基于Android動靜融合工業設備勒索病毒檢測系統

楊世新，范九倫，黃文華，韓 剛

(西安郵電大學 網絡空間安全學院，陜西 西安 710121)

隨著工業互聯網的發展，網絡技術在工業領域的應用明顯加快，工業設備受到勒索病毒的攻擊成為了一種新趨勢。勒索病毒最初是攻擊者通過敲詐、恐嚇或威脅等方式控制計算機用戶數據資產或計算資源，運用各種不可逆的加密算法對用戶數據或工控系統中的文件進行加密的一類惡意代碼。被勒索病毒加密的文件一般無法通過常規方法解密，用戶必須向黑客繳付高額贖金，才能拿到解密所需的特殊密鑰。然而，勒索病毒不斷更新升級迭代，產生了許多新的變種，并包含了一些新特點。例如，勒索病毒采用比特幣與Tor網絡[1]相結合的方式獲取勒索到的贖金。這兩項技術具有追蹤溯源難的特點，可以在很大程度上保證攻擊者匿名性，免于法律的追責。此外，勒索病毒的操縱者們又從性價比的角度出發，攻擊目標從“廣撒網”改到精準投放，打擊關鍵的高價值目標。從最初面向個人消費者的攻擊，逐漸改變攻擊策略，演變成有高度針對性和定向性的企業級安全攻擊，把宿主由個人用戶向供應企業轉移[2]。2020年3月，隨著新冠肺炎的爆發，一款名為“COVID19 Tracker”的勒索病毒也借著新冠肺炎的熱度，在全球范圍內瘋狂傳播。該病毒要求企業在48小時內支付100美元，否則將刪除其所有數據。根據調查顯示，2020年勒索病毒每月對企業發動的攻擊頻率隨時間推移也在不斷升高，5月達到了峰值。45%的勒索病毒攻擊發生在北美，其次是歐洲31%和亞洲18%[2]。在針對這些目標企業的攻擊中，漲幅最大的為制造業，2018年到2020年增長了接近3倍。

在勒索病毒中，目前最為流行的是Maze、REvil、Sodinokibi、Ryuk、NetWalker和WannaCry等家族[3]，這些病毒快速產生了很多新變種，通過使用修改特征碼、加花指令、加殼和修改導入表等新技術增加了勒索病毒檢測的難度[4]。同時，勒索病毒也從單純的加密勒索演變到加密與數據勒索并存，“雙重勒索”成為新常態。攻擊者即便無法成功加密文件，仍可以通過盜取數據進行勒索。勒索病毒制造者與網絡犯罪團伙的合作也越來越頻繁，成立“勒索聯盟”實施“雙重勒索”的案例也不斷增多。例如，美國某石化公司就曾被Maze病毒勒索，公開的數據里包含了大量利益相關的敏感信息，包括客戶名單、員工信息和天然氣流量數據等。2020年8月，Sodinokibi病毒[2]試圖攻擊一家美國的制酒工廠，該工廠很快識別并在系統被加密前阻止了攻擊，但攻擊者還是竊取到了1 TB敏感信息并泄露到了自建的拍賣網站。上述案例充分顯示了工業企業面對雙重勒索時受到的巨大威脅。“雙重勒索”使工業企業不僅面臨數據泄露風險，而且還要承受違反相關法律法規、聲譽受到影響的壓力。企業對已被竊取的數據沒有控制權，也無從得知在支付贖金之后攻擊者們會如何處置這些數據[2]。此外，一旦支付了贖金，實際證實了這種方式的可行性，反而會激勵“勒索聯盟”發起更多的勒索攻擊。

