2entFOX: A framework for high survivable ransomwares detection

ارائه جلسه دفاع مقطع کارشناسی ارشدمهدی احمدیانمحمد

امیرکبیردانشکده مهندسی فناوری اطالعات دانشگاه صنعتی 1394شهریور

Ahmadian.blog.ir www.mmAhmadian.ir

«توجه »

:شدبه شرط ارجاع به مقاله ذیل مجاز می با( پروژه)استفاده از محتوای این ارائه

Ahmadian M M and Shahriari H R, “2entFOX: A framework for high survivableransomwares detection”. Proceedings of 13th International Iranian Society ofCryptology Conference on Information Security and Cryptology (ISCISC), IEEE,Iran, Tehran, (2016) September 7-8 DOI: 10.1109/ISCISC.2016.7736455.

فهرست مطالب ارائه

مقدمهبدافزار و کارهای مرتبطتحلیل،تشخیص

(2entFOX)چارچوب تشخیص پیشنهادی

6

4

3

2

1

پیشنهادیدسته بندی

ریجمع بندی و نتیجه گی

دانشگاه صنعتی امیرکبیر -آزمایشگاه طراحی و تحلیل سیستم های امن -مهدی احمدیان . م

پیاده سازی و ارزیابی5

Ransomware کلمهترکیب دو ازRansom ومعنای خون بها بهMalware 1[استتشکیل شده افزار بدمعنای به[.

.می کنیمبرای آن استفاده « باجگیرافزار»واژه معادل ارائه از این در

سیستم و یا بعد از آلوده سازی یک سیستم رایانه ای دسترسی بهمی باشند که گونه ای از بدافزارها باجگیرافزارها طور عام به .ی کندمحدودیت ایجاد شده را برطرف مقربانی، ازای دریافت باج از در باجگیرافزارمنابع آن را محدود می سازند ، سپس طراح

47 /1دانشگاه صنعتی امیرکبیر -آزمایشگاه طراحی و تحلیل سیستم های امن -مهدی احمدیان . م

نمای یام اخا یمحدود کردن دسترسی به منابع

جستجوی هدف

]1[باجگیرافزارها عمومی فرایند عملیاتی


:]LZR]2باجگیرافزار

بدستت 6و 5نسخه MS-DOSدسترسی به دیسک سخت را به وسیله یک فراخوانی ناشناخته سیستمی در کنترل .می آورد

.می کردداین باجگیرافزار از آخرین سیلندر تا اولین سیلندر دیسک شروع به رمزنگاری با کلید متقارن


:]AIDS]2.4باجگیرافزار

1989سال در

$378تا189: اخا یمیزان

:]KOH]2باجگیرافزار

IDEAفایل ها در س زمینه با سیستم رمز رمزنگاری


Anandrao نویسد می 2011سال در:

]3[« رخ نداده استبدافزارها تاکنون هیچ حمله اخا ی ایه در حد وسیع به واسطه رمزکار »

Gazet می نویسد2010سال در:

«. ]1[دکربه عنوان یک اخا ی تمام و کمال از آن یاد بتوان آنقدر یچیده نبوده است که باجگیرافزاری تا کنون هیچ »


]5[2010-2014نمونه های جدید باجگیرافزارها در بازه

هونهنمد داتع

ا

به گزارش 2013بزرگترین تهدیدات سال Malwarebytes

2010-2015نمونه های جدید باجگیرافزارها در بازه

47 /3


یکی از موضوعات داغ این دو سال بنگاه های خبری امنیت سایبری

استت کته انجام شده است و آنچه بسیار حائز اهمیت استت ایتن باجگیرافزارها متأسفانه تاکنون کمترین کار ژوهشی در زمینه ی .در محافل علمی مطرح نشده استتشخیص باجگیرافزارها برای چارچوب اختصاصی تاکنون هیچ

BlackHatیکی از موضوعات مطرح شده در کنفرانس 2015


اهمیت یدا کردن حتی در ایران

انتشار گزارشات متعدد از آلوده شتدن کتاربران در ایران

اقتتدام برختتی شتترکت هتتای تولیتتد کننتتده محصوالت ضدبدافزاری برای ارائته محصتول در

زمینه تشخیص باجگیرافزارها

اختصاص موضوع مسابقه دوازدهمین کنفترانس ر بین المللی انجمتن رمتز بته تحلیتل کلیتد د

باجگیرافزارها

47 /4



مقدمهبطبدافزار و کارهای مرتتشخیص ،تحلیل

6

4

3

2

1

دسته بندی پیشنهادی



پیاده سازی و ارزیابی5(2entFOX)چارچوب تشخیص پیشنهادی


.]6[(نبودنبدون توجه به بدخواه بودن یا )نرم افزار است ماهیت یک فرایند استخراج : تحلیل

