來(lái)自韓國(guó)仁荷大學(xué)(Inha University)、大邱慶北科技學(xué)院(DGIST)、中佛羅里達(dá)大學(xué)(UCF)、以及梨花女子大學(xué)(EWU)網(wǎng)絡(luò)安全系的一支研究團(tuán)隊(duì)，剛剛介紹了一套應(yīng)對(duì)勒索軟件攻擊的 SSD 數(shù)據(jù)檢測(cè)與恢復(fù)方法。據(jù)說(shuō)這套名為“SSD-Insider”的方案可實(shí)現(xiàn)幾乎 100% 的準(zhǔn)確性，且已通過(guò)現(xiàn)實(shí)世界中勒索軟件的測(cè)試考驗(yàn)。

研究配圖(來(lái)自：UCF | PDF)

據(jù)悉，SSD-Insider 的工作原理，是識(shí)別 SSD 活動(dòng)中某些已知可辨別的勒索軟件行為模式。

為了僅通過(guò) IO 請(qǐng)求標(biāo)頭的分布來(lái)識(shí)別勒索軟件活動(dòng)，研究團(tuán)隊(duì)留意到 WannaCry、Mole 和 CryptoShield 等勒索軟件，都具有相當(dāng)獨(dú)特的覆蓋行為。

仁荷大學(xué)研究員 DaeHun Nyang 在接受 The Register 采訪時(shí)稱：“當(dāng) SSD-Insider 檢測(cè)到勒索軟件活動(dòng)時(shí)，存儲(chǔ)器的輸入 / 輸出(IO)將被暫停，以便用戶能夠?qū)账鬈浖M(jìn)程進(jìn)行剔除”。

勒索軟件行為模式分析

在勒索軟件被中止時(shí)，SSD-Insider 還可通過(guò) SSD 的獨(dú)特屬性，來(lái)恢復(fù)已丟失的文件。

文章指出：在被新數(shù)據(jù)覆蓋之前，固態(tài)存儲(chǔ)器將始終保留此前被刪除的數(shù)據(jù)，直到后續(xù)被主控和固件的垃圾回收機(jī)制給清理。

通過(guò)利用 SSD 的這一內(nèi)置備份功能，SSD-Insider 也得以追蹤驅(qū)動(dòng)器內(nèi)的舊版本數(shù)據(jù)。然后在勒索軟件檢測(cè)算法確認(rèn)新版本數(shù)據(jù)未受到勒索軟件影響之前，這些數(shù)據(jù)都將不被徹底刪除。

SSD-Insider 測(cè)試表現(xiàn)

SSD-Insider 的真正獨(dú)特之處，在于它甚至能夠以固件級(jí)別運(yùn)行。那樣即使系統(tǒng)上沒(méi)有安裝相應(yīng)的安全軟件，用戶也可獲得抵御勒索軟件攻擊的益處。

此外，論文中提到了傳統(tǒng)軟件防御方法的缺點(diǎn)，比如反勒索軟件的 CPU 開(kāi)銷較高、且某些勒索軟件可能逃脫反病毒軟件的檢測(cè)。相比之下，SSD-Insider 的時(shí)間開(kāi)銷僅在 147~254 ns 左右。

以 WannaCry 等勒索軟件展開(kāi)測(cè)試時(shí)，SSD-Insider 為放過(guò)任何勒索軟件活動(dòng)，且極少觸發(fā)誤報(bào)。在所有測(cè)試場(chǎng)景下，其錯(cuò)誤拒絕率(FRR)為零、錯(cuò)誤接受率(FAR)也幾乎為零。

測(cè)試訓(xùn)練用的勒索軟件 / 應(yīng)用程序

研究人員指出：就 FRR 而言，最糟糕的“背景噪聲”，來(lái)源于 IO / CPU 密集型的工作環(huán)境。至于 FAR，最糟糕的情況也是 DataWiping 和數(shù)據(jù)庫(kù)等重覆蓋類型的工作場(chǎng)景。

當(dāng)然，對(duì)于防病毒研究人員來(lái)說(shuō)，SSD-Insider 的這樣的方法也并不是萬(wàn)無(wú)一失的。

畢竟在勒索軟件開(kāi)發(fā)者知曉了該方案的存在之后，后續(xù)仍可開(kāi)發(fā)出對(duì)應(yīng)的繞過(guò)方法，所以大家還是要養(yǎng)成定期備份數(shù)據(jù)的好習(xí)慣。