安卓平台的勒索应用研究 王森淼
安卓平台的勒索应用研究 王森淼
安卓平台的勒索应用研究 王森淼
r
雜 yo ^ f
-
iH Eg
綱辑
-
^ j /
/ 0 NJ
/
打
1 1 I
.
又广
变
.
. .
择
.
卜 專
一
一
:
厂 叫 y LJ
.
J 、 J
/ J
 ̄
^ y y^ T V
'
*
'
'
;
* v
^ v
- ?
^
'
* ' *
' ' *
v
:
k
?
^ '
.
X j
?
>sv ^
u
\
'
y >v
= >
v
-
-
, :
>
■
:
^ >
-
;
:
;
, > ;
v : i
3
.
:
?
-
i x i
.
i i
,
; ; { ; j :
:
a
* . .
.
.
?
'
.
"
Vf d
,
^
/
^ ^
^
'
V
■
■
? ' -
- '
.
V v :
^ r
?
:
: .
:
, ? ^
s
t
;
〔 丨 '
-
、
VW -
: ; :
:
:
-
'
■ ? ? '
v
题 目 广 安 卓 平 台 的 勒 索应 用 研 究
学号 : 20 1 8 0 1 03 3
1
姓 名 王赫
:
.
. .
?
专
师 隸^
.
… 导 :
_ . … ―
—
^ 院 :
纖識学[
:
::
邊
.
密级 :
保密 期限
:
分嚎 仰 索 大摩
博 士 学位论文
m
题目 :
安 卓平 台 的 勒索 应 用 研究
学 号 :
20 1 80 1 033 1
姓 名 王:
森
淼
专 业 计 算 机 科 学 与 技 术
:
导 师 秦:
素
娟
学 院 网 络空 间 安 全学 院
:
2 0 22 年 5 月 31
日
Be i
j
i n g U n i v e r s i t y o f
P o s t s a n d Te l e c o m m un i c a t i o n s
T h e s i s fo r D o c t o r D e g r e e
?
R e s e a r c h o nR a n s o m w a r e o f A n d r o i
d
P l a t fo r m
S tu d ent No . :
20 1 80 1 03 3 1
C an d i d at e : Wa n g
S e n mi ao
S ub e c t
j
: C ompu t e rS c i e n c e
Su
p e rv i s o r :
Q i n S uj u a n
Apr i l . 7 th 2 0 2 2
,
摘
要
安卓平台的勒索应用研究
摘
要
近年 来 , 随 着 安卓 系 统 占 有 的 市 场 份额 越 来 越 高 , 勒 索 应 用 的 数量也 急 剧 上 升
。
当 前对于 安 卓平 台 勒 索 应 用 的 研究 和 防 护 仍 以 被动 检 测 为 主 , 即集 中在如何准
确 高 效地 识 别 勒 索 应 用 ,
通 过 在勒 索 应 用 被 激 活 前 定 位 该 应 用 并 进 行 处 置 , 从而达 到
对安卓设 备 的 防 护 。 然而 , 勒 索行 为 的 全 过 程 还 包 含 应 用 被 激 活 后 对 屏 幕 、 文件等资
源的劫持 以 及 勒索 应 用 为 抗 逃 逸 检 测 进 行 的 主动 进 化 仅 针 对 全 过程 某 阶段 的 孤
一
。
,
立 防 护 无 法 对勒 索 行 为 完 全 防 护 。
为 了 更 加 全 面地 保 护 安 卓 设 备 及 用 户 文 件 免 受 勒
索 应 用 的 危 害 本 文 开 展 了 安 卓 平 台 的 勒 索 应 用 研究 提 出 了 面 向 安卓 平 台 勒 索行 为
,
,
全生 命周 期 的 安 全 防护 体 系 。 本 文 主 要 研究 如 下
:
1 .
行为 可 区 分 的 勒 索 应 用 激 活 前离 线 检 测 研 究 。
现有 的 检 测 引 擎 很 难 区 分带有
锁 定 屏 幕 和 加 密 文 件 功 能 的 良 性 应 用 与 勒索 应 用 本文 提 出 了 K R D RO ED 种行为
—
,
,
在 特征集 构建 时提 出 了 联 合特
“
可 区 分 的勒索 应 用 激活 前离线 检测 引 擎 。 KR D RO I D
算 法 将 关 联 性较 强 却 又 彼 此相 互 独 立 的 多 个 特 征 加 入 关
”
征 的 概念 , 利用 K -
me a n s 、
联 关 系 进行组 合 形 成 新 维 度 包 含 关 联 关 系 的 联 合 特征 有 效 地 解决 模 型 在 进 行 勒
一
, ,
索 应 用 识 别 时 容 易 将 具 有 相 似行 为 的
,
良 性 应 用 误判 为 勒 索 应 用 的 问 题 。
实 验结 果 表
明 ,
K R D RO I D 在检 测 未 知 勒 索 应 用 方 面 , 准 确 率达 到 了
98 5 . % ;
在 区 分 具 有 相 似行
为 的 良 性 应 用 与 勒 索 应 用 方面 ,
K R D RO I D 较 其 他 检 测 引 擎 准 确 率提 高 了 约 40 % ,
解
决 了 现 有勒 索 应 用 检 测 引 擎 无 法 精 确 区 分勒 索 应 用 与 良 性 应 用 相 似行 为 的 问 题
。
2 .
基 于 兴 趣 文 件 夹 访 问 感 知 的 勒 索 应 用 实 时检 测 研 究 。
使用 了 检测 逃逸 技术 的
勒索应用 通常会 釆 用 加 固 、 隐写 、 动 态 加 载 等 方式 隐 藏 自 己 的 恶 意 行为 , 即 在被激活
后动 态 还 原 恶 意 代 码 。 因此 , 对 于 此 类勒 索 应 用 的 检 测 需 要 在 它 们 被 激 活 后 实 施 。
这
将 对 用 户 的 文 件 带 来 极大 的 加 密 威 胁 本文提 出 了 K R P ROTE C T O R 个 基于 兴 趣
—
。 ,
文 件 夹访 问 感 知 的 勒 索 应 用 实 时检 测 引 擎 。 K R P R OT E C T O R 以 空 文 件 夹 为 兴 趣 文 件
夹 的 实体 , 搭载在未被 R O OT 的 终 端 进 行勒 索 应 用 检 测 , 能够有效识 别 使用 了 动 静
态检 测 逃逸 策 略 的 勒 索 应 用 。 实 验表 明 ,
K R P RO TE C T O R 对勒 索 应 用 识 别 的 准 确 率
较 其他检测 引 擎高 20 % 以上 , 并 能 够在第
一
个文件加 密前 1 4 秒左 右 发 出 警告 ,
实现
了 在 设 备 未被 RO O T 的情况 下 , 对勒 索 应 用 加 密 文 件进行 防 御
。
i
北 京 邮 电 大学 工 学 博 士 学 位 论 文
3 .
勒 索 实 施后 资 湄 自 恢 复 技 术 研究 随 着 勒 索 应 用 的 不 断 进化 部 分 勒 索 应 用 已
。
,
经 出 现 了 利 用 U S B 屏 蔽功 能 防 止 用 户 连 接 AD B 进 行 资 源 恢复 的 功 能 另 外 。
, 现 有对
勒 索 后 资 源 恢 复 的 技 术 存 在 着 程 序 复杂 、
需要 用 户 专 业背 景 知 识 门 槛 髙 的 问 题 本 文
。
提出 了 K RRE C O V ER ,
—
个安卓 系 统 的 勒 索 实 施 后 资源 自 恢复工具 。 KR R EC OV E R
通过 自 动 终 止 勒 索 应 用 的 进 程 并 删 除 写 入 密 码 的 文 件 进行 被 劫 持 设 备 资 源 的 自 恢复
,
4 .
攻击 者视 角 的新型勒索技术研究 。
针 对 如 何 主 动 发 现勒 索 应 用 在 进 化 中 更 多
的 潜 在 威胁 ,
并 针 对 不 同 的 勒 索 行 为 进行安 全 防 护 的 问 题 ,
本 文提 出 了 基于 DN S
信
道 的 数据 劫 持 、 基 于 中 间 人 攻 击 的 数 据 劫 持 以 及基 于 DN S 劫持 的通信劫持 3 种新型
勒索技术 。 另外 , 为 了 对 勒 索 应 用 进 化 中 可 能 出 现 的 不 同 的 勒 索 行 为 进 行安 全 防 护
,
本文提 出 了
K R P RO V E ,
—
个支 持 多 种 策 略 组 合 的 安 卓 端勒 索 行 为 验 证 框 架 ,
并 针对
各 种 策 略 组 合 得 到 的 勒 索行 为 在设备 上 的 测 试结 果 给 出 了 防 御 建 议
。
关键 词 :
安 卓勒 索 行 为 可 区 分 兴 趣 文 件 夹 访 问 感 知 资 源 自 恢复 新 型 勒 索
A B S T R AC T
R e s e a rch o n R an s o m w a re o f A n d ro i d Pl a tfo r m
A B S T RA C T
R a n s o mw a r e i sa m a l i c i o u s app l i c a t i o n t h a t e x t o r t s r a n s o m f
r o m u s e r s b y r e p l ac i n g
h e k d ev i c e y oc c u p y i ng th e i r s c r e e n r e s o u r c e s an d e n c r y p t i n g t h e r pr
i
p a s s w o rd s fo rc i b l
_
t i
,
v ate fi l es , s o t h a t u s e r s c a nn o t u s e dev i c e s a n d a c c e s s f
i l e s n or m a l l y
. Th i st
y p e o f ap p l i c a t i o n
h a s l o w p r o d u c t i o n c o s t a n d h i g h th re a t t o u s e r s . T he n umb e r o f r an so m w are h a s r
i s en
y e ar s a s A n dro i d
s h arp l y i n re c e n t h a s g a i n e d m a rk e t s h a r e
.
A t
p re s e n t ,
t he re s e arc h o n An dr o i d r a n s o mw ar e a nd
t h e p r o t e c t on a g a i n s t
i r an s o m w are
h at i s he r e s e a r c h fo c u s e s o n h ow t o
ar e s t i l l i n t h e s i t u at i o n o f
p a s s v e d e t e c t on
i i
, t , m o s tof t
ac c u r a te l y a n d e ic
f i e n t l y i d e n t i fy t h e r a n s o m w a r e , a n d t o a c hi e v e th e
pro tec
ti on o f An dr o i
d
d e v i c e s b y l o c a t i n g a n d h a n d l i n g t he r a n s o mw a r e b e fo re i t i s a c t i v a t e d . H o w ev e r ,
t h e w ho le
p r o c es s o f ex o r o n a s o i n c l u de s
t ti l th e hi a cki n
j go
f i l e an d o th e r re s
s c r ee n , f o ur c e s a f
ter t h e
r a n s o m w ar e i s a c t i v a t e d , a s w e ll a s t h e a c t i v e e v o l u t i o n o f t h e r a n s o m w a r e a an t i
g ai n s
t
?
esc a
pe d etec t
ion . T he i sol a te d
p r o te c t i o n o n l y
fo r a c er t a i n s t a
g e o f t h e w h o l e p r o c e s s c a n no t
d e al w i th t h e w h o l e p ro c e s s o f ex t o r
ti o n
. I n o r d e r t o m o re c o m
p re h e n s i v e l y p r o t e c t
A nd r o i
d
i i l e s fr o m t h e h arm o f
d ev c e s an d u s e r f r an s o m w are , t h i s p a p e r c ar i e d o u t t h e r e s e a rc h o f
r
r a n s o mw a r e o n A nd r o i d p l a t fo r m , a nd p u t fo r w a r d t h e s e c u r i t y p r o t e c t i o n s y s t e m fo r t h e
w h o l e l i fe c y c l e o f r a n s o m w a re b e h a v i o r s o n An dr o i d
p a t fo r m T h e m a i n c o n t r
l .i b uti o n s o f
t h i s p ap e r a r e a s fo l l o w s
:
1 . R e s e a r ch l i n e d e t e c t i on o f b e h av i o r d i s t i n g u b h a b l e r a n s om w a r e a p p l i c a
o n of f
-
t i o n b e fo re a c t i v a t i o n I n o r d e r t o s . o lve t h e p ro b l e m
t h at t h e ex i s ing
t
r a n s o m w a re d e t e c t i o n
h e b eni
en
g i n e c an h ar y d i s t i n gu i s h o n w i t h t h e fu n c t i o n o f l o c ki n cre e n
dl
g n a p p l i c at gs
t i
an den cr
y p ti n g
fi l e f r o m t h e r e a l r a n s o mw a r e t h i ,
s
p
a p er p r o p o s e s KR D RO E D , an o l
f i ne
de te c ti o n e n
g
i iv at
n e w i t h b e h a v i o r di s ti n c t i o n b e fo r e a c t i on o f r an s o m w are . I n fe at u re s e t
" "
c o n s tru c t i o n ,
K R D RO I D prop o s ed t he c o n c e t o f
p
j
o i nt fe at u r e . It u s e d K m e a n s a l g o r i t hm
-
t o c o mb i n e m u l t i p l e fe a t
oe s w i t h s t ro n
i o n bu t
g c o rre l a t
i n de p e n d e n t o f e a c h o t h e r i n t o a n ew
d i m en s i o n of oi nt fe a t u re c o n t a i n i n
g c o r re l a t i o n re l at i o n s w h i c h e fe c t i v e l y o l ve d h e p ro b
?
s t
j
,
l e m o f r a n s o m w are i d e nt
ifi c at i o n i n t h e m o d e l E xp e r
i m e n t al r e s u l ts s h o w t h a t . K R D RO I D
a c hi e ve s 9 8 5 . % acc u r a c y i n d e t e c t i n g u n k n o w n r a n s o m w a re . In te rm s o f d i s ti n
gui shi n g b e
?
n i g n ap p l i c at i o n s a n d
rans o m w are w i t h si m i l ar b e h av i o r s
,
K R D RO I D i m pr o v e s t h e ac c u ra c y
b y a b o u t 4 0 % c o m p a re d w i t h o t h e r r a n s o m w a r e d e t e c t o n e n g i n e s i
, w hi chs ol v e s th e
p ro b
-
ii i
北京 邮 电 大学 工学博士学 位论 文
fr o m b e n i
g n app l i c ati o n s
.
2 . R e s e a rcho n rea l
-
ti m e d e t e c t o n o f r a n s o m w a r e a p p l c a t i o n b a s e d o n i n t e re s t
i
i
fo l d e r a c c e s s
p
e rc e
p ti o n . S i n c e t h ede t e c t i o n o f t h e r a n s o m w a r e u s n g d e t e c t o n e s c ap e
i i
t e chn ol o
g yc a no n y
l b e d e t e c t e d a ft e r t h e r a n s o m w a r e i s a c ti v a t e d t h e f i e s o f th e u s e r
,
l
i l l t s
yt p
i
g
i
y
.
P R OT E C T O R , are a l
-
t i m e d e t e c t o n e n g n e f o r r a n s o m w a r e b a s e d o n n t e r e s t fo d e r a c c e s
i i i l
s
u s e sad
yna
m i ca n ds t at i cd e t e c t i o ne s ca
p es tr at e g y . E x p e r m e nt a i lr e s u l t ss h owth at KR PR O
?
3 . R e s e a r c h o n r e s o u r c e s e l f r e c o v e r y t e c h n o l o g y a ft e r r a n s o m w a r e i m p l e m e n t a
?
ti on . W i t h t h e e v o l u t o n o f r a n s o m w ar e
i
, s o m er an s o m w ar e h a v e c o m e u p w i t h th e a b i l i t
y
t o
p
re v e n t u s e r s fr o m c o n n e c t i n g t o A D B fo r r e s o ur c e r e c o v e ry u s i n g U S Bs h i el di n
g
. I
n
a d d i t i o n t o r e c o v e r r e s o u r c e a ft e r e n c r ti on
t h e r e ar e p r o b l e m ss u c ha sc o mp l c a te d
p ro
?
yp
i
,
,
c e d ure sa n d h gh i t h r e s h o l d o f u s e r p r o fe s
s i ona l b ac k g r o u n d kn o w e d g e l . Th i s
p ap e r p rop o s e s
K R R E C OV E R , a r e s o u r c e s e l f r e c o v e ry t o o l b a s e d o n
-
A n dr o i d s
y s t em . KR R E C O V E R a u
?
w o r d B ym o n or
in
*
i e sw r
o m w ar e a n d d e l e t n g th e f n n t o th e h e e n c
yp t o n
ran s tte
pas s
gt
i l i i . i t i i
AP I
, K R R E C OV E R o b t ai n sth eke
y su s e
di nd
y
n a m i co
pera
t i o na n dt h el i s t ofe n c r
ypte
d
y p t e d
f l e st od e cr h een c r f e s
y p tt
i i l
.
4 R e s e a r c h o n t h e n e x t g e n e r a t i o n r a n s o m w a r e t e c h n o o g y fr o m t h e p e r s e c t v e
.
p l i
o fa t ta c k e rs . A m i i n
g
att h e
p
ro b l e m o f h ow t oa c t i v e l
y
i n dm o rep o te n t
f i al t h r e a t s i n t h e
ev o l ut o n o f r a n s o m w a r e a n d d e fe n d a g a i n s t d i f fe r e n t e x t o r t i o n b e h a v i o r s t h i a
p e rp r o
?
s
p
i
,
gene
rati o n e x t o rt o n t e c h n o l o g e s i i : d at ah i
j
ac k i n
g
b a s e do nD N Sc h an n e l
,
i i t i l
g
i i
j j
DN S h i
j
ac k n i
g
. I na d d i t o n i
, i n o r d e r t o d e fe n d a
ga
i n s t d i fe r e n t e x t o r t o n b e h a v o r s t h a t m a i i
y
PROV E n A n d r o i d e x t o rt o n
p a p e r p ro p o s e s KR
oc cur i nt h e e v o u ti o no f l rans om w are , t h i s , a
i
b e h av o rv e r
ifi c a t o n fr a m e w o r k t h a t s u p p o r t s m u b n at on s d
t
p e s tr a t e g y c o m a n
pr o v de s
i i l i l i i ,
i
d e fe n s e s u b a s e d o n t h e t e s t r e s u l t s o f e x t o r t o n b e h a v o r s o b t a n e d fr o m v a r
ious
ggest ons
i i i i
s t r a te
g y c o mb i n a t i o n s o n d e v i ces
.
P e rc e v e dR e s o u rc e s S e l f re c o v e ry
N e x t G e ner a o n R a n s o m w ar e
-
i t i
i
v
目
录
第 章 绪论
一
1
1 . 1 研宄背景 .
1
1 . 2 国 内 外研究现状
2
1 . 2 2 .
勒 索 进行 中 防 御技术研 究 现状
3
1 . 2 3 .
勒 索 实施 后 资 源 恢 复 技 术 研 宄 现 状
5
1 . 2 4 .
勒 索 技术 发 展趋 势 研 究 现状
5
1 . 3 研究 内 容
6
1 . 4 _节鋪 _
9
第二 章 勒 索 应用 行为刻 画 与 实现方法 分析 1 1
2 . 1 雛 1 1
2 2 .