ابدافزارههای تحلیل روش

تحلیل پویا 2

تحلیل ایستا1

تولید چکیده و بررسی با ابزارها1

1استخراج داده های رشته ای2

دهو مبهم شتشخیص بدافزارهای بسته بندی 3

راستخراج داده های موجود در قالب فایل بدافزا4

5

مهندسی معکوس کد اسمبلی6

محیط های اجرای بدافزار1

1نظارت بر پردازه ها2

نظارت بر رجیستری3

تحلیل با اشکال زدایی4

ابعمانیتور کردن فراخوان تو5پارامترهای توابعتحلیل 6اطالعاتجریان دنبال کردن 7

کدتحلیل دستورات فراخوانی شده در بخش

47 /5



تشخیصهای روش(از نگاه نوع تشخیص)

خصیصهتشخیص مبتنی بر 3

فادهتشخیص سوءاست1

.]7[فرایند تعیین بدخواه یا خوش خیم بودن یک برنامه است: تشخیص

و برد آن مجموعه ای شامل دو عضو بدخواه است Pاز برنامه های اجرایی مجموعه ای است که دامنه آن تشخیص دهنده بدافزار تابعی . ]7[خوش خیمو

تشخیص ناهنجاری2

]7[بدافزارتابع تشخیص دهنده

47 /6


]1[عنوان مقاله

“Cryptovirology: Extortion-based security threats and countermeasures”

کارهای این مقاله

بدافزار شناسی برای اولین بار-معرفی رمزکار

بدافزارها-معرفی حمالت رمزکار

(Base Extortion Attack)حمله اخا ی ایه

(Information Stealing Attack)حمله سرقت اطالعات

(Information Extortion Attack)اطالعاتحمله اخا ی

(Information Extortion Attack with the Secret Sharing)حمله اخا ی به همراه تقسیم کلید


:راهکارهای مقابله ای مطرح شده

کنترل دسترسی به ابزارهای معماشناسی سیستم عامل

اعتبار سنجی کلیدها

47 /7



“ Cryptoviral extortion using Microsoft's Crypto API”


Cryptographic Service Providerو سرویس Microsoft’s Cryptographic APIمعرفی کتابخانه

Proof of conceptهای ویندوز به عنوان APIبدافزار بر ایه - یاده سازی یک نمونه رمزکار

:راهکارهای مقابله ای مطرح شده

کنترل دسترسی به ابزارهای معماشناسی سیستم عامل

در کرنتل نیتز zero-knowledge interactive proofعلت نحوه استفاده از توابع رمزنگاری می توان از به .استفاده کرد تا اعتبار سنجی استفاده از توابع بررسی شود

:معایب

.باشد tamper-proofو یا باشد آلوده هسته سیستم عامل نباید

.توابع سیستم عامل بهره برده باشد نه توابعی دیگربدافزار باید از -رمزکار

دانشگاه صنعتی امیرکبیر -آزمایشگاه طراحی و تحلیل سیستم های امن -مهدی احمدیان . م47 /8



“ Comparative analysis of various ransomware virii”


معرفی باجگیرافزارها

گزارشی از تحلیل چند نمونه باجگیرافزار

Trojan.Win32.Krotten.u

Trojan.Win32.Krotten.aj

Trojan-Spy.win32.Dirt.211

Trojan.Win32.Gpcode

برای کاربرانبسیار عمومی ارائه راهکارهای

دانشگاه صنعتی امیرکبیر -آزمایشگاه طراحی و تحلیل سیستم های امن -مهدی احمدیان . م47 /9



“ Cryptovirology: Virus Approach”


موضوعات مطرح شده در کتابخالصه

Young, M. Yung : Malicious Cryptography: Exposing Cryptovirology , John Wiley & Sons, 2004

گزارشی از تحلیل چند نمونه باجگیرافزار

GPCode

Conficker

دانشگاه صنعتی امیرکبیر -آزمایشگاه طراحی و تحلیل سیستم های امن -مهدی احمدیان . م47/10



مقدمهتحلیل،تشخیص بدافزار و کارهای مرتبط

6

4

3

2

1




(NCR)معماشناسیباجگیرافزارهای عاری از 1

(CGR)معماشناسیباجگیرافزارهای وابسته به 2وصیرمزکلیدخصباجگیرافزارهای با سیستم 2-1

د عمومیباجگیرافزارهای با سیستم رمز کلی

رکیبیباجگیرافزارهای با سیستم رمز ت

2-2وارزیابیسازی پیاده 5

2-3


متی های خود بهره نفایل از باجگیرافزارها در فرایند عملیاتی خود هرگز از روش های معماشناسی به منظور رمزنمودن برخی تیشن اقدام به این باج گیر افزارها تنها به روش هایی نظیر قفل نمودن صفحه کاربر یا تغییر رکورد راه انداز و یا جدول ار.برند

