FlashGuard利用固態存儲的硬件特性對抗勒索軟件

文/Jun Xu Jian Huang

近年來，一種稱為Ransomware的惡意軟件開始在全球范圍內蔓延，嚴重危害著大量的計算機系統。比如，WannaCry病毒在2017年5月發生，一個星期之內已經影響了150個國家的230000臺電腦。 這些被攻擊的電腦有很大一部分來自于政府部門，學校和醫院等機構。與針對破壞計算機系統和竊取私密信息的傳統病毒不同, Ransomware暗地里加密用戶文件，要求用戶支付贖金才能恢復文件。Ransomware的行為和正常的軟件并沒有顯著不同，很容易繞過檢測防御。這使得這類病毒越來越受到攻擊者的歡迎。根據IBM的數據，2016年受到Ransomware攻擊的用戶數量和用戶支付贖金的金額都比2015年增長了數十倍。

針對Ransomware, 目前已經有一些相關對抗工作。這些工作主要聚焦于設計檢測系統，這些系統通過監測Ransomware運行時的行為特征發現病毒。然而，當Ransomware被檢測到時，一些用戶的文件可能已經被病毒加密，最終用戶還是要支付贖金才能恢復這些文件。讓情況變得更加糟糕的是大量Ransomware會嘗試獲得管理員權限，以終止軟件層次的防御系統。

定期備份是對抗Ransomware的另外一種思路。但是備份會引起存儲開銷，并且Ransomware依然可以憑借管理員權限停止或者銷毀備份。本文中，我們提出了FlashGuard，一個可以對抗Ransomware的SSD。FlashGuard在SSD的固件內部搭載恢復系統，能夠在不需要額外備份的情況下，快速恢復被Ransomware破壞的數據。

FlashGuard更新機制

FlashGuard利用現在SSD已有的out-of-place更新機制。這個機制原本是為了消除SSD中重寫所帶來的延遲——當一個硬盤頁面被更新時，SSD必須先擦除對應物理塊，但是這個擦寫的過程非常耗時，因此SSD采用out-of-place機制把重寫的數據寫在已經被擦除的物理頁面上，該頁的原始備份依然會保存于SSD中。一段時間之后，SSD通過垃圾回收機制來回收存儲著原始數據的失效頁。FlashGuard通過修改SSD的垃圾回收機制，使得當Ransomware加密文件時，數據的原始備份依舊保存在SSD中并且不會被回收。通過對1447個Ransomware樣本的實驗，我們發現FlashGuard能夠有效恢復被加密文件。另外本文還論證了FlashGuard對SSD性能和生命周期的影響可以忽略。

FlashGuard的設計基于大量Ransomware的調研。調研主要關注于Ransomware加密所需時間和對于備份的銷毀。我們從VirusTotal收集了1477個勒索病毒實例，并且根據它們的的勒索消息分成十三類。我們在虛擬機內模擬了一臺正常用戶的文件系統，其中包含了來自于超過十六種類型的9876個文件。值得注意的是，在動態運行每一個樣本的時候，我們自動賦予了樣本管理員權限，以更大限度地暴漏樣本的行為。調研的結果總結見表1。

表1 調研中使用的樣本類型

表1展示了這些樣本針對的文件類型，完成加密所需要的時間，以及是否會摧毀備份數據。

Ransomware通常在加密完成后立即顯示勒索消息（有一些樣本甚至在完成加密前就顯示了勒索信信息）。有十類病毒完成加密所需的時間少于一小時，某些樣本甚至不到20分鐘就完成了加密。特定類型的Ransomware只加密小文件或者特定擴展名的文件，比如JigSaw只加密小于10 MB的文件。我們賦予了勒索病毒管理員權限，所以勒索病毒可以刪除備份。在真實場景中，如果Ransomware沒有得到相應權限，它們會設法繞過用戶訪問控制。舉例來說，cerber會首先給自己提升權限，然后使用命令行工具刪除備份文件。基于以上調研，我們做出以下兩個結論以及推論。

觀測結果1：勒索病毒通常迅速完成加密，并且加密數據量相對較小。

推論1：勒索病毒希望減小被發現并終止的可能，或者攻擊者希望盡快得到贖金。

觀測結果2：勒索病毒想消除被攻擊者自己恢復文件的可能性，讓被攻擊者只能選擇支付贖金。

推論2：勒索病毒能夠獲得內核權限，通過銷毀數據備份等方式破壞軟件層次的防御系統。

以上兩點結論啟發了FlashGuard的核心設計思路：通過備份系統來對抗Ransomware, 我們需要保證備份系統在面對擁有管理員權限的樣本時依舊穩定有效的運行。同時，由于Ransomware的快速加密特性，備份系統只需要備份相對較短時間內的數據。

圖1 HDD和SSD在覆寫操作上的區別

FlashGuard的技術細節和測試評估

當邏輯區塊x發生覆寫時，HDD會直接在對應的物理區塊上覆寫數據。然而SSD會把新的數據寫到新的物理區塊（z）上，并且通過后續的垃圾回收機制回收失效的物理區塊 (y)。