设备 劫 持 型勒 索应用 1 1
2 2 . . 1 设 备劫 持 型 勒 索 应 用 的 行为 表 现 1 1
2 2 2
.
设备劫 持 型 勒 索 应 用 的 设计 实现
. 1
2
2 3 .
屏 幕 资 源 劫 持 型勒 索应 用 1
3
2 3 . . 1 屏 幕 资源劫 持 型 勒 索 应 用 的 行为表现 1
4
2 3 2
.
屏 幕资 源劫 持型勒 索 应 用 的 设计 实现
.
1
4
2 4 .
文件加密 型勒索应用 1
6
2 4 . . 1 文件加 密 型 勒 索 应 用 的 行为 表现 1
6
2 4 2
. .
文件加 密 型 勒 索 应 用 的 设计 实 现 1
7
2 . 5 本章小结 1
8
第 三 章 K RD R O I D :
行为 可 区 分 的 勒 索 应 用 激活前检测 研 究 1
9
3 . 1 弓 丨 胃 1
9
3 . 2 勒索应用 与 良 性应 用 的 区 别 2
1
3 .
2 . 1 设备屏幕 资 源劫 持类勒 索 应 用 与 良 性应 用 2
1
3 .
2 2 .
文件加 密 类 勒 索 应 用 与 良 性 应 用 23
3 . 3 方案 设计 25
3 .
3 . 1 工 作流 程 25
3 . 3 特征提取
. 2 26
3 . 3 勒索应用 识 别
. 3 29
3 . 4 实验 评 估 3 0
3 . 4 实 验数 据
. 1 3
1
3 . 4 2 评价指 标
. 32
3 .
4 实验 分 析
. 3 3 3
3 . 5 本章小结 3 6
第 四 章 KRP R O T E C T OR 基 乎 兴 趣 文 件 夹 访 问 感 知 的 勒 索 应 用 实 时
:
检测研 究 3 7
4 . 1 弓 丨 胃 3 7
4 2 .
加 密手段 分析 40
4 3 .
方案设计 45
4 3 . . 1 工 作 流程 45
4 3 2
. .
兴趣文件 夹 部署 46
4 3 3
. .
加 密 勒 索 应 用 检 测 与 文件 保护 48
4 4 .
实验 评 佔 5
1
4 4 . . 1 实验数据 5
1
4 4 2
. .
评 价指 标 52
4 4 3
. .
实验分 析 52
4 5 .
本削 结 、
60
第五章 KRR E C O V E R :
勒 索 实施 后 资 源 自 恢 复 技术研 宄 6
1
5 . 1 弓 W [
6
1
5 . 2 恢 复 策 略 设计 63
5 . 2 前提假 设
. 1 63
5 . 2 2 恢 复策 略
. 63
5 . 3 方案设计 64
5 . 3 设 备恢复 算 法
. 1 65
5 . 3 2 文件恢 复 算 法
. 65
5 . 3 监控算法
. 3 66
5 . 4 实验评 估 67
5 . 4 实 验数据
. 1 68
5 . 4 2 .
实验 分 析 68
5 . 5 本章小结 73
第六章 K RP R O V E :
攻击者视角 的 新型 勒 索 技 术 75
6 . 1 弓 丨 胃 75
6 2 .
勒 素 技 术 发 展 技 术 分析 76
6 . 2 设 备 劫 持技 术
_ 1 76
6 2 2
. .
屏 幕 资 源 劫 持技术 77
6 2 .
文件加 密 技 术
. 3 79
6 . 2 4 其他技术
. 8
1
6 3 .
新 型 勒 索 技 术 发 展趋 势 83
6 3 .
新 型勒 索 技 术模式 分析
. 1 83
6 3 . 2 新 型勒 索 技 术 实验验证
. 85
6 4 .
勒 索 行为 验证 框 架 89
6 4 . . 1 工 作流程 89
6 4 2
. .
防御策 略 92
6 5 .
木章小结 95
第七章 总 结 与 展望 97
7 . 1 工作总结 97
7 2 .
未 来展望 " 98
参考 文献 1 0
1
图 目
录
图目录
1
-
1
本文 主 要工 作
7
2 -
1
设 备劫 持 示 意 图 1 1
2 -
2 屏幕 资源 劫持 示 意 图 1
4
2 -
3 安卓 2 3
.
版本 以下重写 O n A t ac h W i nd o w 的例子 1
5
24 安卓 4 0
.
版本 以上重写 O n A t ac h W i n dow 的例 子 1
5
2
-
5 安卓 4 0
.
版本 以 上重 写 O n Ke y D o w n 的例子 1
6
2
-
6 文 件 加 密示 意 图 : : 1
6
3
-
1
具有 设 备锁 定 功 能 的 良 性应 用 2
1
3
-
2 设备 劫 持 锁 定 勒 索 应 用 和 良 性 应 用 之 间 的 区 别 23
3
-
3 文 件 加 密勒 索 应 用 与 良 性 应 用 的 区 别 23
3
_
4 行 为 可 区 分 的 勒 索 应 用 检 测 引 擎 的 工 作 流程 示 意 图 25
3
—
5 联合特征 构 建 流程示 意 图 28
3
-
6 网 格 搜 索算 法 参 数 调 优 示 意 图 3
1
3
-
7 数据 集 构 成 32
4 -
1 KR P R OT E C T O R 工 作 流 程 示 意 图 46
4 -
2 文 件 加 密 与 预警 时 间 线 示 意 图 58
5
-
1 K R RE C O V E R 工 作 流 程 示 意 图 64
5
-
2 设 备 劫 持恢 复 实 验 效 果 69
5
-
3 原始 文件 70
5
 ̄
4 文 件_ 70
5
-
5 文件 _ 70
5
-
6 设 备 劫 持恢 复 7
1
5
-
7 被加 密 的 文件 7
1
5
-
8 文 件解 密 72
5
-
9 解密 时 间 与 文 件大小 关 系 73
5
-
1 0 K R REC OV E R 资源消耗示意 图 73
6 -
1 D N S 劫 持模 式 示 意 图 83
i
x
北 京 邮 电 大学 工 学 博 士 学 位 论 文
6 -
2 基 于 中 间 人 攻 击 的 数据 劫 持模 式 示 意 图 84
6 -
3 基于 DN S 信道 的 数 据 劫持 模 式 示 意 图 85
64 基于 DN S 劫 持 的 通 信 劫 持验证 结果 86
6 -
5 基 于 中 间 人 攻 击 的 数 据劫持验 证 结 果 87
6  ̄
6 基于 DN S 信 道 的 数 据劫 持 验 证 结 果 88
6 -
7 KR P ROV E 工 作 流程示 意 图 89
6 -
8 加 载 模式 示 例 90
6 -
9 代 码恢复模式示 例 90
6 -
1 0 伪装 模式示 例 9
1
X
表目录
表目录
2 -
1
设 备劫 持型勒 索 应 用 的 典 型 特征 1
3
2
-
2 屏幕 资 源 控 制 勒 索 应 用 的 典 型 功 能 1
5
2 -
3 文 件 加 密勒 索 应 用 的 典 型 功 能 1
7
3
-
1
设备 劫 持型 和 屏幕 资 源控 制 勒 索 应 用 与 良 性 应 用 之 间 的 区 别 22
3
-
2 文件 加 密勒索 应 用 与 良 性应用 的 区 别 24
3
-
3 聚 类 结 果 评 价 变 量 详情 28
3
-
4 模 型 参 数 选择 详情 3
1
3
-
5 K R D RO I D 勒 索 应 用 识 别 结果 34
3
-
6 K R D RO I D 、 R Pa c k D r o
-
i d 和
H EL D O R I D 的 比 较结果 35
仁1 勒索 进 行 中 防 御 技 术 概 览 39
4 -
2 加 密 型 勒 索 应 用 的 攻击 时 间 特 征 40
4 -
3 加 密 型勒 索 应 用 的 攻 击 目 标 文 件 夹 特 征 41
4  ̄
4 加 密 型 勒 索 应 用 加 密 时 遍历 方 法 特 征 41
4 -
5 加 密型勒 索 应 用 加 密 时 文 件获 取 顺 序 特 征 4
1
4  ̄
6 加 密 型勒 索 应 用 加 密 时 加 密 顺 序 特征 42
4 -
7 加 密型勒 索 应 用 加 密 时加 密 方 法 特 征 42
4 -
8 加 密 型 勒 索 应 用 加 密 时 加 密模 式 特 征 43
4 -
9 加 密 型 勒索 应 用 加 密 时 加 密 策 略 特 征 44
4 -
1 0 加 密 型 勒 索 应 用 加 密 时 目 标 文 件 选择 特 征 44
4 -
1 1
加 密 型 勒 索 应 用 加 密 时加 密 文 件 名 变 化 特 征 45
4 -
1 2 K R P R O TE C T O R 良 性应 用 过 滤 规 则 48
4 -
1 3 K R P RO T E C T O R 与 其 他 加 密勒 索 应 用 检 测 引 擎 的 实 验 对 比结果 . . . . 54
4 -
1 4 K R P RO T E C T O R 文 件 防 护 测 试结 果 56
4 -
1 5 六 种 测 试 设备 的 结 果 展 示 59
5
-
1
测 试数 据集 组 成表 68
6 -
1
安卓 版 本 与 设 备 劫 持 ( 加密 ) 实 现 方法 77
6 -
2 安 卓 版 本 与 屏 幕 资 源 劫 持 实 现方法 79
6 -
3 安 卓 版 本 与 文 件 加 密 实 现方 法 80
x i
北 京 邮 电 大 学 工 学 博 士学 位 论 文
6  ̄
4 安卓 版 本 与 按 键 屏 蔽 实 现 方 法 8
1
6
-
5 安 卓版 本 与 信 息 窃 取实 现方法 82
6  ̄
6 新 型 勒 索 应 用 攻 击 技 术在 安 卓 不 同 版本 上 的 验 证 85
6 -
7 防御效果概览 93
x i i
符号 歹 表
!
|
符号列表
R 勒索应用 集合
Rl d 设备 劫 持 型 勒 索 应 用
R s rc 屏 幕 资 源 劫 持 型勒 索 应 用
R fe 文 件加 密 型 勒 索 应 用
Bl d 设备 劫 持 型 勒 索 应 用 运 行 时 行 为 表 现
B S rc 屏 幕 资 源 劫 持 型 勒 索 应运 行 时 行 为 表 现
B f e 文 件 加 密 型 勒 索 应 用 运 行 时行 为 表 现
Ml d 设 备劫 持 型 勒 索 应 用 勒 索行为 实 现方 法
M s hc 屏 幕 资 源 劫 持 型 勒 索 应 勒 索 行为 实 现 方 法
Mf e 文 件 加 密 型 勒 索 应 用 勒索行为 实 现 方法
<Asu b ,
R r > A PI 调用 序列
? ^ ord er 〇
文件加 密 索应用 攻 击 方 式
"
ot ti me j
O ^^ t ar et j
〇 tt
>
e nm e t h od
.
^^ fe a } 萄 J [
'
!
( g i i
Em o de 勒 索 应 用 加 密 模式
EL 相 加 求 和
o
AD B A n d r o i d D e b u g B r
i dge
x i i i
第 章 绪论
一
第 一
章 绪论
本章 将 介 绍 四 部 分 内 容 ,
包 括 研 究背 景 与 意 义 部 分 、
国 内 外 研究现 状 部分 、 研究
内 容 部 分 以 及 章 节安排部 分 。 研究 背 景 与 意 义将 阐 述 勒 索 应 用 特 点 以 及 安 卓 平 台 勒
索 应 用 防 护 体 系 中 存在 的 威 胁 , 研 究 现 状 将 阐 述 当 前 安 卓 平 台 勒 索 应 用 研 究 中 存在
的问题 , 研 究 内 容 将 阐 述本 文 解 决 的 问 题 及 研 究 成 果
。
1 1
.
研 究背 景
勒 索 应 用 是 通 过 更 改 用 户 的 设备密 码 强 制 、
占 用 用 户 的 屏幕 资 源 、 主动 加 密 或盗
取用 户设 备 中 的个人文件等 操 作 , 使 用 户 无 法 正 常 使 用 个 人设 备 、 无 法 正 常打 开 文
件 , 从 而 向 其 勒 索 赎金 的 恶 意 应 用 。
该 类 应 用 生 产 成 本 低 廉 且 对 用 户 的 威胁 较 高 。
近
年来 , 随着 A n dr o i d 系 统 占 有 的 市 场 份额 越 来 越 高 , 勒 索 应 用 的 数量 也 急 剧 上 升 。
自
20 4 年第 个在 A n dr o d 平 台 实现 的勒索 应 用 的 出 现 至 今 勒 索 应 用 的 数量 不 断 增
一
1 i
,
⑴
长 据统 计 2 02 年 全 年 发 生 的 勒 索事件 较 上 年 度 增 长 了 48 % 根据 F re e B u f
一
。 1 1 。
,
发 布 的 统 计数据 可 知 , 勒 索 应 用 对 用 户 造成 的 经 济损 失 逐年上涨 ,
20 1 9 年用 户支付
赎金 的 平 均 金 额 为 2 5 .
万美元 ,
2020 年 用 户 支 付 的 赎 金是 20 1 9 年的的 3 52
.
倍 , 高达
⑵
8 8
.
万美元 , 到 2 02 1
年 , 该金 额 已 经 超 过 了 1 1 . 8 万 美元
。
4
近年来 基 于 安卓 平 台 的 移 动 设 备 大 幅 增 加 值得注 意 的 是 年底
3
到 20 2 0
[ ]
。
, ,
,
安 卓 的 数 量将 达到 6 1
亿左右 。 目 前 ,
A n dro i d 上运 行 的 勒 索 应 用 仍 然 是 移 动 设 备
面 临 的 主 要 威胁 。
据 C h e c k Po nt i
发 布 的 报 告显示 , 在 2 02 1
年 的 最 后 六个月 , 加 密勒
索 攻击 增 加 了
57 % 。
报 告 中 还提到 , 平均 每 1 0 秒 就会 有 一
个新 组 织 受 到 加 密 勒 索 应
用 的 攻击 由 于 网 络 犯 罪 的 风 险 低于 现 实 犯 罪 所 以将 吸引 更多 的 罪 犯 实施
3
_
1 ( ) 1 1 1
[ ] [ ]
。
,
和 传 播勒 索 应 用 ,
这 将 对 安 卓 平 台 构 成 更大 的 威 胁
。
当 前 对 于 安 卓 平 台 勒 索 应 用 的 研 究 和 对勒 索 行 为 的 防 护 仍 处 在 以 被 动 检 测 为 主
的局面 , 即 绝 大 多 数 研 究 集 中 在 如 何 准 确 髙 效地 识 别 勒 索 应 用 ,
通 过在 勒索 应 用 被激
活 前 定位 到 该 应 用 并进 行 处 置 , 从 而 达 到 对安 卓 设备 的 防 护 。 然而 , 勒 索行 为 的 全 过
程 还 包 含 着 应 用 被 激 活 后 对屏幕 、 文 件 等 资源 的 劫 持 , 以 及 应 用 为 抗逃逸检测 进行 的
主动进化 仅 针 对 全 过程 某 阶 段 的 孤 立 的 防 护 无 法 对勒 索行 为 的 全 过 程 起 到 防 护
一
的 作用
。
为 了 更 加 全 面地 保 护 安 卓 设备及 用 户 文 件 免 受 勒 索 应 用 的 危 害 ,
本文开展 了 安
卓 平 台 的 勒索 应 用 研 究 , 提 出 了 面 向 安卓 平 台 的 勒 索 行 为 全 生 命 周 期 的 安 全 防 护 体
系 ,
包 含 在 勒 索 应 用 攻 击 实 施 前在 服 务 器 端 对勒 索 应 用 的 识 别 ;
攻击 实 施 中 在设备 端
对 勒 索 应 用 的 识 别 与 对勒 索 行 为 的 阻 断 ;
攻击 实 施 后 在 设 备端 进 行 被 劫 持 资 源 的 恢
1
北京 邮 电 大 学 工学 博士学 位 论 文
复 , 以 及 通 过 对勒 索 应 用 攻 击 行 为 进 化 方 向 的 研 究 , 进行 潜 在 威 胁 的 主 动 发 现 。 本文
研 究 将对 勒 索 应 用 的 被 动 检 测 与 主 动 防 御 相 结 合 , 在勒 索 行 为 的 全 生 命 周 期 形 成 了
面 向 设 备 与 数据 的 安 全 防 护 体 系 ,
对 系 统 的 安 全 性起 到 了 重 要 的 作 用
。
1 2 .
国 内 外 研 究现状
本 节 将 围 绕 着勒 索 应 用 从 安 装 到 成 功 实 施 后 的 整 个 生 命 周 期 , 对其 涉 及 到 的 检
测技术 、
防御技术 、
资 源 恢 复 技 术 以 及 勒 索 应 用 开 发 的 技术 发展 趋 势 现 状 进 行 介 绍 与
分析
。
1 . 2 . 1 勒 索 激 活前 检测 技术 研 究现 状
当 前 对 于 勒 索 激 活 前 检 测 技 术 的 研究 , 可 主 要 分为 基于 I/ O 的勒索应 用 检测 、
基
于 动 态 分 析 的 勒索 应 用 检 测 与 基 于 静 态 分 析 的 勒 索 应 用 检 测 [
1 4]
。
1 .
基于 I/ O 的 勒 索应 用 检 测
S S on g 等人 m 提 出 了 种通过 O 读写 C PU 使 用 率 和 内 存 使 用 率 进 行勒 索 应
一
. I/
,
用 检 测 的 方法 。
该方 法 通 过 监 视 文 件 事 件 和 计 算 资 源 来 区 分 正 常 进 程 和 勒 索 应 用 。
该
方 法 不 需 要 任 何 关 于 勒 索 代 码 的 信 息 可 以 保 护 用 户 免 受勒 索造成 的 损 害 ,
。 C o nt n e U a
i
.
等人 提出 种 感知勒 索 应 用 的 文件 系 统 通过 使用 情
6]
A O
1
S hi e l dF S S hi el dF S
[ 一
。 I /
,
况和 I RP 记 录器 (
I/ O 请 求 包 记 录器 ) 的 更改来检测勒 索 。
该方法 主 要 检 测 文 件 加 密
勒索应用 ,
也 可 以 恢 复 已 经 被 勒 索 应 用 加 密 的 文件
。
?
Fe n g Y 等 提出 了 种 基 于 欺骗 和 行 为 监控 的 文 件 加 密勒 索 应 用 检 测 方法
他
一
。
们 开 始 就在 设 备 中 创 建 了 诱饵 文 件 以 引 入 加 密诱 饵 文 件 的 勒 索 应 用 通 过这 种 方
一
,
。
式 ,
可 以 检测 异常过程
。
总 而 言之 , 基于 I/ O 使 用 情 况 的 勒 索 应 用 检 测 引 擎对 文 件 加 密 非 常 敏 感 , 因 为勒
索 应 用 加 密需要大量 的 输 入 和 输 出 文件流 。 设备劫 持型勒 索 应 用 与 控制 资源 劫持型
勒 索 应 用 资 源 可 能 不 适 用 于 使 用 基于 I/ O 的 勒 索 应 用 检 测 手段 进行 检 测
。
2 .
