勒索软件
- 2.相关研究
- 3.勒索软件和勒索软件的进化
- 4.勒索软件的分类
-
- 以目标为指向的
- 勒索法分类
- 著名勒索病毒家族的分类
- 5.勒索软件防御研究
-
- 分析
- 勒索软件探测
- 勒索软件恢复
- 6.OPEN ISSUE
- 7.结论
- 参考文献
| 摘要 |
|---|
| 物联 / CPS平台。涵盖1990-2020年期间的137项研究,对勒索软件的演变进行了详细概述,全面分析了勒索软件的关键构建模块,对重要的勒索软件家族进行了分类,并对关于pc /工作站、移动设备和IoT/CPS平台的勒索软件防御研究(即分析、检测和恢复)进行了广泛概述。 |
| 此外,为未来的勒索病毒研究得出了一个广泛的开放问题列表。我们相信这项调查将通过提供一个最先进的勒索软件研究的完整画面来推动进一步的研究。 |
1989年到2020年的勒索病毒演变的详细概述,包括勒索病毒的构建模块和著名勒索病毒家族的出现。
勒索软件、关键构建模块及其特征的全面分析,以及著名勒索软件家族的分类
索软件防御研究(即勒索软件分析,勒索软件检测和勒索软件恢复)的广泛概述,以多种平台为重点
(pc /工作站、移动设备和IoT/CPS平台)。
出了在未来的勒索软件防御研究和实践中需要解决的大量开放研究问题。
本调查的结构组织如下:第2节给出了相关工作。第3节概述了勒索软件及其演变。第4节分析了勒索软件的关键构建模块,并提出了一个值得注意的勒索软件家族的分类(作为在线补充材料)。第5节给出了关于pc /工作站,移动设备和IoT/CPS平台的勒索软件防御研究的广泛概述。第6节介绍了在未来的勒索病毒防御研究中需要解决的开放研究问题。第七部分是论文的总结。
2.相关研究
3.勒索软件和勒索软件的进化
勒索软件是恶意软件的一个子集,它阻止或限制用户访问他们的系统和/或数据,直到支付赎金[104]。勒索软件的主要目的是向受害者勒索钱财。根据采用的方法,勒索软件一般分为两类。
加密勒索软件:这种勒索软件加密受害者的文件,删除或覆盖原始文件,并要求支付赎金来解密文件。
锁定勒索软件:这种类型的勒索软件阻止受害者通过锁定屏幕或浏览器访问其系统,并要求支付赎金来解锁系统。与加密勒索软件不同,它不加密系统或用户数据。
勒索软件攻击阶段的概览如图1所示,这是我们基于之前的研究[16,23,41,100,119]所建立的。尽管有些勒索软件在所示模型中可能不具有单独的阶段,如Communication with C&C,但我们在此工作中的模型概括了勒索软件的攻击阶段。勒索软件的攻击阶段可以总结如下:
4.勒索软件的分类
勒索软件有多种分类方式。在本研究中,我们根据勒索软件的目标、感染方法、C&C通信和恶意行为(破坏技术)进行了分类,如图3所示。在本节中,我们首先提供每个分类类别的概述,然后根据我们的方法对著名的勒索病毒家族进行分类。
以目标为指向的
勒索软件可以根据它们的目标分为两类,这两类是相互正交的:目标受害者和目标平台。
Ransomware的受害者。勒索软件可以针对各种类型的受害者。分析勒索病毒的受害者类型可以为设计实用的防御机制提供有价值的信息。勒索软件的受害者可以分为两类:最终用户和组织。
最终用户是第一批勒索软件家族的主要目标。缺乏安全意识和技术援助使勒索软件对终端用户特别有效[155]。
加密勒索软件可以加密存储在个人设备(例如个人电脑、笔记本电脑、智能手机等)中值得支付的个人文件。与此同时,除非支付赎金,否则储物柜变体可能会锁定最终用户的设备并阻止访问。不出所料,最终用户要求的赎金金额明显低于组织目标的金额[155]。此外,一个单一的勒索软件可能会感染成千上万的最终用户系统,这使得它有利可图。
组织最初并不是勒索软件的主要目标。然而,随着勒索软件的不断发展,包括政府、医院[94]、企业和学校[83]在内的许多类型的组织经常成为攻击目标。在这些攻击中, 络罪犯提前选择他们的目标,并试图造成最大程度的破坏,以期获得大笔赎金[139]。
Locker勒索软件可以锁定目标使用的计算机,这可能导致该组织的整个行动停止[194]。同样,加密勒索软件可以加密存储在组织系统中的有价值的信息,并使其无法访问,直到支付巨额赎金。 络罪犯还可以威胁将目标的数据公之于众。
锁定。储物柜勒索软件家族锁定系统组件,防止受害者进入。根据目标的不同,勒索软件的锁定可以分为三类:屏幕锁定、浏览器锁定和主引导记录(MBR)锁定。
