您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

研究人員發展勒索軟體及時偵測技術

因應日愈猖獗的勒索軟體,義大利米蘭理工大學教授Andrea Continella及其團隊,近日於Black Hat 2017發表能偵測勒索軟體、阻斷行為,甚至及時將檔案解密的最新安全技術。這項名稱為ShieldFS的研究專案,是設計一套Windows核心模組程式,用以監控及記錄檔案系統活動。它會自動建立偵測模型來偵測檔案系統中的寫入時複製(copy-on-write, COW)活動。一般勒索軟體複製受害檔案、寫入程式碼加密,最後以分身置換掉原始檔案就是一種COW行為。而ShieldFS除了能偵測COW,還會尋找使用加密質數的現象。它特別會掃描記憶體中是否有可疑活動,如區塊加密金鑰排程(block cipher key schedule)等,這些活動都是勒索軟體正在加密檔案的指標。ShieldFS即藉此分辨出runtime中的正常行為及勒索軟體。
 
而除了偵測外,ShieldFS還會出手干預惡意軟體行為。使用一種「即時自我修復的虛擬檔案系統」技術,偵測到勒索軟體時,ShieldFS會發出訊號給作業系統要求停止動作,透過虛擬檔案系統攔截COW作業,暫時保留原始檔案,讓它能及時將檔案解密回復。研究人員指出,由於ShieldFS是偵測加密行為有無,而非按照特徵識別碼比對惡意程式,因此比傳統防毒軟體更能偵測未見過的勒索軟體,對於快速變化的勒索軟體的偵測更有用。研究人員宣稱ShieldFS在WannaCry加密僅200個檔案就已經偵測到,而且因為能自動回復,因此沒有任何檔案因此損失。此外,ShieldFS針對網路上1483個勒索軟體包括知名的Locky、TeslaCrypt、CryptoLocker、CryptoWall、ZeroLocker的行為活動幾乎都能偵測出來,偵測率高達96.9%。不過,研究團隊表示目前這項技術仍在開發中,期望近期內可望完成可實際操作的版本。

Reference

資料來源:
http://shieldfs.necst.it/
https://www.bleepingcomputer.com/news/security/shieldfs-can-stop-and-revert-the-effects-of-ransomware-infections/
https://www.blackhat.com/docs/us-17/wednesday/us-17-Continella-ShieldFS-The-Last-Word-In-Ransomware-Resilient-Filesystems.pdf
http://www.ithome.com.tw/news/115845
國家資通安全會報技術服務中心整理

Publish Date
2017/8/3 0:00:00