基 于动 态分析的 勒索 应 用 检测
S g an du rr a D 等人 间 提 出 的 E de R an 种 基于 动 态 分 析和 机 器学 习 分 类 的 面 向
—
l
,
勒索 应用 的 检测 引 擎 。 E de R an
l
侧 重于 检查 应 用 程 序 的 安装 ,
通 过 通 过监控选 定 的
A PI 来 检 查勒 索 应 用 的 特 征 和 迹 象
考 虑 到 某 些 勒 索 应 用 可 能 使 用 复杂 的 包 装 技 术 ,
C hen J 等 提出
一
种 具有 动 态
分析 的 实 时 勒 索 应 用 检 测 系 统 ,
R a n s om P ro b e r 。 R an s o m Pro b er 不 是监 视 API ,
而是使
用 信 息 摘来 衡量敏 感 录 中 的 数 据 转换程 度 在某种程度上 它 可 以 检测 具有定
9]
1
[
目 。
,
制 密 码 系 统 的 文 件 加 密勒 索 应 用
。
具有 动 态 分析功 能 的 检 测 引 擎可 以 实 时检 测 勒 索 应 用 。 应 用 程序 中 检 测 引 擎 的
2
第 章 绪论
一
?
分析 时 间 大 约 需 要 秒钟 在 检 测 到 大规 模 样本 时 处 理 将非 常耗 时
1
[
5 。
,
。
3 .
基于 静态 分 析 的 勒 索 应 用 检 测
%
H e D ro d
t
是 种 面 向 勒索 应 用 的 检 测 引 擎 它 通 过 基于 N LP 的 敏感 文本
基
一
l i 、
,
?
于 Fl o w D r o d i
的 锁 定 设备功 能 和 文 件加 密 的 的 功 能 来 识 别 勒索 应 用 。 根 据检 测 引
擎 的 判 断 逻 辑 勒 索 应 用 必 须 具 备勒 索文本 ,
。 它 需 要 训 练 的 语 料 库 应 该 是 涵 盖 大概 的
勒 索 关 键词 , 以 及 语言 。 面 对 未 知 的 应 用 程序 时 语 言 , 即 使 有勒 索 行 为 , 检测 引 擎也
无 法识 别 勒 索 应 用 平均 每 个 样本 的 执 行 时 间 接 近 秒 [
2() ]
。
。
^
大约 一
年后 ,
一
些研究 人 员 改进 了 H e l D ro d i
, 并提 出 了
一
种 新的面 向 勒索应
M M
用 的检测 引 擎 ,
Gre a E a t tl on 。 它扩展了
F l ow D ro i d 来 跟 踪与 加 密有 关 的 信息 流
,
以 改 进 加 密检 测 引 擎 它 还添 加 了 个 轻 量 级 预 过滤 器 来 过 滤 分 析 队 列 中 的 元 素
以
一
。
,
缩 短执 行 时 间 当 面 对 使 用 了 不 在 语言 库 中 的 国 家 的 语言 的 勒 索 应 用 检测 引 擎
[
22 ]
。
,
无 法识 别勒索 应 用
。
?
为 了 检 测 带有 混 淆 的 勒 索 应 用 年提 出 了
23
,
20 1 8
R P ac k D r o
-
i d
[
L 与 H e D ro l i d
M
和 G re a E a t tl on 不同 , 它 被 设 计 为 可 以 安装 在 手 机 上 的 应 用 程 序 。 此检测 引 擎使用
静 态 检 测 并 提取 A PI 包 来 表 示 应 用 程序 , 并 使 用 随机 森林进 行 分 类 。 R P ac k D r o
-
i d
具
“
有 防 止混淆 的 相 关 信息
”
由于 R 的 检 测 模式 为 安装 检测 所 以在
23] 23]
[
。
-
P a c k D ro i d [
-
处 理 大 规 模样 本 的 时 候 会 非 常 耗 时
。
1 2
. . 2 勒 索 进行 中 防 御 技术 研 究现状
当 前 移 动 端 勒 索 进 行 中 的 防 御 技 术 研 究 主 要 集 中 在 勒 索 应 用 被激 活 后 , 实施加
密 前 对 用 户 进 行 预警 与 在勒 索 应 用 实 施 加 密 时 对 用 户 进行 预 警 两 个方 面
。
1 .
勒 索 应 用 被激 活 后 , 实 施 加 密 前 的 防御 技 术
勒 索 应 用 被 激活 后 , 实 施 加 密 前 的 防 御 技 术 旨 在 通 过 感知 勒 索 应 用 的 加 密 行 为
,
在 勒 索 应 用 加 密 用 户 文 件前 向 用 户 进行 预 警 , 从 而实 现对用 户 文 件 的 保护
。
设 计 的 检 测 引 擎 是搭 载 在 安 卓 移 动 设 备 上 具 有 文 件
2 4]
等人
25]
S D G u ard 和 Yu an
[ [
加 密 防 御功 能 的 勒索应 用 检测 引 擎 ,
它 们 可 以 通 过 动 态 分 析在勒 索 应 用 被激 活 后 ,
实
施加 密前检测 加 密勒索 应 用 。 Yu a n 等 人 ? 在安卓上激活 L i nu x 的 访 问 控 制 列 表机 制
,
S D G u ard 通过 修 改 安 卓 源 代 码 , 提供 了
一
个基 于 自 主访 问 控制 的 文 件访 问 控制 框 架
。
它 们 通 过 控 制 外 部存储 文 件 操 作 来 防 止 加 密 勒 索 应 用 加 密 文 件
。
前面 提 到 的 两 个 勒 索 应 用 检 测 引 擎 应 安装 在 已 经 RO OT 的 安 卓 设 备上 ,
也就是
说 安 卓 设备 应 重 新 打 开 超级管 理 权 限和 超级 管 理 员 状 态 它 们 无 法 在 没 有
, ,
RO O T
的
安卓设备 上 检 测 加 密 勒 索 应 用 。
目 前 , 目 前 对勒 索 应 用 在 被激 活 后 对 文 件 进 行 加 密 之
前 进行实 时检测 的 方法研究较少 。 研 究 人 员 通 常 通 过 修 改 文 件访 问 控 制 来 防 止 加 密
勒 索 应 用 对 文 件进 行 加 密 , 所 有 这 些 都需 要 安卓 设 备提 前 RO O T
。
些 研 究提 出 了 在 PC 端检测 密 码勒索 应 用 的 不 同 方法 , 例 如 基 于 诱饵 的 加 密勒
3
北 京 邮 电 大 学工 学 博 士 学 位 论 文
索应用 检测 。
据我 们 所知 , 这 种 方法 还 没有 成功 地 应 用 于 没有 RO O T 的 安卓设备上
的 加 密勒 索 应 用 检测
。
RW G u a r d 设置 了 两个监 控模 块 来 相 互通 信 如 果 发 现 可 疑 进程 则 根 据相 关 。
,
日 志判断
加 密是否 是 用 户 的 意 图 。
如果不是 ,
则 RW G u a r d 判 断该进程 属 于加 密勒索应用 。
作为
个 独 立 的 模块 如 果 诱饵 监 控模块 监 控到 某 个 进 程 对诱 饵 有 写请 求 则 监 控模 块 判
一
,
,
行加 密勒索 应 用 的 识 别 。
然而 ,
-
-
密 写 入 移动 的 模式 即 勒 索 应 用 不 对其 原 始 文 件 夹 中 的 文件进行 加 密
”
- -
,
RW G u a r d
可
能 无法 感知 勒 索 应 用 ,
会 将勒 索 应 用 误判 为 正 常 应 用 程 序 。 此外 ,
RW G u ar d 在 HOOK
并且 HO OK 必须应 用 在有 RO OT 的 设备上
。
也就是说 ,
RW G u a r d 使 用 的 方法不 能 在 没有 RO OT 的 情 况 下 直接 移植 到 安卓 设备上
。
R Loc ker p 7
-
1
在 L nux
i
设 备上 部 署 大 量 诱 馆 , 并 监 视 对 诱 馆 的 读 取请求 。 R L o c ke r
-
产 生 的 诱饵实 体是命名 管道 F IF O 和 大量 逻辑 链路 两者 的 存 储 消 耗 非 常小 ' 普
1
I
通 用 户 可 以在 L nux
i
设备上操作命名 管道 FI F O 和 逻辑链接 。 虽 然安卓操 作系 统基
于 L n ux
i
内核 , 但普 通 用 户 无 法 在 没 有 RO O T 的 安卓 设备上 操 作命 名 管道 FI F O 和逻
辑 链接 。 也就是说 ,
R L o c ke r
-
使 用 的 方法 不 能直接 移植 到 没有 RO OT 的 安卓 设备上
。
提出 了 种 基于 上 诱 饵 的 加 密勒 索 应 用 的 检 测 方 法 它 根据与安
2 8
M 〇〇r
e
[ ] 一
W i ndow s 。
根 据上 述 研 究 , 我 们 可 以 发现 :
基于 W i n dow s 上 的 诱 饵 的 加 密勒 索 应 用 检测 方
法 无法直接 移植到 没 有 RO O T 的 安卓设备上 。 具有大 量 额外 资 源 的 加 密勒 索 应 用 检
测 方法也不适 用 于安 卓 设备 。 现有 的 加 密 勒 索 应 用 检 测 方法 存在 很 多 局 限性 .
包括权
限要求 、 延迟检测 、
有 限 的 加 密 策 略和模式检 测 、
以及 易 受干扰等
。
因 此 ,
对于没有 RO OT 的安卓设备 .
加 密勒索 应 用 检 测 是迫切 需要 的
。
2 .
勒索 应 用 实施加密时的检 测防御技 术
S an 等人 提出 了 种基于 动 态 分 析 的 实 时 检 测 加 密勒 索 的 方法 监控文
一
un
gge 。
以判断应 用 程序 流程是
否 对文 件进 行加 密 。
为 了 监视每 个进程 的 I/ O 请求 .
此方法 需要 修 改安卓 源 代 码 。
也
就是说 .
如果 .
它 无法检 测 没有 RO OT 的 安 卓设备 上 的 加 密勒索 应 用
。
t e 。
到 操 作码 的 频率 , 并 通 过动 态 分 析监控 C PU 利用率 、
内 存利 用 率 、 网 络使用 率和 系
4
第 章 绪论
一
1 . 2 3
.
勒 索 实 施 后 资 源恢 复 技术 研 究现状
?
Chen J 等人 使 用 了 诱 饵 技 术 来 保 护 安 卓 设 备 上 的 隐 私 文件 。 通 过将 文 件索 引
设计为 诱饵 文 件 , 诱导 文 件 加 密 类勒 索 应 用 在 被 激 活 后 , 对 诱 饵 文 件进 行 加 密 , 从而
保护 用 户 的 隐 私 文 件 。 并 没 有对 设备 的 自 动 恢复 提 出 解 决 方 案
。
A n dr o i d g e ( AD B )
d D e bu g B r 是 个 通 过 计 算 机 与 模 拟 器 或 真 机 交互 的 工 具
该
一
i 。
工 具 提供 了 多 种 对 设 备 进行 操 作 的 命 令 并 提供 对 Un 的访问 权限 当设
3 1
x S he ll
t ]
i 。
,
备被 锁 定 后 ,
已 开 启 U S B 系 统调 试 的 设 备 , 能够通 过 US B 连 接 外 部设 备 的 方 式 ,
对
设 备 进行恢复 。 当 设备 未 启 动 US B 系 统 调 试 时 ,
则 不 能 使用 该方法 ,
另外 , 该方 法
无 法对 加 密 文 件进行 解密
。
种 引 导 加 载 程 序 的 模式 使用 可 以在 没有 连接 的
32]
F a s tB o ot 是 Fa s t B o o t US B
一 [
设 备上 重 写 系 统 。
当 设 备被 锁 定 后 , 利用 Fa s tB o o t 对系 统进行 重 写 , 能 够 恢复 设 备 的
使用 。 但是 由 于重写 系 统 , 用 户 在设 备 上 的 部 分 数 据 有着 丢 失 的 风 险 。 设备 不 同 的 机
型 通 过 物理 键 进入 到 Fa s tB o o t 模式 的 方 式 各 不 相 同 , 并 不 是统
一
的 另外 ; , 由 于不 同
的 安 卓 设 备 的 系 统 在设计 上 的 差 异 , 在利 用 F a s tB o o t 进人 第 三 方 re c ov e r
y 之后 的操
作 也各 不 相 同 , 若 设 备搭 载 的 系 统 进 行 了 强 制 前 台 那 么 用 户 需 要 通 过 操 作 数 据 库 进
,
行 设 备恢 复 这种 方式 要 求 操 作者具有 定 的 专业性
[
3 2] 一
。
。
目 前 对 于 移动 端 的 加 密 文 件 恢 复 大 多 使 用 逆 向 的 方 法 ,
通 过在 勒索 应 用 中 找 到
源码 从 而 利 用 加 密 密 钥 对 文 件 进行 解密 当然 如果用 户 具有 定 的 安卓背景知
一
。
, ,
识 , 用 户 也 可 以 通 过 对 勒索 应 用 进行 逆 向 操 作 , 从 而直 接在源 码 中 找 到 勒索 应 用 的 设
备解 锁 密 码 从 而 进行进 步 的 设备恢复
一
。
,
对 于 加 密 文 件 的 恢复 ,
PC 端大 多 采 用 s a n db ox
,
通 过 对其 底 层 的 fi mc t
i on 进行
HO O K 操作 , 从 而 获取到 密 钥 Xf 加 密 文 件 进行解密 。
据我 们 所 知 , 目 前仍没有
针 对 移 动 端 被 勒 索 应 用 加 密 过 的 文 件 进行 恢 复 的 工 具
。
安 卓 端 也 有 许 多 研 究 已 经 涉 及 到 在 应 用 运 行 时获 取 目 标 数 据 ,
M ob il e
-
s an d b o x
,
通 过对 其 底 层 的 f un c ion
t 进行 HOOK 操作 , 从 而 获取到 目 标 数据
。
1 2 . . 4 勒 索 技 术发 展趋 势 研 究 现 状
Cr a i
g B e am a n 等人 M 从检测 和 预 防两个角 度总结 了 现有 的勒索 应用 的 技术 发
展 。 他们提出 , 大 多 数 研 究 更 倾 向 于 使 用 动 态 分 析 而 不 是 静 态 分析来 研 究 勒 索 应 用
。
^
析 方 法 也 可 以 被 逃避 。 KH ARAZ A
等人 提 出 的 方法 中 的 虚 拟 环 境 有 可 能 被 攻击 者
发 现 和 规避 。 这两 种 分 析 的 一
个 局 限 性是 其 结 果 通 常 不 能 推 广 到 所 有 的 勒 索 应 用 变
,
体 而 诸如 访 问 控 制
。 、
密 钥 或 数据 备份 等 预 防 性 技 术 虽 然 可 以 减 少 勒 索 应 用 对 系 统 造
成的损 害 , 但 不 能 阻 止 未 来 的 攻击 。 这 些 以 预 防 为 基 础 的 方法 也 有 缺 点 , 他们 的开销
5
北 京 邮 电 大学 工 学 博 士 学 位 论 文
可能很大 访 问 控 制 或 数 据备 份 需 要 较 大 的 计 算 成 本 创 建 数 据 备份 可 能 会 极 大
[
37]
。
,
影 响 系 统性 能 尤其 是 在 高 工 作 负 载 情 况 下 [
3 8]
。
,
M
B a r kw o r h 等人 开发了 款釆 用 了 动 态 加 密 与 混 合加 密相 结合 的 勒 索 应 用
一
AE S t h e ti c 来测试 目 前 的勒 索 应 用 检测 引 擎 的 有效性 。
结果 表 明 , 当 前的勒索
应 用 检测 引 擎可 能过于依赖 简 单 的 基于 签名 的 静 态 分 析检 测 。 当 检测 引 擎对使用 了
动 态 加 密 方式 或 者 自 定 义 加 密 方 式 进行 文 件 加 密 的 勒 索 应 用 进行 检 测 时 ,
当 前 勒索
应 用 检 测 引 擎 出 现 了 很 大 的 误报 。 从而 得 出 了 勒索 应 用 在 未 来进行 文件加 密 时 可 能
会 更 多 地 应 用 动 态 加 密 或 混 合 加 密 等 技 术 的 发 展预 测
。
Ca l v i nB r
i erley 等 人 刚 研究 了 勒索 技 术在 Io T 设 备 上 实 施 的 可 行性 。 针 对基于
L hm x 系统的 I oT 设备 , 他 们 开 发 的勒 索应 用 P ap e r W 8 成 功 感染 了 六 种 不 同 品 牌 的
I 〇T 设备 , 其 中 包括 了 一
些 目 前 使用 广 泛 的 Io T 设备 。 C al v n B r
i er
i l ey 等 人 的 研究表
明 针对 Io T 领 域 的 勒 索 攻击 完 全 可 行 , 随着 Io T 的 快速 发 展 , 需 要研 究 针 对 这种 威 胁
的 应 对措 施
。
1 3 .
研究内 容
通 过 对勒 索激 活 前 检 测 技 术 、
勒 索进 行 中 防 御 技 术 勒 索 实 施 后 资 源 恢 复 技 术 以
、
及勒 索 技术 发展趋 势 的 研究 ,
本 文 总 结 出 了 在 安 卓 平 台 的 勒 索 应 用 研 究 中 存在 的 下
述问题
:
1 .
如 何在 勒索 激 活 前 进行大 规 模离 线 检 测 ,
且 该 检 测 能 够 正 确 区 分勒 索 应 用 、
与
勒 索 应 用 具 有 相 似行 为 的 良 性 应 用 。 现 有勒 索 应 用 检 测 引 擎 大 多 通 过 是 否 存 在 勒 索
文 本 与 是否 存在 与 锁 定 设 备 、 加 密 文 件相 关 的 敏 感 API 进行勒 索 应 用 检测 。 这 使得
“ ”
等 与 设 备 劫持 类 勒 索 应 用 具 有 相 似 设 备 锁 定 类 行 为 的 良 性 应 用
“
如 主题锁屏 、
隐
”
私 文 件 管 理 等 与 文 件 加 密 类 勒 索 应 用 具 有 相 似 文 件 加 密行 为 的 良 性 应 用 , 易 被误判
为勒索 应用 , 现 有 勒 索 应 用 检 测 引 擎 无 法 精 确 区 分 勒索 应 用 与 良 性 应 用 的 行 为
。
2 .
