一種基于文件損壞度的勒索軟件檢測方法

雷 春 李 娜

(四川大學計算機學院 成都 610065)

(lcamry@163.com)

2016年至今,勒索軟件家族及其數量劇增,同時據Carbon Black發布的2017年勒索軟件經濟報告顯示其造成的經濟損失高達百億美元[1-2].同時RaaS(勒索軟件即服務)的興起,在巨大利益沖擊下加劇了勒索軟件的迅猛增長.根據Nomoreransom國際反勒索軟件組織定義,勒索軟件是一種能將您的電腦和移動設備上鎖或能加密您的電子文件的惡意軟件[3].

在惡意代碼動態分析技術中,針對自動化檢測勒索軟件方面[4-5],現在較為常用的方法有以下3種:

1)利用文件指紋技術.在特定目錄下生成勒索軟件關注類型的文件,將其設置為陷阱文件,記錄初始狀態散列值.在樣本執行過程中,檢測陷阱文件散列值是否發生改變.當發生改變時確定執行樣本為勒索軟件[6].

2)利用API HOOK技術.設置陷阱文件,并對陷阱文件操作行為進行監控.在特定目錄下生成陷阱文件,通過對ReadDirectoryChangeW應用層API進行文件系統監控,當陷阱文件修改或刪除或其他修改狀態等操作時,確定為勒索軟件行為[7].

3)動態檢測過程中對進程行為進行監控.根據美國ESET安全公司Michael van der Vaart發布的《ESET Anti-Ransomware》[8],對 wscript.exe,cscript.exe等進行監控,當創建該進程后對其行為進行控制,從而判斷是否為勒索軟件.

以上文件指紋技術和API HOOK技術在當前實際應用場景中較為常見,這2種方法都比較直觀地體現陷阱文件是否在樣本運行過程中被改變[6].同時方法易懂,且易操作,應用程度較廣.但是以上2種方法過于粗粒度,通過一個陷阱文件的狀態變化或操作行為,不能武斷地作為勒索軟件的一般化行為特征值.其他類型的惡意代碼(TrojanDownloader:Win32/Vibrio.A等)同樣對陷阱文件進行操作,從而對檢測結果造成很大的誤報率.同時因API HOOK繞過技術也會造成一定的漏報率.而ESET提到的方法主要是針對JS型惡意代碼,盡管其對于JS型勒索軟件等有一定的檢測和防御效果,但是對于其他類型的惡意樣本無法作出判斷.為有效檢測文件加密型勒索軟件,本文提出了基于文件損壞度的勒索軟件檢測方法.

1 勒索軟件特征分析

本文主要針對文件加密型勒索軟件,在Brewer的“ransomware attacks:detection,prevention and cure”[9]中提到的文件加密型勒索軟件大致分為漏洞攻擊→勒索軟件執行→清除備份→文件加密→通知勒索信息.在勒索軟件執行過程中,對文件進行加密是勒索軟件的核心過程.根據Scaife等人的“Stopping ransomware attacks on user data”[9]中提到勒索軟件主要關注文件對象為用戶存儲信息類,其類型一般為PDF,DOCX,XLS,JPG等.

通過對大量文件加密型勒索軟件樣本進行理論和實驗分析,勒索軟件在對文件加密過程中會對文件內容、文件頭有較大程度的修改,同時文件名在部分勒索軟件中也會有較大程度的修改[10].本文利用3個指標分別對文件內容、文件頭、文件名是否發生修改進行細粒度化檢測,通過3個指標定量計算該文件損壞度,從而準確判斷樣本執行過程中對文件修改程度.

特征1.完整性校驗.通過對文件進行完整性校驗來檢測樣本為勒索軟件的可能性,當前在陷阱文件中常被采用.當文件內容發生改變時其完整性遭到破壞.而文件加密型勒索軟件正是讀取文件并通過加密算法對其進行加密,加密過程中對文件的修改正是破壞了文件的完整性.本文采用HASH方法對文件進行MD5計算,計算其初始散列值.在樣本執行后,再次對文件進行散列值計算,并與初始散列值進行比較.結果相同時說明樣本肯定不是文件加密型勒索軟件.當結果不同時可能為勒索軟件.

