雷 春 李 娜

(四川大學(xué)計算機學(xué)院 成都 610065)

(lcamry@163.com)

2016年至今,勒索軟件家族及其數(shù)量劇增,同時據(jù)Carbon Black發(fā)布的2017年勒索軟件經(jīng)濟報告顯示其造成的經(jīng)濟損失高達百億美元[1-2].同時RaaS(勒索軟件即服務(wù))的興起,在巨大利益沖擊下加劇了勒索軟件的迅猛增長.根據(jù)Nomoreransom國際反勒索軟件組織定義,勒索軟件是一種能將您的電腦和移動設(shè)備上鎖或能加密您的電子文件的惡意軟件[3].

在惡意代碼動態(tài)分析技術(shù)中,針對自動化檢測勒索軟件方面[4-5],現(xiàn)在較為常用的方法有以下3種:

1)利用文件指紋技術(shù).在特定目錄下生成勒索軟件關(guān)注類型的文件,將其設(shè)置為陷阱文件,記錄初始狀態(tài)散列值.在樣本執(zhí)行過程中,檢測陷阱文件散列值是否發(fā)生改變.當發(fā)生改變時確定執(zhí)行樣本為勒索軟件[6].

2)利用API HOOK技術(shù).設(shè)置陷阱文件,并對陷阱文件操作行為進行監(jiān)控.在特定目錄下生成陷阱文件,通過對ReadDirectoryChangeW應(yīng)用層API進行文件系統(tǒng)監(jiān)控,當陷阱文件修改或刪除或其他修改狀態(tài)等操作時,確定為勒索軟件行為[7].

3)動態(tài)檢測過程中對進程行為進行監(jiān)控.根據(jù)美國ESET安全公司Michael van der Vaart發(fā)布的《ESET Anti-Ransomware》[8],對 wscript.exe,cscript.exe等進行監(jiān)控,當創(chuàng)建該進程后對其行為進行控制,從而判斷是否為勒索軟件.

以上文件指紋技術(shù)和API HOOK技術(shù)在當前實際應(yīng)用場景中較為常見,這2種方法都比較直觀地體現(xiàn)陷阱文件是否在樣本運行過程中被改變[6].同時方法易懂,且易操作,應(yīng)用程度較廣.但是以上2種方法過于粗粒度,通過一個陷阱文件的狀態(tài)變化或操作行為,不能武斷地作為勒索軟件的一般化行為特征值.其他類型的惡意代碼(TrojanDownloader:Win32/Vibrio.A等)同樣對陷阱文件進行操作,從而對檢測結(jié)果造成很大的誤報率.同時因API HOOK繞過技術(shù)也會造成一定的漏報率.而ESET提到的方法主要是針對JS型惡意代碼,盡管其對于JS型勒索軟件等有一定的檢測和防御效果,但是對于其他類型的惡意樣本無法作出判斷.為有效檢測文件加密型勒索軟件,本文提出了基于文件損壞度的勒索軟件檢測方法.

1 勒索軟件特征分析

本文主要針對文件加密型勒索軟件,在Brewer的“ransomware attacks:detection,prevention and cure”[9]中提到的文件加密型勒索軟件大致分為漏洞攻擊→勒索軟件執(zhí)行→清除備份→文件加密→通知勒索信息.在勒索軟件執(zhí)行過程中,對文件進行加密是勒索軟件的核心過程.根據(jù)Scaife等人的“Stopping ransomware attacks on user data”[9]中提到勒索軟件主要關(guān)注文件對象為用戶存儲信息類,其類型一般為PDF,DOCX,XLS,JPG等.

通過對大量文件加密型勒索軟件樣本進行理論和實驗分析,勒索軟件在對文件加密過程中會對文件內(nèi)容、文件頭有較大程度的修改,同時文件名在部分勒索軟件中也會有較大程度的修改[10].本文利用3個指標分別對文件內(nèi)容、文件頭、文件名是否發(fā)生修改進行細粒度化檢測,通過3個指標定量計算該文件損壞度,從而準確判斷樣本執(zhí)行過程中對文件修改程度.

特征1.完整性校驗.通過對文件進行完整性校驗來檢測樣本為勒索軟件的可能性,當前在陷阱文件中常被采用.當文件內(nèi)容發(fā)生改變時其完整性遭到破壞.而文件加密型勒索軟件正是讀取文件并通過加密算法對其進行加密,加密過程中對文件的修改正是破壞了文件的完整性.本文采用HASH方法對文件進行MD5計算,計算其初始散列值.在樣本執(zhí)行后,再次對文件進行散列值計算,并與初始散列值進行比較.結(jié)果相同時說明樣本肯定不是文件加密型勒索軟件.當結(jié)果不同時可能為勒索軟件.