如 何 在 保 护 用 户 文 件 不 被 加 密 的 前 提下 , 能 够成功 识 别 使用 了 逃逸 技 术 的勒
索应 用 。 现有 的 基 于 静 态 检 测 的 勒 索 应 用 检 测 技 术 在 应 用 被 激 活 前 进 行 检 测 , 能够保
护 用 户 文件不被加 密 , 然 而 该 技 术 无法识 别 使 用 加 固 、 混 淆 等 检 测 逃逸 技 术 进 行 代 码
隐藏 的勒 索 应 用 ;
现有 的基于动 态检 测 的勒索 应 用 检测 技 术主要 分为 两类 :
基于 诱
饵 技 术 的 设 备 端实 时 检 测 与 基 于 底 层 AP I HO O K
-
技 术 的 动 态分析 , 这 两类 技 术 均 在
勒 索 应 用 被激 活 后 进 行 检 测 。
若 勒 索 应 用 在 选择 目 标 文 件 加 密 时 使 用 了 空 文 件 过滤
、
隐 藏 文 件 过滤 、
用 户 偏 好文 件选择 等 诱 饵 文 件 逃逸 策 略 ,
利 用 诱饵技术 的检 测 方法将
无法 识 别 该 类 型 的 勒 索 应 用 ;
若 勒 索 应 用 在使 用 了 自 定 义 的 加 密 方 法进 行 文 件 加 密
,
由 于 无 法 识 别 加 密 方法 , 很 可 能 导致 HO O K 技 术无法提取加 密 特征 , 从而 无法识 别
该 类 型 的 勒索 应 用
。
6
第 章 绪论
一
3 .
处于未被 R O OT 的状态
。
4 .
如 何在 不 连 接 其 他设 备 的 前提下 , 使 被勒 索 应 用 劫 持 的 资 源 进行 自 恢复 。
当前
对 被勒 索 应 用 劫 持 后 的 资 源恢 复 , 通 常 先要将被感染 设 备 连接 到 其 他设备 上 , 之后的
利 用 人工逆 向 或 ADB 调 试 等 方法 进 行 资 源 恢 复 。 然 而 随着勒索 应 用 的 不 断进化 ,
目
5 .
如 何 主动 发 现勒 索 应 用 在进 化 中 的 潜在威 胁 ,
并针 对 不 同 的勒索行为 进行安
全 防护 。 当前 , 对 于 勒 索 应 用 技 术 的 进 化 研究 仍 处 于 被 动 防 御 模式 , 即检测 、
防御等
防 护手段滞 后于勒 索 技 术 的 发 展 , 当 新 的 勒 索 应 用 出 现之 后 , 对应 的 防护措施才 会 陆
续出现 。 无法通 过勒索行为 自 主生 成 的 方法 , 对 勒 索 应 用 在 进 化 中 的 潜在 威 胁进 行 主
动 防御研究
。
图 1
-
1
展示 了 上述 问 题与 本 文 研究 成果之 间 的 关 系 , 本文 的 研究 成果 如 下
:
mm
▲
安 卓 平 台 的 勒 索ES 用 研 究
1
4
部署 在跟 努 器 端 觸 在 设 觸
研究 角 度
j [
安 卓 应 用 程序
'
 ̄  ̄
 ̄  ̄
;
I -
\
i
,
4
丨
抝何 在勒 索 激活 前 逬行 大 抝 何 在保 护 用 户 文 翅 何 在设 备 未 妬何主动 发 現勒察
规模离^ 且 该检 激 件 不 被 加 密的 前 徨 被 R 〇 〇 T 的情
,
| 应 困 在进 化 中 的 潜
存 在 问 题 能 移 正 截 区 分勒累应 甩 下 能 够成功 识 別 况 下 实现対 、 , ,
在 截 胁 并针对不
,
与勒累应 用 具 有栢似行为 使 用 了 进逸 技 术 韵 勒累 应 用 加 密 同 的勒 累 行 为 进 行
^
雲
—
的 良 性应 用 _察应 用 。 文 件 的 防御 。 。 安 全 訪护
。
"
提 出 了 种 基 于兴 件夹 访 问 感 知 押 屮 7 :宕 雜
、 握 出 了 新型 5素 应 用 W 能进 化
一
& -
.
|
艦 成里 )
提出 了 种^ 为 可 区分的 的 适 用 于 未 R 〇 〇 了 设 备 的 勒 案 应 用 检
一
f 的方 向 并进行验 证分析 ,
。
附九 城未 源 曰 炒友
丨
勒 察应 用 检 _方 法 瀏 方 法 且 该方 法 能 _ 特 所应 用 捆 6
漂 2 揋 出 了 个 支 持 多 种 策 鉻钽合
,
.
一
件进 碰 鶴 S ^ A n d o ^ l 累 行 为 验证框架 陣 。
^
r i c {
」
第 第眶 第 SS 第 鴻
勒 索 激 活 前 勒 麵 行 中 勒 链 施 后 新 型 勒 索 技 术 发展
图 1
-
1
本 文 主要 工 作
1 .
针 对上 述 问 题 1
, 本 文 从运 行 时 的 行 为 与 代 码 实 现 等 多 维 度 分 析 了 与 勒 索 应 用
具有相 似行为 的 良 性应 用 与 勒索 应 用 之 间 的 区 别 。 基 于 对勒 索 应 用 与 良 性 应 用 的 分
7
北 京 邮 电 大学工 学 博 士学 位 论 文
析 , 从 AP I 调用 、
权限 、
意图 、
敏 感 字 符 串 和 其 他 敏 感 信息 维 度提 取特征 , 构 建不 同
类型 的勒索行为模式特征 形成 个保 留 了 勒 索 行为 信息 的 表达式 集 合 同时 提出
一
。
: ,
用 。 实 验结果 表 明 ,
KR D R O D I
在检 测 未 知勒索应 用 方面 , 准 确 率达 到 了 9 7 . 8 % :
在
区 分 与勒索 应 用 具有相 似行为 的 良性 应 用 与 勒索 应 用 方面 ,
KR D R O D I
较 其 他勒索 应
用 检 测 引 擎 准 确 率提高 了 约 40%
, 解 决 了 现 有勒 索 应 用 检 测 引 擎 无 法精 确 区 分勒 索
应用 与 良性应 用 的行为 的 问题
。
2 .
针对上述 问 题 2 和 问题 3 , 本 文 从 攻击 时 间 、
目 标 文 件夹 、 遍 历方式 、 文件排
列 、
加密范围 、
加 密方法 、
加 密 模式 、 加密策略 、
目 标 文 件 和 加 密 文 件 等 方面 总 结 了
6 大主 流勒 索 家族 的 675 个 文 件 加 密 型 勒 索 应 用 的 加 密 行 为 的 攻击 特 征 。 基于 上述 分
析 .
提 出 了 基于 兴趣 文 件夹 监控 、
搭 载在 未 被 R O OT 过 的 安卓设备端 的 加 密勒 索 应
用 检测策略 。
该 策 略 以 空文 件夹为 兴趣文 件夹 的 实 体 , 搭载在未被 RO O T 的 终 端进
行勒 索 应 用 检 测 , 能够有效识 别 使 用 了 动 静态检测 逃逸策 略 的勒索 应 用 。 本 文还证 明
了 该策略除适 用 于 安卓 系 统 外 ,
也可 以 在未 获 得管理 员 权 限 的 前提下 , 在更多 种 类 的
其 他 设备 上 实 现 。
为 了 更好地保护 文 件 免受勒 索 应 用 的 攻击 ,
本 文 基于 上述 策 略 实 现
它 对勒 索 应 用 识 另 的 准 确 率较
'
等
23 20
了 ^ 1 〇 丁丑 〇 11 ^ 3〇 ^ 〇记 ^ 〇 记
' '
:1
] [ ]
〇
[
1 1 ( .
1
1 1 1 、
1 1 1
】
引 擎高 20 % 以上 并 能够在第 个文 件加 密前 4 秒左 右 发 出 警告 实 现 了 在设 备 未
一
1
, ,
被 RO O T 的情况下 , 对勒 索 应 用 加 密 文 件 进 行 防 御
。
3 .
与 文 件加 密型勒索 应 用 的 勒 索 原理进行 了 分 析 ,
并 基 于 该 原 理提 出 了 在 安 卓 终 端
自
动恢复被劫持 的 设备 资源 与 被加 密 的 文件 资 源 的恢复 策 略 :
通过 自 动 终 止勒 索 应 用
的 进程 并 删 除写 入密 码 的 文 件 的 方法 , 实 现 了 在安卓 端对被勒索 应用 劫持 的 设备 的
自 动 恢复 :
通过对加 密 AP I
的 监控 , 获取其 在动 态运 行 中 ,
进行加 密 时使 用 的 密钥 与
密 的 文件 恢复 。 解决 了 在 不 连接其 他终端 的 情 况 下 .
使被勒 索 应 用 劫 持 的 资 源 进行
自
恢复 的 问 题
。
4 .
本 文提 出 了 新 型勒 索 应 用 可 能 进 化 的 方 向 , 即 攻击者 视 角 下三 种 在安
卓端可 以实 现 的 新型勒索技 术 .
并验证 了 其实 现 的 可 能 性 。 为 了 方 便安 全分 析 人 员
针 对 不 同 行为 表 现 的 勒 索 应 用 进行 防 护 策 略 的 研究 本文提 出 了 个 支 持多 种 策 略
一
组 合 的 安卓 端勒 索 行为验证框 架 .
框 架 内 依据现有勒索技 术与 提 出 的 新型勒索技 术
,
同 的 勒索 行为 进行 防 护 研究 。 实 现 了 主动 发 现勒索 应 用 在进 化 中 的 潜在 威胁 , 并针对
不 同 的勒 索行为 进行安 全 防护 的 目 标
。
8
第 章 绪论
一
1 4
.
章节安排
本 文 共 有 七 个章 节 , 安排 如 下
:
第 章 为 绪 论 部 分 首 先 对 安卓 平 台 的 勒 索 应 用 研 究 背 景 与 意 义进 行 了 介 绍 之
一
。
,
后 对勒 索 激 活 前 检 测 技 术研 究 、
勒 索 进行 中 防 御 技 术 研 究 勒 索 实 施 后 资 源 恢 复 技 术
、
研 究 以 及 勒 索 技 术 发 展 趋 势 研 究 的 国 内 外 现 状 进行 介 绍
。
第 三 章为 勒 索 应 用 激活 前 检 测 的 研究 。 该 章节 首 先对 锁 屏 主 题 美 化 应 用 与 设 备
劫 持 型 勒 索 应 用 屏幕 资 源 劫 持 型 勒 索 应 用
/ 、
隐 私 文件管 理 应 用 与 文 件 加 密 型 勒 索 应
用 这 两 组 运 行行为 具 有 相 似 性 的 良 性 应 用 与 勒 索 应 用 进行 了 运 行行 为 与 设 计 实 现 上
的 对 比分析 基于 分 析 结 果 提 出 了 种 行 为 可 区 分 的 勒 索 应 用 激活 前离线 检测 方法
一
。
,
该 方法 可 以 辨 别 未 知 的 勒 索 应 用 , 并 且准 确 率高 达到 了 9
7 8%.
。
同时 ,
它 也可 以 区分
勒索应用 与具有类似勒 索行为 的 良性应用
。
第 四 章 为 勒 索 进行 中 防 御 技 术 研 究 。
该章 节 首 先 对 收 集 的 675 个分 属 于 6 大家
族 的 文 件 加 密 型 勒 索 应 用 的 加 密 手 段 进行 分 析 。 并 基 于 该 项 分 析提 出 了 基 于 兴 趣 文
件 夹访 问 感 知 的 勒 索 应 用 实 时 检 测 技 术 该 技 术 利 用 兴 趣 文 件 夹 的 访 问 状 态 对勒 索
, ,
应 用 的 加 密 行 为 进行 感 知 ,
能 够在勒 索 应 用 加 密 用 户 文 件之 前 识 别 设 备上 的 勒 索 应
用 , 同 时 对 用 户 进 行预 警 , 对设 备 上 的 文 件起 到 了 保 护 作 用
。
第 五 章 为 勒 索 实 施后 资 源 恢 复 技 术 研 究 。 该 章 节 阐 明 了 设 备 的 资 源 恢复 所 需 要
的 前 提条 件 。 基 于 该 前 提 条 件 提 出 了 针对设 备 劫 持 型 勒索 应 用 、
屏 幕 资 源 劫 持 型勒 索
应 用 与 文 件 加 密 型 勒 索 应 用 的 资 源 恢复 策 略 最 后 基 于 资 源 恢复 策 略 设 计 实 现 了 。
,
一
款搭 载 于 安卓 设备上 的 资源恢复 工 具 。
实 验表 明 , 该 工 具 能 够 自 动 恢复 被 勒 索 应 用 劫
持 的 设备 、
自 动 释 放被 勒 索 应 用 劫 持 的 屏 幕 资 源 、 自 动 恢复 被 勒 索 应 用 加 密 的 文 件
。
第 六章 为 攻 击 者 视 角 的 新 型 勒 索 发 展 技 术 分 析 。
该 章 节 提 出 了 安卓 系 统 上 新 型
勒 索 技 术 的 可 能 发 展趋 势 , 并 通 过 实 验验 证 了 上 述 技 术 应 用 到 勒 索 应 用 中 的 可 能 性
。
第 七章为 总 结与 展望 。
该 章节 总 结 了 本 文 的 研 究 工 作 , 简 要 总 结 了 各 项 研 究取 得
的 成 果 与 研究 的 不 足 之 处 。 同时 , 对未 来 的 研究 方 向 进行 了 展望
。
9
北 京 邮 电 大学 工 学 博 士 学 位 论 文
1
0
第二章 勒 索 应 用 行 为 刻 画 与 实 现 方法 分 析
本章将对设 备 劫 持 型勒 索 应 用 、
屏幕 资 源 劫 持 型勒 索 应 用 与 文 件加 密 型 勒 索 三
类 应 用 勒 索 应 用 的 行为表现进行刻 画 , 并 对 其 勒 索 行 为 的 底 层 代 码 实 现 进行 分 析
。
2 1 .
概述
如 公式 2
-
1
所示 ,
i?
代 表勒 索 应 用 的 集 合 ,
i? 包 含三 种勒 索 应 用
和
表示 设 备 劫 持 型勒 索 应 用 ,
它通 过 自 动 修改设备 密 码 来勒索 用 户
。
表示 屏幕 资源劫 持型勒索 应 用 ,
它 通 过持续持有 屏幕 资 源来 勒索 用 户 。
表示 文
件加 密型勒 索 应 用 , 它 通 过加 密 私 人 文 件来 勒 索 用 户
。
R
=
{
R L D R S RC R
- - -
;
-
Fe } (
2 -
1
)
2 2 .
设备劫持型勒 索应用
设备劫持 型勒索 应 用 是最 常见 最容 易 开 发 的 勒索 应 用 我 们 在 、 。 AM D ?l
与 v i ru s
-
—
t o ta l 开 源 数据集 中 收集 了
46 1
个设 备 劫 持 锁 定 类勒 索 应 用 , 并 总 结 了 1 8 6 个设备
劫 持型勒 索 应 用 的 特征
。
2 2 . . 1 设备劫持型 勒 索 应 用 的行为 表现
如图 2
-
1
所示 :
它 通过重置 用 户 的 密码 来 阻止用 户 正 常使 用 他 们 的 设备 。 激活它
们后 , 它们 可以 自 动 修改密码 、 PIN 或手势密码
。
¥ d B r 3
|
M n -
J
1
S 蠢 i S 翻f
m ll
U
设 备 劫 持前 设备锁 定
图 2
-
1 设备 劫持示 意 图
1
1
北 京 邮 电 大 学 工 学 博 士 学 位论 文
典型 的设备加 密 如 公 式 2
-
2 中的 所示 ,
可被表示 为
和
构 成 的 三 元组 & d 包 含 数 据 库 和 带 有 密 码 的 文 件 的 绝 对 路径 如 公 式 。 。 2 3
-
所示 ,
5^
表示 按 键 禁 用 、 US B 禁用 、
设备锁 定 等典型行为 。
表示 的 代码实现 。
设备
加 密 的 详 细 实 现 将在 算 法 2 . 1
中 描述 。 l oc k s e t t n g db i .
表示 包含 s al t 值信息 的 数据 库
。
s av e _
p a th 表示 保存 新 密 码 的 绝 对路径 。
p a s s w o rd 为 书面声 明 的 密码 。
设备 加 密 的 实
现包 含三个步骤
。
1
) 新密 码初始化 。
攻 击 者 通 过 分 析 相 关 数 据 库 或 利 用 安 卓 反 射 机 制 获 取设 备 的
s al t 。 s al t s al t
, ,
和 SHA 值 然 后 攻击 者 将 MD 5 和 S HA 拼接成 个新 的 密码
一
1 。 1
。
2 ) 密码替换 。
新密 码初 始 化 后 , 写入 p a s s w o r d k ey .
文件 。
攻击 者 删 除 带 有 原 始
密码的 文件 , 并 使 用 新 的 密码替换 原始 密 码
。
3
) 设备锁定 。
密码被替换后 , 攻 击 者 通 过调 用 l 〇 c kN 〇 w ( ) 的 方 式 使勒 索 应 用 锁
定设备
。
Rl d —
{
< > \
^ l d  ̄
{ Pa t h } } (
2 -
2)
Bl D ^ {
d i s b u t on d i s U S B l o c k d e u c e s
? :
' * *
} (
2 —
3
)
A l
g o r i t hm 2 . 1 : I m p l e m e n t at o n o f i D ev i c e s L o c ki n g
i npu t : l o ck s ett
i n g db .
, s av e —
p at
h ,
pa s s w or
d
1 i n i ti al i z a t i o n
;
2 D ev i ce _
salt
ge t _
S Bl t
(
l oc k i ng s e t t i n g d b .
)
\
3 P a s s M D 5 MD 5 _
( p a s s w o r d + de v i c e _
sal t
)
;
4 P a s s S H A l SHA l
_
( pa s s w o r d d e v i c e _
salt
)
\
5 K e y ^r
-
h ex (
Pas s MD 5 _
)
+ hex
(
Pas s S HA l _
)
;
De
'
6 l e te or i gi nal key
,
( )
_
8 Wr i te
(
/c e
y ,
s av e _
pa t h )
;
9 e l s e
1 0 Wr i te
(
key / /
dat a / s y s t e m ^
;
11 e nd
12 L oc k D ev i ce
2 2 2
. .
设备动持型勒索应 用 的 设计实现
如 2 中 提到 的 个典型 的 设 备 劫 持 型 勒 索 应 用 的 设 计实 现 可 以 用 集 合 4 〇
一
. 1 . 1
,
71
表示 如 公式 ,
2 4 -
所示 ,
? 包含 B IN D _
D E V I C E AD M IN _
的 权 限 典 型 的 AP 调 用 和 敏
,
I
感字符 串 。
; ^ 表示 恶 意 应 用 的 权 限 比 如 像 ,
a n dr o i d .
p erm
i ss i on . B I ND _
D E V I C E AD M I N
_
。
1
2
第二章 勒 索 应 用 行为 刻 画 与 实 现 方 法 分 析
申 请 此权 限 后 , 勒 索 应 用 可 以 获 取 超级 管 理 员 权 限 , 以防 自 身被用 户卸 载 。
表示
敏 感 或 威 胁字 符 串 。 勒 索 应 用 通 常 使 用 威胁 字 符 串 要 求 付款
。
元组 < 儿 ?6 ,
尾 〉 表示 API 调用 序列 。
如 公式 2 5 -
所示 , 凡 是 { % & ,
|
| } 的 子集
合 。
P 代 表每 个 API 之 间 没有 关系 ,
& 表示 每 个 AP 关 系 是 I an d 、
| |
表示每 个 AP I 之间
的关系是 or 。
如 公式 2 6 -
所示 儿 , ?b 是 4 的 子集 也 表 示 , 办 的集 合 為 代表相 关 的进
行 设备 锁 定 的 AP I 。
如表 2 -
1
所示 ,
re s e tP a s s w ord ( ) 可 用 于 重 置设 备 的 密 码 ,
re s e t V i ew ( )
“ ”
用 于 重置手 势 的 手 势 视 图 ,
set P a r a m e t e r ( S p e e c h C o n s t a n t S AM P LE R AT E .
