本发明涉及网络空间安全
技术领域:
:,特别是涉及一种基于数字免疫的隐遁勒索病毒检测技术。二、
背景技术:
::近年来,随着网络技术与数字经济加速发展与深度融合,网络犯罪日趋活跃与趋利,造成了严重的经济损失,已成为一种新型网络安全威胁。据美国战略与国家研究中心最新报告[1]:2017年网络犯罪导致全球经济损失近6000亿美元,占全球gdp的0.8%;在线敲诈、技术支持诈骗等已成为用户和企业间最活跃且影响最为严重的网络犯罪活动。另据美国mcafeelabs研究报告[2]显示:2017年网络犯罪导致中国经济损失超过138亿美元。网络犯罪的趋利化,促使攻击者不断革新攻击理念、创新攻击方式,竭力占据攻防博弈技术优势。勒索病毒攻击(ransomwareattacks)就是在此背景下出现并迅速发展起来的一种新型恶意网络攻击,极具危害性与破坏力[3-5]。据美国著名安全公司carbonblack发布的最新勒索软件调查报告[6]:网络犯罪者将更多利用勒索病毒攻击,获取更大利益。另据美国malwarebyteslabs最新研究报告[7]:2017年勒索病毒攻击增加了10倍,已成网络犯罪的首选工具,且未来的勒索病毒攻击技术将呈现更加隐蔽、更加复杂的发展趋势。勒索病毒攻击是一种通过劫持用户数据资源(加密用户文件、拒绝用户访问、锁定用户屏幕等),并以此为条件来要挟用户支付赎金的恶意网络攻击。在现有的各类勒索病毒攻击方式中,隐遁勒索软件攻击最具威胁性。所谓隐遁勒索软件攻击[8,9],是指利用隐遁技术,通过伪装或修饰攻击痕迹,规避或阻碍安全系统检测与取证,进而悄无声息地劫持数据资源(加密文件、拒绝访问、锁定屏幕等)、敲诈勒索赎金、维持长期隐蔽的一种新型恶意网络攻击。隐遁勒索病毒规避安全系统的方式如下:①驻留系统注册表,②钩挂系统服务调用,③篡改系统内核数据。其威胁性主要体现于:①持续存在、长期隐蔽。这导致传统的安全防御技术难以有效检测。②劫持数据、勒索赎金。这导致用户遭受数据与经济双重损失。总之,隐遁勒索病毒予攻击于无形之中,来无踪去无影,攻击威力极大,攻击后果惨烈。据美国carbonblack公司的最新调查研究[6]:53%的恶意网络攻击是隐遁攻击。因此,我们有理由相信:隐遁勒索病毒攻击已经被网络犯罪者广泛使用,这将成为企业与个人挥之不去、防不胜防的网络安全梦魇。目前,我国已成为隐遁勒索病毒攻击的重灾区[2],且每个人都是目标,人人都将无法幸免。频繁而惨烈的隐遁勒索病毒攻击,昭示了勒索病毒攻击技术研发的欠账。尤其是发生于2017年的诸如wannacry、notpetya、badrabbit等勒索病毒攻击,攻击手段隐蔽,攻击后果粗暴,已呈现出全球性蔓延态势,造成了极为惨烈的损失。由于勒索病毒攻击已成为恶意网络攻击新常态且所向披靡,加之采用隐遁技术后,致使传统的安全技术更加难以检测与防范,这对于网络空间安全的威胁无疑雪上加霜。因此,从隐遁勒索病毒攻击的危害性、惨烈性与发展趋势来看,对隐遁勒索病毒攻击进行检测防御技术研发,已是大势所趋、势在必行。这无疑是遏制勒索病毒隐匿化、预防网络隐遁攻击、打击网络犯罪的有效途径与解决之道。三、技术实现要素:针对传统检测方法应对隐遁勒索病毒不力的安全困境,提出了一种基于数字免疫的隐遁勒索病毒检测技术。该技术通过注射数字疫苗、实时监控数字疫苗、实时监控文件加密勒索等异常行为,达到对隐遁勒索病毒以及未知勒索病毒的检测与防御。(一)技术问题目前,传统的勒索病毒检测技术可概括为2大类:①静态防御,②动态防御。在静态防御技术方面,主要有2种方法:①特征码法,②蜜罐法。特征码法通过查寻文件或内存中的勒索病毒特征码来加以判断。其逻辑流程为:分析已知勒索病毒样本→提取其特征码入库→扫描待检测文件→以是否匹配特征码来判断之。目前,商业化安全产品多采用特征码法进行勒索软件检测。该方法的优点是:能精准检测已知勒索病毒;但其缺点是:由于无文件型勒索病毒通常会采取驻留系统注册表、钩挂系统服务调用或篡改系统内核数据等方式,在文件系统或内存中隐匿其静态文件或动态进程,导致特征码法根本无法检测。因此,对于无文件型勒索病毒攻击而言,因尚未完全理解其运行机制、提取不到相应特征码而使该方法难以有效应对。如果说特征码法是按图索骥,那么蜜罐法则是请君入瓮。蜜罐法是通过监控人为设置的诱捕陷阱,去感知攻击者的攻击行为。其逻辑流程为:逆向分析勒索病毒→投放诱饵文件、设置诱捕陷阱→监控诱饵、感知勒索病毒攻击。该方法的优点是:知其然,能快速检测到勒索病毒攻击。其不足是:不知其所以然,无法定位攻击源。在动态防御技术方面,传统的防御技术多采用实时监控进程动态行为方法。此类方法通过监测文件系统或者内存进程的异常行为来加以判断[17-19]。由于动态行为分析方法是依据进程行为是否异常来判定,具有误报率低、能快速有效应对未知勒索病毒攻击的技术优势。然而,动态行为分析防御方法是一种全黑盒技术手段,只注重于进程行为结果,而忽略其与系统内核、文件系统之间交互机理等内在机制分析。此类方法有定位与杀灭缺陷。