特征2.文件類型改變.文件加密型勒索軟件根據(jù)讀寫操作順序分為3類:第1類為讀取文件,加密數(shù)據(jù)直接覆蓋在原文件位置上,一般在該過程中會對文件進行重命名;第2類則將文件移動到臨時目錄后讀取臨時文件并加密,將加密后的文件寫回到原始路徑下,同樣地在這個過程中一般會進行重命名操作;第3類讀取原文件,將加密后的文件寫入到一個新的文件,刪除原文件.以上3類勒索軟件對文件名和類型一般有修改.

在對文件名或者文件類型進行修改時,勒索軟件一般存在2種形式:第1種形式采用原文件的名字作為文件名,將后綴修改為自定義的格式;第2種形式則與原文件的文件名沒有任何關(guān)系,直接命名為自定義的文件名.對文件名和文件類型進行檢測,如果文件名發(fā)生了以上2種形式的改變,說明較大概率地發(fā)生了文件勒索行為.

特征3.相似度檢測.利用文件相似度檢測勒索軟件,該方法在Nolen Scaife的CrytoLock[11]中作為一個指標.本文將文件相似度計算對象分為2個部分:文件內(nèi)容相似度和文件頭相似度.

文件內(nèi)容相似度:勒索軟件一般采用AES,DES等強加密手段對文件進行加密,文件在加密前后會發(fā)生較大的變化,其相似度將變得較低.采用模糊哈希方法,對樣本執(zhí)行前后的散列值進行比較,可得到2個文件的相似度.如果是文件加密型勒索軟件,樣本執(zhí)行前后文件的相似度值較低.

文件頭相似度:在PDF,DOCX,XLS,JPG等文件中,文件頭一般表示該類型文件結(jié)構(gòu)的數(shù)據(jù),內(nèi)容較為固定.當文件正常修改時,文件頭只有固定的部分字節(jié)修改,例如表示長度的字節(jié)等.而文件加密型勒索軟件在加密過程中會以二進制方式讀取文件,并利用強加密算法對數(shù)據(jù)進行加密,文件頭會有較大程度的修改.

2 勒索軟件的檢測方法

在動態(tài)檢測中,我們的檢測模型為:惡意樣本上傳到沙箱平臺后,經(jīng)沙箱平臺進行檢測,然后將樣本下發(fā)到虛擬機中進行動態(tài)檢測.虛擬機將動態(tài)執(zhí)行的結(jié)果回傳到沙箱平臺,沙箱平臺進行數(shù)據(jù)處理后得出結(jié)論.為增強該模式對勒索軟件的識別,在樣本執(zhí)行過程中,從虛擬機中選取勒索軟件關(guān)注的格式類型文件,稱之為標記文件,記為sign,對標記文件進行多維度變化信息采集,根據(jù)算法計算該標記文件損壞度,記為dmge(sign).根據(jù)多個標記文件損壞度計算當前系統(tǒng)損壞度,記為FILEdmge.最后根據(jù)系統(tǒng)損壞度判斷該樣本是否為勒索軟件.

該方法主要分為2部分,第1部分是在虛擬機中選定多個標記文件,并提取樣本執(zhí)行前后每個標記文件變化特征.第2部分根據(jù)每個標記文件變化特征計算文件損壞度,構(gòu)建標記文件結(jié)果集,計算當前系統(tǒng)損壞度,根據(jù)閾值判斷是否為勒索軟件.

2.1 標記文件變化特征提取

標記文件特征提取分別在樣本執(zhí)行前后執(zhí)行,下面介紹標記文件變化特征提取過程.表1為本文中所有的變量.

表1 本文變量解釋

2.1.1 樣本執(zhí)行前標記文件特征提取

獲取用戶自定義的標記文件個數(shù)N,隨機N次選取目錄,并在該目錄下獲取或生成標記文件sign,提取每一個標記文件特征,包括FM(sign),FS(sign),FW(sign).再將提取的特征回傳至沙箱平臺.具體方法如算法1所示.

算法1.樣本執(zhí)行前標記文件特征提取方法.

2.1.2 樣本執(zhí)行后標記文件特征提取

樣本執(zhí)行時間,即沙箱平臺下虛擬機執(zhí)行時間,該參數(shù)在沙箱平臺中由用戶進行定義.讀取該時間t,在虛擬機開機后的(t-5)s時再次啟動標記文件特征提取程序.樣本執(zhí)行后獲取執(zhí)行前的標記文件集Set(sign),并對文件集中的每個標記文件再次進行特征提取.最后將提取特征回傳至沙箱平臺.具體方法如算法2所示.

算法2.樣本執(zhí)行后標記文件特征提取方法.