,
8 00 0 )
用
于 设 置 设 备 的 语音 密 码 , 并且 l 〇 ck N ow () 用 于 锁 定 设备 。 & 表示 每 个 AP I 关系 是 and
。
例如 , 设 备 劫 持 型勒 索 应 用 在 运 行 时 可 能 首 先调 用 re s e t P a s s w o rd O 来修改密码 ,
然后
调用 l o c k N ow O 锁 定 设备 。 这两 个 A PI 调 用 都是必 不 可 少 的
。
ML d =
{
r i d
=
( P i d ,
<A s u b ,
R r > ,
s t
) \
l
=
1
,
. . .
, | |
s ;
| |
} (
2 -
4
)
{ ¥
>
,
& ,
| | } (
2 -
5)
■ ^ s ub^ ^
■
k
—
?
}
■ ? ?
; |
^ —
I
;
? ? ?
j
| |
lf
f c | | } (
2 —
6)
表 2 -
1 设 备 劫持型 勒 索 应 用 的 典 型 特 怔
特 征 含 义
re s e t P a s s w o r d ( ) 重设密 码
re s et V i ew ( ) 重置视 图
AM PLE RATE 设 置 语音 密 码
,
e t P a ra m e t e r ( S p e e c h C on s t a n t S
1 4 !
s .
_
,
8 0 00 )
l o ckN ow O 锁 定设备
an dr oi d p er m i s s i o n
. . B I N D D E V I CE ADM I N 申
_ _
请 并 获 得超级 管理 员 权 限
L a dr t / R /AD RT L o g C a R e a d e r A I D E (A n d r
to i d 中 的 DE 功 能
I
)
2 3
.
屏 幕资 源 劫 持 型 勒 索 应 用
屏幕 资 源 劫 持型 勒 索 应 用 不 是 常见 的 勒 索 应 用 。 收 集 到 的 数据 中 只 有 70 个屏幕
资源控制 勒索 应用 。 他 们 被激 活 后 , 有 25 个勒 索 应 用 将 它 们 的 界 面 设 置 为 顶 级 界 面
在 设 备置 顶 显 示 , 并 禁用 H ome 和 B ac k 按钮 。 也就 是 说 , 用 户 不 能 使用 其他应用 程
序 或其他系统功 能 。 虽 然还有 45 种 勒 索 应 用 将 其 界 面 作 为 顶 级界 面 , 但用 户可 以按
H ome 和 B ac k 按钮退 出 。 但是这 种 退 出 是 暂 时 的 , 勒索 应 用 的 界面将会在 很短的 时
间 内 继续挂起 , 使 用 户 不 能 正 常 使 用 设备 。 通过对这 些 应 用 的 分析 ,
本节总 结 了 屏幕
资 源 劫 持型勒 索 应 用 的 378 个特征
。
1
3
北 京 邮 电 大学 工学 博 士学 位 论文
2 3
. . 1 屏幕资源劫持型 勒 索应 用 的 行为 表现
如图 2 2
-
所示 ,
一
个典型 的 屏幕 资 源 劫 持 型勒 索 应 用 被触 发后 ,
迅速将 自 己的窗
口 置顶 通常状态下 用 户 无法通 过点 击 B ac k 键与 H o me 键回到上 级界面 或 主界
一
, ,
面 ;
部 分屏 幕 资 源 抢夺型勒 索 应 用 虽 然 可 以 通 过 点 击 B ack 或 Home 键 回 到 主界面
,
屏幕 资 源抢夺如 公 式 2 -
7 中的 可 以表示 为 历 和 构 成 的 元组 。
如公
式 2 -
8 所示 , 是 屏幕 资 源 抢 夺行 为 的 子 集 ,
包括 禁 用 Home 键 、
禁用 B ac k 键等
等 。 ^ 知 紐 是 历^ 的 代 码 实 现 子 集 ,
可 使 用 公式 2 9 -
表示
。
R h sr =
{
< B h sr ,
Mh s r > } (
2 -
7)
Bh s r Q { b t n ^ di s H om e ■ bt n di s Ba ck ,
USB ^ d i s ,
. . .
} (
2 -
8)
Mh s r Q { s e tF a
g s(
1 0 24
) , s e t C an c e l a b l e ,
. . .
} (
2 -
9)
屏 幕 资 源劫 屏 蓽 资
持前 源 劫 持
图 2 2 屏 幕资 源 劫持示 意 图
2 3 2
. .
屏幕资源 劫持 型勒 索 应 用 的 设计 实现
. . 1
,
表示 。 如 公式 2
-
1 0 所示 ,
7
^% 包含相 关 的 权 限 ,
意图 , 典型 的 AP I
调 用 和 敏感
字符串 。
Psrc , 代 表相 关 的 权 限 和 意 图 。
? 表所 应 用 程序 中 敏感或 威 胁 的 字符 串
。
丑S R >
*
= =
句 1 2 0 )
C ^
Psrc ’
卜
_
1
r
? ? ?
sr c (
"
iJ { } (
,
, ,
) |
, , I
I I
兀 组 < i? r > 表本 A PI 调 用 子序列 。 i ?T 是 {
(
/
P
,
& ,
| | } 的 子集 。 儿 ub 是 A fc
的
子集 ,
?
如表 2
-
2 所示 ,
L a y o u P ar a m s > FL A G
t
-
_
FULL S C RE E N 用 于设置窗 口 为 全 屏 显示
窗 口 。 set C anc e l ab l e 〇 和 s e t Fl a
gs ( ) 用 于将窗 口 挂起 , 设置不 同 的 参数 ,
上述 方法将
1
4
第 二章 勒索 应 用 行为 刻 画 与 实 现方法 分 析
表 2 -
2 屏 幕资 源控制 勒 索 应 用 的 典型 功 能
特征 含 义
L a y ou t P a r a m s > F LAG F ULL S CR EE N -
_
挂起 窗 口
W i n d ow > s et Fl a g s ( I
-
,
I
) ,
v 2 v4 v 4
, , 通 过 修 改 参 数设 置 顶 级 窗 口
“ ”
监视 HO M E 按钮并禁用
a n d ro i d . i n t e n t c ate g or y . . H O ME
“ ”
HOME 按钮
, o n W i n d ow F o c u s C h a n g e d ( ) .
send B ro ad c a s t
()
设置 当 前 窗 口 不 能 被 取 消 或
D i al o g
-
> s e t C a n c e l ab l e( )
使其不 断 出 现
起 到 不 同 的 效果 。 将 s et C an c e l ab l e ( ) 中 的 默认 参 数 从 Tr u e 修改为 F al s e 时 , 用 户 无法
按 下 对话 框 的 外 部 区 域 ; 将 set FI a g s O 中 的 参数设置 为 1 024 时 , 该 窗 口 将被设 置 为
全屏 窗 口 。 〇 n ke y D ow n () 和 O nA t ac hW i n d ow O 用 于 禁 用 H o me 和 B ack 按钮 , 由
于
Ho me 按 钮 是 系 统按 钮 ,
K ey E ve n t
几 乎 无法 捕 获 cli c k 事件 , 因 此开 发 人员 需要 重 写
O nA tt ac h W i nd ow O 。
如 果 安卓 的 版 本 是 2 3 .
及 以下版本 , 该方法 可 以 利 用 以 下 方式 进
行重写 , 如图 2 3 -
所示
。
pub l i cv o d o n At t a c h e d To W n d ow 〇 {
i
i
th i s g e tW n < 5 o w
,
()
s et T
y pe( i . W m dowMana g e r . L ay ou t P a r a m s . TY P E KEY GU AR Dy
_
i
su p e r o n A t a c h £ ? T oW n d o w 〇
.
l t
;
}
图 2 -
3 安卓 2 3 _
版 本 以 下 重 写 O nA t t ach W i n d ow 的例子
如 果 安卓 系 统 版本 为 4 0 .
及更 高 的 版 本 , 该方 法 可 以 利 用 以 下 方 式 进行 重 写 ,
如
图 2 4
-
所示 。 且 O n Ke y D o w n O 将 被 重写 , 如图 2 5 -
所示
。
pu b l i c st at c f n a
i i l i n t F LAG .
H O M EKEY D _
I S P A TC H E D = 0 x 8 0 0 0 00 0 0 ; t h eU
n
r
pu b l i c vo d on C re ate ( Bu nd e
i } sa ve d l n s t a n c e S t a t e K
su
p e r o n C r e a t e { S 3 V e c H n s t a n c e S t a te
.
) ;
E h i s .
g et W n d o w 〇^ e t F a g s ( F L A 6 H O M
i i
_
E KEY _
D SP A T C H E D
t
t
FL AG H O M E K EY D _
I S PAT C H E D ) ;
//t h & k ey c o d e
}
图 2 -
4 安卓 4 0 .
版 本 以 上 重 写 O nA tt a c h Wi n d o w 的例子
表 2 2 -
中 显 示 的 A PI 调 用 序 列 用 于 禁 用 H o m e 按键 。 an dr oi d . i nt e nt . c ateg or
y . H o me
“ ”
是 用 于注册 Ho me 按 钮 的 监 视器 。 L an d r o d i /a
pp
/ Ac ti v i t y 〉 o n Wi n d o w F o c u s C h a n g e d 〇
-
用 于 发送伪造的 广播
“ ”
用 于 监 视是 否 单 击 H ome 按钮 。 se n d B ro a d c a s t O 。 可 以 通过 调
用 这 些 AP 序 列 禁 用 该 按 钮 I
。
1
5
北 京 邮 电 大 学 工 学 博 士 学 位 论文
p
u b c b oo
e a n o n K e y D o wn ( n :
t k e
yC o d e Ke Event eve n t ) {
y
l i l
,
i
f
(
ke
y
Co d e = = e ve n t . K EY C O D E HO ME )
{
r etu r ntru e
;
}
r etu r ns u pe r .
o O n Key D ow n ke y C o d e eve n t )
,
(
;
1
图 2 -
5 安卓 4 0 .
版 本 以 上 重 写 O n Ke y D ow n 的 例 子
2 4
.
文 件 加 密 型 勒 索应 用
。
, 自
设备上 的 隐私文件 ,
包括照 片 ,
t xt 文 件等 。
收 集 到 的 数据有 22 3 个文 件加 密勒 索 应
用 , 我们 总结 了
4 1 1
个 文 件加 密勒 索 应 用 的 功 能
。
2 4
. . 1 文 件加 密 型 勒 索应 用 的 行为 表现
文 件加 密行 为 , 在 运行 时 的 表现如 图 2
-
6 所示 ,
应用 被触 发后 , 在用 户不知情的
情况下 , 自 动将 用 户 的 隐 私 文 件进行加 密 。
部分具有 文件加 密行 为 的 勒 索类 应用 还 会
在加 密 后 , 对 设备 再 次 进行 加 密 , 或 结合 屏幕 资 源抢夺 的 方式 , 完 成对用 户 的勒索
。
:
聲
+
加密A P
I
文 件加 文 件加
密前
密后
图 2
-
6 文件加 密示 意 图
典型 的 文 件加 密 如 公 式 2
-
1 1
,
2
-
1 2 2
,
-
1 3 中的 , 可表示 为 和
构
成 的 三元组 。 表 示 隐 私 文 件 的 绝 对路 径 。 S EF 表示勒索 应用 具有 的 寻 找 目 标文
件 、 加 密文 件 等典型行为 。 表示 的 代码实现 。
典型 的 文 件加 密行 为 步骤如
下
:
1
) 获取 B 标文件 。
攻击者 通 常 针对最 常 用 的 文 件 或 后 缀 为 . t xt 、 .
j pg 、 . doc 等的
文件 。
攻击 者 获 取 到 符 合 条 件 的 文 件 , 并将它 们 的路径添加 到 类 别 中
。
2 ) 加密文件 。
为 了 加 密 文件 , 攻击者 必 须 申 请与 读取或 写人 文 件相 关 的 权 限 并
,
3
) 替代文 件 。
在对 目 标 文件进行加 密 后 , 攻击 者 通 常 采 用 直 接 覆 盖 原 始 文 件 或
删 除 原始文 件 并将加 密 后 的 文 件复 制 到 原 始路径 的 方式 替换 原始文 件
。
1
6
第 二章 勒索应 用 行为 刻 画 与 实 现方法分析
Ref =
{
<Bef ,
Mef A e f > ,
-
\
-
A b f —
{ pat h } } (
2 -
1 1
)
B e f Q { de l e te _
iles
f ,
e c r yp t _
fi l es ,
ind
f _
t ar
ge t . . .
} (
2 -
1 2)
Mef Q { A E S 〇 D E S ,
( ) ,
E n de c ode Ut i l s .
d e C r ypt o …
} (
2 -
1 3)
2 4 2
. .
文 件 加 密 型 勒 索应 用 的 设 计实现
种 典 型 文 件 加 密勒 索 应 用 可 以 被 表 示 为 如公式 2 4 所示 包含 与
—
r
-
。 1
,
/e
权 限相 关 的读取或 写 入 、 典 型 的 攻击 模 式 和 敏 感 字 符 串 。
? ^ 表示 相 关 的 权 限 ,
如
a n d r o i d p er m i s s i o n
. . W R I T E E X T E R NA L _ _
S T O R AG E , 申 请该权 限 后勒索应 用 能够在
存储上写 人文 件 。 & 表示 应用 程 序 中 的 敏感或 威胁字符串
。
表 2
-
3 文 件 加 密 勒 索 应 用 的 典型 功 能
特 征 含 义
an dr o i d .
p erm i s s i o n . W R I T E E X TE R NA L_ _
S T O R AG E 申 请读 写 对
S D Card 的访 问 权 限
set C an c e l ab l e () 申 请在 S D C a rd 中 创 建 和 删 除文件权 限
L an dro d / c o n t e nt /I n te n t > a d d C a t e g o r y ( )
-
i
L a n d ro i d / c o n te n t / I n t e n t
-
> c r eat e C l io o s e r ( )
Lj a v a x /c r
yp t o / C i
p he r > g e t l n s t an c e ( )
-
遍历和 加 密指 定 的 文件
Lj a v a x / cr
yp t o / C i
p
he r > <ini t>
-
Lj a v a x / cr
yp t o / C i d Fin al 〇
ph er > o
-
Lj av a x / cr
yp to /s
pec /S e c re t Ke y S p ec -
x ni t >
i
说奴 表 7 K 文件 加 密 勒 索 应 用 的 攻 击 方 式 。
如公式 2 -
1 5 所示 , 攻击 模 式 包 含攻 击
时间 、
攻击 目 标 、 加 密方法 、
攻 击 顺 序 和 攻 击 流程 。 at f
c 的 子集 包 含 典 型 的 AP 调 用
I
序列 。 a 知 m 代 表攻击 时 间 e 。 它 包 括 立 即 加 密 文 件 并 等 待 命令 代 表加 密 文
件夹 。
■
代 表 勒 索 应 用 的 加 密 攻击 顺 序 , 勒 索 应 用 可 以 在 获取 到 所有 目 标 文 件
路 径 后 进行 集 中 加 密 , 或 在 发 现 某 目 标 文 件 时 对 其 进行 实 时 加 密 。 代 表加
密方法 , 包括调 用 AE S ( ) D E S 〇 , 或 其他方法 。 at t
/ ea 代 表 攻击 勒 索 应 用 的 攻 击 流
。
如表 2 -
3 所示 , 勒索 应用 通过 a d d C a t e fo r y O 和 c re at e C h o o s e r ( ) 循 环设 备 的 存 储 结
构查找 文件 标类型 旦 找 到 合格 的 文 件 它 通 过调 用 e ad ( )
r 或 F i l e l n p u t S t re a m O
一
目 ; ,
获得 数 据 , 然 后调 用 加 密 API , 例如 Lj a v a / c r y p t o / s p e c/ I v P a r a m e t er S p e c 对 数 据 进行 加
密 ;
在最 后 , 它使用 wr
i te ( ) 或 F i l e O u tp u t S t re a m O 写入加 密 文 件
。
1
7
北 京 邮 电 大学 工 学 博 士 学 位论 文
R fe
=
rS e
\
=
o^ k i
s i
)
|
A =1
;
,
. . .
,
| |
c it t
c
f | |
,
Z
=1
,
. , .
,
H
s i
H } (
2 —
1 4 )
Cit t
}^
—
"
C ,
ti^ t ar
g
et5
^^ en me t h od i
^ ^ o rd e r 1
O '
^ fe a ^ (
2
—
1 5)
2 5
.
本 章小 结
本 章 依据 勒 索 应 用 的 勒 索行 为 表 现 将 勒索 应 用 划 分 为 设 备 劫 持 型 勒 索 应 用 ,
、
屏
幕 资 源 劫 持型勒 索 应 用 以 及 文件 加 密 型勒 索 应 用 。
本章 从 行 为 表 现 以 及 设计 实 现 两
个 方 面 对 上 述 三 种 勒 索 应 用 进 行 了 详 细 分析 , 为 后 续 的 研究 奠定 了 基 础
。
1
8
第 三章 K R D RO I D :
行 为 可 区 分 的 勒 索 应 用 激 活 前 检 测 研究
第三章 KRD RO I D :
行为 可 区 分 的 勒 索 应 用 激活 前检测研 究
随 着勒 索 应 用 的 数 量 的 不 断 增 长 , 勒 索 应 用 已 对 安卓 设 备 产 生 了 严 重 威胁 大 多
。
些带有锁定屏
幕和加密文件的功 能 的 良性应用 与勒索应用 有 些 相 似 的 行为 现有 的勒索应 用 检
一
种 基于 行为 的 勒 索 应 用 检 测 引 擎 K R D RO I D 实 验表 明 在 207 个勒索应用 的数
一
。 1
, ,
3 1 .
引言
随 着 近 年 来各 种 勒 索 应 用 的 空 前 爆 发 , 给 各行 各 业 都 带 来 了 威 胁 ,
并 对个 人 和
企业 造 成 了 巨 大 的 经 济 损 失 。
勒 索 应 用 的 数量 自 20 1 7 年 至 今 在持 续增 长 ,
已 经成为
名 用 户 遭受 到 了
43]
了 移动 设备 的 个 重 大威 胁 至 少有 50 个国家 地区的 3 0 00 00
一 [
。 1 /
Wa n n a C y r
(
—
种 恶 意软 件 的 攻击 ) , 损 失高达 80 亿美元 。 根据 Pr e c i s e S e cu r
i ty 发布的
最新报告 Wa nn a C r y 在 20 9 年 仍 然 是最有影 响力 的 勒索应 用 之 在 20 9 年
研
一
1 。
1
, ,
究 人员 发 现 了 种 新 型勒 索 应 用 S i l ex 此 类 勒索 应 用 的 传 播 很 快 S i l ex 首先 影 响 了
一
。
,
350 台 设备 , 然 后 迅 速扩 展 到 1 5 00 多 台 设备 。 根据 C o v ew ar e 发 布 的 统 计数 据 ,
20 20
M
年 第 二 季 度 的 勒 索 应 用 赎金要 求 是 20 1 9 年的四倍
。
据悉 , 基 于 安卓 平 台 的 移 动 设 备 大 幅 度 增 加 關 。
到 2 0 20 年底 , 安卓设备 的 数量
约有 亿 ?