針對勒索病毒多元化的技術、專業化的攻擊方式，不得不思考其背后存在的原因。首先是勒索病毒自身的特點，如制作成本低(技術細節公開、暗網公開售賣代碼)、犯罪成本低、攻擊方式簡單以及贖金收益高。其次，勒索軟件即服務RaaS ( Ransomware-as-a-Service)的出現為勒索病毒的發展提供了便利，典型的勒索病毒家族有 Cerber和GandCrab。若勒索病毒將目標轉向工業設備，比起個人用戶遭遇勒索病毒，危害更大、損失程度也更重，且目前對于勒索病毒的防范、檢測和破解等技術還不夠完善[5]。考慮到工業設備在工業企業中的特殊性，即便部分設備感染勒索病毒，也可能造成整個生產線停工，甚至可能通過工控系統威脅到設備的物理安全。因此，從減少損失的角度看，使用其他手段恢復系統正常的代價遠高于支付贖金，運營管理者很難有其他選擇。工業企業正在成為勒索病毒攻擊的重點領域，網絡安全已成為急需面臨的重要問題。

在對抗勒索病毒的相關研究中，國內關于勒索病毒的防御方法，尤其是Android工業設備勒索病毒的防御方法多以分析與報告的形式為主。 相較于國內，國外關于工業設備中移動端勒索病毒防御的研究也不多見。舉例來說，Wang等[6]提出了一種針對于移動端設備的安全勒索軟件防御策略MimosaFTL，通過利用Flash存儲的獨特特性抵御勒索病毒，但缺陷也十分明顯，因為其引入了額外的硬件。Hirano等[7]使用機器學習實現了實時勒索軟件樣本檢測系統，通過對比定義樣本的特征，從而區分勒索軟件與具有類似勒索軟件行為的正常應用程序。類似地，Kim等[8]利用日志信息區分勒索病毒。但這兩種方法都是動態檢測，動態檢測的不足是無法窮舉所有可能路徑，可能存在很大的漏報。Scalas 等[9]利用應用程序接口(Application Programming Interface,API)的權限篩選勒索病毒，通過匹配事先設定好的勒索病毒API列表，對勒索病毒實現篩選。類似地，Alsoghyer[10]也提出了利用API的調用關系檢測勒索病毒的方案。這兩種方案都是靜態檢測，而靜態檢測的缺陷是靜態檢測非常依賴于檢測特征，無法檢測新型的勒索病毒，不能像動態檢測一樣實時監控勒索病毒的勒索行為并加以制止。Gharib等[11]提出了一種基于神經網絡的勒索病毒檢測方法，與其他基于人工智能的檢測方法類似，該檢測方法對于訓練樣本的數量和質量有較高要求，不能大規模地推廣和應用。

區別于上述方案，依據勒索病毒的分類，結合勒索病毒多項靜態特征及文件信息熵的檢測，擬設計一種基于Android動靜融合工業設備勒索病毒檢測系統。該系統由動態分析和靜態分析兩大模塊組成。動態分析主要通過在模擬的Android環境中運行文件，計算信息熵的變化判斷是否為勒索病毒。靜態分析主要通過進行代碼分析判斷是否為勒索病毒。動態分析和靜態分析同時進行、相互配合，以期高效快速地檢測出勒索病毒。

1 理論知識

1.1 Android系統下勒索病毒

勒索病毒[12]是一種攻擊者通過敲詐、恐嚇或威脅等方式控制數據資產或計算資源，使其無法正常使用的病毒。在Android系統中，勒索病毒通過網絡、OTG(On-The-Go)接口和重打包文件技術等方式進入設備，誘使完成安裝，并通過文件加密、恐嚇勒索、重要信息勒索和限制使用等方式，最終實現向工業設備所在企業勒索贖金的目的。勒索病毒的整個生命周期如圖1所示。

圖1 Android勒索病毒生命周期

勒索病毒從危害形式上可以分為恐嚇詐騙類、加密類、機密信息泄露類和限制使用類等4個變種。恐嚇詐騙類病毒通過彈框、發送恐嚇郵件等方式，恐嚇受害企業交納贖金，這類病毒危害較小，防范也較為容易，只要用戶有一定的辨識能力即可。加密類病毒較為常見，主要攻擊方式就是對重要文件進行加密，只有繳納贖金之后，才會向受害企業發送解密密鑰，解密文件，此類病毒危害較大，且難以防治。機密信息泄露類病毒通過偷取企業的機密信息(如企業財報)或商業隱私信息(如標書)等，用泄露信息進行要挾，騙取受害企業錢財。限制使用類病毒是基于Android的工業互聯網設備中最為普遍的勒索病毒，通過鎖屏、覆蓋應用窗口和鎖定進入界面等方式限制企業正常使用工業設備，影響企業的正常生產，迫使企業向勒索者繳納贖金。

