))网络安全部的一个研究团队刚刚介绍了一套针对勒索软件攻击的SSD数据检测和恢复方法。该计划被称为“SSD-Insider”,据说几乎100%准确,并且已经针对现实世界的勒索软件进行了测试。研究图片(来自:UCF|PDF)据悉,SSD-Insider的工作原理是识别SSD活动中某些已知且可辨别的勒索软件行为模式。为了仅通过IO请求头的分布来识别勒索软件活动,研究团队注意到WannaCry、Mole和CryptoShield等勒索软件都具有相当独特的覆盖行为。“当SSD-Insider检测到勒索软件活动时,存储的输入/输出(IO)将被暂停,以便用户可以根除勒索软件进程,”仁荷大学的研究员DaeHunNyang告诉TheRegister。勒索软件行为模式分析当勒索软件被终止时,SSD-Insider还可以利用SSD的独特属性来恢复丢失的文件。文章指出:在被新数据覆盖之前,固态存储器会一直保留之前被删除的数据,直到后续被主控和固件的垃圾回收机制清理掉。通过利用SSD的这种内置备份功能,SSD-Insider还能够跟踪驱动器内的旧版本数据。直到勒索软件检测算法确认新版本的数据没有受到勒索软件的影响,数据才会被完全删除。SSD-Insider测试表明,SSD-Insider真正独一无二的地方在于它甚至可以在固件级别运行。这样一来,即使系统上没有安装相应的安全软件,用户也能获得抵御勒索软件攻击的好处。此外,论文还提到了传统软件防御方法的缺点,如反勒索软件的CPU开销高,部分勒索软件可能逃过杀毒软件的检测。相比之下,SSD-Insider的时间开销仅为147~254ns左右。当使用WannaCry等勒索软件进行测试时,SSD-Insider会错过任何勒索软件活动,并且很少触发误报。在所有测试场景中,其错误拒绝率(FRR)为零,错误接受率(FAR)几乎为零。据测试和培训的勒索软件/应用研究人员称,FRR最糟糕的“背景噪音”来自IO/CPU密集型工作环境。就FAR而言,最坏的情况也是重覆盖类型的工作场景,如DataWiping和数据库。当然,像SSD-Insider这样的方法对于反病毒研究人员来说并不是万无一失的。毕竟勒索软件开发者知道该方案的存在后,以后还是可以开发相应的绕过方法的,所以大家还是要养成定期备份数据的好习惯。
