《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 基于內(nèi)核指令檢測(cè)技術(shù)的勒索病毒防護(hù)研究
基于內(nèi)核指令檢測(cè)技術(shù)的勒索病毒防護(hù)研究
網(wǎng)絡(luò)安全與數(shù)據(jù)治理
靳京
奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司
摘要: 勒索病毒的核心和本質(zhì)是對(duì)數(shù)據(jù)的加密操作,其在內(nèi)核指令級(jí)的序列特征相對(duì)固定并有規(guī)律可循。對(duì)典型加密算法核心指令的基礎(chǔ)特征進(jìn)行了歸納和建模,形成基于特定CPU體系架構(gòu)的典型加密算法匯編語(yǔ)言指令集。同時(shí),采用基于Trie的遞歸行進(jìn)算法對(duì)內(nèi)存中指令代碼序列進(jìn)行動(dòng)態(tài)解析分析,對(duì)運(yùn)行中的加密算法指令及其序列特征進(jìn)行匹配檢測(cè),可對(duì)典型加密算法核心操作實(shí)現(xiàn)指令級(jí)的實(shí)時(shí)監(jiān)測(cè)和預(yù)警,從而提高對(duì)勒索病毒攻擊過(guò)程中防護(hù)的準(zhǔn)確性和有效性。實(shí)驗(yàn)證明,在某ARM架構(gòu)平臺(tái)中對(duì)使用特定加密算法指令的勒索病毒具有良好的檢測(cè)效果。
中圖分類號(hào):TP309.5文獻(xiàn)標(biāo)識(shí)碼:ADOI:10.19358/j.issn.2097-1788.2025.08.002
引用格式:靳京. 基于內(nèi)核指令檢測(cè)技術(shù)的勒索病毒防護(hù)研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2025,44(8):10-16.
Research on ransomware protection based on kernel instruction detection technology
Jin Jing
Qi′anxin Wangshen Information Technology (Beijing) Co., Ltd.
Abstract: The core and essence of ransomware is the encryption operation of data. Its sequence characteristics at the kernel instruction level are relatively fixed and regular. The basic features of the core instructions of typical encryption algorithms are summarized and modeled to form a typical encryption algorithm assembly language instruction set based on a specific CPU architecture. At the same time, a Trie-based recursive marching algorithm is used to dynamically parse and analyze the instruction code sequence in memory, match and detect the running encryption algorithm instructions and their sequence characteristics. It can achieve real-time monitoring and early warning of the core operations of typical encryption algorithms at the instruction level, thereby improving the accuracy and effectiveness of protection against ransomware attacks. Experimental results have shown that it has a good detection effect on ransomware viruses using specific encryption algorithm instructions on a certain ARM architecture platform.
Key words : instruction detection; recursive marching algorithm; ransomware protection; cybersecurity

引言

近年來(lái),勒索病毒的廣泛傳播逐步成為網(wǎng)絡(luò)安全威脅的重要組成和發(fā)展趨勢(shì),且其攻擊仍保持著強(qiáng)勁增長(zhǎng)勢(shì)頭,同時(shí)已有從傳統(tǒng)的加密勒索向數(shù)據(jù)泄露轉(zhuǎn)變的跡象,對(duì)廣大企業(yè)正常經(jīng)營(yíng)和社會(huì)穩(wěn)定造成嚴(yán)峻挑戰(zhàn)。

根據(jù)NCC Group的數(shù)據(jù),2024年共發(fā)生了不少于5 263起成功攻擊,成為勒索軟件攻擊數(shù)量最多的一年[1]。Chainalysis的報(bào)告顯示,數(shù)據(jù)泄露網(wǎng)站上的披露數(shù)量也不斷上升[1]。世界財(cái)富50強(qiáng)企業(yè)、美國(guó)藥品分銷巨頭Cencora甚至向“黑暗天使”(Dark Angels)勒索軟件組織支付了創(chuàng)紀(jì)錄的7 500萬(wàn)美元(約合人民幣5.28億元)[1]。

相應(yīng)地,越來(lái)越多網(wǎng)絡(luò)安全企業(yè)投入到了反勒索病毒的技術(shù)和產(chǎn)品研發(fā)之中。然而,目前針對(duì)勒索病毒軟件的防護(hù)思路主要集中在依靠監(jiān)測(cè)勒索攻擊的準(zhǔn)備和投遞環(huán)節(jié),結(jié)合威脅情報(bào),在病毒攻擊的前期滲透階段進(jìn)行預(yù)警和阻斷[2-3],而對(duì)于攻擊進(jìn)行中的實(shí)時(shí)檢測(cè)和分析機(jī)制相對(duì)較少,特別是針對(duì)勒索病毒的本質(zhì)和核心技術(shù)[4]——加密行為的指令級(jí)監(jiān)測(cè)和預(yù)警方法尚未見(jiàn)提及和應(yīng)用。

根據(jù)對(duì)已知勒索病毒軟件技術(shù)原理和攻擊過(guò)程的研究,勒索攻擊前期的準(zhǔn)備和投遞環(huán)節(jié)主要體現(xiàn)為滲透擴(kuò)散、遍歷檢索、代碼偽裝等行為,病毒不斷進(jìn)行相應(yīng)調(diào)整和改變生成新的變種,以應(yīng)對(duì)主流的檢測(cè)方法,但其核心加密算法卻不會(huì)出現(xiàn)大的變化。因而對(duì)核心加密行為的識(shí)別和攔截才是對(duì)病毒攻擊中期的防護(hù)關(guān)鍵。


本文詳細(xì)內(nèi)容請(qǐng)下載:

http://ihrv.cn/resource/share/2000006645


作者信息:

靳京

(奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司,北京100085)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。