自动回溯RDP-Based Ransomware攻击目标

文摘

虽然各种ransomware防御系统提出了应对传统随机地分散开ransomware攻击(基于其独特high-noisy行为在主机和网络),没有一个人认为ransomware袭击正是针对特定主机,例如,使用常见的远程桌面协议(RDP)。为了解决这个问题,我们提出一个系统化的方法来对抗这种专门针对ransomware捕获攻击者通过网络欺骗环境,然后使用回溯技术来确定攻击源。特别是,我们开发了各种监控提出欺骗环境中收集攻击者可追踪线索,我们进一步设计分析系统,自动提取和分析收集到的线索。我们的评价表明,该方法可以陷阱欺骗对手的环境和显著提高线索分析的效率。此外,它还帮助我们追溯RDP-based ransomware攻击者在实际应用和ransomware制造商。

1。介绍

Ransomware最初出现在1980年代末(1,2和自2013年以来已经重新浮出水面3]。最近,几个广泛ransomware攻击造成重大损失大量的用户系统和企业在互联网上。赛门铁克增加了250%在新密码ransomware家庭在2013年和2014年之间(2]。2017年5月,WannaCry遍布150多个国家和200000台电脑在短短几天,严重破坏许多企业和个人系统(4,5]。此外,专门针对ransomware就像《孤岛危机》打乱了许多小型和大型企业在全球范围内;例如,趋势科技观察到,《孤岛危机》家庭特别有针对性的企业在2016年9月在澳大利亚和新西兰。这种有针对性的ransomware攻击的数量在2017年1月翻了一倍,相比之下,在2016年晚些时候(6]。更重要的是,缺乏关注安全留下了物联网(物联网)设备脆弱,已经10%的ransomware攻击的目标。研究员预测物联网ransomware攻击是可能增加到25%左右所有ransomware病例的30% (7]。

因为传统ransomware通常随机扩散通过网络扫描或主机探测没有具体目标,他们可以很容易地检测到监控主机异常行为的活动,如文件系统操作和网络流量1,3,8]。最近,越来越多的ransomware针对特定目标的袭击。卡巴斯基安全公告表示,有针对性的攻击已经成为主要传播方法几个普遍ransomware家庭2017年(9,10]。例如,攻击者使用《孤岛危机》ransomware首先登录受害者的主机和传播本身通过蛮力攻击常见的远程桌面协议(RDP)。这样一个目标ransomware攻击通常有一个明确的指挥和控制结构和针对资源开发和资源盗窃这些目标,而产生相当有限的嘈杂的主机和网络,这是很难检测。

现有ransomware防御方法(用于处理随机地分散开的攻击)通常保护主机通过阻断ransomware攻击的传播(近实时)基于生成的签名ransomware检测解决方案。然而,由于不同特点的针对性ransomware攻击显著的模式,这些传统blocking-based防御系统成为这些有针对性的攻击更有效。

为了解决这个问题,我们提出利用先进的国防计划来保护重要的主机在目标ransomware攻击。在本文中,我们利用网络欺骗技术帮助我们保护关键系统通过攻击指导,通过攻击者远离这些保护系统。虽然网络欺骗技术帮助我们保护重要目标(比如在处理先进的持续威胁(APT) [11,12),它不能帮助我们回溯攻击来源。为了解决这个问题,我们进一步设计特定的技术来回溯RDP-based ransomware攻击和识别最初的攻击来源的主要威慑ransomware袭击者。

欺骗环境模拟实际用户系统在三层有多个监视器观察各种关键的系统操作、登录、网络通信、剪贴板,进程,共享文件夹和文件系统。它收集的线索,帮助我们检测RDP ransomware攻击。因为传统的回溯方法通常需要安全专家手工分析大量的收集线索,让他们很难实现快速反应。因此,我们开发一个自动分析系统工作可追踪线索利用自然语言处理和机器学习技术。

评估我们的系统,我们邀请122名志愿者在模拟RDP-based ransomware攻击。该系统能够捕获跟踪线索通过拟议中的欺骗环境。它还可以自动分析有效线索。分析系统的收敛速度达到98%左右。此外,我们表明,它帮助我们回溯RDP-based攻击来源在实际的应用程序。

总之,本文以下贡献:(我)我们提出一个系统化的方法来阻止RDP-based ransomware通过识别攻击者,这陷阱ransomware攻击者通过cyberdeception环境和使用一个自动分析系统获得可追踪线索,确定攻击源。(2)我们构建一个欺骗环境陷阱RDP-based ransomware攻击者,通过模拟用户环境的三个层次:网络层、主机层和一个文件系统层。环境可以帮助我们发现攻击者行为和收集attacker-related信息。(3)我们开发一个自动分析系统和自然语言处理和机器学习技术来自动识别有效线索追溯ransomware攻击来源。(iv)我们设计了两个实际实验测试RDP-based ransomware攻击和ransomware制造商,并演示了该系统的可行性。

本文的其余部分的结构如下。节2,我们简要介绍背景和相关工作。节3,我们描述我们的方法系统的方法。节4,我们现在实施欺骗环境原型。节5,我们描述的细节线索分析系统。节6,我们将讨论设置和评价结果。我们在部分总结本文7。

2。背景和相关工作

2.1。Ransomware国防相关工作

Ransomware是一种恶意敲诈金钱操纵一个用户系统。它是在许多不同的方式,例如,仅仅锁定用户的桌面或加密整个文件系统。最近ransomware袭击猖獗呼吁有效的ransomware防御解决方案。在研究解决ransomware反动,几个解决方案提出了面对这种攻击(14,15]。

