商业

研究人员提出应对勒索软件-硬件-cnBeta.COM攻击的SSD数据恢复和行为分析方法

来自仁荷大学网络安全系、大邱庆北理工大学 (DGIST)、中佛罗里达大学 (UCF) 和梨花女子大学 (EWU) 的一个研究团队刚刚推出了一款针对 SSD 数据攻击的反勒索软件和恢复方法。这个名为“SSD-Insider”的程序据说能够达到近乎100%的准确率,并通过了现实世界中勒索软件的测试。

使用权:

百度网联碟会员买1送5:QQ音乐、优酷视频…

1.png

研究图片(来自:UCF | PDF)

据悉,SSD-Insider的工作原理是识别SSD活动中某些已知且可区分的勒索软件行为模式。

为了仅通过分发 IO 请求标头来识别勒索软件活动,研究团队指出,WannaCry、Mole 和 CryptoShield 等勒索软件具有非常独特的对冲行为。

仁荷大学研究员 DaeHun Nyang 在接受 The Register 采访时表示:“当 SSD-Insider 检测到勒索软件活动时,将暂停存储输入/输出 (IO),以便用户可以杀死勒索软件进程”。

2.png

勒索软件行为模式分析

当勒索软件停止使用时,SSD-Insider 还可以利用 SSD 的独特属性来恢复丢失的文件。

文章指出:在被新数据覆盖之前,固态内存会一直保留之前删除的数据,直到随后被主控和固件垃圾收集机制清除。

通过使用 SSD 内置的备份功能,SSD-Insider 还可以跟踪驱动器上以前版本的数据。 然后,直到勒索软件检测算法确认新版本的数据不受勒索软件的影响,数据才会被完全删除。

3.png

SSD-Insider 测试表现

SSD-Insider 的真正独特之处在于它甚至可以在固件级别运行。 这样,即使系统上没有安装相应的安全软件,用户仍然可以获得防御勒索软件攻击的好处。

此外,该文件还提到了传统软件防御方法的缺点,例如反勒索软件的CPU开销高,部分勒索软件可以躲过杀毒软件的检测。 相比之下,SSD-Insider 的时间开销只有 147 ~ 254 ns。

通过测试像 WannaCry 这样的勒索软件,SSD-Insider 阻止了任何勒索软件活动,并且很少引发误报。 在所有测试场景中,错误拒绝率 (FRR) 为零,错误接受率 (FAR) 接近于零。

4.png

勒索软件/测试培训应用

研究人员指出:谈到 FRR,最糟糕的“背景噪音”来自于 IO/CPU 密集型工作环境。 至于FAR,最坏的情况也会出现在覆盖率高的工作场景中,比如DataWiping和数据库。

当然,对于反病毒研究人员来说,SSD-Insider 方法并非万无一失。

毕竟,勒索软件开发者找到解决方案后,后续还是可以开发出相应的绕过方法,所以大家应该养成定期备份文件数据的好习惯。

.Source

Show More