.می نماینداخا ی از کاربر


:ویژگی ها

اربر خنثی می شتوند و کت مهندسی معکوس اما این نوع از باجگیرافزارها به دلیل ضعف در روش خود به راحتی با .می تواند بدون رداخت هرگونه باجی اقدام به بازیابی سیستم خود نماید

Non-Cryptographic Ransomware (NCR)

47/11



درهدفوردممنابعبهدسترسیکردنغصبوگرفتناختیاردربرایمعماشناسیهایالگوریتمازباجگیرافزارهاازاینگونه.کنندمیاستفادهقرباتیسیستم

وسناداهایفایلعموما)قربانیهایفایلرمزنگاریبهاقداممخفیانهکامالصورتبهباجگیرافزارهااینعمومی،سناریودرشدنرمزازاربرککردنمطلعباوکردهحضوراعالمکاربر،به یامینمای باآلودگیفراینداتمامازبعدونمایندمی(تصاویر.کنندمیباج رداختتقاضایویازکاربرهایفایلترجمهازایدرهای فایل

Cryptographic Ransomware (CGR)

47/12


سیستم هتای این نوع از باجگیرافزارها با استفاده از سیستمهای رمز کلید خصوصی نظیر سیستم های رمز کالسیک، خانواده.نمایندهای قربانی می رمزکردن دارایی یا حتی سیستم های رمز کلید خصوصی مدرن اقدام به و DESرمز

PrCR باجگیرافزارها هستند که طراحی شدندنمونه های اولین ها جز .


Private-key cryptosystem ransomware (PrCR)

Body

Key

Encryption algorithmR

an

som

war

e

ransomware writer's view malware analyst's view

Decryptionalgorithm

Body

Key

Encryption algorithm

Decryptionalgorithm

:نقاط ضعف

مجبور هستند که کلیتد را در دورن ختود PrCR 6[نگه دارند[.

کلید بین همته قربتانی هتا مشتتر غالبا .]6[بود

]PrCR]5باجگیرافزارهای متقارن ماهیت

47/13

.ایندنمدارایی های قربانی می رمزکردن به عمومی اقدام این نوع از باجگیرافزارها با استفاده از سیستمهای رمز کلید


PuCR

Public-key cryptosystem ransomware (PuCR)

حمله پروتکل مراحل PuCRاخاذی 3

تنظیمات اولیه1

یکلید عمومبا رمزکردن اطالعات 2

ترجمه رمز 4

47/14


:نقطه قوت

این استت کته کلیتد ها PuCRنقاط قوت از خصوصی در اختیار طراح بتاجگیرافزار استت،

راه بدافزار نیتز نمتی توانتد تحلیلگر از این رو ند حلی را در اختیار قربانی قرار دهد که بتوابدون رداخت باج به کلید خصوصتی دستت

. یابد


Body

Public key

Encryption algorithmR

anso

mw

are

ransomware writer's view malware analyst's view

Decryptionalgorithm

Body

Public key

Encryption algorithm

Decryptionalgorithm

Private key

:PuCRنقاط ضعف

.نندکاستفاده اگر کلید خصوصی برای یک قربانی فرستاده شود همه قربانی ها می توانند از همان کلید خصوصی 1.

.بسیار کند و می تواند باعث شناسایی در مرحله اجرا شود( نامتقارن)رمزگذاری با کلید عمومی 2.

]PuCR]5ماهیت نامتقارن باجگیرافزارهای

47/15

بهتره PuCRو PrCRاین دسته از باجگیرافزارها به منظور تقویت نقاط قوت و کاه نقاط ضعفشتان از ترکیتب دو روش .می برند

.می باشندخطرناکترین نوع باجگیرافزارهاها HCRدر این دسته بندی به طور عموم


Hybrid cryptosystem ransomware (HCR)

:HCRحمله پروتکل

( انتشار و جستجوی قربانی)1مرحله

HCR ختود را هرزنامته هتا از جمله ضمیمه های متصتل بته و مهندسی اجتماعی بدافزارهابه کمک روش های انتشار.کندمنتشر می

( :اجرا)2مرحله

.با بهره گیری از عدم آگاهی کاربر و عموما به وسیله روش های مهندسی اجتماعی توسط کاربر اجرا می شود

(Ks)جلسه برای تولید کلید : استفاده از یک مولد بیت شبه تصادفی

( IV)اولیهتولید بردار تصادفی برای استفاده از یک مولد مقدار اولیه شبه

.ویندوز ا می شوندVolume Shadow Copy یچیده تر داده های مرتبط با سرویس در باجگیرافزارهای

47/16 Ahmadian.blog.ir www.mmAhmadian.ir


:( تبادل کلید عمومی)3مرحله

HCR می کند تا به سرور تالشC&C متصتل شتودند تتا بتوانتد ختودKpu مایندکلید عمومی منحصر به فرد باجگیرافزار است را دریافت نکه .