特征2.文件類型改變.文件加密型勒索軟件根據讀寫操作順序分為3類:第1類為讀取文件,加密數據直接覆蓋在原文件位置上,一般在該過程中會對文件進行重命名;第2類則將文件移動到臨時目錄后讀取臨時文件并加密,將加密后的文件寫回到原始路徑下,同樣地在這個過程中一般會進行重命名操作;第3類讀取原文件,將加密后的文件寫入到一個新的文件,刪除原文件.以上3類勒索軟件對文件名和類型一般有修改.

在對文件名或者文件類型進行修改時,勒索軟件一般存在2種形式:第1種形式采用原文件的名字作為文件名,將后綴修改為自定義的格式;第2種形式則與原文件的文件名沒有任何關系,直接命名為自定義的文件名.對文件名和文件類型進行檢測,如果文件名發生了以上2種形式的改變,說明較大概率地發生了文件勒索行為.

特征3.相似度檢測.利用文件相似度檢測勒索軟件,該方法在Nolen Scaife的CrytoLock[11]中作為一個指標.本文將文件相似度計算對象分為2個部分:文件內容相似度和文件頭相似度.

文件內容相似度:勒索軟件一般采用AES,DES等強加密手段對文件進行加密,文件在加密前后會發生較大的變化,其相似度將變得較低.采用模糊哈希方法,對樣本執行前后的散列值進行比較,可得到2個文件的相似度.如果是文件加密型勒索軟件,樣本執行前后文件的相似度值較低.

文件頭相似度:在PDF,DOCX,XLS,JPG等文件中,文件頭一般表示該類型文件結構的數據,內容較為固定.當文件正常修改時,文件頭只有固定的部分字節修改,例如表示長度的字節等.而文件加密型勒索軟件在加密過程中會以二進制方式讀取文件,并利用強加密算法對數據進行加密,文件頭會有較大程度的修改.

2 勒索軟件的檢測方法

在動態檢測中,我們的檢測模型為:惡意樣本上傳到沙箱平臺后,經沙箱平臺進行檢測,然后將樣本下發到虛擬機中進行動態檢測.虛擬機將動態執行的結果回傳到沙箱平臺,沙箱平臺進行數據處理后得出結論.為增強該模式對勒索軟件的識別,在樣本執行過程中,從虛擬機中選取勒索軟件關注的格式類型文件,稱之為標記文件,記為sign,對標記文件進行多維度變化信息采集,根據算法計算該標記文件損壞度,記為dmge(sign).根據多個標記文件損壞度計算當前系統損壞度,記為FILEdmge.最后根據系統損壞度判斷該樣本是否為勒索軟件.

該方法主要分為2部分,第1部分是在虛擬機中選定多個標記文件,并提取樣本執行前后每個標記文件變化特征.第2部分根據每個標記文件變化特征計算文件損壞度,構建標記文件結果集,計算當前系統損壞度,根據閾值判斷是否為勒索軟件.

2.1 標記文件變化特征提取

標記文件特征提取分別在樣本執行前后執行,下面介紹標記文件變化特征提取過程.表1為本文中所有的變量.

表1 本文變量解釋

2.1.1 樣本執行前標記文件特征提取

獲取用戶自定義的標記文件個數N,隨機N次選取目錄,并在該目錄下獲取或生成標記文件sign,提取每一個標記文件特征,包括FM(sign),FS(sign),FW(sign).再將提取的特征回傳至沙箱平臺.具體方法如算法1所示.

算法1.樣本執行前標記文件特征提取方法.

2.1.2 樣本執行后標記文件特征提取

樣本執行時間,即沙箱平臺下虛擬機執行時間,該參數在沙箱平臺中由用戶進行定義.讀取該時間t,在虛擬機開機后的(t-5)s時再次啟動標記文件特征提取程序.樣本執行后獲取執行前的標記文件集Set(sign),并對文件集中的每個標記文件再次進行特征提取.最后將提取特征回傳至沙箱平臺.具體方法如算法2所示.

算法2.樣本執行后標記文件特征提取方法.