前 在安 卓 上 运 行 的 勒 索 应 用 仍 然 威 胁 着 移 动 设 备 有鉴于 此
本
6
_
6 1 。 目 ,
。
,
章 将 主 要 研 究 基 于 安 卓 平 台 的 勒索 应 用 检 测
。
W i n dow s 上 的勒 索 应用 检测 已 相 对成 熟 。 2 e n t F OX 可 以 检 测 到 高 生 存率 的 勒 索
应用
45 ]
,
且 具 有高 检 测 精 度 和 低 错 误 率 [
。 UNVE IL 使 用 文 件 系 统 监 视器 和 OCR 来检
^ m
测 锁 定设备和 加 密 文件 的 勒 索 应用 等人 提 出 的方法 可
3 6]
S h i e l dF S 和 S ONG S
t
以通过 I/ 〇 识 别 勒 索 应 用 请 求数 据 包 。 E d e R an
l
使 用 动 态 分析 来 从 良 性 应 用 中 区 分
#4 8
出 勒索应用 还有 些其他 人 的 工 作 致 力 于 通 过使 用 流 量特 征 或 敏 感
28
8]
A P I
1
[ 一 [ ]
来 检 测 加 密勒 索 应 用 在其 他 平 台 上 检 测 勒 索 应 用 的 方 法 无 法 直 接 应 用 在安 卓 上
一
。 。
M8
方面 利 用 流量识 别勒索 应用 这意 味 着 检 测 到 勒 索 应 用 应 具 有 网
28 4
检测 引 擎
[ ,
]
。
,
络 访 问 权 限 而 大 多 数 安 卓 上 的 勒 索 应 用 可 以 在 没 有 网 络 的 情 况 下 进行 勒 索 另
方
一
。
,
面 , 安卓 有 自 己 的 安 全性机 制 ,
也 就 是说 , 有 很 多 不 同 的 文 件 和 功 能 可 用 于 安 卓 勒索
应用 检测
。
1
9
北 京 邮 电 大 学 工 学 博诗 位 论 文
针对 安卓 系 统 的 勒 索 应 用 的 检 测 方 法 目 前还 有 很 大 的 研究 空 间 。 20 1 6 年 ,
M er
-
c al d o 等人 首 先提 出 了 种 基于 机 器学 习 的 勒 索 检 测 引 擎 据 作者 所 知 H e Dro
d
一
。 l i
,
—
和 G r e a t E at l o n 是 最 早 的 基 于 机 器学 习 静 态 分析 的 面 向 勒 索 应 用 的 检 测 引 擎 。 它们
基 于 威 胁文 本检 测 引 擎 、
锁 定检测 引 擎和 加 密 检测 引 擎检 测勒 索 应 用 。 但 如 果勒索
应 用 使 用 未 在 语言 库 中 出 现 的 其 他 国 家 的 语 言 , 就 可 能 会 导 致许 多 误 判 。 这两种 检
?
测 引 擎 对 平 均 每 个样 本 的 检 测 耗 时均 为 秒 级 1
^
识 别勒索 应 用 结 合静 态 和 动 态 分 析 来 检 测 勒 索 应 用
23]
。 D NA D ro -
i d 。 R P a c k D ro
-
i d
[
是 款 实 用 的 安卓 勒 索 应 用 检 测 引 擎 Az m o o d e h 等 人 M 提 出 了 在 物 联 网 设备 上 基
一
于 设备能耗 的 文 件加 密勒索 应 用 检 测 方法 。 但如 果 用 户 需 要 通 过 使 用 具 有 动 态 分 析
功 能 的 检 测 引 擎 来 检 测 大 规 模 样本 , 则 可 能 非常耗 时
。
许 多 勒 索 应 用 检 测 引 擎 基于 敏 感 的 A PI 识 别勒索 应 用 。 但是 , 有
一
些勒 索 应 用
使用 不敏感 的 AP I 调 用 来勒索 。 例如 , 勒 索 应用 可 以 通过 用 户按下 H ome ( 桌面 按钮
)
或 B ac k ( 返 回 ) 按钮 , 使 其界 面 成 为 挂 在 屏 幕 上 的 顶 级 界 面 。
检测 引 擎可 能 会将它 们
误认 为 是 良 性 应 用 。
一
些 具 有 设备 锁 定 功 能 和 加 密 文 件 的 行 为 的 良 性 应 用 与 勒 索 应
用 有相 似 的 行为 例如 些 时 间 管 理 应 用 程 序 之 类 的 良 性 应 用 会 根 据 用 户 设置 的 时
一
。
,
间 锁 定 设备 , 使勒 索 应 用 检 测 引 擎 很 难 区 别 出 它 们
。
本 章详 细 分 析 了 三 种 勒 索 应 用 在 运 行 时 行 为 、
勒索 代 码 实 现 的 特点 , 以 及勒 索
应 用 和 与 其具有 类 似 行 为 的 良 性 应 用 之 间 的 差异 , 例 如 屏幕 美 化 应 用 与 文 件 加 密 管
理应用 。 之后 , 本节 从 多 维 角 度 构 建 了 基于 勒 索 行 为 的 行 为 模 式 。
最后 ,
本 节提 出
一
个行 为 可 区 分 的 勒 索 应 用 检 测 引 擎 ,
KR D RO I D , 它 保 留 了 勒 索 应 用 的 关 系 行为模式
,
能 够 更 加 精 确 地 识 别 勒索 应 用 。 本章主要 的 贡献如下
。
1 .
分 析 与 勒 索 应 用 具 有 相 似 行 为 的 良 性 应 用 与 勒索 应 用 的 区 别 。 本文 从 V ir u s To
-
42 ] 刈
开 源 数据 库 收 集 了 三 种 最为 活 跃 的 安卓 勒索 应 用
41
t al
[
、 AMD [ ]
和 Ko o d o u s [
,
并
在谷歌 应 用 商店 、
华 为 应用 商店 收集 了
2 00 个与 勒 索 应 用 具有 相 似行为 的 良性 应 用
。
从运 行 时 的 行 为 与 代 码 实 现 等 多 维 度对 这 些 应 用 进 行分析
。
2 .
构 建 基于 勒索 行 为 模 式 的 多 维特征 集 。 本 文从 AP I 调用 、
权限 、
意 图 和其他
维 度 提取 特 征 ,
.
构 建 不 同 类 型 的 勒 索行为 模 式 。 通 过这 种 方 法 构 建 的 特 征 集 , 可 以被
看作 一
个 保 留 了 勒 索行为 信 息 的 表 达式 的 集 合
。
3 .
行为可 区 分的勒索 应 用 检测 引 擎 。 本章 提 出 了
一
个 行 为 可 区 分 的 针 对勒 索 应
用 的检测 引 擎 KR D RO ID 用 于 识 别 安卓 勒 索 应 用 实验结 果 表 明 K R D RO I D
在
—
。
, ,
检测 未 知勒索 应 用 方面 ,
准 确 率达到 了
98 5 . % ;
在 区 分与勒 索 应 用 具有相 似行为 的 良
性 应 用 与 勒索 应 用 方 面 ,
K R D RO I D 较 其 他勒 索 应 用 检 测 引 擎 准 确 率提 高 了 约 40 %
。
20
第 三章 KRD R O I D :
3 2 .
勒 索 应 用 与 良性应 用 的 区 别
在勒 索 应 用 的 研究 分 析 中 本章 发 现 些勒索应用 和 良性 应 用 具有 些类似的
一 一
运 行 时行 为 。
一
些 设备 劫 持 型 和 文 件加 密 等典型行 为 也存在于 良 性 应 用 中 。 例如 ,
如
图 3
-
1
中 , 屏幕美化应 用 程序 和 时 间 管理应 用 程 序 具有 锁 定设备功 能 。 并 且 文 件管理
应用 程序具有 文件加 密功 能
。
本 文 随 机 选 择 了 1 00 个屏幕美化应 用 程序 、
时 间 管理 应 用 程序 和 1 00 个文件管
_ M
理 应用 程序 ,
并 将它 们 上 传 到 V i ru s To t a l 。
结果 显示 。 1 0% 的 屏幕 美 化 和 时 间 管
理 应 用 程 序被误判 为勒 索 应 用 。 1 9 % 的 文 件管理应 用 程 序 被误判 为勒 索 应 用 。 也就
是说 , 类似 的 行为 可 能 会 使检 测 引 擎将 良性应 用 识 别 为 勒 索 应 用
。
为 了 更 好地 了 解 勒 索 应 用 和 良 性 应 用 之 间 的 差 异 ,
本文分析 了 设备劫持 ( 锁定
)
勒索 应用 、
文 件加 密勒 索 应 用 以 及 良性 应 用 间 的 区 别
。
图 3
-
1
具有设备锁 定 功 能 的 良性 应 用
3 2 1
. .
设备 屏幕资源劫持类勒索应 用 与 良性应用
/
如图 3
-
2 所示 , 尽 管勒 索 应 用 和 良性应 用 都通 过 B IN D _
D EV CE A D M N
I
_
I
获得超
级管理 员 权 限 ,
并使用 l 〇 c kN 〇 w ( ) 锁 定设备 :
但是它 们 在运 行 时行 为 方面 和 源 代 码 方
面 存在
一
些不 同
。
如 公式 3
-
1
和公式 3
-
2 所示 ,
与 勒索 应 用 具有类 似行为 的 良 性应 用 可 以 表示 为
G _
D&S , ^D & S ,
这 些 良性 应 用 含有 相 关 的 权 限 可 以 被表亦 为 PO& S , 这些 良 性 应 用 使
用 的 典 型 的 AP I
调 用 可 以 被表示 为 % 。 良性应 用 与 设备劫持型勒索 应 用 共 同 具有 的
特征包含
a n dr o i d .
p e rm i s s i on . B IN D _
Dev i ce _
AD M I N 、 l ock N o w 〇等 。
对于 这 些 良性应
用 .
它 们 的 功 能 仅 仅 为 更换 手 机 的 锁 屏 壁 纸 或 者 根据 用 户 的 需 求 设置 设 备 休 眠 的 时
2
1
北 京 邮 电 大 学 工学 博士学 位论 文
间 。 尽 管这 些 功 能 会 涉 及 到 监 控 电 源 键 的 关 闭 与 设 备 的 锁 定 但 是 良 性 应 用 不 会 重 置
,
设备 的 PI N 码 、 手 势密 码 或 声 纹 。 也就是说 , 用 户 可 以 使用 自 己 的 密 码 解锁 他 们 的 设
备 , 并 正 常使用 设备
。
表 3
-
1 设 备 妨 持型 和 屏 幕 资 源 控 制 勒 索 应 用 与 良 性 应 用 之 间 的 区 別
勒索应用
良
设 备 劫 持 屏 幕 资 源劫 持 性
锁 定 屏 幕 / x
/
重 置 密 码 / X X
全 屏 窗 口 X ?
.
X
持 续 弹 窗 X -
x
禁用 H ome 按 钮 / -
X
禁用 B ac k 按 钮 / -
x
禁用 USB 接 口 - -
x
l o c kN o w ( ) / x /
re s et P a s s w o rd Q / x x
s et Can c e l ab l e Q x -
x
W i n d ow > s e t F l a g s ( I
-
,
I
) ,
v 2 v4 v4 /
, ,
/ x
O n key D o w n ()
/ O n ke y U p () / x
-
o n A t t a c h e d To W i n d ow 〇 /
x
设备 劫 持 型 勒 索 应 用 不 仅 可 以 锁 定 设备 还 可 以 修 改 原 始 密 码 ,
。 用 户 无 法 通 过单
击 H o me 或 B ack 按 钮 退 出 勒 索 界面返 回 到 桌 面 。 当 用 户 按下 电 源按钮 时 , 设备 能 够
正 常休眠 。 但是 ,
当 用 户 尝试 再次 重 置 设备 时 , 该 设 备 仍 被勒索 应 用 锁 定 。
在这 种 情
况下 , 用 户 必 须 支 付赎 金 才 能 获 得 正 确 的 密 码
。
屏 幕 资 源 控 制 勒 索 应 用 通 过在 字 节 码 中 设置特 定 的 参数 , 将自 己的 Ac t
iv it
y 设置
”
勒索 应用 不 仅 禁用
“
为 顶级 Ac ti v i ty 。 H o me 和 B ack 按钮 , 还能够禁用 关机 按钮
。
通 过这种 方 式 , 勒索 应 用 强 制 设 备在 不 休 眠 的 情 况 下 持续 工 作 并 强 制 用 户 为 能 够 正
,
。
,
挂起界 面 。 而且 ,
一
些 研究 人 员 还 发 现 一
些勒 索 应 用 会 禁 用 设备 的 US B , 以防止用
户 通过 AD B 命令来卸 载应 用 程序 。
设 备 劫 持 型 和 屏幕 资 源 控 制 恶 意 应 用 和 良 性 应 用
22
第三章 KR D RO D I
:
行为 可 区 分的勒索 应 用 激活 前 检测 研究
的 详细 区 别 如 表 3
-
1
所示
。
Gd ^z S
—
{ d D &c S
=
{ p D Sz S
-
i
ak
) |
^= ? ? ?
?
| |
a /c
} (
3
-
1
)
Gd &l S
^ {
Rd l U R src
)
=
{
L o c k N o w O p e r m . i s s i on . B IND _
A D M IN D E V C E _
I . .
. .
}
3 2)
-
(
丨
勒索软件
I
CemeMC ms U K
sa n n c ut nt
f ?rsr
J Lf 4
.
. l i ,
<
J
l ? >
民 13E紅 汗
l
l
|
> i i
r n
? w
=
* ? ?
*
? ? t e4 K?
s a3 1 4 t ;
? it nat ^ o te f V mi M
pr L
f
W
=
p0 .
9
* t Mana p? i
^U
? y6 3〇 A K em Y
i
J
—
" " — " " -
二;
i
t Sr ? M?a?f
f ^
owes ? ? .5 a n a
t
=
? i r
sS .
^ *
? r l
pl !
:
:
, i
l
i
;
;
! == = T ::
抑
I
■ ■ ;
峰——— w 贫 -
i ; r
—
遍
!
卜
ndr
却一 K L :
」
i
福聽 1 : : ,
a
f .
N D D6V C E AD
.
■ ■ 關 二 二二二二二二
T . . ^ Jk l -
'
:
臟始 令
?
■H H
;
时 菅 理
’
pn <? ? vox! ? ^O st u?f B? R em
句
*
f ? :
〇
?
J
;
{
1
丨
BM h l
… m I _ _
,
^
;
SB OireU i e i c W aw& r
ou p ^ r ef r wr
f t
oSw o nin
毚
;
 ̄ j
BW W p
g
*t&? af *4 Wnenfi ?S? t
>
; i f a s won J
(
i
〇CkN 〇 ?V
l ?
^) ?
ge s ? u f eL oc c
f V i * wr &f au |
ife* i rwf
!
:
wSm Ll B a
 ̄
声
'
应 用 程存 r w^mr 3 ^^
" " "
: ::
r t
, p ;
|
l _
i
j
;
i e tPa r am et eH S{ j ?? h C £ mstan t . SAM PlE RAT E , !
!
>
游幕要
^ 化 L i
5
 ̄  ̄
x
-
良 性 软件
—
!
< — ■
嘗 : ;
:
H
5
L:
■
:
. —
图 3
-
2 设 备劫持 锁 定 勒 索 应 用 和 良 性 应 用 之 间 的 区 别
3 2 2
. .
文件加 密类 勒 索应 用 与 良性应 用
如图 3
-
3 所示 : 文 件加 密 勒 索 应 用 和 文 件 管理 应 用 程 序 可 以 加 密 隐 私 设备 文 件
,
但在 加 密 解 密 模 式 下 它 们 仍 然 存在 -
一
些差异
。
对 自 定义 文 件进行加 密 。
这些 良性应 用 显示进度指 示器 , 提醒 用 户 当 前 的 加密进 度
,
二
i
1
|
a*软件
!
I
R E N^W R E ^ R >E N W
- - - - - -
C
; _
;
涵 藤
:wi —
—
1
!
r
i is # 〇 s
E
「
!
默
1
卜, 卜 3 繼舰
円
^
:
1 aS ST
』
2 ? *? g ?
i 土
; |
- -
二 : t = :二 : 二=v: z : 二 二二 二二 二 二 二 二 r 二 m
U
了
. . : :
?
= SC fr I j
—
^^
J
卜 十 imn
j
— —
— ?
—
w
-
R e r
-
I
r
丨
i
J —
i
"
I
\
Cy 路径
w } 加 密模 式 S 「 路 径 ^ s
^
 ̄  ̄
i
agi
-
/ i
:
/ /
\ :
/ i l
文件
i
-
g ^ S SS 夕 -
i
a
r
—
i
I
_ _
□ E E I ZEM S j
1
1
*
s
i :
z
I
i i
l e i
N W4)
l
R
R
L
? -
*
件
1
*
?
E
- -
-
, ?
! 1
4 i l
m
!
!
!
!