.شده Hard codeهای واسطه آدرس ااتصال به

(DGA)یا به وسیله الگوریتم تولید دامنه

jkaeaxjmnxvpv.ruو kjqwymybbdrew.bizمثال

EKs(D)

M = {IV, Ks} = plaintext

M' =EKpu(M) = ciphertext

Delete D , IV, Ks & M

(:رمز کردن)4مرحله

ی جستجوی لیست فایل های مقصد خود بر روی سیستم قربان

( CBCمدبا مثال ) Ksبا متقارن اطالعات قربانی رمزنگاری

M' برای ترجمه فایل ها بعد از رداخت باج نگه داری می شود.

47/17



:( نمایش پیام)5مرحله

از را به قربتانی نشتان متی دهتد و قربتانی است 'M یامی را که شامل .کندآلودگی سیستم مطلع می

.نحوه رداخت باج به مهاجم را به وی نشان می دهد

.می شود رداخت باج تعیین مهلت زمانی نیز برای یک

:( پرداخت باج و ترجمه)6مرحله

را نیتز بته 'Mفایل با رداخت میکند و همراه قربانی رداخت را قبول .مهاجم می فرستد

:آوردبه بدست می را Ks,IVدر این مرحله مهاجم

Ks,IV برای ترجمه بهHCR فرستاده متی شتود و بته کمتک آنهتا.ترجمه صورت می گیرد

M = DKpr(M' ) = {IV, Ks}:HCRتحلیل سیستم رمز

.کلید عمومی در اختیار استتنها

.نداردمقادیر برای سایر قربانیان ارزشی این { IV, Ks}بعد از دریافت

47/18


ی دسته بندویژگی های یک دسته بندی مناسبارائه شده

توضیح

شده در نسخه عمومی ارائهحذف√]8[قطعی

شده در نسخه عمومی ارائهحذف√]10،11[غیرمبهم

شده در نسخه عمومی ارائهحذف√]11درکقابل

شده در نسخه عمومی ارائهحذف√]9،10،11[جامع/کامل

شده در نسخه عمومی ارائهحذف.√]10،11[متقابلدارای انحصار

شده در نسخه عمومی ارائهحذف√]8،10[تکرارقابل

شده در نسخه عمومی ارائهحذف√]10،11[مفیدقابل استفاده و

ات الحطاصبا الحات طاصانطباق ]11[شدهاستاندارد تعریف

شده در نسخه عمومی ارائهحذف√

شده در نسخه عمومی ارائهحذف√]9،10[شدهپذیرفته

شده در نسخه عمومی ارائهحذف√]13[تعریفخوش الحات طاص


مقدمهطتحلیل،تشخیص بدافزار و کارهای مرتب


6

4

3

2

1




ارزیابیسازی و پیاده 5


( HSRزارهای باجگیراف. )تشخیص خطرناکترین و یچیده ترین باجگیرافزارهایی که تاکنون منتشر شده اند

.ارائه چارچوبی که بتواند فرایند باجگیری باجگیرافزارهای را با مشکل روبه رو کند

.ناشناخته HSRباجگیرافزارهای تشخیص

.قبولو کارایی قابل دقت

.حداقل نیاز کاربر به دان حرفه ای حوزه فناوری اطالعات و سیستم های کامپیوتری

.منطبق بر یشران تکنولوژی های ضدبدافزاری



TOX Ransomware as a Service

امنیت توکار

تشخیص مبتنی بر اعتبار در موارد مشکو



(High survivable ransomwares)ویژگی های باجگیرافزارهای بقاپذیر

تهدید کارا-1

اربر را حساس کعملیات مخربی که یک باجگیرافزار انجام می دهد باید به گونه ای باشد که واقعا دارایی های .این دارایی ها کاربر را متقاعد به رداخت باج نمایدو تاثیر قراردهد تحت

HCRبودن شرط الزم و یا کافی برای خطرنا بودن و یچیده بودن یک باجگیرافزار نیست.

.برای خطرنا و یچیده بودن یک باجگیرافزار استشرط الزم و کافی بودن HSRاما طبق تعریفی که ما ارائه می کنیم

قدرت مطلق-2

بته آنهتا بتا طراح باجگیرافزار باید تنها کسی باشد که قدرت بازیابی منتابعی را داشتته باشتد کته دستتیابی .روشهایی از جمله رمزنگاری محدود شده است



منحصر به فرد بازیایی -3

ه گونته ای سیستم یک قربانی که مبلغ باج را رداخت کرده است بایتد بت ( بازیابی)ترجمه داده های رمز شده فرایند د را باشد که که هیچ قربانی دیگری نتواند از این داده ها استفاده کنتد و بتوانتد بتدون رداختت بتاج داده هتای ختو

.ترجمه نماید

:باجگیرافزار بقاپذیر

د دستت باجگیرافزار دارای خصیصه بقا ذیری است اگر به میزان کنترلی روی میزبتان ختو یک بدون هیچ واسطه ای در تصرف انحصاری خود بگیرد و (Rc) یدا کند که بتواند منابع میزبان