提出了一些解决方案来处理所有类型的ransomware [1,16- - - - - -20.]。例如,Kharraz提出了一个动态分析系统公布。系统分析和检测由建模ransomware ransomware攻击行为。它关注三个要素的观测,即I / O数据缓冲区熵,访问模式和文件系统的活动(1]。此外,其他一些特定类型的解决方案处理只有一个类型,如crypto-ransomware [21- - - - - -25]。例如,斯凯夫提出了一个早期预警探测系统,提醒用户在可疑文件活动(21]。利用一组行为指标,检测系统能够阻止这一过程似乎篡改大量的用户数据。此外,据称,该系统可以阻止ransomware执行的平均损失只有10个文件。同样,一些研究解决具体的检测ransomware家庭只有[26- - - - - -28]。例如,Maltester是一种family-specific技术提出的Cabaj检测Cryptowall感染(27]。它使用动态分析以及蜜罐技术分析网络行为和检测感染链。

这些解决方案可以分为预防和检测。然而,这两种对策有以下缺点。首先,许多预防措施需要很多服务被禁用,这可能会影响服务的功能。例如,普拉卡什提出了一些预防措施,包括禁用宏办公文档,并限制访问权限在“临时”和“Appdata”文件夹29日]。其次,检测系统往往难以掩饰本身和执行其功能当ransomware攻击,正是针对特定主机,例如,使用常见的远程桌面协议(RDP)。最后,虽然这些对策可以用来检测或阻止特定ransomware攻击,他们不能从根本上抑制ransomware的传播。但追溯技术可以从根本上抑制ransomware传播回溯攻击来源。

2.2。RDP-Based Ransomware攻击

传统ransomware会随机地在互联网上传播,在可执行文件中,开发工具包,宏的文件,和其他大规模恶意程序与各种传播方法,包括网络钓鱼邮件,水坑攻击,漏洞攻击、服务器入侵和供应链污染。他们用不同的方式欺骗受害者推出这样的项目。在这些传播方法,网络钓鱼电子邮件是最广泛使用的。然而,根据卡巴斯基2017 ransomware报告,基于RDP ransomware攻击目标的数量迅速增长。

最近,越来越多的罪犯ransomware传播ransomware使用RDP服务然后ransomware手动安装。这些攻击者使用蛮力方法获取目标机器上的用户名和密码与一个活跃的RDP服务(9]。例如,一个典型的家庭,《孤岛危机》模仿的成束的,不仅针对常见的企业还目标医疗服务提供者(9]。《孤岛危机》获得访问权限管理水平通过窃取密码和凭证。此外,在一个RDP会话,攻击者使用剪贴板和共享文件夹上传文件到远程主机。然后,攻击者可以ransomware手动安装。

2.3。网络欺骗技术

因为许多关键系统是已知的,总是很难保护他们免受潜在的网络攻击。(我)攻击者可以利用零日漏洞,高度敌对的恶意代码,或其他资源来打破防御系统。(2)因为人类总是防御系统中最薄弱的一环,攻击者可以使用社交工程来识别系统的弱点和穿透防御。(3)攻击者可以反复探索潜在的目标系统漏洞识别其弱点。

然而,当一个攻击者的目标是在一个具体的目标,例如,利用其RDP服务,传统的被动防御方法不能通常不那么有效。因此,我们需要使用先进的主动解决方案应对此类攻击较低可观测的特性,如网络欺骗。

越早使用网络欺骗技术是蜜罐。蜜罐部署一系列系统检测到的攻击或资源服务网络中没有真正的业务。当访问一个陷阱,它代表了一个攻击。蜜罐系统一般被动地等待攻击,没有误导和迷惑攻击者的角色。更重要的是,蜜罐系统没有实际业务,并没有高互动特征,这可能很容易被攻击者发现。与传统蜜罐系统相比,网络欺骗系统可以更方便地部署、网络欺骗环境是更加真实的,并且可以与现有国防产品。恰当的攻击,它可以提供更有效的解决方案ransomware攻击,内部攻击和其他威胁防御。2015年Gartner的一份报告(30.]指出deception-based安全防御技术和市场前景的预测,10%的组织将使用欺骗的工具(或策略)在2018年应对网络攻击。与传统的被动防御方法相比,网络欺骗技术是一种主动防御的方法,可以应用到所有的网络攻击阶段。我们可以使用这种技术陷阱RDP-based攻击者,检测目标的袭击,并阻止ransomware攻击者通过精确识别。

陷阱RDP-Based Ransomware攻击者。目标ransomware攻击一般有三个步骤:检测、渗透和执行(31日]。然而,传统安全解决方案无法应对内部转换阶段。此外,传统蜜罐技术(通常是用来打击网络攻击)一般不关注追踪攻击者。然而,网络欺骗技术可以欺骗攻击者到一个监控环境和消耗时间和精力与诱饵的信息。

检测RDP-Based Ransomware攻击。一旦攻击者获得正确的用户名和密码组合,他通常在短时间内多次尝试返回并感染破坏主机(6]。在一个特定的情况下,《孤岛危机》部署在一个端点上六次10分钟的时间内。结果,通过监测在网络欺骗的环境中,我们可以发现RDP-based ransomware攻击时间和确定攻击者的行为通过环境监测。

阻止Ransomware攻击者。阻止ransomware攻击者可以在两个方面。首先,如果攻击者意识到自己被禁锢,它变成了一个威慑。第二,如果攻击者暴露在环境和仍然在欺骗防御的角度监视、监测可以收集攻击者的追踪线索意外释放的攻击者(如IP地址、路径、昵称、字符串)。这些线索的暴露,隐藏的攻击者,可以是一个强大的威慑攻击者。

3所示。方法

在本节中,我们描述我们的方法追溯RDP-based ransomware袭击者。图1总结了整个原型数据收集和分析的过程。首先,我们实现一个欺骗环境陷阱攻击者。第二,我们监控RDP-based ransomware攻击和收集信息时发生。第三,我们从监视器中提取有效的线索信息。第四,我们使用自动分析筛选大量的线索追踪攻击者。最后,我们将生成一个报告回溯RDP-based ransomware攻击者。我们参考读者部分4和5此原型的详细实现。