1.2 Android系統下代碼檢測技術

Android系統下的代碼檢測技術主要分為動態惡意代碼檢測技術與靜態惡意代碼檢測技術。動態惡意代碼檢測技術[13]首先需要搭建安全的沙箱環境，同時包含必備的Android虛擬機，將Android應用程序包(Android Application Package，APK)進行動態執行。通過監聽日志、文件狀態等信息，綜合分析運行后產生的變化，對應用是否為惡意軟件進行相應判斷。靜態惡意代碼檢測技術[14]涉及到的技術較多，主要通過反編譯技術將應用逆向為smali代碼與資源文件，再通過解析其中的邏輯或者尋找惡意特征，確定是否為惡意代碼。一般采用鑒別應用程序簽名、查看權限列表、核對API調用函數序列和檢測資源文件等篩選特征的方法。

1)鑒別應用程序簽名。該簽名與密碼學的簽名略有不同。按照密碼學的理解，對不同文件進行簽名，產生的簽名信息也不會相同。而一個Android應用程序的簽名，實際上并不是開發者對于該APK程序的簽名，而是指開發者對于自身信息的簽名，其性質類似于公鑰證書。同一類型的APK程序的不同版本，簽名是相同的，甚至不同APK屬于同一程序開發者的簽名也是相同的。因此，雖然簽名信息相對于其他靜態信息非常容易提取，但是，其檢測的準確性是最低的。

2)查看權限列表。APK完成不同的功能，就需要申請不同的權限。例如，完成發短信的功能，就要申請短信發送的權限，所有的權限都需要在Android的配置文件Mainfest.xml中進行注冊[15]。權限的本質實際上是Android系統對于命名空間資源劃分的一種拓展，APK以注冊權限的形式，將自身歸屬到某一特定資源的組內，共享組內資源。

3)核對API調用函數序列。APK的函數調用序列代表應用程序的執行邏輯。如完成文件加密任務，需要調用讀文件函數、加密函數和寫文件函數等很多系統級的函數。通過對比數據庫和指定規則，可以對APK的邏輯進行檢測，判斷一個應用程序是否為惡意。

4)檢測資源文件。資源文件指的是APK中特定的引用資源，如圖片、字符串等。舉例來說，string.xml保存了所有的字符串資源，而style保存了主題相關資源[15]。某些惡意的函數會帶有很多特定的資源文件，這些資源文件也可以成為甄別惡意應用的特征。

1.3 信息量與文件加密

信息論是關于研究信息量、信息熵、信息通信系統和信息壓縮等問題的應用理論，信息量是信息論中最基本的概念。信息熵[16]是描述信源的不確定性的一種度量，能有效地表現數據的集中和分散情況，主要用來反映一個事件的不確定性程度。變量的不確定性越大，熵也就越大，所含的信息量也就越大。

假設一個概率系統中同時存在N個事件，記為X=xi,i∈{1,2,3…N}。若xi發生的概率為Pi，則當xi發生后，由N個事件計算出的信息熵表達式[16]為

另一方面來看，加密的本質就是要將信息的分布打亂，讓原本所含信息量豐富的文件，變為看似雜亂無章、毫無信息量的文件，這樣的加密才被認為是安全的加密方法[17]。因此，可引入信息論中信息熵的概念判斷文件是否被加密。