ا تغییتر ا شتود یت ( نویسنده باجگیرافزار ) چنانچه باجگیرافزار توسط شخصی غیر از مهاجم . همیشه از بین برودبرای Rcبه داده شود دسترسی

ز طریتق سویی دیگر فرایند ترجمه رمز این نوع باجگیرافزار باید تنها بعد از رداختت بتاج ا از .صورت ذیرد C&Cراهکاری که خود طراح باجگیرافزار از قبل تعیین کرده است نظیر سرور



هاHSRمرحله تشخیص خصیصه در مدل



:داده ها هدف طراحی فراهم کننده

. داردرا وظیفه فراهم نمودن داده های مختلف متناسب باکالس خصیصه های استخراج شده

راه اندازی ساکن روی دیسکاجرای نهایی

(تخریب)

هاHSRمرحله تشخیص خصیصه در مدل

خیص قالب مدل مرحلته تشت آن در مورد ارزیابی و تحلیل رفتاری برنامه ی فرایند رصد ادامه معرفی می شوند به کمک ابزارهایی که در . می شوندمورد نظر فراهم داده های شده است ارائه HSRباجگیرافزارهای خصیصه که در این روژه، خاصِ



:هدف طراحی پیش پردازنده

تتور موتشتخیص در سترعت،کلیت و ستادگی شود نامرتبط سعی ویژگی های و جزئیات اضافی و کاه با حذف داده ها .یابدتشخیص افزای



را در این روژه بهبیشترین زمان و کار ساده ای نیست به هیچ عنوان ها HSRمناسبمشخصه کشف و استخراج مجموعه (.ماه 6) استخود اختصاص داده

:بودحاصل این بخ از کار که بسیار زمان بر و طاقت فرسا

خصیصه )خصیصه بسیار کارآمد و ارزشمند 2مورد خصیصه مطلوب و مناسب بود که به واسطه 20استخراج اولین بار در این حوزه روژه برای این که در ( VSSمرحله تبادل کلید و خصیصه روتین های تغییر و حذف

.برسیمها HSRبه منظور تشخیص خصیصه ها مطلوب از مجموعهای شناسایی و بکار گرفته شده اند توانستیم به

مناسب از میانخصیصه های ساده به نظر آیند اما استخراج خصیصه ها در خروجی کار ممکن است برخی از اگرچه . رفتاری کار بسیار رچالشی استخصیصه های انبوهی از

47/25


Volume Shadow Copy Services

"%WinDir%\SYsWOW64\cmd.exe" /C "%WinDir%\Sysnative\vssadmin.exe" Delete Shadows /All /Quiet

CMDبه کمک VSSاسکریپت نخست عمومی برای حذف

Get-WmiObject Win32_Shadowcopy | ForEach-Object { $WmiSnapShotDate = $_.InstallDate $strShadowID = $_.ID $dtmSnapShotDate = [management.managementDateTimeConverter]::ToDateTime($WmiSnapShotDate) $strClientAccessible = $_.ClientAccessible $dtmCurDate = Get-Date $dtmTimeSpan = New-TimeSpan $dtmSnapShotDate$dtmCurDate $intNumberDays = $dtmTimeSpan.Days If ($intNumberDays -ge 1 -and $strClientAccessible -eq "True") { $_.Delete() } }

VSSبرای حذف Power shellاسکریپت


suffix = ["anj", "ebf", "arm", "pra", "aym", "unj","ulj", "uag", "esp", "kot", "onv", "edc"]

def generate_daily_domain():t = GetLocalTime()p = 8return generate_domain(t, p)

def scramble_date(t, p):return (((t.month ^ t.day) + t.day)*p) +t.day + t.year

def generate_domain(t, p):if t.year < 2014:

t.year = 2014s = scramble_date(t, p)c1 = (((t.year >> 2) & 0x3fc0) + s) % 25 + ’a’c2 = (t.month + s) % 10 + ’a’c3 = ((t.year & 0xff) + s) % 25 + ’a’if t.day*2 < ’0’ || t.day*2 > ’9’:

c4 = (t.day*2) % 25 + ’a’else:

c4 = t.day % 10 + ’1’return c1 +’h’+c2+c3+’x’+c4+suffix[t.month - 1]

DGAیک نمونه شبه کد الگوریتم

مرحلته HCRبا توجه مراحل مختلف روتکتل حملته ی ویتژه ا سوم یعنی مرحله تبادل کلید عمومی از اهمیت

.استبرای باجگیرافزارها برخوردار

هستند که امروزه بتا هتدف کدهایی دامنه ، قطعه تولید دوره اینترنتی به صتورت دامنه های تولید تعداد زیادی از

متی در باجگیرافزارهای متعتددی مورداستتفاده قترار ای وده ایتن بت الگوریتم ها هدف اصلی استفاده از این . گیرند