I
图 3
-
3 文件加 密勒 索 应 用 与 良性应 用 的 区 别
23
北 京 邮 电 大学 工 学 博 士 学 位 论 文
^m o d e
=
{
^1 ,
62 ,
e3 ,
e4 ,
e5
} (
3
-
3
)
"
'
R E W NDM RE
ei 0 0 0 0
1 1 1
? e 1 1 1 1 1 0 1 2
… 、
五m o d e
=
(
3 -
4)
e 0 0
3
1 1 1 1 1
e4 0 0
1 1 1 1 1
_
e5 0 0 0
1 1 1 1
勒索 应 用 首 先遍 历寻 找 目 标 文 件 并 在 没 有 任 何 信 息 的 情 况 下 在 设 备 中 , , 自 动加
密 这 些 文件 。
如 公式 3 -
3 和 公式 3 4
-
所示 代 表勒 索 应 用 的 加 密 模 式 ,
ei 代表
加 密过程 。 丑 代 表读取 操 作 ,
五 代 表加 密操作 ,
W 代 表 写操作 ,
i V 代 表创 建 新 文 件
操作 ,
D 代 表删 除操作 , 表 示 重 命名 操 作 ,
尨 表 示 移动 操 作
。
表 3
-
2 文件 加 密 勒 索 应 用 与 良性应 用 的 区 别
文 件加 密 勒 索 应 用 良 性应 用
加 密 文 件 / /
用 户 可 以 选择 哪 个 文 件 被 加 密 x /
后台 自 动 加 密 文 件 x /
具 有 文件 的 目 标 默 认 加 密 类 型 / X
End e c o d e U ti l e s d e Cr y p t o O
.
x /
La n d r o i d /c o n t e n t / I n t e n t
-
> a dd C a t e g o r y
L a n d ro i d /c o n t e n t / I n t e n t -
> c r e a t e Cho o s er
Lj a v a x /c r y p t o /C i p h e r > g e t I n s t a n c e
-
x /
Lj av a x /c r y p t o /C i p h e r x i n i t >
-
Lj a v a x /c r yp t o / C p h e r > d o F i
-
i n a l
Lj av ax /c r y p t o / s p e c / S e c r e t Ke y S p a c x -
i ni t >
在本 文 中 , 主 要 介 绍 五 种 加 密模 式 。 文 件 加 密勒 索 应 用 和 文 件管 理 应 用 程 序 之 间
的 详细 区 别 如 表 3
-
2 所示
。
幻 表示 读取 文件 、 加 密 数据 然 后将其 写 回 原 始 文件 的 加 密模式
。
e2 表 示 读 取文 件 加 密 数据 、 、
创 建 新 文件 、 将加 密 数 据 写 入 新 文 件 以 及 删 除 原 始
文 件 的 加 密模 式
。
24
第 三章 KR D R O I D :
行为 可 区 分 的勒索 应 用 激活 前 检测 研究
e3 表 示 读取 文 件 、
加 密 数据 、
创 建新 文 件 、
将 加 密数据 写 入 新 文 件 、 重命名 新 文
件和 删 除 原始 文 件 的 加 密模式
。
e4 表 示 读取 文 件 、
删 除 原始文件 、 加 密 数据 、
创 建 新 文 件 以 及 将 加 密 数据 写 人 新
文件 的 加 密模式
。
e5 表示 将 原 始 文 件移动 到 其 他 文件夹 、
读取 文 件 、
加 密数据 、
将 加 密 数据 写 回 原
始 文件 以 及将文 件移 回 原 始 位置 的 加 密模式
。
3 3 .
方 案设计
本节将介绍 种 行为 可 区 分 的安卓勒 索 应 用 检测 方法 它 使 用 静态 分析 来 分 析
一
源代码 , 并 根 据行 为模 式 提取特征 ;
釆用 one
-
b i n ar
y 的 形式表示 样本 的 特征 信息 :
使
用 XG B o o st 对样 本 进行 分 类
。
3 3 1
. .
工作流程
行为 可 区 分 的 勒 索 应 用 的 检 测 引 擎 的 详细 工 作流程 如 图 3
-
4 所示
。
二 :: : T _ —
i rr rr r二 : t i t :;:二: :t i t t 一 —
二二 二
;
了
| | Y o u m u st p a y . . . H : :
■
^
分翔 向 量生 成
a t he
a n so m
pay
r
to u n o ck
一
… … l
…
^
: !
j . “
数 5 向妥
”
j
广
r a ns om
i Sw i
peu p
tou n ock
l
f
|
_
_
供
” ’
“
. . .
i
1
j
、
n e ed / I
麥
r :
?? :
描>
*
^ T f
[
,
…
二二
〇
. . .
i
l [ l l l
i j
!
「 ] ;
!
j
一
?
—
删除
.
一
J l
j
難
|
、 r w 、
’
厂
? p ay
秦
i
如
_
^
, r
丨
丨 !
I
5 r 卜 I
: h
'
:
」 I
!
二 : : : : : : : 二 : : : 二 : : : 二 : : : : : 二 : : 二 二 : : : : = = : :
^^ '
]
L
幽: 士 此 旧
i
调 用 \
'
q 权艰
'AP i
、 |
}
卜紅 縱 择舰 设 i ^K i ro i
dt
o 您2 /
l s a£ t
,
> ai c 鄉t y
f
^A P l J
、
、 /
/
/
Am + A P J 2 \
i
l
j :
^ ^
i
i
^
"
二
#
= 獅 c 树 2 树 n
X %y \ M
l
口
Cl
:
' 、
'
一
^
一
*
y i77 7 ^
赞
否 r 晏 : 否 i
…
〈 二 論 !
Bmm -
i
捽用 程私
丨
应 j g e^ 3 |
*
i
/ \ 心4 , i a .
%
*
u/
\
* i c -
i a
\
应用 辦 i
丨
挎 用 g序 i
图 3 4 行为 可 区 分的 勒 索 应 用 检测 引 擎的 工 作 流程 示 意 图
当 需要测 试应 用 程序 时 首先从 ,
a
p
k 文件 中 提取 A n d ro i d M an i fe s t .
xm l
和 c l as s e s . dex
25
北京 邮 电 大学 工学博士学 位论 文
文件 。 之后 , 利 用 静 态分 析工 具 A n dro g u ar d W l
接下来 , 将 所有 特征 合 并 以 形 成 特 征 向 量 ,
并使用 X GB oo st 进行分类 。 最后 , 检测
引 擎输 出 检测结果
。
3 3 2
. .
特 征 提取
借助 工 具 研究 人 员 可 以 读 取 安 卓 XM L 文 件 的 二 进 制 格 式 A XM L
5
A n d ro g u ard
1
[ ]
, (
)
和 反编译 本 文从 An dr o d M an 和 中 提取特征 特征
5 2
D EX f
i l es
【 ]
,
i i fe s L x m l cl as se s dex . 。
集 包含敏感字符 串 集 、
其 他 特 征 集 和 联 合特 征 集
。
1 .
敏感字符 串 集 。 本 文 中 提到 的 敏 感字 符 串 是 指 Da l v ik 字节码 中 声 明 的 常量字
符串 。
为 了 更 好 的 区 分勒 索 应 用 和 其 他 应 用 程 序 , 本 文基于 NL P 的 分词 方法对 常量
字 符 串 进行 了 分 割 。
如算法 3 . 1
所示 , 构 建 敏感字 符 串 集 的 步 骤如 下
。
A l
g o r i th m 3 . 1 :
敏 感 字 符 串 集 构 建算 法
In
put : a
pks ,
l a b e l
O ut p u t : 5
1 fo r e a c h ap k E ap k s d o
2 T r
-
f
-
S e g m e n t ( ap k ,
l a be l r
)
\
3 T〇 S e g m e n t
(
ap f
c , l a be l
〇 )
\
4 e nd
l
5 Tr D e l eti on
(
Tr ,
m e a n i ng l e s s _
w ord
)
\
T De T0
.
eti on m e a n i ng l e s s w or d )
—
6 < l
,
0
_
( ,
7 fo r t £ T; U T:
do
^r +
8 w e i o ht <
^
l 〇 a(
J2 i
i
^ l abel oj \
.
9 i f w e i g h t> t h r e s h o l d th e n
10 S ^S U t
\
1 1
e nd
12e nd
13 re t u r n 5
;
代表文本
“ ”
1
) 分割文本 。
本文使用 了 如 的 特 殊 字 符 作为 分 割 的 基 准 。 该 rr
2) 停用 词删 除 。 本 文 删 除 了r 和 r
7; 中
一
等停用 词 和 些 明 显 的 常用 词
“ “
a 、 t he
一
。
,
并
使 用 K 表示 其 他 文 本 集
。
3 ) 关 键词提取 。 本文使用 tf
-
i df 计算 K 和 I
: 中 每个 单词 的 权 重 。 f
t -
i df 的 结果 表
26
第 三章 K R D RO I D :
行 为 可 区 分 的勒 索 应 用 激活 前 检测 研 究
示 是 否 该 词 能 区 分勒 索 应 用 与 其 他 应 用 程 序 。
权重可 以 表示为公式 3 -
5 。 代 表单 词
t
出 现在 g 和 2
: 中 的 数量 。
EA
+ &4
代表 C 和 的 总 单词数 。
E
l ab e l 代
表勒 索 应 用 的 数 量 ,
I s ab e l 代 表其 他 应 用 程 序 的 数 量 。 代 表包 含 单
词 f
的 应 用 程序 的 数量
。
參 (
3
-
5)
2 .
其 他 特 征集 其 他 特 征 集 构 建如 算 法 。 3 2 .
所示 。 其他特 征 集 可 以 表示 为 集 合 F
。
如 图 所示在公式 3
-
6 中 , 仏 包 含权 限 、 意图 、 AP I 调 用 和 敏 感宇 符 串 。
内 代 表权 限
,
这 是安卓 的 一
种 安 全 模式 。 在 调 用 敏感 权 限 API 之前 需要 声 明 权 限 。 把> 表示 意 图
,
是 种 安 卓 运 行 时绑 定 机 制 负责 内部沟通 表示 本 文 根 据 f
t df 算法获得 的 与 赎
一
?
-
。 i
,
金 有 关 的 敏 感字 符 串
。
如公式 3
-
7 所示 , 私 是 { # &
, ,
| | } 的 子集 。
是 戊 的 子集 ,
A, 表示 办 的集
合 。 办 代 表相 关 的 AP I
调用 , 开 发 人员 可 以 使 用 不 同 的 AP I 调 用 序列来实现不 同 的
功能
。
A l
g o r i th m 3 2 . :
特 征 集 构 建算法
In
p ut : ap k s
O u tpu t
F
:
1 S = S e n s i t i v e S t r i n g s S e t A gg r e g a t i o n ( ap f
c5 )
l a be l
)
;
2 fo r e a c h ap k d o
3 F E x t r a c t ^ ,
i ri
j ,
ak ,
5/
)
;
4 <A sub ,
Rr > *
<
—
E x t r ac t (
a^ . . .
,
a
j ,
c
/
?
,
& ;
,
| | )
;
5 S
i F
= i
p ,
<A 8U^
R r> =
p th e n
i
6 c on t i n u e
;
7 e ls e
8 A s u }) ,
U p,
9 en
d
10 e nd
11 re t u r n F
\
F
=
{ /m
=
( 與 加j < R r 〉 和
, ,
"
,
) |
i
=
1
,
? ? ?
,
| |
P i | |
, j
=
1
,
* ? ?
,
I K %
.
| |
,
1=1
,
■ . ?
,
|
|
s,
| |
}
(
3
-
6 )
^ S ub^
^ = I
7)
 ̄
^ 3
—
■ ? ■ * ■ ? *
(
■
)
|
? i | |
/c | |
}
27
北京 邮 电 大学 工学博士学 位论文
3 .
联合特征 集 。
联合特征 的 构 建是为 了 将关联性较 强 、
却 又 彼 此相 互独 立 的 多
个 特 征 加 入 关 联 关 系 进行 组 合 形 成新 维 度 包 含 关 联 关 系 的 联 合特 征 联 合特 征 的
一
。
,
引入 , 能 够 有 效地 解 决模 型在进行勒 索 应 用 识 别 时 , 容易 将具有与勒索应用 有相 似行
为 的 良性应用 误判 为勒索应用 的 问 题
。
v al u e= DBI + s + J c + W R C K 3 8)
-
i
( ) ( , (
D av i e s
-
B
p
u d l i
n ^ j ^(DB I
)
:
如為
风
,
0
…
1
,
*
1
输 入 向 M Km ea n 遺 法 十
?
^?
^
S i l h o u ett e C o eff i ci en 鄉鹿 系数 )
:
雲
, 1
X I
v2
-
vn
> 3
:
b a
-
1
1 1 ) (
i
) {
i
)
睿
,
m
一^ ^
#
^
EEEEB 1 丨
^
_ K值
:
一
卩
Q >
y3
>
y4
> . . . >
y2
#
b
 ̄
3
2 糞 … …
|
二 二
父亿
f
v i
1
v2
1
v 3
j
…
j
vn i
? # m ax
(
a b ,
}
+
Ca l i ns k i Ha ra b a s z (C H )
:
r B k k
-
t l
,
( )
/ (
)
C Hl K}
=
tr W( k ) /(
N
.
-
k )
3
yl Y2
L .
l i \ !
^J
| —
… …
X2 T^ VI V2
vs
-
vt
an d
: -
f i ; >
: i
[
I ] ;
j
?
1 .
: : :
^
^^ ^ ! : : :: 二 : :: : :
一
:
j U
^T 劃e K值
j
y
?i
)
v
j
. . .
p r
]
j j 丨 V3 M dV 2
i
|
: K=
1
| ^
X r
f
|
v
^
r
? S
|
?
j
vn
j
j
图 3
-
5 联 合特 怔构 建流程示 意 图
表 3
-
3 聚 类 结 果评 价 变 量详 情
i 名 称 计 算 方 式 变 量 说 明
变f
Dav i es
-
Bou l d nI n d e x
i
=
戴维森堡丁指数
S i l h o u e t teC o e ic
f i e nt
則 =
仏 ) }
轮廓 系 数
义⑴
S u mo f
qua
re so fi n t rac u e r e rr o r s
c =
Mc w 代价函数
—
s
s l t
(
.
" ) 丨
r
、
Ca nsk H ar a b a z = x
S 方差 比 准 则
-
li
§§^r
i
k
\k
联 合特征 集 构 建 过程 如 图 3
-
5 所示 , 利 用 Kme an 算 法 对 携 带 勒 索 应 用 信 息 的 输
s
l 3
8
- -
i
,
,
。
,
28
第 三章 K R D RO D I :
行 为 可 区 分 的 勒 索 应 用 激 活 前 检 测 研究
选取 v al u e 值最 大 的 聚 类 簇 数 k 所对 应 的 聚 类 结 果 作 为最 终 结 果 查看同 簇内
一
各样本重要 度 t op 2 0 的特征 , 结 合 样 本 运 行特 点 ,
人 工 挑 选 具有 强 关 联 关 系 的 特 征
,
构 建为 联合特征
。
3 3 3
. .
勒索应 用 识别
1 .
输入 向 量构建
在本文 中 , 本 文 将 提 取 的 特 征 转换 为 向 量 。
如 公式 3 -
8 和 3
-
9 所示 , 代表 向
表数值 向 量 集 即 将 两 组特征 组
“ ”
量集 ,
包含 0 -
1
向 量 集 和 数值 向 量 集 。
,
合为 个整 体 向 量 表 示 应 用 程序 的 信息 向 量 每个 维 度 的 值 是 l o at
f 类型
一
。
。
,
类型
”
向 量每 个 维 度 的 值 是 存在 于 特 征 集 中
“
表示 0 -
1
向 量集 。 i nt 。 如果 〃 e Ci ,
则无
论 它 在应 用 程序 中 出 现多 少 次 , 其 值为 1 。
否则 , 值为 0
。
" "
C C
—
^ e Cb i n ar
U V^ Cv a
l ue (
3
 ̄
9)
y
f
0 ,
v e Q i s n o t i n fe a t u r e s e t
|
VG C j = <
3 0)
—
1
. . (
k
.
. . .
1 vec
i i
s i n t h e fe a t u r e s e t vec
=
z 1
i
i
J
. . .
{
I
, |
, ,
\ \
i
| |
2 .
模型构建
1
) 模 型 选取
本章 利 用 XG B oo s t
算 法 进行勒 索 应 用 检 测 模 型 的 构 建 , 依据 k 棵树 的 预 测 结 果
得 出 模型 最 终 的 预 测 结果 , 如 公式 3
-
1 1
所示 , 该 预 测 函 数 可 被 定 义为
:
k
Vi
=
(>
t {
X i )
=
/ i t(
X i ) , fk ^ F (
3 -
1 1
)
e
f =
l
其中 , 足 代 表训 练 集 中 的 第 i
个样本 , 本 章 训 练 釆 用 的 正 负 样 本 个数 均 为 1 5 00
,
因此 ,
i e [
1
,
30 00
]
;
y 表 示 模 型 的 分类标 签 , y e{ 0 ,
1
} , 其中 ,
1
表 示 该样本 为 勒 索
应用 ,
〇 表示 该样 本 为 良 性 应 用 , & 代 表 足 对应 的 真实 标签 ,
c
f 代 表使用 的 决策树
的 数量 , 该模型训 练 中 ,
&=1 〇 〇 ,
尸 代表 C ART 树的输入空 间 , 如公式 3
-
1 2 所示
,
可被 定义为
:
t
m
F =
{ f (X )
=
w
q {
x )
, q : R ^ T ,
w eR
} (
3
-
1 2)
其中 ,
m 代 表着 输 入 特 征 向 量 的 维 度 , 在 本 模型 中 m= 5 79 r ; 代 表着 决策 树 拥
有 的 叶子 节 点 的 数 量 代 表着决策树 对于 每 个 样 本在 其对 应 的 节 点 所 获 得
一
;
9
的 分数 ;
叫 代 表着 对于 任 意
一
棵决 策 树 , 其第 i
个 叶 子 结 点 所 获 得 的 分数 ,
则
代 表着决 策 树 9 将 它 的 每个 叶 子 结 点 所 获 得 的 分 数 进行 加 和 所 得 到 的 最 终 分 数
。
2
) 模型 构 建
29
北 京 邮 电 大 学 工 学 博 士学 位论 文
当 XB o o st
算 法 中 的 正 则 化项 与 损 失 函 数 的 加 和 取 得 最 小 值 时 , 模型 的 效果 为最
优 , 如公式 3
-
1 3 所示 , 模型调 优 的 目 标 函 数可表示 为
:
E“
2
咐 )
=
Pr ed i
, 讲 )
+
5Z ( ^ +
臺
刈忉 丨 |
)
(
3
-
1 3
)
其中 , I: J ( p re
d 4 y i
) 代 表着真 实值 与 预测 值 的 误差 , 为模型 的 损 失 函 数项
,
代 表 着模型给 出 的 对于第 i
个样 本 的 预 测 值 , % 代表着第 i
个样本 的 实 际 标 签
;
模型 的 正 则 化项 为 与 为 待求解 的 系 数
2
( 7了 + 0卜 |
|
)
, 7 A
。
为 了 求 解 上述 公 式 中 的 目 标 函 数 的 最小值 , 将在 X GB oos t
进行模 型预 测 f 轮迭
代 时 加 人 正 则 化项 ,
上述 公式 3
-
1 3 的 目 标 函 数可 定义为 公式 3
-
1 4
:
抄 E ”
2
吨 + + 卜 4 )
)
=
3
^
-
1
Z
口 " 丨 丨 丨
(
( )
由 于 XG B o o s t
为 非 回 归模型 ,
因 此 将 上 述 公 式 可 利 用 泰 勒 展 开 式 进行 高 阶 无 穷
小和 常数 项 的 移 除 , 利 用 对 决 策 树 的 叶 子 结 点 的 迭 代 来 代 替对 决 策 树 模 型 的 迭 代 ,
如
公式 所示 利用 代 表决策树 中每 个 叶 子结 点 的 实 例 可将 函 数转 化为
一
3 5
心
-
1
q
:
, ,
豆 ⑴ = -
i
的
4 1
pr ed /
)
-
tJ V i
’ j
Hj
( )
…
^
3 5
_
1
(
)
\ d
t
D
y
_
t 1
a ,
P
r ed
i y
( )
i
)
W
= '
2^ e lj d y ^
-
1
V . i
)
3 ) 参数调 优
网 格 搜索算法是
一
种 基 于 贪 心 原 理 的 参 数调 优 算 法 , 如图 3
-
6 所示 , 在 本 章模 型
调优 中 ,
网 格 搜 索 算 法 将 输 人 数据集 随 机 分 为 1 〇 份 ,
通过 1 〇 折 交叉验证 , 选取 能 够
使模型预 测 结果 准 确 率最高 的 参数组 合 。
在 本章 的 模型 构 建 中 , 将利 用 对 X G B oo s
t
的 参 数 进 行调 优 , 模 型 的 参 数选择 结果 如 表 3
-
4 所示
。
3 4
.