2.2 標記文件損壞度及系統損壞度計算

2.2.1 單個標記文件損壞度計算

經過樣本執行前后標記文件特征提取,得到樣本對應數據.通過樣本執行前后數據FM(sign),FS(sign),FW(sign)比對,得出文件內容是否發生損壞以及損壞度,根據FC(sign)得出文件類型是否損壞以及損壞度.結合文件類型和文件內容的損壞度計算單個標記文件損壞度.

1)計算文件內容損壞度,記為Self(sign).以下為文件內容損壞度計算方法:

采用Smith-Waterman算法,對樣本執行前后的標記文件頭的FW(sign)進行相似度計算,結果記為Wi,且Wi∈[0,1];

采用SSDEEP算法,對樣本執行前后的標記文件的FS(sign)進行相似度計算,記為Si,且Si∈[0,1];這里對結果進行調整,當結果因相似度過低,無法計算結果時,為適應該方法,將其結果記為0;

對樣本執行前后標記文件的FM(sign)進行結果比較,結果記為Mi,當二者比對結果相等時,結果為1,反之結果為0,則Mi∈{0,1};

文件內容損壞度結合Mi,Wi,Si進行計算,則Self(i)計算方法為

其中a為M i和Si的權重值.為準確衡量文件內容損壞度,本文在不同情況下,a的取值有所不同.

2)結合FC(sign)和Self(sign),計算標記文件sign損壞度,將其記為dmge(sign).以下為dmge(sign)的計算方法:

2.2.2 系統損壞度計算

根據標記文件集Set(sign)的文件損壞度dmge(sign),計算系統損壞度,記作FILEdmge.

標記文件集合Set(sign)中標記文件個數為N,系統損壞度計算方法如下:

對標記文件Set(sign)集合取加權平均,計算當前系統的損壞程度.當N足夠大時,即N為系統中所有文件個數時,系統損壞程度將覆蓋整個文件系統,根據上述方法能夠準確地定量系統損壞度.當N小于系統中所有文件個數時,一般采取抽樣調查,采用隨機方法保證結果的相對準確性.

3 實驗檢測

本文利用文件加密型勒索樣本對上述方法進行了驗證.對大量勒索樣本、正常樣本進行動態執行,計算其文件損壞度和系統損壞度.從系統損壞度實驗中確定損壞度閾值,從而檢測加密型勒索軟件.

3.1 實驗步驟

本文選取木馬動態檢測引擎cuckoo sandbox作為檢測平臺,宿主平臺為ubuntu14.04,同時虛擬機選取1 GB RAM的Win7 sp1(32 b).為能讓樣本充分執行,這里關閉虛擬機中防火墻和其他反病毒軟件,同時將樣本執行時間調整為20 min,標記文件文件N為10個.

從 malware-traffic-analysis①http://www.malware-traffic-analysis.net,virusshare②https://www.virusshare.com,hybrid-analysis③https://www.hybrid-analysis.com,virustotal④https://www.virustotal.com平臺上下載相關樣本,得到176個適用于該實驗的勒索軟件樣本,同時準備84個其他類型的惡意樣本(botnet,spy等類型).通過手工檢測,確定樣本能夠在實驗環境中順利執行.而這些樣本主要包含WANNACRY,PETYA,CryptoWall等類型的樣本.

3.2 檢測結果

在文件內容損壞度Self(i)計算方法中,本文采用了參數a對M i和Si進行權重衡量.根據大量正常樣本和勒索樣本進行實驗,對Self(i)中的a取值情況進行實驗.在Wi≥Si的情況下,a=0.7.在Wi＜Si的情況下,a=0.3.在Mi=0,Si=0的情況下,a=0.5.

選取代表性樣本WANNACRY,PETYA等,計算系統損壞度,結果如圖1所示:

圖1 部分樣本系統損壞度

通過對以上數據分析可知,代表性樣本文件系統損壞度基本集中在0.5～1區間內.以0.70作為閾值對176個樣本進行系統損壞度檢測,檢測率為88.64%;當閾值為0.6時,176個勒索樣本被檢測率為91.48%;當閾值為0.5時,176個勒索樣本被檢測率為99.43%.