یست است که باجگیرافزارها در برابر روش های شناسایی لدامنتته کتته بتته راحتتتی توستتط آدرس هتتای ایستتتای

متی ی مکانیزم های امنیتی لیست سفید و ستیاه شناستای . از درجه محافظت باالتری برخوردار شوندشوند

47/27



نیازمندی های موتور تشخیص

وابستگی بین برخی خصیصه ها و استقالل بین برخی دیگر•

HSRاحتماالتی بودن تاثیر خصیصه ها بر روی تشخیص •

عدم قطعیت در تصمیم گیری بر علت ماهیت مسئله•

تعداد نمونه های محدود باجگیرافزارها•

ها و کالبد شکافی آنهاHSRتوانایی تجربیات حاصل از کار با •

.خطی استفاده شد اما کنار گذاشته شدرگرسیون ابتدا از مدل

نوعی مسئله ی بینی بر اساس شتواهد موجتود ها که HSRتشخیص ماهیت مخرب که برای بیزی مدل شبکه های .انتخاب شداست

ل می کوشد سیستم و قواعد آن را در قالب نمادها بیان کند و با نگاشت اطالعتات بته نمادهتا و قتوانین بته حت . ]15[بپردازدمسئله

شبکه های بیزی اغلب بترای شترایط متدل احتمتالی استتفاده متی شتود و بته استتدالل هتای تحتت شترایط .]17[کمک می کند( عدم قطعیت)نامشخص



:]20[شبکه بیزی شامل

. ت یک مجموعه از متغیرهای تصادفی، مجموعه رئوس گراف را تشکیل می دهند1

.می نامیمYرا والد Xباشد، Yبه رأس Xت یک مجموعه از یال های جهت دار که اگر یک یال از رأس 2

دارد که تأثیر گره های والد بر روی این گتره را P(Xi | Parents(Xi) )یک توزیع احتمال شرطی Xiهر گره ت 3.به صورت عددی نشان می دهند

.گراف هیچ دور جهت داری ندارد و درواقع، یک گراف بدون دور جهت دار استت 4

ل شرطی و استفاده از افراد خبره برای ر کردن جدول احتماشبکه های بیزی عمومی ترین سناریو برای یادگیری .]16[استترسیم گراف شبکه بیزی

یتل معمتوال در باشد و به همتین دل وابستگی ها در شبکه بیزی برای یک فرد خبره قلمرو کار مشکلی نمی تعیین .]18،19[صورت وجود فرد خبره تعیین ساختار شبکه آنچنان سخت نمی باشد

: نکات

.]21[است( Supervised learning)ناظراز نوع یادگیری با شبکه بیزی و بیزساده انگارانه یادگیری در شیوه


VSS

VSS

VSS

HSR


مدل گرافیکی شبکه بیزی اولیه سیستم تصمیم گیرنده



وضعیت متغیرهای خصیصه ها



آنها بر روی میزان و تاثیر مستقیم و غیرمستقیمخصیصه ها وابستگی و ارتباط برخی ماهیت بیزی اولیه ارائه شده شبکه :حسن .می دهد و تشخیص باجگیرافزارها به خوبی نشان خصیصه ها بودن را از دیدگاه تحلیل HSRاحتمال

یتدگاه از د( در جهتت افتزای دقتت )شکل به واقعیتت نزدیک ترین این شبکه علیرغم سعی در مدل کردن ساختار به اما : عیب .محاسباتی و رساندن موتور تشخیص به کارایی مطلوب دارای محدودیت اساسی است

بیزی اولیهمدل سازی شبکه

درایته از یک طرف مدت زمتان وارد کتردن و محاستبه و طاقت فرستایی زمان بر جدول توزیع احتمال کار های .است

از طتترف دیگتتر محاستتبه خودکتتار احتمتتال تشتتخیص گیگا بایتت نیتاز 12باجگیرافزار به فضای حافظه بالغ بر

.دارد

8805,306,36342 1108



ساده انگارانهمدل سازی شبکه بیز

IsRansomwareبرابری تعداد درایه های جدول توزیع احتمال گره 0.0001کاه حدود :حسن

.گردد و از طرفی بازهم تعداد درایه ها زیاد استمیساده سازی مدل قطعا موجب کاه دقت تشخیص این : عیب

107,520342 155



وضعیت متغیرهای خصیصه ها


VSS VSS

VSS

HSR

File_key

Help_File_key

Extention_list

Regedit_key Dir_key

VSS_Ditection

Regedit_Access

Dir_Access

Sus_Access

RD_key

HEF_Key

KeyWords


تصمیم گیرنده نهایی سیستم مدل گرافیکی شبکه بیزی

47/35


نهاییبیزی سازی شبکه مدل


IsRansomwareدرایه های جدول توزیع احتمال گره 24تنها نیاز به ر کردن :حسن

.گردد اما با توجه به کارایی قابل چشم وشی استمیتشخیص اند دقت کاه ساده سازی اند وضعیت متغیر ها موجب : عیب