2.2 標記文件損壞度及系統(tǒng)損壞度計算

2.2.1 單個標記文件損壞度計算

經(jīng)過樣本執(zhí)行前后標記文件特征提取,得到樣本對應(yīng)數(shù)據(jù).通過樣本執(zhí)行前后數(shù)據(jù)FM(sign),FS(sign),FW(sign)比對,得出文件內(nèi)容是否發(fā)生損壞以及損壞度,根據(jù)FC(sign)得出文件類型是否損壞以及損壞度.結(jié)合文件類型和文件內(nèi)容的損壞度計算單個標記文件損壞度.

1)計算文件內(nèi)容損壞度,記為Self(sign).以下為文件內(nèi)容損壞度計算方法:

采用Smith-Waterman算法,對樣本執(zhí)行前后的標記文件頭的FW(sign)進行相似度計算,結(jié)果記為Wi,且Wi∈[0,1];

采用SSDEEP算法,對樣本執(zhí)行前后的標記文件的FS(sign)進行相似度計算,記為Si,且Si∈[0,1];這里對結(jié)果進行調(diào)整,當結(jié)果因相似度過低,無法計算結(jié)果時,為適應(yīng)該方法,將其結(jié)果記為0;

對樣本執(zhí)行前后標記文件的FM(sign)進行結(jié)果比較,結(jié)果記為Mi,當二者比對結(jié)果相等時,結(jié)果為1,反之結(jié)果為0,則Mi∈{0,1};

文件內(nèi)容損壞度結(jié)合Mi,Wi,Si進行計算,則Self(i)計算方法為

其中a為M i和Si的權(quán)重值.為準確衡量文件內(nèi)容損壞度,本文在不同情況下,a的取值有所不同.

2)結(jié)合FC(sign)和Self(sign),計算標記文件sign損壞度,將其記為dmge(sign).以下為dmge(sign)的計算方法:

2.2.2 系統(tǒng)損壞度計算

根據(jù)標記文件集Set(sign)的文件損壞度dmge(sign),計算系統(tǒng)損壞度,記作FILEdmge.

標記文件集合Set(sign)中標記文件個數(shù)為N,系統(tǒng)損壞度計算方法如下:

對標記文件Set(sign)集合取加權(quán)平均,計算當前系統(tǒng)的損壞程度.當N足夠大時,即N為系統(tǒng)中所有文件個數(shù)時,系統(tǒng)損壞程度將覆蓋整個文件系統(tǒng),根據(jù)上述方法能夠準確地定量系統(tǒng)損壞度.當N小于系統(tǒng)中所有文件個數(shù)時,一般采取抽樣調(diào)查,采用隨機方法保證結(jié)果的相對準確性.

3 實驗檢測

本文利用文件加密型勒索樣本對上述方法進行了驗證.對大量勒索樣本、正常樣本進行動態(tài)執(zhí)行,計算其文件損壞度和系統(tǒng)損壞度.從系統(tǒng)損壞度實驗中確定損壞度閾值,從而檢測加密型勒索軟件.

3.1 實驗步驟

本文選取木馬動態(tài)檢測引擎cuckoo sandbox作為檢測平臺,宿主平臺為ubuntu14.04,同時虛擬機選取1 GB RAM的Win7 sp1(32 b).為能讓樣本充分執(zhí)行,這里關(guān)閉虛擬機中防火墻和其他反病毒軟件,同時將樣本執(zhí)行時間調(diào)整為20 min,標記文件文件N為10個.

從 malware-traffic-analysis①http://www.malware-traffic-analysis.net,virusshare②https://www.virusshare.com,hybrid-analysis③https://www.hybrid-analysis.com,virustotal④https://www.virustotal.com平臺上下載相關(guān)樣本,得到176個適用于該實驗的勒索軟件樣本,同時準備84個其他類型的惡意樣本(botnet,spy等類型).通過手工檢測,確定樣本能夠在實驗環(huán)境中順利執(zhí)行.而這些樣本主要包含WANNACRY,PETYA,CryptoWall等類型的樣本.

3.2 檢測結(jié)果

在文件內(nèi)容損壞度Self(i)計算方法中,本文采用了參數(shù)a對M i和Si進行權(quán)重衡量.根據(jù)大量正常樣本和勒索樣本進行實驗,對Self(i)中的a取值情況進行實驗.在Wi≥Si的情況下,a=0.7.在Wi＜Si的情況下,a=0.3.在Mi=0,Si=0的情況下,a=0.5.

選取代表性樣本W(wǎng)ANNACRY,PETYA等,計算系統(tǒng)損壞度,結(jié)果如圖1所示:

圖1 部分樣本系統(tǒng)損壞度

通過對以上數(shù)據(jù)分析可知,代表性樣本文件系統(tǒng)損壞度基本集中在0.5～1區(qū)間內(nèi).以0.70作為閾值對176個樣本進行系統(tǒng)損壞度檢測,檢測率為88.64%;當閾值為0.6時,176個勒索樣本被檢測率為91.48%;當閾值為0.5時,176個勒索樣本被檢測率為99.43%.