2 系統設計與實現

基于Android動靜融合工業設備勒索病毒檢測系統主要包括基本信息提取、簽名分析、源碼提取器、源碼分析、信息熵檢測進程和綜合分析器等多個組件。檢測的基本流程分為動態分析與靜態分析兩個模塊，同步進行。動態分析模塊主要利用APK程序監測進程監聽文件的變化，對文件本身狀態是否發生改變、是否被加密進行監聽，判斷加密類勒索病毒。靜態分析模塊則需要對APK應用程序進行反編譯，通過分析文件資源、API調用函數和權限組合等信息，比對勒索病毒代碼基本特征，確定是否為勒索病毒。系統的整體設計與實現如圖2所示。

圖2 系統整體設計與實現

2.1 系統框架核心算法

系統核心算法是通過輸入APK進行動態和靜態分析并進行綜合判斷該APK是否為勒索病毒，具體步驟如下。

步驟1輸入一個應用程序APK和敏感API集APIset，作為關鍵輸入信息。

步驟2自動載入APK。對APK進行逆向，并將得到的信息載入內存。

步驟3在內存中對APK的信息與敏感API集合進行比較，如果匹配，則將其列入勒索病毒的序列。

步驟4對APK進行動態分析，運行APK在虛擬環境中。

步驟5在一定時間內，假如檢測到APK運行了加密函數，則把APK加入到勒索病毒集合中。

步驟6將勒索病毒集合呈現匯報給用戶。

系統框架核心算法用偽代碼表述如下。

Input:APK,APIset;

Load(APK);

APKinfo=Decomple(APK);

If(APKinfo.contains(APIset))

Malset.add(APK);

Run(APK);

While(encryptiondetected())

Malset.add(APK);

If Malset!=null;

alertUser();

2.2 動態分析模塊設計與實現

勒索病毒動態分析模塊主要就是信息熵檢測進程。通過對工業設備中的文件的信息熵數值進行監測，分析變化過程，計算穩定狀態下文件的二進制熵值與加密狀態下文件信息熵值的取值范圍，從而判斷文件是否為加密文件。

在具體的實現過程中，主要是通過APK安裝一個監聽程序，以線程的方式監聽文件的信息量變化。在APK運行時，通過Observer實例化一個觀察者組件，對文件系統的變化實施監聽。文件觀察者作為觀察者的子類，可以輕松地對一個文件生命周期的所有狀態實施監聽。如新建、刪除和更名等。

監聽過程中，一旦有文件發生變化，系統則會進一步對這種變化進行捕捉，對變化序列實行判斷。舉例來說，加密類勒索病毒的行為進行排列組合無非兩種:第一種，讀取源文件，新建加密文件，刪除源文件；第二種，讀取源文件，新建加密文件，覆蓋源文件。如果通過進程監聽，發現短時間內忽然出現大量的上述序列，則很有可能是遭受了加密類勒索病毒的攻擊。而判斷一個文件是否被加密，主要方法就是信息熵檢測。

2.3 靜態分析模塊設計與實現

相對于動態分析模塊，靜態分析模塊功能更為復雜，其輸入是一個完整的APK文件，需要依次經過基本信息提取、簽名分析、源碼提取、權限分析、API調用分析和資源文件分析等6個部分進行細致分析完成檢測。

1)基本信息提取。APK文件首先要經過基本信息提取組件進行基本信息的提取，通過對Mainfest.xml文件進行初步解析，獲取文件包名、API版本號等唯一確定APK的信息。

2)簽名分析。APK的簽名可以初步篩選出一批勒索病毒。如APK的簽名并不是開發者對于該APK程序的簽名，而是指開發者對于自身信息的簽名，其性質類似于公鑰證書。因此，不同APK，屬于同一程序開發者的簽名也是相同的。實際上，有一些惡意開發者專門以開發勒索病毒為業，所有的勒索病毒都是由同一程序開發者生成，并且該程序開發者還制作了病毒生成器，可以批量產生不同種類、功能各異的勒索病毒。