3.1。欺骗的环境

一般来说,ransomware攻击执行阶段有两个步骤:登录和传播(31日]。在实践中构建一个欺骗的环境是重要的,因为它必须ransomware攻击者认为它属于一个真正的用户和用户数据值得攻击。因为高级攻击者总是利用静态特性基于某些分析系统发动攻击前(32),一个直观的方法来解决这些侦察攻击是构建用户环境以这样一种方式,用户数据是有效的,真实的,和不确定性。此外,环境作为鼓励ransomware攻击者的“诱人的目标”。我们详细说明如何生成一个人为的、现实的和诱人的用户环境RDP-based ransomware节4。

RDP-based攻击者通常上传恶意程序传播ransomware前用下列方法:(1)攻击者在互联网上下载恶意程序;(2)项目通过FTP传输,SCP,或其他传输协议;(3)通过剪贴板程序上传;(4)程序是通过一个共享文件夹上传。剪贴板和共享文件夹是最常用的转移项目由RDP-based ransomware攻击,因为他们是简单和方便。然而,两者都是由我们提出系统容易监控。

3.2。环境监控

为了避免攻击者的观察和收集更多的攻击者的信息,共享文件夹和剪贴板在远程电脑总是用来转移ransomware程序从攻击者机器后,攻击者登录环境。本文提出了三个监控层:网络层,主机层和文件层。我们详细说明如何配置欺骗环境监控系统的部分4。

网络层监控。网络层监控检测到一个远程连接,收集信息,包括远程IP地址,远程端口,端口状态代码,键盘布局等等。当RDP-based攻击者登录主机,显示器可以获取信息和检测攻击攻击者不知情的情况下。

主机层监控。我们建议检测等变化过程和剪贴板,通过监控主机层。主机层监控可以收集信息对攻击者的行为和他们的欺骗环境中使用这些系统的应用程序。例如,剪贴板是系统级的堆空间,系统中的任何应用程序能够访问它。的RDP-based ransomware总是利用剪贴板应用程序之间的交互。此外,它可能会留下的线索,袭击者使用本地剪贴板,作为Windows系统默认共享剪贴板在RDP会话。

文件层监控。通过监测文件层,我们可以确定ransomware攻击文件更改。此外,它可以收集当地可追踪的信息通过监测共享文件夹中的文件。例如,作为一个共享文件夹在远程电脑上总是用来转移ransomware RDP会话期间从攻击者机器。此外,对于一个更方便和快速的攻击,攻击者经常挂载整个本地磁盘到远程计算机。因此,通过共享文件夹的监控,我们可以检测到新增实时共享文件夹,自动捕捉大量的路径信息。

3.3。线索提取

通过环境监测,攻击者留下的可以收集大量的信息,如登录信息,交流信息,剪贴板内容,文件夹路径,和便携式执行(PE)文件可以提炼出许多可追踪线索,包括但不限于IP地址,键盘布局,编译路径和文件路径。为了分析这些线索很快,我们把它们分成两类:串线索和路径的线索。这些线索然后提交自动分析系统。我们将详细的线索类型提出的系统可以提取部分5.1。

3.4。自动分析

根据我们的调查,目前回溯手动工具主要是分析的线索。然而,我们通常需要处理大量的线索没有语义相关性。因为这样的手工回溯分析通常需要很多时间和努力,我们提出一个自动分析系统,我们将详细说明如何分析线索自动节5.2。

4所示。实施欺骗环境

随着Windows平台ransomware的主要目标,我们选择Windows概念验证的实现。在本节中,我们描述一个基于windows的欺骗环境原型的实现细节。本文将详细阐述如何欺骗环境陷阱ransomware袭击者,如何监控检测RDP-based攻击和收集可追踪线索。整个系统实现过程如图2。

4.1。在网络层

以下4.4.1。登录监控

登录监控用于实时检测攻击和收集攻击者的登录信息。在Windows平台上,Win32环境子系统,为操作系统提供一个API服务和功能来控制所有的用户输入和输出。登录监控依靠Windows api来访问系统和运行的权限访问自己的内存区域。它使用Winsock 2.0来获得比TCP / IP网络和使用协议其他套件。登录监控需要网络请求并将这些请求发送到Winsock 2.0 SPI(服务提供者接口)通过调用主要Winsock Ws2_32.dll 2.0文件。它提供运输服务提供者和名称空间提供商。IP Helper API可以获取和修改网络配置设置为localhost。它由iphlpapi的DLL文件。dll,包括函数,可以检索信息的协议,如TCP和UDP (33]。结果,登录监控可以直接访问数据缓冲区参与传输控制协议,路由表、网络接口和网络协议的统计数据。

4.1.2。通信监控

通信监控负责捕获网络流量。定位TCP数据包的网络流量含有RDP的交互式配置信息登录,RDP连接信息可以得到攻击者的个人信息。包的主要特征:(1)包的名字往往是ClientData。(2)包的位置通常是在TCP三方握手。(3)数据包的位置在前面。(4)明显更大的数据量。

4.2。在主机层

4.2.1。准备欺骗主机

根据我们的观察,攻击者所使用的主要方法登录远程主机是:(1)弱密码直接登录;(2)添加通过漏洞访问帐户登录。因此,我们故意欺骗环境的管理员权限设置为弱密码,离开共同环境中的漏洞,如EternalBlue,吸引攻击者。引导攻击者上传ransomware只使用剪贴板和共享文件夹,我们阻止外部交通转移以外的环境并关闭常见的传输端口(例如,端口20日,21日,80年和443年)。

4.2.2。剪贴板监视

剪贴板监视可以实时获取线索通过监视剪贴板的变化。它使用剪贴板查看器来听消息剪贴板而不影响其内容的变化。剪贴板查看器是一个机制,可以获取和显示剪贴板的内容。随着Windows应用程序消息驱动,监视器的关键是应对和处理剪贴板变化信息。内容更改时,监测触发WM_DRAWCLIPBOARD消息并发送改变消息的第一个窗口剪贴板查看器链。每次剪贴板查看器窗口响应和处理信息,它必须发送消息到另一个窗口的处理下一个窗口保存的链表。剪贴板监视可以获得通过使用剪贴板的新内容”GetClipboardData“Windows API通过窗口。随后的副本或减少操作执行时,剪贴板中的数据重写。因此,剪贴板监视保证实时倾听并将实时信息写入日志文件。更新日志文件当剪贴板监视收到一个剪贴板更改通知。当日志文件更新,防止它被攻击者发现或被ransomware加密,监视器将其发送到一个安全的主机和完全擦除它的环境。

