Travelling the Hypervisor and SSD: A Tag-Based Approach Against Crypto Ransomware with Fine-Grained
目录
- 笔记
- 后续的研究方向
- 摘要
- 引言
-
- 贡献
Travelling the Hypervisor and SSD: A Tag-Based Approach Against Crypto Ransomware with Fine-Grained Data Recovery
CCS 2023
笔记
本文提出了一种称为 RansomTag 的基于标签的方法,用于防御加密勒索软件攻击并提供细粒度的数据恢复。该文件的要点和关键论点如下:
- 勒索软件已成为用户安全和国家安全的重大风险,必须将其视为严重威胁。
- 用于防御加密勒索软件的现有解决方案遭受数据丢失、功能不完整或权限提升攻击。
- 基于 SSD 的方法旨在提供硬件级数据保护,但它们在准确检测、潜在针对性攻击和细粒度恢复方面存在局限性。
- RansomTag 将勒索软件检测功能与 SSD 固件解耦,并将其集成到 I 类轻量级虚拟机管理程序中,利用主机系统的计算能力和来自操作系统的丰富上下文信息,实现对针对性攻击的准确检测和防御。
- RansomTag 使用基于标签的方法来弥合虚拟机管理程序和 SSD 之间的语义差距,从而可以精确标记 I/O 请求并实现细粒度的备份和恢复。
- RansomTag 能够保留 100% 的用户数据被勒索软件覆盖或删除,并根据时间戳将任何单个或多个用户文件恢复到任何版本。
- 该文档介绍了实施 RansomTag 的三个主要挑战:精确识别勒索软件的 I/O 请求、弥合虚拟机管理程序和 SSD 之间的语义差距,以及监控文件系统状态以实现细粒度恢复。
- 使用 3,123 个最近的勒索软件样本开发和评估了 RansomTag 原型,证明了其在检测勒索软件攻击、防止针对 SSD 特性的针对性攻击以及提供细粒度数据恢复方面的有效性。
- RansomTag 对 I/O 性能和 SSD 寿命的影响是可以接受的。
- 作者计划开源 RansomTag 并发布勒索软件样本数据集,以便与社区进一步互动。
要点:
- RansomTag 是一种基于标签的方法,用于防御加密勒索软件并提供细粒度的数据恢复。
- 它将勒索软件检测与 SSD 固件分离,并将其集成到轻量级虚拟机管理程序中。
- RansomTag 使用标签弥合虚拟机管理程序和 SSD 之间的语义差距。
- 它可以保持 100% 的用户数据被勒索软件覆盖或删除,并根据时间戳将文件恢复到任何版本。
- 使用 3,123 个勒索软件样本开发和评估了 RansomTag 的原型。
后续的研究方向
- 集成高级 VMI 技术:探索和集成高级 VMI 技术,这些技术可以提供更可靠的操作系统上下文信息,从而降低因操作系统受损而导致错误数据自省的风险。
2.AI基于AI的检测算法:研究并采用基于AI的检测算法,在操作系统之外进行攻击检测。这可以利用主机系统强大的计算能力来提高勒索软件检测的准确性。
-
改进的基于软件的加密检测算法:开发一种改进的检测算法,可以监控勒索消息,以区分基于软件的良性加密程序和加密勒索软件攻击。这有助于减少误报并减少存储开销。
-
增强的细粒度数据备份和恢复:进一步增强虚拟机管理程序和SSD固件的功能,以提供更高效、更细粒度的数据备份和恢复选项。这可以允许用户快速恢复特定版本的文件,而不是整个大容量存储设备。
-
基于SSD的针对性防御机制:探索和开发基于SSD的针对性防御机制,利用SSD的固有特性来防御加密勒索软件攻击。这可能包括利用异地更新功能或在 SSD 固件中引入额外的安全措施。
-
基于硬件的加密技术的集成:研究将基于硬件的加密技术(例如自加密驱动器 (SED))集成到防御系统中。这可以提供透明的数据加密和解密,而不会干扰攻击检测功能。
7.安全级别设置和用户自定义:在防御系统中增加安全级别设置,允许用户根据自己的具体需求和偏好自定义数据保留期限和其他安全参数。
-
性能开销评估:对防御系统引入的性能开销进行综合评估,确保其保持在可接受的范围内,并且不会对整体系统性能产生重大影响。
