加QQ81758415
快捷导航

R2D2新技术抵御Wiper擦除器恶意软件及人为恶意删除数据 产品经理可以看看

2018-3-22 08:00| 发布者: xlbck| 查看: 15| 评论: 0|原作者: xlbck

摘要: 这项新技术已经成功地阻止了Wiper擦除器之类恶意软件的破坏,包括Shamoon(v1和v2),StoneDrill和Destover等攻击者的恶意软件在实验中删除数据。

普渡大学的科学家们开发了一种称为数据破坏的反应性冗余(R2D2)的数据保护技术,可以保护虚拟机内部的数据免受Wiper磁盘擦除器 恶意软件 甚至一些安全的文件删除方法的影响。 研究人员表示,这项新技术已经成功地阻止了 Wiper擦除器 之类恶意软件的破坏,包括 Shamoon (v1和v2), StoneDrill 和Destover等攻击者的恶意软件在实验中删除数据。

推荐阅读:

2018年1月, 2018网络安全发展趋势 10个关键词表述安全事件主要特征 ,PV 9047

2017年11月, 微软发布通用数据保护条例合规工具Compliance Manager ,PV 7795

2017年10月, 下载 | 万圣节快到了 专家剖析欧盟通用数据保护条例GDPR的恐怖之处 ,PV 7418

2017年10月, 解读欧盟的合规要求:通用数据保护条例GDPR 违者或最高两千万欧元罚金 ,PV 7795

R2D2的运作机制是通过VMI监视数据读写操作

R2D2的设计基于虚拟机模式,无法在常规操作系统上运行。这是因为R2D2需要处在可以观察整个操作系统的位置。普渡大学研究人员在上个月发表的一篇论文中写道。

“我们的R2D2原型在虚拟机监视器(VMM)中实现,该虚拟机监视器通过虚拟机自省(VMI)监视来宾虚拟机中的数据损坏情况,”

R2D2使用VMI接口来截取受保护的操作系统(虚拟机上的客户操作系统)上的文件打开和写入操作。

当检测到这种操作时,R2D2通过一系列策略,评估已知破坏性模式操作下运行每一项操作。如果扫描触发警告,VMM将创建一个临时检查点,以供操作员用作系统还原点。

按照设计,R2D2将忽略标准的删除操作,这些操作会取消链接文件,并在稍后需要将其他数据保存在磁盘上时,将其保留在存储介质上。 相反,R2D2将查找有意打开并重写文件的删除操作。 在“安全删除”应用程序和Wiper磁盘擦除器恶意软件中可以看到这种行为。

按照设计,R2D2将寻找尝试用随机数据或重复代码模式重写文件的操作。 R2D2支持13种已知的“安全删除”方法,这些方法已知使用应用程序和恶意软件。

R2D2支持“安全删除”应用程序以及数据擦除恶意软件的原因是,因为恶意软件作者可能会尝试将这些应用程序整合到未来的Wiper擦除器恶意软件应用程序中,而不是使用自定义技术。

此外,通过支持流行应用程序使用的“安全删除”算法,R2D2还可以保护计算机免受恶意内部人员攻击,他们能够物理接触计算机,其中攻击者最可能使用“安全删除”应用程序,而不是数据擦除恶意软件。

测试显示R2D2识别率及准确性还不错 但性能还不好

R2D2目前仅处于原型阶段,并且没有公开可用的软件可供公司部署以保护其虚拟机。研究人员进行的测试表明,R2D2在检测恶意破坏性操作方面非常准确,但仍需要加强性能指标。

例如,测试显示,从989次破坏性操作中,R2D2错误地将两次破坏性覆盖确定为良性(假阴性率为0.2%),在989次良性写入中,R2D2将五次操作确定为破坏性(0.51%的假阳性率)。

但最大的问题是,当前版本的R2D2在受保护的VM上存在性能延迟。 Purdue团队表示,对于简单任务,延迟开销的范围从1%到4%不等,批量操作从9%到20%不等。

R2D2性能的改进空间还需要努力

但研究人员表示,这不是一个大问题,因为目前的R2D2原型机没有针对性能进行优化,而且还有相当大的改进空间。

例如,由于超过90%的延迟是因为R2D2在主机操作系统的VMI接口内部运行,提高性能的最简单方法是,找到R2D2可以干预系统操作数据的另一种形式及切入点,并提高性能。

例如,R2D2可以在操作系统内插入写入存储介质。 将R2D2放置在操作系统中可以避免与VMI相关的开销,而我们所看到的开销是迄今为止最重要的开销。 但是,这种方法的主要缺点是,对文件版本控制系统和其他R2D2机制的控制位于受保护的系统中,而不是与(可能)不可信的操作系统隔离。 如果攻击者可能危害操作系统,她可以禁用R2D2。

R2D2的另一个合理位置在硬件附近。 在将数据写入存储设备之前,存储设备上的硬件控制器可以检查写入缓冲区是否具有破坏性功能。 然而,将R2D2放置在硬件控制器中的挑战是记录和保存对用户、系统管理员或法医检查员有意义的数据。 将低级磁盘操作映射到文件,对于磁盘存储而言是一个众所周知的语义鸿沟问题。 或者,网络文件系统也可以与R2D2一起工作,类似于检查文件交互以检测恶意行为的工作。 一个优点是R2D2可以与攻击者隔离,除非她可以覆盖硬件控制器或访问网络文件存储服务器。

由于一些加密勒索软件变种,有时与一些Wiper擦除器恶意软件家族相似,因此R2D2可能会用于检测一些 勒索软件 样本。尽管如此,研究人员并不认为这是检测勒索软件感染的好系统。他们表示,通过密切关注高熵操作,可以更容易检测到加密勒索软件,这是一个更可靠的指标,目前正在进行繁重的数据加密例程,而不是关注开放和写入操作。

R2D2已经在Win7上测试通过

R2D2仅在VM内运行的Windows 7操作系统上进行过测试。 研究团队表示:

“我们预计在更新版本的Windows上使用R2D2时,不会出现重大障碍。”

“从概念上讲,它也应该移植到Linux、Mac OS和其他系统。”

有关R2D2技术的更多细节可以在 名为“数据销毁保护的反应式冗余(R2D2)” 的ScienceDirect期刊文章中找到。但不幸的是,这篇论文要买

www.sciencedirect.com/science/article/pii/S016740481730281X


鲜花

握手

雷人

路过

鸡蛋
黑客技术

让创业更简单

  • 反馈建议:hackhl@outlook.com
  • 客服电话:暂时没有
  • 工作时间:周一到周五9点~22点

云服务支持

黑客联盟,快速搜索

关注我们

Copyright 黑客联盟安全防护网  Powered by©  技术支持:    ( 闽ICP备18000419号-1 )