3)源碼提取。該部分基于APKTool，主要用于將一個APK文件反編譯為源碼文件與資源文件。APKTool是谷歌原生態的一款反編譯工具，以小巧和易用著稱。將APKTool封裝進源碼提取過程，對APKTool進行功能上的改進，使其可以在反編譯的每個狀態都發出對應的信號，系統就可以實時對APKTool的反編譯進程實施監控，確定關鍵的執行節點，用以指導和激活下一步的檢測流程。

4)權限分析。不同功能的APK擁有不同的權限組合，以一個勒索病毒為例，其所含的權限可以根據其功能很容易地進行區分。前文提到的幾種常見的勒索病毒，除了恐嚇類病毒沒有特定的權限組合之外，其余的病毒都有固定的特征性的權限組合。如加密類的勒索病毒，所具有的權限通常由文件讀寫權限所組成，即WRITE_EXTERNAL_STORAGE和UNMOUNT_FILESYSTEMS等。另外，例如偷取隱私的勒索病毒，除了具有文件讀寫權限之外，還應具有網絡權限INTERNET，用以將偷取的隱私傳往外界。而限制使用類病毒，由于要將自身界面強制置頂，需要監聽進程自身是否置頂，這就需要權限GET_TASKS。

5)API調用分析。這部分主要對于反編譯出來的源碼進行分析，通過APKTool反編譯之后產生的源碼主要是smali源碼，和Java的代碼有很多相似之處，非常易于程序化處理。不同的調用序列表示了不同的程序處理邏輯，通過函數名篩選等方法，可以重構出函數執行和調用關系，還原出程序原本功能。如一個加密類的勒索病毒，首先第一步需要進行窮舉性質的遍歷，由File.listFiles()函數配合完成。其次，對函數進行加密，在源碼中會存在大量的FileInputStream或者FileOutputStream，這些函數在smail中的函數名和在Java中的函數名完全一樣。再如，一個利用PIN(Personal Identification Number)碼鎖屏的勒索病毒，則會用到DevicePolicyManager對象和resetPassword函數。如果是一個強制置頂的勒索APK，則需要設置FLAG_NEW_TASK標簽和FLAG_FULLSCREEN 標簽。通過對API調用序列的準確構建，可以很快還原出絕大多數的函數功能。

6)資源文件分析。資源文件檢測與傳統的檢測不同，傳統的檢測往往不注重這部分內容的檢測，因為資源文件的表示形式千差萬別，而且與程序的邏輯并不密切。而勒索病毒則恰恰相反，在勒索病毒的資源文件中，含有很多勒索病毒特有的特征，尤其是以下兩類資源文件更應該著重關注。第一類資源文件是內置的庫文件。庫文件指的是Android程序自身在實現功能時候，外部引入的代碼函數集合，通過庫文件，程序可以完成某些復雜的函數功能而不需要特別冗余的代碼，因為庫文件中已經將大部分的邏輯都完成了。庫文件特征選擇需要依據勒索病毒選擇加密算法種類，現已有專門針對高級加密標準(Advanced Encryption Standard，AES)、RSA等加密算法[18]的加密庫文件，將其作為勒索病毒的特征確定應用程序是否為惡意，就能在一定程度上篩選勒索病毒。另一類資源文件是字符串資源文件及圖片資源文件。勒索病毒為了實現勒索的目的，往往會在自身界面中內置提示框或字符串，通知用戶繳納贖金，一旦字符串或者圖片資源中出現諸如“贖金、比特幣、勒索、加密、鎖定”等敏感詞匯，很可能就是勒索病毒。

3 實驗驗證及分析

3.1 實驗說明

為了驗證基于Android動靜融合工業設備勒索病毒檢測系統的有效性，從安智市場通過爬蟲軟件下載1 000個正常應用程序，從VirusTotal上收集對工業設備影響較大的加密類和鎖屏類勒索病毒，共 600個勒索病毒樣本，辨別其中348個加密類勒索病毒以及252個鎖屏類勒索病毒。測試樣本集合如圖3所示。