-
持续监控和更新:实施持续监控和更新防御系统的机制,以适应不断发展的勒索软件技术,并确保持续抵御新威胁。
-
与工业界和学术界的合作:促进与行业合作伙伴和学术研究人员的合作,以交流知识、分享见解,并共同致力于开发更有效、更强大的勒索软件检测和数据恢复解决方案。
摘要
如今,勒索软件已经从一种经济滋扰演变为一种国家安全威胁,对用户构成了重大风险。为了解决这个问题,我们提出了RansomTag,这是一种基于标签的方法,可以通过细粒度的数据恢复来对抗加密勒索软件。与最先进的基于SSD的解决方案相比,RansomTags在三个方面取得了进展。首先,它将勒索软件检测功能与SSD的固件解耦,并将其集成到I型轻量级管理程序中。因此,它可以利用主机系统强大的计算能力和丰富的上下文信息,这些信息是从操作系统中内省的,以实现对勒索软件攻击的准确检测和对SSD特性的潜在目标攻击的防御。此外,由于其准穿透架构,勒索标签很容易部署到台式个人电脑上。第二,勒索标签通过我们提出的基于标签的方法弥合了系统管理程序和SSD之间的语义差距。第三,勒索标签能够保持100%的用户数据被勒索软件覆盖或删除,并根据时间戳将任何单个或多个用户文件恢复到任何版本。为了验证我们的方法,我们实现了勒索标签的原型,并收集了3123个最新的勒索软件样本进行评估。评估结果表明,我们的原型以最小的规模有效地保护了用户数据
引言
在过去的几年里,勒索软件[15]攻击由于其高收益潜力和不断增长的潜力而变得越来越普遍。此外,勒索软件已经从一种经济滋扰演变成一种国家安全威胁[56]。例如,2022年6月,哥斯达黎加政府因勒索软件而宣布进入“国家紧急状态”,此前两个月,哥斯达黎加遭受了前所未有的攻击,这引发了一个新的勒索软件时代[45]。毫无疑问,勒索软件对用户安全构成了重大风险,现在是时候开始像对待任何其他严重威胁一样对待它了[9]。
与其他类型的恶意软件(如病毒、蠕虫、特洛伊木马、僵尸网络、广告软件、间谍软件)不同,勒索软件的主要目的是锁定受害者系统(也称为锁定勒索软件)或加密用户文件(也称为加密勒索软件),然后要求赎金解锁系统或释放解密密钥来访问文件。此外,由于勒索软件广泛部署匿名支付机制(如比特币),很难跟踪交易以完成过程[20]。与locker勒索软件相比,加密勒索软件更难处理,因为它通常使用强大的加密算法和足够长的加密密钥来加密用户文件。这意味着,如果没有攻击者释放的密钥,数据很难解密。因此,本文针对的是加密勒索软件。
防范加密勒索软件的最终目标是保护用户数据。为此,研究人员提出了许多解决方案。其中一些可以识别攻击并保护主机[10,27-29,31,35,52]或系统管理程序层[54]中的用户文件。然而,此类解决方案会遭受数据丢失[27,29,52,54]、功能不完整[31,35]或特权升级攻击[10,27-29,31,35,52]。为了解决这些限制,近年来设计了几种基于SSD的方法来对抗加密勒索软件[4,5,21,43,47,50,60]。这些方法利用SSD的固有特性,即异地更新[21],在没有额外开销的情况下提供硬件级数据保护。
然而,现有的基于SSD的方法有三个主要限制。首先,由于上下文信息不足以及CPU功率和内存有限,很难在SSD固件中实现准确全面的检测算法。因此,它会导致备份数据过于冗余[21,47,50]或不完整[4,5,43,60]。其次,它们遭受对SSD特性的潜在有针对性的攻击[4,5,21,43,47,60],即耗尽可用存储空间(GC攻击)、隐藏i/O模式(定时攻击)和强制数据擦除(TRIM攻击),或为网络威胁引入额外的攻击面[50]。第三,他们无法将特定的(受攻击的)文件恢复到用户想要的某个版本,因为在SSD级别没有“文件”的语义信息。换句话说,它们无法提供细粒度的数据恢复。
在本文中,我们提出了RansomTag,这是一种基于标记的方法,用于操作系统(OS)之外的基于文件活动的检测和SSD的细粒度数据恢复,以解决上述限制。与现有的基于SSD的解决方案类似,RansomTags利用SSD的固有特性,即异地更新,在没有额外开销的情况下备份用户数据。然而,与以前的系统相比,勒索标签主要在三个方面取得了进展。