屏幕锁定勒索软件锁定系统的图形用户界面,阻止访问,同时要求赎金解除限制。他们可以使用不同的方法锁定受害者的屏幕,包括使用操作系统函数(例如CreateDesktop)来创建一个新的桌面并使其持久[103]。一些勒索软件家族,如Reveton[33]可以下载图像或C&C服务器的HTML页面,并动态创建它们的锁横幅。屏幕锁定勒索软件也可以针对移动设备。在这方面,屏幕锁定经常应用于Android勒索软件家族[147]。为了锁定移动设备,虽然有些家族(如LockerPin)将特定参数设置为Android系统api以使Android屏幕持久,但其他家族(如WipeLocker)禁用移动设备的特定按钮(如Home按钮)[76]。
浏览器锁定勒索软件家庭锁定受害者的 络浏览器,并要求赎金。攻击者通过将受害者重定向到包含恶意代码的 页来锁定受害者的浏览器JavaScript代码。与其他恶意勒索软件的策略不同,从浏览器锁中恢复相对简单。为了恐吓受害者,这种勒索软件可以显示“电脑因违反法律而被阻止”的勒索信息。
MBR锁定勒索软件家族,如Seftad[68],目标系统的主引导记录(MBR)。系统的MBR包含引导操作系统所需的信息。因此,这种恶意行为的目的是防止系统通过用伪造的MBR替换原始的MBR或加密原始的MBR来加载引导代码。
数据漏出。除了加密和破坏,一些勒索病毒家族,特别是最近的勒索病毒家族,还试图窃取受害者的宝贵信息(例如信用卡信息、公司文件、个人文件等)[115]。事实上,一些勒索软件家庭要求支付两笔赎金。因此,一种支付用于发送密钥来解密文件,另一种用于防止发布被盗信息[160]。这种行为的动机是向受害者索要更多的赎金,并加快支付过程。
勒索法分类
勒索软件的主要目的是向受害者勒索金钱(即赎金)。勒索软件勒索手段的基本特点是匿名性。在勒索软件的演变过程中, 络罪犯使用了不同的勒索方法。支付方式,如保费短信,预付费代金券,如Paysafe卡已被勒索软件家庭使用。然而,比特币等加密货币由于其去中心化和不受监管的性质、伪匿名性以及不受当地法律当局的约束,目前是勒索资金的最首选方法。
著名勒索病毒家族的分类
就功能而言,API包/调用是移动勒索软件检测中最流行的功能,如图6(b)所示。API包/调用、权限和字符串构成了移动勒索软件检测中使用的51%的功能,这表明每两项研究中就有一项使用了这些功能。考虑图6(b)所示的特征,我们可以看到大多数特征是通过对应用包的静态分析获得的结构性特征。
评估数据集:移动设备勒索软件检测系统最流行的数据源是VirusTotal和HelDroid[27]的数据集。这些数据源后面是
Contagio、Koodus等数据集。我们可以看到,大多数研究使用多个数据源形成数据集。与pc /工作站的情况不同,大多数针对移动勒索软件检测的研究没有 告其数据集中的勒索软件家族数量。
从 告的研究来看,我们最多看到10个家庭被研究使用。考虑到恶意和良性样本的数量,大多数数据集都是不平衡数据集,能够更好地代表真实环境中良性和恶意移动应用的比例。
检测准确率:针对移动设备的勒索软件检测研究 告了非常高的检测率。TPR在83%到100%之间变化,而FPR在0到19%之间变化。只有一项研究 告了完美的TPR(即100%),而一些研究 告了超过99%的TPR。
不同平台的勒索软件检测技术比较。在本小节中,我们将比较pc /工作站、移动设备和IoT/CPS环境中的检测研究,并将我们的发现与跨各种平台的勒索软件检测进行分享。
检测技术的比较:我们的分析表明,机器学习是在所有平台上检测勒索软件最令人钦佩的技术。具体来说,在总共72%的防御解决方案中,利用机器学习来检测系统中的勒索软件。此外,考虑到以PC/工作站为目标的勒索软件家族行为的多样性,研究人员利用7种不同的技术来检测PC/工作站中的勒索软件。另一方面,研究人员仅使用四种不同的技术来检测移动设备中的勒索软件。由于在IoT/CPS环境中只有少数工作用于勒索软件检测,因此机器学习是该类别中唯一使用的技术。在pc /工作站和移动设备中,基于规则的检测是第二流行的检测勒索软件的方法。研究结果表明,与其他技术相比,研究人员认为从机器学习技术检测系统中的勒索软件行为模式中获益最多。潜在的原因可能与机器学习模型能够更好地处理从未见过的样本和与其他技术相比的泛化能力有关。