而對于其他文件修改類型惡意代碼,botnet,spy類型惡意代碼系統(tǒng)損壞度基本接近0.而其中PDF,DOC等payload注入型的惡意代碼,經(jīng)實驗得出系統(tǒng)損壞度小于0.5(內(nèi)容修改量不同,損壞度也不同,但均小于0.5).因此將閾值設(shè)置為0.5時,實驗樣本誤報率為0.

從實驗數(shù)據(jù)分析得知,閾值相對較小時檢測率會隨之提升,但誤報率則呈相反的走勢.而為了準確檢測勒索軟件,本文將系統(tǒng)損壞度閾值設(shè)定為0.5,能有效地區(qū)分文件勒索型勒索軟件與其他文件修改類型的惡意代碼.當文件損壞度大于0.5時,系統(tǒng)判斷該樣本為加密型勒索軟件.

在本文的實驗環(huán)境中,因選取的標記文件類型為多種,而每個勒索軟件樣本針對的文件類型不同;同時勒索軟件采用的加密算法、加密密鑰等的不同,導(dǎo)致每個樣本造成的系統(tǒng)損壞度不同.最后的主觀原因是為躲避勒索軟件的繞過,我們采取隨機的方法、對文件名、文件內(nèi)容、文件類型隨機寫入,因此不同的樣本對于標記文件損壞程度不同.同樣地每個樣本每次運行的結(jié)果也不相同,但是通過大量實驗可知,盡管每次實驗結(jié)果會有所差異,但是基本都在允許范圍內(nèi),能夠做到勒索軟件的準確檢測.

本文設(shè)計的方法對于BLUFISH等VBA宏勒索型惡意代碼不能做到精確檢測,因其加密方法與上述樣本加密手段不同,采用VBA宏對特定文件類型進行加密勒索.而本文選定的標記文件類型為多種,盡管該類型文件的文件損壞度能做到檢測,但其他類型并未發(fā)生加密,系統(tǒng)損壞度相對較低,本文提出的方法未能有效地檢測該類型勒索軟件.

4 結(jié)束語

本文提出了一種基于文件損壞度的文件加密型勒索軟件檢測方法,并將該方法在動態(tài)檢測引擎CUCKOO SANDBOX中進行實際檢測.通過實驗證明該方法能夠有效檢測出文件加密型勒索軟件,但對于BLUFISH等單類型文件加密勒索型還未能做到準確檢測.

[1]趨勢科技.勒索軟件的過去、現(xiàn)在和未來[OL].[2018-02-15].https://www.cisco.com/c/dam/assets/global/CN/products/security/pdf/talos/ransomware.pdf.

[2]Black C.The Ransomware Economy[OL].[2018-02-15].https://www.carbonblack.com/wp-content/uploads/2017/10/Carbon-Black-Ransomware-Economy-Report-101117.pdf

[3]Luo X,Liao Q.Awareness education as the key to ransomware prevention[J].Information Systems Security,2007,16(4):195-202

[4]Andronio N,Zanero S,Maggi F.HelDroid:Dissecting and detecting mobile ransomware[C]//Proc of Int Workshop on Recent Advances in Intrusion Detection.Berlin:Springer,2015:382-404

[5]Yang T,Yang Y,Qian K,et al.Automated detection and analysis for Android ransomware[C]//Proc of IEEE Int Conf on High Performace Computing and Communications.Piscataway,NJ:IEEE,2015:1338-1343

[6]Kim G H,Spafford E H.The design and implementation of tripwire:a file system integrity checker[C]//Proc of ACM Conf on Computer&Communications Security.New York:ACM,1994:18-29

[7]Cabaj K,Mazurczyk W.Using software-defined networking for ransomware mitigation:The case of cryptoWall[J].IEEE Network,2016,30(6):14-20

[8]ESET.ESET anti-ransomware setup[OL].[2018-02-15].http://www.nod32.com.hr/Portals/66/PDF/anti-ransomwaretechbrief-en.pdf

[9]Brewer R.Ransomware attacks:Detection,prevention and cure[J].Network Security,2016,2016(9):5- 9

[10]Kharraz A,Robertson W,Balzarotti D,et al.Cutting the gordian knot:A look under the hood of ransomware attacks[M]//Detection of Intrusions and Malware,and Vulnerability Assessment.Berlin:Springer,2015:3-24

[11]Scaife N,Carter H,Traynor P,et al.CryptoLock(and Drop It):Stopping ransomware attacks on user data[C]//Proc of IEEE Int Conf on Distributed Computing Systems.Piscataway,NJ:IEEE,2016:303-312