4.2.3。过程监控

在Windows系统上运行一个程序,必须创建一个新进程。监视器的PE文件由攻击者通过监测环境的过程。它首先记录过程中常用的状态之前欺骗环境RDP-based ransomware攻击。后登录监控检测这样的攻击,它为新创建的流程监控系统环境中通过Windows API。”CreateToolhelp32Snapshot“需要实时状态的快照所有进程,其中包括进程标识符(PID)。当一个可疑的过程已经开始,监控识别它的PID和查找过程的运行路径”的帮助下GetModuleFileNameEx”。最后,班长发现可疑程序的PE文件的路径,将它复制到安全的主机。

4.3。在文件层

4.3.1。欺骗的文件

欺骗文件由两个目标。首先,我们需要让攻击者相信欺骗环境是一个真正的用户的主机。第二,我们需要让攻击者相信有资源环境价值的攻击。

模拟现实的环境中,我们部署大量的不同类型的文件,例如,图像,音频文件,数据库文件和文档,可以在Windows会话访问。基于阿明Kharraz的研究[1),我们创建了四个文件类别ransomware总是试图找到和加密:文档( 。三种, 。医生(x) 。ppt (x) 。xls (x) 。pdf和 。py),钥匙和许可证( 。键, 。pem, 。crt, 。cer)、文件档案( 。邮政, 。rar),和媒体( 。摩根大通(e) g, 。mp3, 。avi)。我们用三种方法来获得这些文件。首先,我们使用标准库创建有效的标题和内容的文件(如python-docx, python-pptx pdfkit, OpenSSL)。第二,使用谷歌搜索语法和爬虫技术,我们在互联网上下载大量的文件。第三,我们收集一系列非机密文件从20个志愿者来模拟实际用户的主机环境。欺骗的环境,当我们分配用户文件的路径长度是随机生成的。每个文件夹有一组随机子文件夹。对于每一个文件夹,扩展是随机选择的一个子集。此外,每个目录名称生成基于有意义的话。因此,我们为用户文件生成路径和扩展,给变量文件深度和有意义的内容。

模拟环境更有价值,我们部署诱饵的信息,如数据库、错误代码注释,数字证书,管理员密码,SSH密钥,VPN钥匙,浏览器历史密码,ARP记录,和DNS记录。当诱饵攻击者获得的信息,它会欺骗欺骗攻击的环境。

4.3.2。文件监控

文件监控可以探测到ransomware通过监测文件类型和文件熵变化,哪个方法提出了2016年(21]。的数据类型存储在一个文件可以描述特定的字节值的顺序和位置的一个文件类型。因为文件通常保留其文件类型和格式在欺骗环境中,批量修改这些文件应当被认为是可疑的。当监视器看到这种类型的变化,我们可以推断ransomware攻击发生。

熵可以表达在字符串中每个字符的随机性。熵值越高,随机性越强。香农熵计算的字节数组之和: 为 和 ,字节值的实例的数量在数组中。的熵值是由一个数字从0到8日8的熵值代表的字节数组组成完全均匀分布。因为每个字节的概率发生在加密的密文基本上是相同的,熵值将接近上限。因为ransomware总是加密大量的文件,当我们发现一个文件改变高熵值文件也在很短的时间内和改变文件类型,我们假设文件ransomware攻击。

4.3.3。共享文件夹监视器

通过遍历实时磁盘存储,共享文件夹监控发现的更新实时共享文件夹。它获得本地攻击者的文件的内容,通常不注意到的攻击者,从而揭示一些意想不到的可追踪线索。监视器可以访问一个攻击者共享文件夹路径列表。

我们最初观察到,通常使用远程桌面共享文件夹路径在远程主机的前缀“∖∖tsclient∖”。当监视器遍历存储这个前缀,它使用”FindFirstFile“找到第一个文件。然后使用“FindNextFile“找到下一个文件,返回的句柄。当最终的处理是一个文件夹格式,它继续遍历文件夹下的所有文件。最初,监视器试图得到完整的文件名和文件内容通过遍历新的共享文件夹。然而,在实际的实验,发现随着存储的文件数量的增长,监视器需要更多的时间和资源的所有文件内容只是文件路径的问题。遍历所有攻击者更有可能警觉。因此,监测获取文件路径,攻击者在其宿主的帮助”GetFileName”。此外,为了防止ransomware加密,挂载磁盘监视将直接获得共享文件路径列表转移到另一个安全的主机。

5。线索提取和分析

通过欺骗的环境,我们的陷阱ransomware攻击者和收集很多信息可能包含许多可追踪线索。然而,这样可追踪线索通常不是视觉上可观察到的,在本质上是复杂的。此外,许多上述线索包含这并不是帮助信息追溯ransomware袭击者。因此,为了协助监测信息的分析和提取有效主要可追踪线索,在本节中,我们提出如何提取线索,如何分析可追踪线索提取后使用的自动方法。

5.1。线索提取

我们主要从提取获得的线索,包括远程登录信息(IP地址),网络流量,剪贴板的内容(图片和文字),共享文件夹信息(路径字符串),ransomware样本(编译时,编译路径)。共享文件夹路径线索可以获得直接从监视器。然而,剪贴板线索,线索,编译和远程主机线索通常不是视觉上可观察到的,在本质上是复杂的。因此,提取模块主要集中在远程主机的提取线索,剪贴板字符串的线索,和编译的线索。

远程主机线索提取。IP地址、端口号和文件夹路径线索可以直接从登录信息获得和文件夹的路径。TCP包与配置信息交互在网络通信PCAP包通常命名为“ClientData”。我们提取客户名称字段从“ClientData“包获得攻击者的主机名。此外,KeyboardLayout指出一个攻击主机的默认键盘布局;例如,简体中文布局数是0 x0004,和美国英语键盘布局x0409数字是0。远程用户惯用的语言(母语)可以发现键盘布局来推断攻击者的国籍。