4232 13

بودن HSRجدول توزیع احتمال گره محاسبه احتمال



مقدمهتبطتحلیل،تشخیص بدافزار و کارهای مر

6

4

3

2

1

پیشنهادی دسته بندی



و ارزیابیپیاده سازی5(2entFOX)چارچوب تشخیص پیشنهادی


:و کنترل تبادالت شبکهثبت

Wireshark،ApateDNS،INetSIM

: APIنظارت بر درخواست های

API Monitor ،WinDbg،OllyDbg،SSDT

: نظارت بر رشته ها به صورت ایستا و پویا

010Editor،PE explorer،winHex ،IDA Pro،Regshot

:شبیه ساز ها

VirtualBox ،VMware Workstation ،SandBoxie

IOنظارت بر دیرکتوری ها و عملیات های

Procmon

مدل سازی شبکه بیزی

Netica

:سازی پیاده ابزار مورد استفاده در مرحله گروه 15گروه از 6

47/37معماری یکی از محیط های یاده سازی Ahmadian.blog.ir www.mmAhmadian.ir


نیاز به برنامه نویسی سیستمی

نیاز داده های متعدد از منابع مختلف

عدم وجود چارچوب یا سیستم عامل تحلیل بدافزار

عدم دسترسی به پایگاه داده های بدافزاری خاص باجگیرافزارها

وجود منابع پژوهشی به روز در زمینه ی تشخیص باجگیرافزارعدم

وجود ابزارهای تشخیص باجگیرافزارهای ناشناختهعدم



(:بسیار زمان بر)استشده شش سناریور مختلف استفاده ازجهت ارزیابی رویکرد پیشنهادی

منفردباجگیرافزارهای شناخته شده با خصیصه های مستقل و ارزیابی های -1

2entFOXشناخته شده با ارزیابی باجگیرافزارهای -2

2entFOXبا ارزیابی باجگیرافزارهای ناشناخته و جدید -3

2entFOXارزیابی بدافزارهای انواع دیگر با -4

2entFOXارزیابی برنامه های خوش خیم مرزی با -5

ابزارهای تشخیص باجگیرافزاربا سایر 2entFOXمقایسه -6











مقدمهبطتحلیل،تشخیص بدافزار و کارهای مرت

6

4

3

2

1

پیشنهادی دسته بندی



وارزیابیسازی پیاده 5


2entFOX


در حوزه باجگیرافزار اولین دسته بندی رسمیارائه

.بر این باور هستیم که این دسته بندی دارای غالب ویژگی های یک دسته بندی مناسب است

(با توجه به اسناد موجود در دسترس). اولین روژه دانشگاهی به نتیجه رسیده در زمینه تشخیص باجگیرافزارها

.حمله باجگیرافزارهای مطرح شناخته شده روتکل مراحل عملیاتی کالبد شکافی

.باجگیرافزار مطرح20تحلیل بالغ بر

( .به وابسته خصیصه های شاخص و مناسب)موجود HSRقدرت تشخیص تمامی

(.مناسبوابسته خصیصه های شاخص و به )ناشناخته HSRتوانایی تشخیص

.در حوزه بدافزارهابرای اولین بار VSSخصیصه تشخیص و بکارگیری

(یشران منطبق بر )تشخیص در سه دسته به دلیل ماهیت احتماالتی امکان تغییر رویکرد تشخیص از باینری به

47/45



حذف شده در نسخه عمومی

47/46


[Ahmadian et al. 2015]رویه تولید گواهی امضای کدهای باینری تکمیل شده : 2-7شکل

47/46



[Ahmadian et al. 2015]رویه تولید گواهی امضای کدهای باینری تکمیل شده : 2-7شکل

47/46



Lastlineاز مجرای Anubisنمونه از ایگاههای خاص نظیر 1359جمع آوری Labs

(NCR)از نمونه ها تنها قفل کننده صفحه% 95

خانواده بیشتر جمع آوری نشد15علیرغم نمونه های زیاد در کل

تحلیل خودکار نمونه ها

:رسیدن به خصیصه های

دسترسی های غیر طبیعی در سیستم فایل

دسترسی به کتابخانه های رمزنگاری ویندوز

ا کردن فایل ها

(GetThreadDesktopمانند ) کنترل کننده دستکاپ APIفراخوان های استخراج

بررسی آدرس های بیت کوین و و بحث های تجاری باجگیرافزارها، حریم خصوصی طراحان به منظور جرم شناسی

.باجگیرافزارها آنقدر که به نظر می آیند یچیده نیستند: نتیجه نهایی

BlackHatدر « Most Ransomware Isn’t As Complex As You Might Think»رانی نسخ 2015

“Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks.“ ,

DIMVA 2015,[13]

عتتتدم تنتتتوع در ختتتانواده ادلتتته ای بتتتر باجگیرافزارهای کنونی

به دلیتل تمرکتز بتر ارائه خصیصه های محدود تنها روی کلیه باجگیرافزارها

بیعتی غیر طتاکید بی از حد بر خصیصه دسترسی باال در یاده سازیFPدر نتیجه

آینده کاریکردن یاده سازی به موکول



" Connection-Monitor & Connection-Breaker: A Novel Approach for Prevention and

Detection of High Survivable Ransomwares "Ahmadian Mohammad Mehdi,

Shahriari Hamid Reza ,Ghaffarian S. Mohammad ,12th International ISC Conference

on Information Security and Cryptography, August 6, 2015 .