使用特征对比:在使用特征方面,研究结果表明,针对pc /工作站和IoT/CPS环境的勒索病毒检测研究表现出与针对移动设备不同的行为。具体来说,我们看到大多数基于机器学习的pc /工作站和IoT/CPS环境的勒索软件检测系统依赖于行为特征。然而,针对移动设备的研究大多利用结构特征。一般来说,与行为特征相比,结构特征更容易提取/收集,因为它们不需要运行样本,也不需要监控平台。由于移动设备的资源比pc /工作站少得多,因此移动设备的结构特征可能比行为特征更受欢迎。我们想指出的是,尽管针对IoT/CPS环境的勒索软件检测研究使用类似于PC /工作站的行为特征,但它们将其检测解决方案适用于资源丰富的设备,如PC或工作站。因此,他们在这方面的姿态与上述分析并不矛盾。
考虑到实际使用的功能,与API相关的功能(如移动设备中的API调用和API包)是所有平台上使用最多的功能。虽然文件/目录功能也非常流行的勒索软件检测pc /工作站,权限随之而来
API包在移动设备上越来越流行。虽然研究人员使用了其他几个功能来检测勒索病毒,但它们没有上述功能被使用得那么频繁,这可能是因为这些功能是平台相关的(例如,dll,注册表活动),容易混淆
(例如,字符串、操作码、 络流量),或已经压缩的文件类型存在问题(例如,熵)。
数据集比较:所有平台上勒索软件检测系统使用最广泛的数据源是VirusTotal。这一发现并不奇怪,因为VirusTotal是一个非常流行的恶意软件研究领域的存储库,它免费为学术界的研究人员提供了学术数据集和API。而76%的勒索软件检测系统pc /工作站 告了其数据集中的家庭数量,只有36%的移动勒索软件检测工作 告了其数据集中的家庭数量。有趣的是,大多数物联 /CPS环境下的勒索软件防御解决方案都没有披露关于其数据源的任何详细信息。从数据集中恶意和恶意样本的数量来看,虽然针对pc /工作站的研究同时构建了平衡和不平衡的数据集,但针对移动设备勒索软件检测的数据集大多是不平衡的,能够更真实地反映现实世界中良性和恶意应用的比例.
检测准确率的比较:一般来说,所有综述的勒索软件检测研究都 告了非常高的检测率。具体来说,TPR在两者之间波动73%和100%,FPR在0和19%之间变化。在这方面,许多检测系统为pc /工作站的TPR为100%,这看起来过于乐观。然而,我们只看到一项针对移动设备的研究 告了完美的TPR。由于家族数和评估过程中使用的样本对所得到的结果起着至关重要的作用,因此如果在一个包含良性和恶意样本的综合数据集上对所提出的方案进行评估,则 告的结果可能会更加真实。
勒索软件恢复
在本小节中,我们将针对目标平台对现有的勒索软件恢复机制进行分类和总结。
勒索软件恢复个人电脑/工作站。对pc /工作站的勒索软件恢复研究表明,恢复由勒索软件执行的破坏可以通过三种不同的方式实现:恢复密钥,通过硬件恢复文件,或通过云备份恢复文件。在本小节中,我们将分别概述每个类别下的研究。
密钥恢复:Kolodenker等人[109]提出了PayBreak[109]——一种密钥托管机制,旨在通过挂钩密码学api来捕获加密密钥并解密受害文件。当然,它只对调用相应的加密api进行加密的勒索软件家族有效。
基于硬件的文件恢复:该类研究旨在利用存储硬件(即SSD)的特性恢复受害者的加密文件。基于nand的ssd具有错位更新特性,它会保留已删除数据的前一个版本,直到垃圾收集器(GC)删除它。勒索软件恢复解决方案利用了这个功能。在[35,86,143]中提出的工作在ssd中创建了额外的备份页,以恢复来自勒索软件攻击的数据。另外,在[131]中,Min等人设计了一种SSD系统,可以执行自动备份并最小化备份空间开销。他们的系统利用了一个检测组件,该组件利用硬件加速器来检测内存中受感染的页面。
通过云备份恢复文件:文献中的一些恢复机制旨在利用云环境恢复文件以达到备份的目的。Yun等人[199]提出了一种部署在云端的名为CLDSafe的备份系统。CLDSafe将文件的影子副本保存到一个安全区域,以防止文件丢失。它计算文件版本之间的相似度得分,以选择要备份的文件。在RockFS[125]中,Matos等人旨在使云支持的文件系统的客户端更能抵御勒索软件等攻击。它允许管理员在勒索软件事件发生后通过分析日志恢复文件。它还旨在通过使用秘密共享密钥加密存储在客户端的用户云访问凭据的安全。
移动设备的勒索软件恢复。考虑到移动设备的恢复方案,使数据从勒索软件攻击中恢复,目前只有两项研究。MimosaFTL[189]设计为一种基于恢复的勒索病毒防御策略,适用于配备闪存作为外存的移动设备。收集勒索病毒样本的访问行为,应用k均值聚类识别勒索病毒的唯一访问模式在Flash事务层。在[59]中,Yalew等人旨在通过定期执行备份到外部存储来从勒索软件中恢复。
¥# 其
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!