剪贴板线索提取。主要文件格式可用到剪贴板监视窗口的位图,GDI文件,ANSI字符,Unicode字符,WAV音频数据。我们主要针对提取字符类型的可追踪线索。它从剪贴板在各种格式提取字符的线索判断GetClipboardDataAPI的“数据类型“价值。

编译线索提取。我们检查所有窗户RDP-based ransomware样本,我们经验观察到最常用的为这些样品PE文件格式,尤其是 。exe和 。dll;一些PE文件编译文件中的信息,这信息不会改变的迁移计划。因此,这是一个获得创建者的信息的好方法。PE文件主要包含五个主要组件:DOS MZ头,DOS存根,PE头,头节和部分内容。每个组件包含大量的信息。很少有信息,我们可以使用它来确定创造者,和一些标识信息需要提取每个部分的内容。在这篇文章中,有很多线索在PE文件中可以提取追溯攻击者:文件名,PE文件类型,编译器版本,编译路径,编译时间,最后修改时间,最后开放时间,IP地址、网址,域名,语言,字符串,宽字符,等等。我们提取的线索PEView(34]。然而,由于它不能直接获得编译路径,我们使用pefile(35)工具来提取路径落户在PE结构。

由于提取线索包括不同的编码格式,便于观察和后续分析的统一模式,提取系统完全将获得的数据编码转换为utf - 8格式和保存在SQLite数据库。之前提交的分析系统,提取的了解分为两类:字符串的线索和路径的线索。

5.2。自动分析

在这一点上,从这个系统主要包括字符串提取的线索的线索和路径的线索。字符串线索的数量很大,混合着大量的无法辨认的字符串。因为路径线索的数量也非常大,没有语义相关性,难以识别手动追踪线索。我们专注于如何自动识别路径跟踪线索的线索。

5.2.1。用户和程序分析

路径分析的线索,我们首先提出获取攻击者线索通过识别上下文相关的特征分割走在同一条路上。例如,每个用户都有一个单独的用户文件夹,它位于驱动下的“用户”文件夹c。因此,该系统可以获得用户名攻击主机通过获得“用户”文件夹下的文件夹名称(例如,C:∖用户∖戴尔∖. .)。“程序文件”文件夹通常包含软件程序安装在机器的名称(例如,C:∖程序文件∖微软Visual Studio 11.0∖……)。更重要的是,QQ帐号总是位于”∖QQ∖QQfile∖”文件夹(例如,D:∖QQ∖QQfile∖86 086年∖FileRecv∖……)。

通过这种方式,分析系统可以快速、准确地获得主机名,电子邮件帐户,程序的名字,社交软件号码和其他可追踪线索进行攻击者的文件路径。然而,这样的用户信息少的整体线索是收购的机会。因此,我们将在此基础上进行进一步的分析。

5.2.2。账户分析

通过分析APT1和其他一些归因报告,我们发现攻击者之间的映射和物理世界身份可以更好地得到分析攻击者留下的帐号。这些信息包括但不限于IP地址的位置,拼写和注册的域名,IP地址对应的网址,域名的邮箱账户。因为很难识别这些信息有效地在大量的字符串和路径线索,分析系统自动识别IP地址、域名,网址,邮箱账户正则匹配。然后,威胁情报和大数据技术的帮助下,得到了更多相关的线索。

5.2.3。语言识别

用户语言经常帮助确定攻击者惯用的语言,但由于大量的语言在不同的国家和一些语言的相似性高,我们用的是自动分析系统识别的语言线索。我们测试的准确性两个语言识别工具箱在四个不同的语言使用完整的路径信息。我们发现了”langid.py“比”工具包是整体更准确langdetect”工具包。对比结果如图3。的langid.py是一个语言识别工具箱开发了他和鲍德温墨尔本大学(36]。它结合了朴素贝叶斯分类器与跨域特征选择提供特定领域语言识别。

5.2.4。跟踪字符串标识

当需要跟踪字符串,字符串分析传统方法通常使用命名实体识别(尼珥)。然而,要分析的线索和路径主要包括字符串。字符串路径分隔符前后几乎没有语义的相关性。更重要的是,路径之间的字符串分隔符和剩下的字符串进行分析主要是语义上由于其有限的长度无关。所以本文提出了一种算法,可以快速和自动分析跟踪字符串在字符串和路径。

为了过滤出有意义的可追踪的线索与攻击者的身份,线索和路径字符串的线索被划分为字符串和被下面的步骤中常用的词语和胡言乱语。图4显示了自动跟踪线索识别系统的过程。

使停止的话。系统将路径的路径分隔符,因为这些分离路径字符串是常见的多台电脑没有识别的效果。所以,我们取出文件字符串名称是常见的20个普通用户电脑停止的话。然后,它消除了阻止的话每次分裂后的字符串。

分割。删除停止词后,我们单独的句子和单词每段路径的标记(例如,NLTK、尼珥)[37]。然而,随着段路径的不是语义相关,细分就没那么有效了。基于我们的广泛的研究路径信息,用户通常更喜欢使用符号比如下划线分割文件的名字。此外,他们还喜欢用大写在多字字符串,以方便阅读。结果,系统使用文档中的常见的标识符和字母例特征部分字符串。

除常见的单词。分割后,系统获得大量的可重复的字符串。但他们中的大多数是常用单词和不能帮助识别ransomware攻击者。因此,我们过滤掉的常用单词比较每个字符串和一本字典。如果字符串可以在字典匹配,系统标志着常用词的单词是错误的,否则,是真实的。

胡言乱语检测。基于我们的分析和观察,我们发现有大量的信息在路径的线索。大多数这些字符串是随机生成的,人们可以认识这个手动随机性,但这是困难的一个程序来自动识别。结果,我们建议检测胡言乱语的培训与英语文本的马尔可夫链模型。对于每个字符串X,都有一个概率,我在X字符