與HDD一個顯著不同是，當邏輯上的覆寫發生時，HDD會直接在物理硬件上覆寫數據，而SSD通過out-of-place機制覆寫。在發生覆寫時，SSD把數據寫到新的區塊中，將舊的區塊標記為無效并且通過Garbagae Collegection回收無效區塊，這種差異可以通過圖 1 更為清晰地展示。由此可見，SSD天然地會對被上層修改過的數據進行一段時間的備份。因此，我們利用這一個硬件特性來設計FlashGuard。

RTFL對于SSD已有的FTL進行了適當的修改。只要是通過加入一個Read Tracker Table (RTT) 來記錄一個硬盤頁面是不是被讀取過。LPA: 邏輯頁地址; PPA: 物理頁地址; VPA: 虛擬頁地址;PBA: 物理塊地址。

圖2 RTFL結構簡介

FlashGuard建立在SSD的固件層中，這樣帶來的好處是FlashGuard通過硬件和操作系統隔離，因此可以抵抗來自高權限Ransomware的攻擊。FlashGuard包括兩個主要組成部分，Ransomware-aware Flash Translation Layer (RFTL)和數據恢復工具。

圖2展示了RFTL的結構, RFTL的作用是保存可能被加密勒索病毒覆寫的數據，恢復工具使得受害用戶可以恢復被加密的文件。其中，FTL是主流SSD的原有結構，它通過Address Mapping Table可以將邏輯地址轉換為物理地址。基于效率考量，最近用過的地址會被保存到LRU Cache中。當地址映射請求發生時，如果訪問的地址沒有在此cache中，FTL通過Global Mapping Directory完成地址映射并將對應的結果更新到LRU Cache中。此外，Block Validity Table跟蹤每個塊中有效的頁數量，而Page Validity Table記錄一個區塊中哪些頁是有效的。這兩個數據結構主要用于輔助垃圾回收。如前所述，垃圾回收是SSD的一個重要功能，主要負責回收已經失效的物理區塊。簡單來說，它負責將已用的存儲塊集中在一起，并且釋放空閑的存儲空間出來供后續使用，同時它還要保證所有的塊的壽命是平均的，以延長SSD的使用時間。

圖3 FlashGuard回復的數據大小和所需要的時間

圖4 未經修改的SSD和FlashGuard運行時性能比較

為了使得FlashGuard能夠對抗勒索病毒的攻擊，一個直接的方案是保存所有的無效頁，直到勒索病毒被發現，但是這個方案不具有可行性。首先，SSD很快會被無效數據填滿，導致SSD不可用，另外，垃圾回收機制會被更頻繁的觸發，導致儲存性能下降。

更好的設計是只保存被勒索病毒篡改過的原始數據。這個設計的挑戰在于現有的FTL無法分辨出哪些數據是被勒索病毒覆蓋的。我們從Ransomware的一個根本性特征得到啟發——勒索病毒工作時基本必須先從磁盤讀取數據，完成加密并且覆蓋原有數據。

由此，我們保守的認為如果一個頁先被讀取，然后再次被覆寫，就有可能是被Ransomware污染的頁。通過在FTL中添加一個結構體Read Tracker Table（RTT），當對某個頁發生讀操作時，RTT中會標記該頁已經被讀取。當這個頁被覆寫時，FlashGuard會查詢RTT從而確定它曾經被讀取過，并且進一步將其標記為污染頁。同時，FlashGuard會將這個覆寫發生的時刻記錄為污染時間點。當垃圾回收發生時，如果一個污染頁的污染時間點比當前時刻少于一個閾值（默認值為20天）時，它會確保此污染也不會被回收。因此，20天內的可能被污染的數據都被保留在SSD中。根據上述的調研，Ransomware的加密和潛伏時間通常都在數小時。由此我們相信FlashGuard可以有效的對抗Ransomware的攻擊。

我們在1TB的可編程SSD上實現了FlashGuard，這個SSD中每個塊包含64個頁，每個頁4KB。FlashGuarD的實現存儲在固件中，并且被設置為不允許修改。通過實現一個恢復工具，能夠幫助用戶高效的利用FlashGuard恢復數據。我們進一步通過兩方面的實驗來驗證FlashGuard的有效性和性能開銷。

通過使用上文提到過的1477個Ransomware實例做攻擊實驗。然后在攻擊完成后通過FlashGuard恢復被加密的數據。最終實驗結果表明，對于實驗中使用的所有Ransomware，FlashGuard都可以成功恢復全部被加密的數據。FalshGuard回復的數據大小和所需要的時間如圖3所示。

在性能方面，我們實驗中用到的數據都是從真實的應用場景中得來的，比如微軟劍橋研究院服務器和大學電腦上的I/O數據記錄。在實驗之前，我們執行了5千萬次讀寫操作“預熱”系統。實驗證明FlashGuard帶來的性能損失微乎其微，性能影響實驗結果如圖4所示。