47/47


احمدیانمهدی محمد 94شهریور

...باتشکر از حسن توجه شما

ار را پوشش هیچ راهکار امنیتی مستقل که بتواند امروز یا در آینده تمامی نیازمندی های مقابله با بدافز(David Harley)! از راه حل ها استای تنها راه حل یکپارچه سازی مجموعه ! دهد وجود ندارد


.باشد Frameworkو Featureتواند تداعی کننده می Fحرف

آن در تشتخیص خصیصته 2گتردد کته خصیصه استخراجی در دل ایتن چتارچوب برمتی 20ابتدا به (2و Twenty.)باجگیرافزارها بسیار کلیدی هستند

.استransOmwareیکی از حروف منتخب از کلمه Oحرف

هتای خصیصته و به این مفهوم است که اگرچه تعتداد باشد میها معنای متغیری از تعداد خصیصهبه Xحرف ار ولی این چارچوب با موتور تشخیص شبکه بیتزی ختود بستی شد عدد استخراج 20این چارچوب در این روژه

صه قابل تغییتر انعطاف ذیر است و برحسب صالحدید و یا با توجه به تغییرات آینده باجگیرافزارها این تعداد خصی. می باشد

اند کته بکار گرفته شده است و این مفهوم را برمی گردروباه و گیج کردن اینجا به دو معنی در Foxکلمه در کل، که باقدرت و دقتت بتاالیی باجگیرافزارهتای می باشند روباه زیرک 20خصیصه استخراجی مانند 20

. می نمایندبقاپذیر را گیج کرده و آن ها را شناسایی



]22[بازتعریف تابع تشخیص دهنده




ستدود بهترین راه کار بترای مقابلته بتا آن هتا، یشتگیری و م می باشند و این بدافزارها دارای مکانیزم های یچیده ای :به همین منظور توصیه می گردد که. نمودن راه های نفو آن ها به سیستم است

.کنیدتهیه به طور منظم یک نسخه شتیبان از تمامی داده های حساس

.که به طور مرتب به روزرسانی می شود استفاده کنیدضدبدافزار حتماً از یک

.فعال بوده و به درستی یکربندی شده باشدحتماً دقت کنید که فایروال سیستم عامل

کتی کلیتک تنها در صورتی که به فرستنده اعتماد دارید، بر روی لینک ها و یا یوست نامه های الکترونی.کنید

.از درستی تنظیمات مرورگر وب خود اطمینان حاصل نمایید

از بازدید وب سایت های رخطر خودداری نموده و ی از بازدید از وب ستایت هتای ناشتناس، از آلتوده .نبودن آن ها اطمینان حاصل نمایید

.کنیدبه روزرسانی به طور مرتب، نرم افزارهای مورد استفاده خود را



لیته کبررستی مختلتف، از بررسی ماهیت عمتومی باجگیرافزارهتا، تحلیتل ایستتا و ویتای باجگیرافزارهتای بعد یص کلیه تشخاین چال برخوردیم کهبه روش های تحلیل و تشخیص بدافزارها و بر اساس دسته بندی ارائه شده

ه ختارج تروژ با سایر بدافزارها از حوزه این خصیصه ها باجگیرافزارها به علت تنوع اتی آن ها و همپوشانی برخی .است

زیرا اگرچه می توان با صرف زمان و اهمیت باالیی برخوردار نیست از NHSRتشخیص باجگیرافزارهای از سویی دلیل ماهیت ارائه کرد که بتواند اکثر باجگیرافزارها را تشخیص دهد اما این سامانه بهسامانه ای نیروی قابل توجه

خواهد داشت رفتاری بسیار متنوع باجگیرافزارها و روندی که در آینده برای آن ها متصور هستیم قابلیت چندانی ن.و قطعاً کارایی و عملکرد آن نیز موردبحث قرار خواهد گرفت

می اعمال و سرباری که یک سیستم تشخیص همگانی باجگیرافزارها به سیستم رایانه ایباوجود هزینه ها کتاری ، NHSRدر حالتی که بازگردانی سیستم به وضعیت اولیته در برابتر حمتالت باجگیرافزارهتا کند

.می گردداهمیت ایین وجود این سامانه تشخیص همگانی مشخص ممکن است


2entFOX: A framework for high survivable ransomwares detection

Technology