每个字母与上下两个字母。这种关系可以表示为2克。例如,关于字符串“Ransomware”:类风湿性关节炎,一个,ns,…e(空间)。分析系统可以记录相邻字符出现频率,通过收集胡言乱语和正常一些常用短语或词汇。可实现计数,在阅读训练数据然后措施的概率生成字符串根据消化的概率乘以两相邻字符的字符串(38]。相对应的训练数据可以帮助统计胡言乱语和正常字符串,分别平均转移概率。这个概率措施可能性的数量分配到这个字符串根据所观察到的数据模型。当我们测试字符串“赎金”,它计算

如果输入字符串是胡言乱语,它将通过一些对极低计数在训练阶段,因此概率较低。系统然后看着每字符数的概率已知正常字符串和已知胡言乱语的几个例子,然后选择一个阈值之间的胡言乱语最可能性和正常字符串最不可能:

当我们分析字符串“X”,如果 ,分析系统将正常查看字符串的字符串。如果 ,分析系统将视图的字符串是“错误的。”然后,系统删除字符串的错误的类型为胡言乱语。

识别结果。经过上述分析,自动分析系统输出的字符串常用词标签和胡言乱语标签是正确的,这是可追踪线索的列表(13]。表1王复制从z h . et al。(2018)[在知识共享归属许可/公共领域)。

当字符串是一个正常的词,如“计划”,“常用单词识别将使得错误的。“胡言乱语识别可以识别这个词只与随机生成的标识符字符串。此外,它不能识别不符合的词常用单词的拼写模式(例如,vwrtjty)。字符串被认为有辅助跟踪只有分析值都是正确的。我们广泛依赖字符串反转来验证系统的准确性。发现大多数的志愿者存储可以被跟踪字符串。表1显示了几种典型的识别结果字符串。

6。评价

在本文中,我们评估该方法有两个实验。第一个实验的目的是证明该方法可以追溯到RDP-based ransomware攻击者和捕捉他们的私人信息。第二个实验的目的是证明该方法还可以自动识别线索ransomware样本并帮助追溯到ransomware制造商。

6.1。RDP-Based Ransomware攻击者

但是。线索捕获和分析

我们使用Windows 7系统虚拟机部署欺骗环境和评估的有效性。虽然Windows 7不是必需的,但它被选中,是因为广泛应用,因为它是ransomware的主要目标之一。我们邀请了122名专业志愿者帮助实验和给他们提供了一个实验性的舰队12虚拟主机。大多数的志愿者的登录信息,剪贴板内容,共享文件夹路径,并上传PE文件能够被成功地捕捉到监控系统。

我们选择12计算机的路径志愿者所收集的信息和记录的速度收敛后的每一步分析。图5显示可追踪线索的数量仍然是每一步处理的数据分析系统的13]。图5王复制从z h . et al。(2018)[在知识共享归属许可/公共领域)。

6.2。回溯攻击者

接下来,我们进行了详细的分析信息的遗留下来的一个志愿者的攻击。通过了解攻击者的数据的自动分析,我们可以推断出攻击者的真实身份有如下特征:(1),攻击者可能来自中国。(2)攻击者可能是一个安全及相关人员。(3)攻击者可能在中国科学院工作,与大型安全厂商在中国的关系。结论如图6。它显示的结果分析系统五个部分。

用户名。通过自动分析,总共三个用户名从攻击者的主机从大量的线索,提取,通过使用“戴尔”的用户,它可以假设攻击者使用戴尔主机。

项目。几种典型标识的自动分析系统软件程序安装在攻击者的主机。例如,“QQ”在中国是一种广泛使用的实时社交工具;“支付宝”是一个在线支付工具由阿里巴巴和在中国广泛使用;“搜狗输入”是由中国搜狗输入法软件公司;美图发来照片美化软件开发的一家中国公司,在中国广泛使用;此外,“无罪”和“360”都是知名安全制造商在中国,有大量的安全产品;“视觉工作室”是一种常见的开发软件。发现中国制造的软件在中国广泛使用的是安装在攻击者的主机,以及一些发展和安全的产品,被普通用户安装较少。

键盘布局。通过网络通信分析,得到攻击者的键盘布局是简体中文,从中可以推断出,攻击者的母语是中文。这是符合主机安装的软件功能。

帐号。根据系统自动确认帐号,发现两个QQ帐户和两个电子邮件帐户。中国科学院的电子邮件账户业务账户可以确认上述假设攻击者来自中国,而且它很有可能在中国科学院工作。通过QQ帐户的注册信息(如图7),我们可以找到以下信息:(1)攻击者可能是一个男性,32岁;(2)互联网相关工作,有可能360安全;(3)位于中国北京市海淀区。在“353年208年“账户注册信息、邮件、工作、和其他信息是空的,绰号特别英语字符串:"Wh 的怪兽“可以推测,可能是私人使用。

可追踪的字符串。从监控自动分析系统处理的字符串可追踪的。”Freebuf”是一个安全信息交换网站常用的中国安全人员。”Bootnet”是一个二次被攻击者常用的攻击方法,并且经常使用的安全研究人员的主要研究方向。”e”和“t”是首字母缩略词在中国科学院的部门,而“一个 团队”是一个安全研究团队在“e”部门。”Visumantrag”是经常使用在处理不同国家的签证。“Wh 的怪兽“比赛的QQ号码”的绰号353年 208年”账户,可能是其常规的昵称。

6.3。Ransomware制造商自动分析

为了验证分析系统可在追溯ransomware制造商我们获得超过8000 ransomware样本VirusTotal(39)和提取的程序数据库(PDB)路径(如图样品8)。表明,尽管大量的攻击者的蓄意编译信息擦除,遗留PDB路径信息仍然可以发现大量ransomware样品。