由于该类方法将勒索病毒攻击过程视为“黑盒”,忽略了对勒索病毒攻击机理与交互行为分析,致使难以准确定位其隐匿之处、无法精准杀灭隐遁勒索进程,从而导致隐遁勒索病毒攻击死灰复燃、卷土重来。针对传统勒索病毒检测技术的不足,我们提出了一种基于数字免疫的隐遁勒索病毒检测技术。生物免疫系统机理证实,通过具有抗原性的疫苗(vaccine)接种于机体可产生特异的自动免疫力,当生物再次接触到此类病原菌时,机体的免疫系统便会依循其原有的记忆,制造更多的保护物质来阻止病原菌的伤害,并因此来抵御感染病的发生或流行。借鉴生物免疫系统原理,通过注射数字疫苗(设置一定数量的诱捕陷阱文件夹和文件),在应用层和内核层同时监控数字疫苗和其他进程的行为以实现智能检测隐遁勒索病毒。具体而言,一旦数字疫苗被相关进程所操作,立即终止该进程运行并告警;如监控到其他进程的频繁的读写文件操作行为,同样立即终止该进程运行并告警。(二)技术方案本发明的技术方案如图1所示(请见说明书附图)。注射数字疫苗疫苗(vaccine),是具有抗原性,接种于机体可产生特异的自动免疫力,可抵御感染病的发生或流行的制剂。疫苗是通过将病原微生物(如细菌、立克次体、病毒等)及其代谢产物,经过人工减毒、灭活或利用转基因等方法制成,保留了病原菌刺激生物体免疫系统的特性。当生物体接触到这种不具伤害力的病原菌后,免疫系统便会产生一定的保护物质,如免疫激素、活性生理物质、特殊抗体等;当生物再次接触到这种病原菌时,生物体的免疫系统便会依循其原有的记忆,制造更多的保护物质来阻止病原菌的伤害。所谓注射数字疫苗,就是通过在隐遁勒索病毒经常访问的目录中创建一定数量的诱饵文件夹和文件。当隐遁勒索病毒或未知勒索病毒在读写这些数字疫苗时,将会触发类似生物体的免疫反应,为及时终止勒索行为赢得时间优势。实时监控数字疫苗本发明采取双重实时监控数字疫苗技术,即在内核层和应用层同时对已注射的数字疫苗进行实时监控。由于隐遁勒索病毒的行为大致包括2类:系统内核数据篡改,文件系统篡改。对于内核层实时监控,主要监控勒索病毒的系统内核数据篡改行为(系统钩挂行为、dkom行为等),以防其规避检测隐匿自身。对于应用层实时监控,则侧重于监控勒索病毒的文件系统篡改行为(读写注册表、搜索文件、加密文件等),以防其加密用户文件进而勒索赎金。这种双重监控技术能确保一旦无文件型勒索病毒遍历文件夹和文件,应用层和内核层都能实时感知此类操作。此外,在应用层和内核层同时监控的原因在于避免被隐遁勒索病毒钩挂或过滤掉相关api函数,使得即使逃脱了应用层监控,仍有内核层在实时监控,从而让无文件型勒索病毒无处遁形。windows系统是基于分层体系结构的二阶权限的操作系统:应用程序运行于cpu的ring3权限环的用户层,内核程序运行cpu的ring0权限环的内核层,用户层程序与内核层程序的联系纽带是系统api(applicationprogramminginterface,应用程序接口)。这个接口由一个名为“ntdll.dll”的动态链接库文件负责,所有用户层api的处理都需调用这个dll文件中的相关api入口实现的,但它只是一个提供从用户层跳转到内核层的接口,并不是最终执行体。当api调用被转换为ntdll内的相关api函数后,系统就会在一个被称为ssdt(systemservicedescriptortable,系统服务描述符表)的数据表里查找这个api的地址,然后真正地调用它,这时候执行的api就是真正的原生api,它们位于系统真正内核程序ntoskrnl.exe里的函数。这个过程就是系统服务调用。因此,ssdt是windows系统中将ring3的win32api和ring0的内核nativeapi联系起来的重要中转站。由于ssdt包含着庞大的地址索引表和其它重要信息,诸如地址索引的基地址、服务函数个数等,因此,通过修改此表的函数地址就可对常用windowsapi函数进行钩挂,从而实现对相关系统动作的过滤、监控。(三)有益效果由于采用注射数字疫苗、双重监控数字疫苗方式,相对于传统的勒索病毒检测方案,本发明具备如下优点:1.简化防御体系,提高检测性能。采用注射数字疫苗方式,通过在windows系统重要的目录里创建诱饵文件夹和文件,设置诱捕陷阱,本发明简化了勒索病毒检测防御体系设计。当勒索病毒开始遍历文件而尚未加密文件时,就会立刻触发诱捕陷阱并被感知,从而提高了检测性能。2.及时有效检测勒索病毒行为。在应用层实时监控数字疫苗,任何试图更改数字疫苗的行为,都能触发诱捕陷阱,从而被及时感知、有效检测。当勒索病毒试图加密数字疫苗时,能第一时间被捕获、感知,从而为阻止后续的加密勒索行为赢得时间。3.有效检测隐遁勒索病毒在内核层实时监控数字疫苗,任何试图隐匿自身行为的未知隐遁勒索病毒,通过内核层和应用层的交叉视图检测法,都能被有效检测出,从而使其难以隐遁。四、附图说明图1为本发明专利的隐遁勒索病毒检测技术方案。其中注射数字疫苗包括:创建诱饵文件夹、创建不同类型的诱饵文件;内核层监控数字疫苗包括:监控并保存mft与vss、钩挂内核ssdt表、内核过滤驱动监控诱饵文件及文件系统其它异常行为;应用层监控数字疫苗包括:利用readdirectorychangesw函数监控诱饵文件。