首先,勒索标签将勒索软件检测功能与SSD的固件解耦,并将其集成到I型管理程序中。因此,我们可以利用主机系统强大的计算能力和操作系统丰富的上下文信息,例如进程和文件活动,实现对勒索软件攻击的准确全面检测。我们认为这是必要和重要的,因为它可以抵御对SSD特性的潜在目标攻击,即GC、定时和TRIM攻击[50](详见§5.4.2)。此外,它还将显著减少备份存储开销。此外,与传统的I型管理程序不同,我们采用的管理程序(称为瘦管理程序)基于准直通架构,该架构旨在允许操作系统的大部分I/O访问通过管理程序,而管理程序仅拦截实现勒索软件检测功能所需的最小文件相关访问。这样的瘦管理程序很容易部署到桌面个人计算机上。
其次,勒索标签通过我们提出的基于标签的方法弥合了系统管理程序和SSD之间的语义差距,该方法简单但有效,只需对标准SCSI协议命令进行微小更改。具体来说,RansomTag在系统管理程序中用标签精确地标记每个I/O请求,以告知SSD固件如何处理它。为了实现这一点,它利用从I/O请求转换而来的存储命令中的保留字段的几个位来存储各种类型的标签。
第三,勒索标签能够为用户数据提供完整的保护和细粒度的恢复。换言之,勒索标签将保持100%的用户数据被已识别的加密勒索软件样本覆盖或删除。此外,RansomTag还监控系统管理程序中的文件系统状态,以备份文件元数据的更改。通过这样做,RansomTag能够提供用户数据的细粒度恢复,可以根据时间戳将任何单个或多个用户文件恢复到任何版本。此外,它可以准确区分勒索软件的恶意写入和一个或多个良性应用程序对用户文件发出的并发写入,即使恶意和良性写入相交,也可以恢复文件。
总的来说,要实现勒索标签,我们需要解决三个主要挑战:
C1:如何在不丢失任何文件的情况下准确识别系统管理程序中勒索软件的I/O请求?为了解决这个问题,我们开发了一个轻量级内省器,它只获取系统管理程序层中操作系统的I/O相关上下文信息(例如进程和文件活动),并利用这些信息实现了高精度的检测算法。此外,我们在勒索软件检测算法一开始就保留所有用户数据,以确保没有文件丢失(详见§3.3)。
C2:如何弥合系统管理程序和SSD之间的语义差距,以传输细粒度备份的检测结果?为了解决这个问题,我们提出了一种简单但有效的标记方法,该方法通过系统管理程序和SSD来标记勒索软件的每个I/O操作。因此,SSD可以精确地保留要加密的原始数据(详见§3.4)。
C3:如何监控系统管理程序中的文件系统状态以进行文件级细粒度恢复?我们监控(在系统管理程序中)和备份(在SSD中)文件元数据中的所有更改,这些更改由文件系统维护,此外还有文件的原始数据。使用元数据,可以成功恢复指定的文件和版本(详见§3.5)。
为了验证我们的方法,我们开发了一个带有专用瘦系统管理程序和SSD开发板的RansomTag原型[46]。我们收集了3123个最新的勒索软件样本,包括3061个Windows样本和62个Linux样本,并分别在Microsoft Windows 10和Ubuntu 22.04中运行它们来评估我们的原型。评估结果表明,我们的系统能够成功识别所有勒索软件攻击,并以细粒度恢复所有受攻击的文件。此外,它还可以抵御对SSD特性的潜在目标攻击。我们进一步评估了RansomTag对SSD I/O性能和使用寿命的影响。结果表明,我们的原型引入的冲击是可以接受的。为了让社区参与进来,我们计划开源勒索标签,并在我们的评估中发布勒索软件样本的数据集https://github.com/xdu-syssec/ransomtag.
贡献
我们提出了一种新的勒索软件防御方法,称为TransomTag,它能够在系统管理程序中精确检测和标记加密勒索软件发出的每个I/O请求,并在SSD中提供细粒度的用户数据恢复。
我们开发了RansomTag的原型,并分别将勒索软件检测和数据恢复实现到瘦系统管理程序和修改了SSD固件的开发板上。
我们进行全面评估以验证我们的方法。评估结果表明,我们的原型以最小规模的数据备份和可接受的性能开销有效地保护了用户数据免受加密勒索软件攻击,并且可以防止对SSD特性的潜在目标攻击。同时,所有被攻击的文件都可以完全细粒度地恢复。