更重要的是,分析系统用于自动分析超过800不同ransomware样本的PDB路径。我们发现多个身份在不同样本的分析结果字符串。一个典型的结果如表所示2(13]。表2王复制从z h . et al。(2018),[在知识共享归属许可/公共领域)。我们使用VirusTotal验证样本,发现他们都是家庭ransomware眼镜蛇。结果,它可以是假定这些样本是由同一个ransomware制造商。当一个样品是追溯到,其他样品也可以到达的结论ransomware制造商。当不同的可追踪的信息从不同的样本,分析了ransomware制造商的身份信息可以通过集成的信息进行描述。

语言识别。当我们进行语言识别878个样本的PDB路径,结果如图9。系统自动识别的路径,主要包含11种语言,其中英语占了最大的比例。

实际案例分析。自动识别系统帮助我们识别跟踪字符串在PDB路径。比如说一个示例PDB路径(中国已被翻译成英语)“60 c6a92afb MD5值6 d0c16f7”。

”艾凡:∖∖廖∖∖工作室∖∖UAC∖∖模拟一种改进版本的360杀毒程序1117包1 4.1 。2 。 0 ( 1)_9818程序∖∖WriteSystem32∖∖释放∖∖VirtualDesktop.pdb”

我们可以推断出从自动分析结果ransomware制造商很可能来自中国。我们可以证明这一点,如下:

(1)语言标识:这是通过识别路径语言,它可以用来推测,攻击者可能来自中国。通过了解中国路径字符串,我们发现这个文本的意义是提高绕过360年检测,安全软件,在中国有一个大的市场。

(2)IP地址:系统识别一个IP地址在PDB路径中。威胁情报数据库的帮助下发现的IP中国新疆(图10)。

(3)跟踪字符串:提取的标识符字符串“廖“像一个汉语拼音,最有可能的一个中国姓氏。综上所述,我们推测,ransomware制造商很可能来自中国。

7所示。结论

在本文中,我们专注于追溯RDP-based ransomware。最近,越来越多的ransomware攻击者使用RDP攻击传播ransomware不受惩罚地由于使用强密码。我们建议追溯攻击来源阻止RDP-based ransomware提出欺骗环境。它收集的线索和执行自动分析通过使用自然语言处理和机器学习技术。评价表明,它能够陷阱攻击者并收集可追踪攻击者在欺骗环境中留下的线索。自动提示标识,它可以收敛的可追踪的约2%的线索。我们使用这个方法来分析两个实际案例,显示其有效性。通过追溯ransomware攻击者,我们可以提供一个强大的威慑扼杀ransomware的发展。

数据可用性

使用的数据来支持本研究的发现可以从相应的作者。

附加分

这个手稿提供了额外的欺骗的环境监测和分析方法通过使用更多的志愿者和样本。它证明了方法的有效性通过特定的回溯的情况下(即。,回溯ransomware攻击者和回溯ransomware制造商)。

信息披露

本文的早期版本是国际会议:IEEE第三网络数据科学国际会议上,广州,中国,2018年6月21页。作者的初始会议论文主要关注欺骗环境监测和筛查的有效性分析系统的速度。

的利益冲突

作者宣称没有利益冲突。

确认

作者要感谢VirusTotal提供ransomware样品和中国科学院大学的志愿者。这部分工作是支持国家重点研究和发展计划(批准号2018 yfb0803504)和中国国家自然科学基金(U1636215 61871140, 61871140, 61572492, 61672020)。