五、具体实施方式参见图1所示,本发明的具体实施方式如下:1.注射数字疫苗(1)在windows系统相关位置创建诱饵文件夹由于windows系统的重要文件分布于磁盘根目录、users目录、users\administrator\documents目录、\downloads目录、\temp目录、\%appdata%目录等位置,隐遁勒索病毒对上述目录中的文件夹和文件的加密操作是大概率事件。因此,需要在上述位置创建诱饵文件夹,布下诱捕陷阱,以待勒索病毒触发陷阱。为及时感知勒索病毒的加密行为,在布置诱捕陷阱时,将分别创建a%、b%、c%、x%、y%、z%等系列诱饵文件夹。这样不管勒索病毒采取何种排序算法去读取文件夹,均能确保诱饵文件夹最先被操作,因而最先触发陷阱,为后续实时监控赢得先机。(2)创建多种不同类型的诱饵文件由于用户的重要数据资料多以.txt、.doc、.docx、.xls、.xlsx、.ppt、.pptx、.pdf、.jpg、.bmp等文件类型保存,勒索病毒在进行文件遍历与加密时,上述文件格式的资料均在其搜索范围之内。这提示应创建包括上述文件格式的、且分别以a%、b%、c%、x%、y%、z%等命名的诱饵文件,以确保勒索病毒在文件遍历和加密时最先触发诱饵文件。2.实时监控数字疫苗(1)应用层实时监控数字疫苗在应用层实时监控数字疫苗,使用windows系统的api函数readdirectorychangesw。该函数首先使用createfile函数获取要监控目录的句柄;然后在一个判断循环里调用readdirectorychangesw函数,且把自己分配的用来存放目录变化通知的内存首地址、内存长度、目录句柄传给该函数。当目录中有文件发生改变,控制函数把目录变化通知存放在指定的内存区域内,并对发生改变的文件名、文件所在目录和改变通知进行处理。总之,通过readdirectorychangesw函数将能确保快速感知诱饵文件及文件夹的状态变化。(2)内核层实时监控数字疫苗内核层实时监控主要采用2种方法:①钩挂ssdt(systemservicedescriptortable,系统服务描述表),②过滤驱动捕获irps(i/orequestpackets,输入输出请求包)。钩挂ssdt表能避免隐遁勒索病毒篡改api函数readdirectorychangesw和其他文件操作类函数;过滤驱动捕获irps,能在内核模式下接收针对所有文件的i/o请求,确保及时捕获数字疫苗及其他文件系统异常行为。总之,内核层实时监控,能同时识别加密勒索行为与隐遁行为,确保及时有效发现隐遁勒索病毒。(3)监控并保存mft和vssmft(masterfiletable,主文件表),是ntfs文件系统中映射磁盘储存对象的索引文件。在mft中,磁盘上的所有文件(包括mft自身)至少有一个映射项——包含文件名、大小、时间戳、安全属性、文件位置等数据。由此可见,监控并保护mft文件,能感知加密勒索行为,并对后续的文件恢复至关重要。vss(volumeshadowcopyservice,卷影拷贝服务),是windows系统中基于cow(copy-on-write,写时拷贝)技术的快照服务。vss通过提供requestor、writer、provider这三个重要实体之间的通讯来保证备份的真实性与恢复的简便性。多数勒索软件会删除vss,以使受害者无法恢复受影响文件。因此,从检测防御的角度,从内核层监控并保护mft和vss,既能感知加密勒索行为,还将有助于后续文件修复。参考文献:1.thecenterforstrategicandinternationalstudieswithmcafee.economicimpactofcybercrime-noslowingdown[r],https://www.a51.nl/sites/default/files/pdf/economic-impact-cybercrime.pdf,2018.2.mcafeelabs.chinesecybercriminalsdeveloplucrativehackingservices,https://securingtomorrow.mcafee.com/mcafee-labs/chinese-cybercriminals-develop-lucrative-hacking-services/,2018.3.alexandregazet.comparativeanalysisofvariousransomwarevirii[j].journalincomputervirology,2010,6(1):77-90.4.akashdeepbhardwaj,subrahmanyam,vinayavasthi,etal.ransomware:arisingthreatofnewagedigitalextortion[j].computerscience,2015,9(14):10-43.5.aminkharraz,williamrobertson,davidbalzarotti,etal.cuttingthegordianknot:alookunderthehoodofransomwareattacks[j].lecturenotesincomputerscience,2016,9148:3-24.6.carbonblack.theransomwareeconomy[r],https://www.carbonblack.com/wp-content/uploads/2017/10/carbon-black-ransomware-economy-report-101117.pdf,2018.7.malwarebyteslabs.cybercrimetacticsandtechniques:2017stateofmalware[r],https://www.malwarebytes.com/pdf/white-papers/ctnt-q4-17.pdf,2018.8.stevemansfield-devine.filelessattacks:compromisingtargetswithoutmalware[j].networksecurity,2017,4:7-11.9.greghoglund,jamesbutler.rootkits:subvertingthewindowskernel[m].addison-wesleyprofessional,2006.10.gandhikrunal,patelviral.surveyonransomware:aneweraofcyberattack[j].internationaljournalofcomputerapplications,2017,168:38-41.11.banderalisalehal-rimy,mohdaizainimaarof,syedzainudeenmohdshaid.ransomwarethreatsuccessfactors,taxonomy,andcountermeasures:asurveyandresearchdirections[j].computers&security,2018,74:144-166.12.brewerr.ransomwareattacks:detection,preventionandcure[j].networksecurity,2016,(9):5-9.13.kevinsavage,petercoogan,honlau.theevolutionofransomware.http://www.symantec.com/content/en/us/enterprise/media/securityresponse/whitepapers/the-evolution-of-ransomware.pdf,2015.14.awsnaserjaber,hasanshakir.ransomware:prosandconsreview[c],theinternationalconferenceonp2p,parallel,grid,cloudandinternetcomputing,2017,26-32.15.christmoore.detectingransomwarewithhoneypottechniques[c],ieeecybersecurityandcyberforensicsconference,2016,77-81.16.sajadhomayoun,alidehghantanha,marziehahmadzadeh,etal.knowabnormal,findevil:frequentpatternminingforransomwarethreathuntingandintelligence[j].ieeetransactionsonemergingtopicsincomputing,2017,(99):1-10.17.danielesgandurra,luisrabihmohsen,etal.automateddynamicanalysisofransomware:benefits,limitationsandusefordetection[j],2016,1-12.18.jesperb.s.christensen,nielsbeuschau.ransomwaredetectionandmitigationtool[d],technicaluniversityofdenmark,2017.19.aminkharraz,sajjadarshad,collinmulliner,etal.unveil:alarge-scale,automatedapproachtodetectingransomware[c],ieeeinternationalconferenceonsoftwareanalysis,evolutionandreengineering,2017,1-15。当前第1页12当前第1页12