ShieldFS có thể dừng và đảo ngược ảnh hưởng của mã độc tống tiền

Mang tên ShieldFS, dự án mới là sản phẩm của 7 nhà nghiên cứu đến từ đại học Politecnico di Milano và được cung cấp thông tin chi tiết tại hội nghị an ninh Black Hat USA 2017.

ShieldFS hoạt động như một máy quét COW và hoạt động mã hóa

Theo các báo cáo nghiên cứu được phát hành năm nay, ShieldFS có cơ chế phức tạp, được thiết kế để phát hiện các hoạt động COW (Copy-On-Write).

Hoạt động COW diễn ra khi ứng dụng lấy được tập tin, sao chép, sửa đổi và thay thế tập tin gốc. Hầu hết các biến thể ransomware ngày nay đều dựa vào cơ chế COW bằng cách lấy một file đầu tiên, mã hóa nội dung của nó và thay nó cho file gốc.

ShieldFS không những phát hiện hoạt động COW mà còn tìm kiếm việc sử dụng các mẫu mã hóa đối xứng, thường được dùng trong quá trình mã hóa tập tin.

Một khi phát hiện ra hoạt động thuộc dạng này, ShieldFS sẽ kiểm tra mẫu hành vi nội bộ, phân biệt các quy trình bình thường với ransomware nhiễm độc.

Theo các nhà nghiên cứu, ShieldFS hiện được trang bị các mẫu thích nghi với 2245 ứng dụng hợp pháp, cho phép nó làm việc mà không gây ra quá nhiều lỗi dẫn tới chặn quá trình hợp pháp.

ShieldFS được dùng như file hệ thống để phục hồi tập tin bị mã hóa

Nếu phát hiện ransomware, ShieldFS sẽ báo cho hệ điều hành dừng quá trình và dùng tập tin hệ thống tùy chỉnh để đảo ngược lại hành vi của ransomware.

Dự án ShieldFS được kì vọng giúp chống lại mã độc tống tiền
Dự án ShieldFS được kì vọng giúp chống lại mã độc tống tiền

Về mặt kỹ thuật, điều này có thể làm được là do ShieldFS được đóng gói như một driver drop-in cài trên file hệ thống ảo, được thiết kế “phủ bóng” lên hoạt động COW, giữ bản sao của tập tin gốc trong thời gian ngắn và cho phép khôi phục một lượng tập tin nhất định.

Có thể nói rằng file hệ thống tự chữa lành trong thời gian thực của ShieldFS giống như thay thế cho sao chép bằng Shadow Volume, mà hầu hết biến thể của ransomware đều đảm bảo phải xóa đi trước khi mã hóa tập tin của người dùng, tránh việc khôi phục lại bằng phần mềm khôi phục dữ liệu chuyên dụng.

Dưới đây là video về cách hoạt động của ShieldFS. Các nhà nghiên cứu vẫn đang làm việc trên dự án này, nói rằng họ dữ định chính thức phát hành trong tương lai gần. Đây là báo cáo đầy đủ về ShieldFS tại Black Hat. https://www.blackhat.com/docs/us-17/wednesday/us-17-Continella-ShieldFS-The-Last-Word-In-Ransomware-Resilient-Filesystems.pdf

Thứ Ba, 01/08/2017 17:03
51 👨 168