引用

1. A . Kharraz”公布:大规模、自动化检测Ransomware方法,”学报》第25届USENIX安全研讨会(USENIX安全16)USENIX协会,页757 - 772年,2016年。视图:谷歌学术搜索
2. k .野蛮、p·库根和h .刘“ransomware的进化,”科技。代表,2015年。视图:谷歌学术搜索
3. A . Kharraz w·罗伯逊,d . Balzarotti l .舱底和e . Kirda”削减难题:一看Ransomware罩下的攻击,”检测入侵和恶意软件和漏洞评估卷,9148在计算机科学的课堂讲稿页,3-24施普林格国际出版,可汗,2015年。视图:出版商的网站|谷歌学术搜索
4. 美国Mohurle和m·帕蒂尔”简要研究Wannacry威胁:Ransomware攻击2017,”国际高级研究计算机科学杂志》上,8卷,不。5,2017。视图:谷歌学术搜索
5. x, z, j .秋和f .江”数据基于减少机密泄漏的预防方法和环境条件对智能移动设备,“无线通信和移动计算卷,2018篇文章ID 5823439, 11页,2018年。视图:出版商的网站|谷歌学术搜索
6. j . Yaneza“蛮力RDP攻击植物孤岛危机Ransomware,”https://blog.trendmicro.com/trendlabs-security-intelligence/brute-force-rdp-attacks-plant-crysis-ransomware/。视图:谷歌学术搜索
7. “10%的smb Ransomware袭击目标物联网设备,“https://www.darkreading.com/application-security/10--of-ransomware-attacks-on-smbs-targeted-iot-devices-/d/d-id/1329817。视图:谷歌学术搜索
8. 高谭,y, j .史x, b方,和z h .田”向全面洞察Tor的Eclipse袭击隐藏服务,“IEEE物联网, 2018年。视图:出版商的网站|谷歌学术搜索
9. “卡巴斯基安全公告:2017年的故事,”2017年,https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07164824/KSB_Story_of_the_Year_Ransomware_FINAL_eng.pdf。视图:谷歌学术搜索
10. 崔y, z田l . et al。”一个实时Host-Level事件的相关性为智能校园网络范围服务,“IEEE访问》第六卷,第35364 - 35355页,2018年。视图:出版商的网站|谷歌学术搜索
11. r·罗斯et al。信息安全风险管理:组织、任务和信息系统视图国家标准与技术研究所,2011年,http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf。
12. y, z, h, s .苏和w·史”为最近邻查询隐私保护方案”,传感器,18卷,不。8,2440年,页2018。视图:出版商的网站|谷歌学术搜索
13. 吴x, z h . Wang c·g·刘,刘问:x,和j·l·张“Ransomware跟踪RansomTracer:利用网络欺骗,”《IEEE第三网络数据科学国际会议,第234 - 227页,2018年。视图:谷歌学术搜索
14. b . A . s . Al-rimy m·A·Maarof, s公司z . m . Shaid”Ransomware威胁成功因素,分类,和对策:一项调查和研究方向,”电脑与安全卷,74年,第166 - 144页,2018年。视图:出版商的网站|谷歌学术搜索
15. 傅江,y,比比Gupta et al .,“深度学习基于多通道智能攻击检测数据安全,”IEEE可持续的计算, 2018年。视图:出版商的网站|谷歌学术搜索
16. n . Andronio s Zanero f .美极,“移动ransomware HelDroid:解剖和检测,”研究攻击、入侵防御卷,9404在计算机科学的课堂讲稿施普林格,页382 - 404年,2015年。视图:出版商的网站|谷歌学术搜索
17. f . Mercaldo诉Nardone, a . Santone和c . a . Visaggio Ransomware偷了你的电话。在正式的方法拯救它。正式的分布式对象技术、组件和系统:第36 IFIPWG 6.1国际会议,福特2016年举行的第11届国际联合会议上的分布式计算技术,DisCoTec 2016艾伯特,大肠和Lanese, Eds。,pp. 212–221, Springer International Publishing, 2016.视图:出版商的网站|谷歌学术搜索
18. d . Sgandurra l .μ±oz-Gonzßlez, r·莫森和e·c·卢普,“Ransomware自动化动态分析:利益,限制和用于检测”https://arxiv.org/abs/1609.03020。视图:谷歌学术搜索
19. 美国歌曲,b . Kim和s·李,“有效的Ransomware预防技术在Android平台使用过程监控,“移动信息系统卷,2016篇文章ID 2946735、9页,2016。视图:出版商的网站|谷歌学术搜索
20. 钱云会k·t·杨,杨y C.-T。钱,y, l .道“android ransomware,自动检测和分析学报17 IEEE国际会议上高性能计算和通信,IEEE 7日网络空间安全国际研讨会和IEEE 12国际会议上嵌入式软件和系统,HPCC-ICESS-CSS 2015美国,页1338 - 1343年,2015年8月。视图:谷歌学术搜索
21. 据Traynor n .斯凯夫h·卡特,p和k·r·b·巴特勒,“CryptoLock(放):停止Ransomware攻击用户数据”美国第36届IEEE国际会议在分布式计算系统中,ICDCS 2016日本,页303 - 312年,2016年6月。视图:谷歌学术搜索
22. m . m . Ahmadian h·r·沙希瑞遇刺一周年,“2 entfox:高生存能力的框架ransomwares检测”《国际ISC信息安全与密码学会议13日,ISCISC 2016伊朗,页79 - 84年,2016年9月。视图:谷歌学术搜索
23. m . m . Ahmadian h·r·沙希瑞遇刺一周年,s m . Ghaffarian”连接监视器和connection-breaker:高生存能力的新颖的方法预防和检测ransomwares,”12学报》国际ISC信息安全与密码学会议ISCISC 2015伊朗,页79 - 84年,2015年9月。视图:谷歌学术搜索
24. w·d . Kim Soh和美国金,“量化模型设计防止Cryptolocker”,印度科学和技术杂志》上,8卷,不。19日,2015年。视图:出版商的网站|谷歌学术搜索
25. c·摩尔,“检测Ransomware蜜罐技术,”2016网络安全和Cyberforensics研讨会论文集(CCC),页77 - 81,安曼,约旦,2016年8月。视图:出版商的网站|谷歌学术搜索
26. f . Mbol j .罗伯特,和a . Sadighian”一个有效的方法来检测TorrentLocker Ransomware在计算机系统中,”密码学和网络安全、美国Foresti和g . Persiano Eds。卷,10052在计算机科学的课堂讲稿,页532 - 541,施普林格国际出版,可汗,2016年。视图:出版商的网站|谷歌学术搜索
27. k . Cabaj p . Gawkowski k Grochowski, d . Osojca”网络活动分析CryptoWall ransomware,”Przegląd Elektrotechniczny,卷91,不。11日,第204 - 201页,2015年。视图:谷歌学术搜索
28. 崔x, z . j . Chen田l .阴和x王,“相信物联网的架构和声誉评价,“环境智能和人性化计算杂志》上,卷2,页1 - 9,2018。视图:谷歌学术搜索
29. c . Le Guernic和a . Legay“Ransomware和遗留加密API。论文发表于风险,”风险和安全的网络和系统:11日国际会议,2016年危机,Roscoff,法国,2017年。视图:谷歌学术搜索
30. l . Pingree新兴技术分析:欺骗技术和技术创建安全技术业务机会Gartner, 2015。
31. “Ransomware和企业”,https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/ransomware-and-businesses-16-en.pdf,2016年。视图:谷歌学术搜索
32. a . Kharraz和大肠Kirda“救赎:实时防护Ransomware来说,”诉讼研究国际研讨会的攻击,攻击和防御,第119 - 98页,2017年。视图:谷歌学术搜索
33. f . Bergstrand j . Bergstrand和h,本地化的间谍软件在Windows环境中,。
34. “PEView。”https://www.aldeid.com/wiki/PEView。视图:谷歌学术搜索
35. “python-pefile。”https://pypi.python.org/pypi/pefile。视图:谷歌学术搜索
36. langid m .他和t·鲍德温。”,py, An off-the-shelf language identification tool,” inACL学报》2012系统示威。计算语言学协会,25 - 30,2012页。视图:谷歌学术搜索
37. 美国鸟和e·洛佩尔”,NLTK:自然语言工具包”ACL学报》2004互动海报和示范。计算语言学协会2004年7月、西班牙的巴塞罗那。视图:出版商的网站|谷歌学术搜索
38. “Rrenaud。Gibberish-Detector。”https://github.com/rrenaud/Gibberish-Detector/blob/master/README.rst。视图:谷歌学术搜索
39. “VirusTotal。”http://virustotal.com。视图:谷歌学术搜索

版权

版权©2018王ZiHan et al。这是一个开放分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。