如何偵測和阻止《躲進口袋的壞東西》:行動裝置勒索病毒?

上一篇的文章:《行動裝置勒索病毒》躲進口袋的壞東西,Android勒索病毒數量增加了140%中,我們探討了惡意軟體如何鎖住設備以及如何說服受害者付錢的恐嚇手法。現在知道了壞人能夠做什麼,接下來要討論的是資安廠商用來阻止它們的偵測和解決技術。我們希望透過與其他研究人員的技術分享來提升業界解決行動勒索病毒的整體知識。

 

偵測和解決

檢視行動勒索病毒 Ransomware (勒索軟體/綁架病毒)的技術特性讓我們得以設計和做出正確的偵測和解決技術。有許多種方法可以處理這問題:我們的想法是這些惡意特性必須得出現在應用程式的程式碼中。我們利用靜態分析加上解決特殊狀況(例如透過映射進行混淆)的一些技巧。

 

圖1、各種找出行動勒索病毒的方法

正常的「威脅訊息」必須清楚且可理解,包含了強迫受害者付錢的詳細指示。所以可以透過機器學習來將文字自動分類為「威脅」或「正常」來加以偵測。先進行些預處理來去除停止語(如“the”,“at”,“an”)和將單字去除詞性(如“locked”變成“lock”),我們用剩下的文字來訓練分類器,秀出通常為「威脅」文字的樣本和無害文字的樣本。最後這分類器會學習如何區分安全文字和不安全的文字。

典型的系統鎖住技術已經廣為人知,可以透過簡單的符號執行(symbolic execution)偵測。具體來說,我們在應用程式的字元組碼中搜尋覆蓋onKeyUponKeyDown方法(method)的所有android.app.Activity子類別。然後我們符號執行這些方法(method)中的程式碼以找出是否有處理到home或back鍵(下圖中的藍色箭頭)的程式碼路徑,且最終傳回“true”(紅色箭頭),這表示事件不該被進一步傳播。這也就是說沒有其他應用程式(甚至是合法的桌面程式)會被送到前景。

 

圖2、處理按鍵的程式碼路徑

 

如果要惡意使用設備管理API,應用程式需要在manifest中宣告,連結到一個定義管理應用程式被允許「政策」的檔案。只要專注在危險行為上(如重置密碼、強制上鎖、抹除資料和加密儲存空間),我們可以檢視應用程式的控制流程圖( control flow graph)來找出是否無須經過使用者互動就對任何對這些方法(method)進行的呼叫。

為此,我們使用客製化版本的FlowDroid,這是用來靜態分析Java和Android字元組碼的強大開放原始碼工具。從所有的進入點開始,我們先橫向檢視控制流程圖,尋找對lockNow()和其他被惡意使用方法(method)的呼叫。如果沒有找到,就再來一次,找出任何對Java映射API的呼叫,然後往下進行直到重建方法(method)名稱,這有時會被加以混淆(obfuscated)。一旦我們找出方法(method)名稱,我們將它們加入控制流程圖成為節點,並相應地畫線。如果方法(method)名稱被混淆處理過,我們繼續進行到包含(混淆過)名稱的字串物件宣告,然後用映射來重新執行所有後續陳述(statement),直到找到對invoke()的呼叫。

圖3、找出對設備管理API的惡意使用

 

我們用類似的方式偵測沒有使用者介入的檔案加密行為。更確切地說,我們有興趣的是下面方法所找到的所有實體(instance),當然,允許一些變化:

為此我們利用FlowDroid的流程分析,設定它來偵測有意義的流程,對象是在listFiles()到CipherOutputStream()之間的實體(instance)。在分析對加密和設備管理API的惡意使用時,我們尋找不是由使用者介面啟動的程式碼路徑,也就是不需使用者互動來啟用這樣的功能。不然就可能偵測(變成誤報)到所有會加密設備上檔案的合法應用程式。

不幸的是,整個過程在每個應用程式上都可能花上好幾分鐘。再一次透過機器學習的做法,我們可以預先過濾應用程式來加以確認,這樣既精準也絕對安全。有問題的程式可以做進一步的分析。這種方法可以大大減少樣本處理的時間。

趨勢科技的解決方案

趨勢科技不斷地投資在先進技術的研究上,就如文中所提到的那些,以快速偵測新勒索病毒變種及保護使用者。對一般消費者來說,就是由趨勢科技行動個人防護提供,能夠在威脅安裝前加以封鎖,並阻止對使用者設備或資料的傷害。

企業用戶可以考慮使用像趨勢科技行動安全防護這樣的解決方案。這包含了設備管理、資料保護、應用程式管理、法規遵循管理、設定配置和其他功能,讓雇主可以在隱私安全性和彈性間取得平衡,並增加自帶裝置(BYOD)的生產力。

 

研究論文和簡報

  • Heldroid:Dissecting and Detecting Mobile Ransomware Niccolò Andronio、Stefano Zanero和Federico Maggi。攻擊、入侵和防禦國際研討會(International Symposium on Research in Attacks, Intrusions and Defenses, RAID)。計算機科學講稿。日本京都,382-404。DOI:https://dx.doi.org/10.1007/978-3-319-26362-5_18(2015年10月)[PDF]
  • 躲進口袋的壞東西:為什麼勒索病毒成為貓捉老鼠遊戲的曲折劇情 Federico Maggi和Stefano Zanero。歐洲黑帽大會(同儕審查談話),英國倫敦。(2016年11月3日) – 連結:https://www.blackhat.com/eu-16/briefings.html [PDF]

 

@原文出處:Mobile Ransomware: How to Protect Against It 作者:Federico Maggi(資深威脅研究員)

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載