而對于其他文件修改類型惡意代碼,botnet,spy類型惡意代碼系統損壞度基本接近0.而其中PDF,DOC等payload注入型的惡意代碼,經實驗得出系統損壞度小于0.5(內容修改量不同,損壞度也不同,但均小于0.5).因此將閾值設置為0.5時,實驗樣本誤報率為0.

從實驗數據分析得知,閾值相對較小時檢測率會隨之提升,但誤報率則呈相反的走勢.而為了準確檢測勒索軟件,本文將系統損壞度閾值設定為0.5,能有效地區分文件勒索型勒索軟件與其他文件修改類型的惡意代碼.當文件損壞度大于0.5時,系統判斷該樣本為加密型勒索軟件.

在本文的實驗環境中,因選取的標記文件類型為多種,而每個勒索軟件樣本針對的文件類型不同;同時勒索軟件采用的加密算法、加密密鑰等的不同,導致每個樣本造成的系統損壞度不同.最后的主觀原因是為躲避勒索軟件的繞過,我們采取隨機的方法、對文件名、文件內容、文件類型隨機寫入,因此不同的樣本對于標記文件損壞程度不同.同樣地每個樣本每次運行的結果也不相同,但是通過大量實驗可知,盡管每次實驗結果會有所差異,但是基本都在允許范圍內,能夠做到勒索軟件的準確檢測.

本文設計的方法對于BLUFISH等VBA宏勒索型惡意代碼不能做到精確檢測,因其加密方法與上述樣本加密手段不同,采用VBA宏對特定文件類型進行加密勒索.而本文選定的標記文件類型為多種,盡管該類型文件的文件損壞度能做到檢測,但其他類型并未發生加密,系統損壞度相對較低,本文提出的方法未能有效地檢測該類型勒索軟件.

4 結束語

本文提出了一種基于文件損壞度的文件加密型勒索軟件檢測方法,并將該方法在動態檢測引擎CUCKOO SANDBOX中進行實際檢測.通過實驗證明該方法能夠有效檢測出文件加密型勒索軟件,但對于BLUFISH等單類型文件加密勒索型還未能做到準確檢測.

[1]趨勢科技.勒索軟件的過去、現在和未來[OL].[2018-02-15].https://www.cisco.com/c/dam/assets/global/CN/products/security/pdf/talos/ransomware.pdf.

[2]Black C.The Ransomware Economy[OL].[2018-02-15].https://www.carbonblack.com/wp-content/uploads/2017/10/Carbon-Black-Ransomware-Economy-Report-101117.pdf

[3]Luo X,Liao Q.Awareness education as the key to ransomware prevention[J].Information Systems Security,2007,16(4):195-202

[4]Andronio N,Zanero S,Maggi F.HelDroid:Dissecting and detecting mobile ransomware[C]//Proc of Int Workshop on Recent Advances in Intrusion Detection.Berlin:Springer,2015:382-404

[5]Yang T,Yang Y,Qian K,et al.Automated detection and analysis for Android ransomware[C]//Proc of IEEE Int Conf on High Performace Computing and Communications.Piscataway,NJ:IEEE,2015:1338-1343

[6]Kim G H,Spafford E H.The design and implementation of tripwire:a file system integrity checker[C]//Proc of ACM Conf on Computer&Communications Security.New York:ACM,1994:18-29

[7]Cabaj K,Mazurczyk W.Using software-defined networking for ransomware mitigation:The case of cryptoWall[J].IEEE Network,2016,30(6):14-20

[8]ESET.ESET anti-ransomware setup[OL].[2018-02-15].http://www.nod32.com.hr/Portals/66/PDF/anti-ransomwaretechbrief-en.pdf

[9]Brewer R.Ransomware attacks:Detection,prevention and cure[J].Network Security,2016,2016(9):5- 9

[10]Kharraz A,Robertson W,Balzarotti D,et al.Cutting the gordian knot:A look under the hood of ransomware attacks[M]//Detection of Intrusions and Malware,and Vulnerability Assessment.Berlin:Springer,2015:3-24

[11]Scaife N,Carter H,Traynor P,et al.CryptoLock(and Drop It):Stopping ransomware attacks on user data[C]//Proc of IEEE Int Conf on Distributed Computing Systems.Piscataway,NJ:IEEE,2016:303-312