圖3 測試樣本集合

在Windows 10操作系統的筆記本電腦上安裝夜神模擬器7.0.1.9，建立基于Android的操作環境，將整個檢測系統安裝到模擬器中運行，靜態掃描組件對測試樣本進行靜態掃描，利用編寫好的腳本自動安裝運行所有測試樣本，同時啟動動態檢測組件進行確認，匯總得出結果集，計算準確率和誤報率。

3.2 準確率和誤報率檢測

利用所設計的勒索病毒檢測系統對600個勒索病毒樣本進行辨別，準確率高達99.5%(597/600)。這是因為該系統采用動態檢測和靜態檢測相結合的方式，針對加密類勒索病毒，通過熵值檢測文件加密特征判斷勒索病毒，全部成功檢出。針對鎖屏類勒索病毒，檢測調用鎖屏API特征，僅有3個漏報的病毒。通過分析病毒，發現漏報的病毒全部是強制置頂類的勒索病毒，該病毒中存在了大量的代碼混淆邏輯，強制置頂類的勒索病毒本身特征不明顯，加上混淆之后，非常容易被誤認為是正常的APK，還需要進一步優化。

對1 000個應用程序進行檢測，誤報率為0.5%(5/1000)。分析誤報的樣本發現，該勒索病毒檢測系統關于加密類勒索病毒設置的權限還沒有調節到理想范圍內。如加密類應用程序包‘ua.org.linsalion.FilesCrypter’存在過多加密解密類等敏感代碼，如DesEncryptor，非常容易被檢測為勒索病毒。

綜上，雖然該勒索病毒檢測系統目前還存在一些缺陷，但是準確率高、誤報率低，適應于絕大多數基于Android的工業互聯網設備的勒索病毒檢測。

3.3 系統時間開銷測試

為了證明基于Android動靜融合工業設備勒索病毒檢測系統不會引入過多的時間開銷，分別對動態分析和靜態分析兩個模塊的消耗時間進行實驗評估，統計結果分別如圖4和圖5所示。在實驗過程中，動態分析模塊記錄了100次檢測中系統的時間開銷。對于靜態分析模塊，隨機挑選600個勒索病毒中的100個進行了靜態掃描測試，并記錄每次完成掃描所耗費的時間。

圖4 動態分析模塊消耗時間

由圖4可以看出，在動態分析中，系統的時間延遲均在1 s以內，平均時長為583 ms，時間分布主要集中在380 ms～800 ms，可及時發現并終止勒索病毒。

圖5 靜態分析模塊消耗時間

由圖5可以看出，在多次靜態分析中，耗時均在1 min之內，平均時長只需要30 s，時長分布主要集中在13～48 s，部分程序甚至達到了1 s的檢測速度。這是因為某些惡意代碼的簽名已經被系統記錄，所以可以根據簽名很快進行判斷。基于上述測試結果，該勒索病毒檢測系統時間開銷不大、速度較快、效率較高。

3.4 實驗結果對比

為了進一步驗證基于Android動靜融合工業設備勒索病毒檢測系統的有效性，將該系統與VirSCAN 檢測工具的檢測結果進行對比。VirSCAN是一款病毒在線檢測工具，其中包含了多個針對Android病毒的流行殺毒檢測引擎。同樣使用圖3中的1 600樣本進行檢測，VirSCAN檢測誤報率和準確率分別為0.9%(9/1000)和86.8%(521/600)。顯然，該系統對基于Android的勒索病毒檢測結果的誤報率更低、準確率更高。

4 結語

基于Android動靜融合工業設備勒索病毒檢測系統根據勒索病毒的分類特征，采用動態分析與靜態分析相結合的方式，能夠較好地篩選出勒索病毒，彌補該領域現存技術的不足。未來，希望繼續提升檢測的精確度，主要目標在下面兩個方面，第一，進一步實驗，確定加密類勒索病毒的最佳權重，減少誤報。第二，嘗試引入函數調用圖等方式，對勒索病毒進行進一步檢測，避免由于代碼混淆等方式帶來的漏報。