即CoAP)。在特征方面,通过动态分析提取流特征、API调用、注册表项、文件/目录特征,并将其作为行为特征用于训练机器学习模型。
评估数据集和检测精度:对于所提出的检测系统的评估,大多数研究没有报告任何数据来源。类似地,大多数研究没有报告其数据集中的勒索软件家族的数量。在检测性能方面,针对IoT/CPS环境的勒索软件检测研究报告了较高的检测率。TPR在91% ~ 99.47%之间变化,FPR在2% ~ 13.9%之间变化。

不同平台的勒索软件检测技术比较。在本小节中,我们将比较pc /工作站、移动设备和IoT/CPS环境中的检测研究,并将我们的发现与跨各种平台的勒索软件检测进行分享。
检测技术的比较:我们的分析表明,机器学习是在所有平台上检测勒索软件最令人钦佩的技术。具体来说,在总共72%的防御解决方案中,利用机器学习来检测系统中的勒索软件。此外,考虑到以PC/工作站为目标的勒索软件家族行为的多样性,研究人员利用7种不同的技术来检测PC/工作站中的勒索软件。另一方面,研究人员仅使用四种不同的技术来检测移动设备中的勒索软件。由于在IoT/CPS环境中只有少数工作用于勒索软件检测,因此机器学习是该类别中唯一使用的技术。在pc /工作站和移动设备中,基于规则的检测是第二流行的检测勒索软件的方法。研究结果表明,与其他技术相比,研究人员认为从机器学习技术检测系统中的勒索软件行为模式中获益最多。潜在的原因可能与机器学习模型能够更好地处理从未见过的样本和与其他技术相比的泛化能力有关。
使用特征对比:在使用特征方面,研究结果表明,针对pc /工作站和IoT/CPS环境的勒索病毒检测研究表现出与针对移动设备不同的行为。具体来说,我们看到大多数基于机器学习的pc /工作站和IoT/CPS环境的勒索软件检测系统依赖于行为特征。然而,针对移动设备的研究大多利用结构特征。一般来说,与行为特征相比,结构特征更容易提取/收集,因为它们不需要运行样本,也不需要监控平台。由于移动设备的资源比pc /工作站少得多,因此移动设备的结构特征可能比行为特征更受欢迎。我们想指出的是,尽管针对IoT/CPS环境的勒索软件检测研究使用类似于PC /工作站的行为特征,但它们将其检测解决方案适用于资源丰富的设备,如PC或工作站。因此,他们在这方面的姿态与上述分析并不矛盾。
考虑到实际使用的功能,与API相关的功能(如移动设备中的API调用和API包)是所有平台上使用最多的功能。虽然文件/目录功能也非常流行的勒索软件检测pc /工作站,权限随之而来
API包在移动设备上越来越流行。虽然研究人员使用了其他几个功能来检测勒索病毒,但它们没有上述功能被使用得那么频繁,这可能是因为这些功能是平台相关的(例如,dll,注册表活动),容易混淆
(例如,字符串、操作码、网络流量),或已经压缩的文件类型存在问题(例如,熵)。
数据集比较:所有平台上勒索软件检测系统使用最广泛的数据源是VirusTotal。这一发现并不奇怪,因为VirusTotal是一个非常流行的恶意软件研究领域的存储库,它免费为学术界的研究人员提供了学术数据集和API。而76%的勒索软件检测系统pc /工作站报告了其数据集中的家庭数量,只有36%的移动勒索软件检测工作报告了其数据集中的家庭数量。有趣的是,大多数物联网/CPS环境下的勒索软件防御解决方案都没有披露关于其数据源的任何详细信息。从数据集中恶意和恶意样本的数量来看,虽然针对pc /工作站的研究同时构建了平衡和不平衡的数据集,但针对移动设备勒索软件检测的数据集大多是不平衡的,能够更真实地反映现实世界中良性和恶意应用的比例.
检测准确率的比较:一般来说,所有综述的勒索软件检测研究都报告了非常高的检测率。具体来说,TPR在两者之间波动73%和100%,FPR在0和19%之间变化。在这方面,许多检测系统为pc /工作站的TPR为100%,这看起来过于乐观。然而,我们只看到一项针对移动设备的研究报告了完美的TPR。由于家族数和评估过程中使用的样本对所得到的结果起着至关重要的作用,因此如果在一个包含良性和恶意样本的综合数据集上对所提出的方案进行评估,则报告的结果可能会更加真实。

勒索软件恢复

在本小节中,我们将针对目标平台对现有的勒索软件恢复机制进行分类和总结。
勒索软件恢复个人电脑/工作站。对pc /工作站的勒索软件恢复研究表明,恢复由勒索软件执行的破坏可以通过三种不同的方式实现:恢复密钥,通过硬件恢复文件,或通过云备份恢复文件。在本小节中,我们将分别概述每个类别下的研究。
密钥恢复:Kolodenker等人[109]提出了PayBreak[109]——一种密钥托管机制,旨在通过挂钩密码学api来捕获加密密钥并解密受害文件。当然,它只对调用相应的加密api进行加密的勒索软件家族有效。
基于硬件的文件恢复:该类研究旨在利用存储硬件(即SSD)的特性恢复受害者的加密文件。基于nand的ssd具有错位更新特性,它会保留已删除数据的前一个版本,直到垃圾收集器(GC)删除它。勒索软件恢复解决方案利用了这个功能。在[35,86,143]中提出的工作在ssd中创建了额外的备份页,以恢复来自勒索软件攻击的数据。另外,在[131]中,Min等人设计了一种SSD系统,可以执行自动备份并最小化备份空间开销。他们的系统利用了一个检测组件,该组件利用硬件加速器来检测内存中受感染的页面。
通过云备份恢复文件:文献中的一些恢复机制旨在利用云环境恢复文件以达到备份的目的。Yun等人[199]提出了一种部署在云端的名为CLDSafe的备份系统。CLDSafe将文件的影子副本保存到一个安全区域,以防止文件丢失。它计算文件版本之间的相似度得分,以选择要备份的文件。在RockFS[125]中,Matos等人旨在使云支持的文件系统的客户端更能抵御勒索软件等攻击。它允许管理员在勒索软件事件发生后通过分析日志恢复文件。它还旨在通过使用秘密共享密钥加密存储在客户端的用户云访问凭据的安全。

移动设备的勒索软件恢复。考虑到移动设备的恢复方案,使数据从勒索软件攻击中恢复,目前只有两项研究。MimosaFTL[189]设计为一种基于恢复的勒索病毒防御策略,适用于配备闪存作为外存的移动设备。收集勒索病毒样本的访问行为,应用k均值聚类识别勒索病毒的唯一访问模式在Flash事务层。在[59]中,Yalew等人旨在通过定期执行备份到外部存储来从勒索软件中恢复。

¥# 其

来源:Chahot

声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2022年8月18日
下一篇 2022年8月18日

相关推荐

首页
软件超市
企服市场
会员中心