实验评估
本节进行 了 三个 实 验来 评 估 其 检 测 能 力 和 效率 。
为了测试 KRD RO D I
的检测 性
能 , 本文 首 先 评 估带有 勒 索 应 用 和 其 他 样 本 的 数据集 , 然 后 本 文将勒索 应 用 的 检
^
测 能力 与 勒索应用 检测 引 擎 He Dro
l i d
l
和 搭载 于 安 卓设备 的 勒 索 应 用 检 测 引 擎 R
-
P a c kD r o i d 进行 比较
[
23 ]
。
30
第 三章 KR D RO D I :
行为 可 区 分 的勒索应 用 激活 前检测 研究
-  ̄
r T 7n Tr n
准 确 ¥A
 ̄
1
 ̄  ̄  ̄  ̄
 ̄  ̄
 ̄ —  ̄  ̄  ̄  ̄
_」 」
| |
情况
K = 2
J
一
…
1 l
—
_ .
.
. .
. .
. I I I
明 i
丨 丨
m _ i
,
_
_
_
一
— 卜 ss
-
:
'
_ M
K = 1
I I I I I
歡 _
. . . . . .
K = 2
丨 _ T | 1 1 1 1
:
麵
u
K = 1 (
^ I I I I
f
图 3 6 网 格搜 索 算 法 参数调 优 示 意 图
表 3 4 模型 参 数 选 择 详 情
参 数 名 称 参 数 描 述 参 数 值
m ax _
de
pt
h 决 策 树 的 最 大 深 度
5
k 决 策 树 数 量 1 〇〇
m n i
_
c hi ld _
we gh t
i
馬 叶 子节 点 中 权 重 和 的 最 小 值 :
1
re
g _
l am b d a 乃2 :
正 则 化 参 数
1
g a m m a 7 :
决 策 树 分 裂 损 失 减 少 基 值 〇
l e am i ng _
rat e
学 习 权 重 缩 减 系 数 0 .
3
3 4 1
. .
实 验数据
本 文 建 立 了 三个数 据 集 和 〇3 。
如 公式 3
-
1 6 中 所示 , 包含 四 个勒索
应用 集 和 丑即 。 丑伽少 ― 和 包含 20 1 4 20 -
1 5 年期 间与
的 训 练 和 测 试数据 集 相 同 的勒索应用 包含本文在 年期
53]
He Dro
l i d
[
。 20 1 7
-
20 1 8
间从 V i ru s To t a M l
收集 的 2 40 个勒索 应 用 。 如图 3
-
7 所示 , 在 中 的勒索应用
被标记为 Ko l er ,
L o c ke r ,
Pr o n D ro d i
, S i m k
p oc er
l
, S vp e n g 和 未 标记 的勒索应用 。
根
据 的判 定结果 勒 索 应 用 被 标 记 为
25
V i ru s To t a l [ ]
:
C o n g ur F u s o b J
, ,
i s ut ,
P g e tr
i l
,
Rk o r S v p e n g
, ,
P i om 和 未标记 的勒索应 用 。 包含 从 参 考 文 献 中 收 集 的 767 个未
标记 的 勒 索 应 用 1
5 4]
。
如 公式 3
-
1 7 所不 ,
1? 2 包含六个恶意软 件集
3
1
北 京 邮 电 大学工学博士学 位论 文
包含 个标 记为 的 恶意软 件 是 个 恶 意扣 费 家族
该
5 5]
25 7 S m s re S msreg
一
[
1
g , ,
应 用 能 够 静默 进行 多 种 收 费 服 务 的 申 请注册 。 包含 1 36 个标记为 W i n d a d w ar e
的
W
应 用 程序 ,
W i n d ad w ar e 是 一
个 向 设 备 提 供 广 告 软 件 的 广 告 软件 系 列 。 ^ 包含
2640 个标记为 Em 的 恶意软件 E mi a % 是 个监视 SM S 的 恶意软 件 家族
一
i al ,
l
。
¥
包含 个标记为 的 恶意软件 是 个在设备上 窃 取 隐 私 信
5 8
77 A ge n t s
py ,
Agen ts
py
[ ]
一
—
息 的 恶意软件 家族 。 包含 297 8 个标记为 B o o gr 恶意软件 ,
B o ogr l
是
一
种恶
意扣 费 木马 包含 个标记为 的 恶意软件
U
是
6
64 0 Dro d Ku n g Fu Dro d Kun Fu t
i
g
。 i
,
种 远程命令 和 控 制 类 恶 意 应 用
一
。
包含 50 种 良性应用 ,
包括 屏幕 美 化 应 用 程序 和 文 件管理 应 用 程序
。
{
Ry f ^ H ,
-
el _
t rai n5
- ^H e l t es t
)
R rp } (
3
_
1 6 )
D2 —
{
O sms i
O ad O Em i i al i
O s
py ^
O B oag r O D K F } i (
3
_
1 7)
D 3
35 00
! 2 97 8 l
!
I
30 00 1
I
1
I
1
I
…
;
卜 了 ;
;
;
|
来 自 He 的数据 来 自 v o
t W 数据
1
!
l D ro i d i ru s t a I
腿 :
:
: ; ; ;
. 〇〇 : :
:
:
!
:
:
;
!
i i
" I
!
1 ,
1
1
1 0 00
f
!
a , i
i
|
i
-
;
i
;
… J ? : i
i
]
图 3
-
7 数据 集 构 成
3 4 2
. .
评 价指标
为 了 更 好地 评 估 实 验结 果 ,
本节计算 了 安卓 勒 索 应用 的 检测 引 擎 的 准 确 度 。 如公
式 3
-
1 8 、
3 -
1 9 、 3
-
20 、
3
-
2 1
所示 , 准 确 度 表示 正 确 识 别 应 用 的 数量 与 应 用 总 数 量 的 比
值 。
精 度 代 表 检 测 引 擎在 部 分 数据 中 的 精 度 。 召 回 率 代 表检测 引 擎 的灵敏度 。 F 1
分
数代 表精确 性和 召 回 率 的组合 在公式 3 8 3 9 3 20 与 3 2 中
-
- - -
。 1 、 1 、 1
,
1
)
TP :
真 阳 性 的 数量 , 代 表着检测 引 擎识 别 出 样 本是勒 索 应用 ,
其真实 标签也 为
勒 索 应 用 的 数量
。
32
第 三章 KRD RO D I :
行为 可 区分的勒索 应用 激活 前 检测 研究
2 ) FP :
假 阳 性 的 数量 , 代 表 着 检 测 引 擎 识 别 出 样 本 是勒 索 应 用 , 其真实 标 签 并 非
为 勒索 应 用
。
3 )
FN :
假 阴 性 的 数量 , 代 表着 检 测 引 擎 识 别 出 样 本 并 非 为 勒 索 应 用 , 其真实 标签
为勒索应 用
。
4 ) TN :
真 阴 性 的 数量 , 代 表 着检 测 弓 擎 识 别 出 样 本 为 非勒 索 应 用 丨 , 其真实 标签
为 非勒 索 应 用
。
TP + T N
A C G Ur a C y
8)
=
3
-
1
(
T P + T N + F P+ F N
TP
Pre c o n =
3 9)
-
i s i
(
1
Tp + Fp
TP
Rec a
3 20 )
= -
11
tp T fn
(
, ^ Pr e c is i o n x R e c all
^
FI s c or e = 2 x
—  ̄  ̄
(
3 -
2 1
)
Pr e c i s o n + R e c a l l
i
3 . 43 实 验分析
在 这项 工 作 中 , 本 文将 回 答 以 下 四 个 问 题 来 评 估 k r d ro e d 的检测性能的 。
对于
每 个 问 题 本 文 将 首 先描 述 个实 验并 给 出 相 应 的 结果 然 后 本 节 将给 出 个简短 的
一 一
, ,
总结
。
问题 1 :
KR D RO I D 的 检 测 效 果 如 何 ?
问题 2 :
KR D RO I D 是 否 会 将其 他 恶 意软 件误 判 为 勒 索 应 用 ?
问题 3 :
与 其 他 勒 索 应 用 检 测 引 擎相 比 ,
KR D RO I D 会 更 准 确 吗 ?
问题 4 :
KRD RO I D 的 效 率 可 以 接 受 吗 ?
3 4 3 1
. . .
回答 问题 1 :
KR D R O I D 的 检 测 效果 如 何
?
拓 来训练 K R D RO I D ,
使用 来 自 认 的 和 作 为 测 试 数据 集
。
如 前 所述 样 本 中 的 数 据 集 都 是 勒 索 应 用 ,
。
同时 , 本 文 在 测 试集 中 还 加 入 了
20 1 9
-
公布 的 个勒 索 应 用 凡 中 的 勒索 应 用 是 年期
62]
20 2 1 年度 C N C E RT 2 00
[
。 t
20 1 7
-
20 1 8
间的 ,
丑 i? p 中 的 数据 集 为 20 1 5
-
20 1 7 年间的 , 训 练集 中 的 勒 索 应 用 是 20 1 4 20-
1 5 年期
间的 。
如果 K RD R O ID 在数 据 集 上 具 有 良 好 的 性 能 ,
这 意 味 着尽管勒 索 应 用 在 不 断 进
化 , 但是 K R D RO I D 仍然可 以识别 出 未知 的勒索应用 。
为 了 确 保 测 试集 中 的 样 本 是 与
训 练 数据 集 完 全 不 同 , 本文 比较 了 他 们 之 间 的 MD 5 , 并 从测 试集 中 删 除 了 重复 的 样
本 。 实 验 结果 如 表 3
-
5 所示 ,
K R D RO I D 可 以检测 到 1 2 07 个 测 试样本 中 1 1 80 种未知
的勒索 应 用 , 准 确 率为 97 8 . %
。
33
北 京 邮 电 大学 工 学 博 士 学 位 论 文
表 3
-
5 K RD RO I D 勒 索 应 用 识别 结 果
样 本 开 发时 间 样 本数 量 准 确率
20 1 5 -
20 1 6 3 5 2 9 9 . 1
%
20 1 6 20 1 7 4 1 5 9 7
-
. 1
%
20 1 7
-
20 1 8 24 0 9 5 %
20 1 9 202
-
1 2 00 1 00 %
总 计 1 2 07 97 . 8
%
综上 ,
KR D o i d 具 有 良好的 泛化 能力 。 KR D RO I D 不 仅 能够识 别 未在训 练集 中 见
过 的 勒索 应 用 , 还 能 够 识 别 进 化演 变 后 的 勒 索 应 用 。 这 在某 种 程 度 上 也 表 明 了 本 文对
于 勒 索 应 用 的 分 析 与 刻 画 与 基 于 行 为 模式 的 特 征 提 取 是 有 价 值 的
。
3 4 3 2
. . .
回答 问題 2 : KRDRO I D 是否 会将 其 他 恶 意 软 件 误 判 为 勒 索 应 用
?
由 于勒索应用 是 种 恶 意 软件 因 此 本 文 仍 然 需 要 测 试 K R D RO D 的 准 确 度 是
一
I
,
否 与 恶 意 软件分 类 无 关 。 本 文 用 了 作为 测 试数据集 。
如 上 所述 , 所有 乃2 中 的 应
用 程序都是不 同 于勒 索应 用 的 恶意软件 。 该实验 的 结果 是 ,
r >
2 中 的 应 用 程序 都 未被
识 别为勒索应用 。 K R D RO I D 的 假 阳率为 0%
。
K R D RO I D 是 种 安卓 勒索 应 用 的 检 测 引 擎 而 不 是 恶意软件检 测 引 擎 它不会
一
。
,
将 其 他 恶 意 软 件误判 为 勒 索 应 用 , 因 为 其 他 恶 意 软 件 没 有 典 型 的 勒 索行 为
。
3 4 3 3
. . .
回答问题 3 :
与 其 他 勒 索 应 用 检 测 引 擎相 比 ,
K R D RO ID 会 更 准确 吗
?
卿
在本 实 验 中 本 文 将 ,
K R D RO I D 与 He l Dro i d 进行 了 比 较 ,
H e D ro
l i d 是
一
种 比较
主 流 的 安卓勒 索 应 用 检 测 引 擎 本 文 从 其 作 者 公 布 的 开 源 网 站 中 复 现 了 H e D ro
53]
d
[
。 l i
。
本文用 了 来 自 乃i 和 D 的 3 作 为 测 试数 据 集 。 结果 该 实验 的 结果 如 表 3
-
6
所
7TC
〇
i d 正确识别 了
3 99 个勒 索 应 用 , 并 识 别 了 i^ e L te st 中 1 7 个 良性应用 和 认 中 的 44 种 良性应用 ,
R
-
Pac kD r o i d 的准确度是 96 8 . % 。 K R D RO I D 正 确 识 别 了 R ll e l jt e s t 中的 40 5 个勒 索 应 用
和 1 3 个 良性应用 , 并识 别 了在 D3 的 42 个 良性应用 , 所述 K R D RO I D 的 准确度是
98 5 . %
。
本文 进 一
步 分析 了 H e D ro
l i d 的 结果 ,
经 过 真 实 的 机 器 测 试 和 反 编 译分 析 , 本文
34
第三章 KR D RO I D :
行 为 可 区 分 的 勒 索 应 用 激 活 前 检 测 研究
表
3
-
6 K R D RO I D 、 R Pa c k D r o
-
i d 和 H ELD O R I D 的 比 较 结 果
阳性 (
T P + T N )
模 型 阴性 F P + FN 准确率 精 度 召 回 率 F1
值
( )
勒索应用 良 性 应用
H e D ro l i d 3 5 9 62 5 4 88 . 6% 8 8 . 6% 9 7 . 8 %93 . 0%
R P ac k D r o
-
i d 3 99 6 1 1 5 96 . 8 % 9 8 . 5 % 97 .
8 %9 8 . 1
%
KR D RO I D 40 5 6 3 7 98 5 . % 1 00 % 9 8 5 % 9 9 . . 1
%
发现在 46 个真 阴 样本 中 有 28 个 样本 由 于 未 知 的 语言 而 无 法 检 测 到 。 由 于 H e Dro l i
d
设备 锁 定 行 为 的 检 测 失 败 ;
其余真 阴 样本 中 的 9 个 勒 索 应 用 在 已 经 被 检 测 出 有 敏感
文本 的 前 提下 依 然 无法 被成 功 识 别 为 勒 索 应 用 。 此外 , 本文 发 现在这 9 种勒索应用 中
R -
P ac k D r
ci d 的 目 标是 使 用 轻 量 级 的 特 征 来 进 行大规 模 的 样 本 测 试 M 。 构 建检 测
引擎时 , 它 使用 系 统 API 软 件包 列 表 来 表 示 应 用 程 序 ,
而 不 是 基 于 多 维 特 征 构 建攻
击 模式 在 某 种 程度 上 该引 擎 由 于 些 信息 的 不 全面性 可 能 会 导致 无法 识 别 一
些
一
。
, ,
类型 的勒索应 用
。
综上 , 由 于 K R D RO I D 在 进 行特 征 集 构 建 时 , 对 勒 索 应 用 的 特 征 进行 全 面 的 分
析 ,
并 基于 勒 索 行为 构 建 了 行 为 模 式 特 征 , 使得 KRD R O I D 可 以 通 过 检 测 勒 索行 为 模
式识 别勒索应 用 , 在 检 测 时不 需 要 考 虑 应 用 中 所 含敏 感 信 息 使 用 的 语言 能 够 更 方 便
,
地 进行 多 个 国 家勒 索 应 用 的 检 测
。
3A3 4 .
回答问题 4 :
K RDRO I D 的 效率可 以接受 吗
?
文 使 用 相 同 的 测 试数 据 集 来 测 试 He D ro l i d 。 由于 R
-
Pa ck D ro d i
是搭 载 于 安 卓 设 备 上 的
检测引 擎 , 并 非在 服 务 器 端 进行 的 检 测 , 检测 时 间 与 K R D R O ID 、 H e D rol i d 不在 一
个
量级 , 所 以 在进行 效 率 测 试 时 KRD RO I D 未 与 其 进行对 比 。 本 节 通 过在英特 尔 酷 睿 i
7
C PU . 6 GH z 处 理器 的
M a c B o ok Pr o l ap t a
p 的 六 核 上 运 行 He
l D ro i d 和
K R D RO I D , 来测
试 其 运 行 效率
。
H E L D ROI D 的 执 行 时 间 将 近 4 h 3 0m i n ,
它 的 主 要 瓶 颈 是 锁 定 策 略检 测 He l
-
dr o i d 的 平均 C PU 使 用 率是 将近 90 % > 内 存使 用 率是 1 8 % a K RD RO I D 的 执行 时 间 将
近 5 s 。 K R D RO I D 的 CPU 使 用 率是 1 . 6% , 内 存使用 率 低 于 1 %
。
综上 ,
KR D R O I D 的 效 率 可 以 用 于 大 规模 应 用 检 测 。 它 能 够 以 较 少 的 资 源 消 耗进
35
北 京 邮 电 大学 工 学 博 士 学 位 论 文
行大 量 的 应 用 检 测
-
。
3 5 .
本 章 小结
本 章详 细 分 析 了 三 种 用 于 移 动 设 备 的 最 为 活 跃 的 勒 索 应 用 , 包括不 同 的运行时
行为 和勒索代码 。
为 了 确 保提 取 的 特 征 具 有 鉴 别 能 力 , 本 章 利 用 对 比 分析 总 结 了 勒 索
应 用 与 具 有类 似 行 为 的 良 性 应 用 间 的 差 异 。 然后 ,
本 章 利 用 多 维 特 征 集提 出 了 一
个行
为 可 区 分 的 安卓勒 索 应 用 检 测 引 擎 。
该 引 擎 不 仅 能 够 更 加 准 确 地 对勒 索 应 用 进 行识
另 1
1 ,
而 且还 可 以 区 分 勒 索 应 用 和 有 类 似 行 为 的 良 性 应 用 。 该方 法误 报 率 低 ,
并 且检 测
时间短
。
36
第 四章 TE CT
K RPRO OR :
基 于 兴 趣 文 件 夹 访 问 感知 的 勒 索 应 用 实 时检 测 研究
目 前 安卓 上 的 加 密 勒 索 应 用 已 成 为 最 严 重 的 威 胁 之 他 们 通 过 加 密 用 户 设备
一
。
,
上 的 私 人 数据 来 勒 索 用 户 。 然而 , 在没有 R OO T 的 安卓 设 备 上 几 乎 没 有 文 件 保 护 解
决方案 。
因此 , 迫切 需要在 未 被 R O OT 的 安 卓 设 备 上 提 出 能 够 应 对勒 索 应 用 加 密 文
件 的 防 护 方 案 本 章 分 析 了 加 密 勒 索 应 用 的 特点 。
, 提出 了
一
种 基 于 空 文 件夹 感 知 的 勒
索 应 用 文 件保护 策 略 。
为 了满足无 RO O T 设 备上 文 件 保护 的 需 要 , 本 章基 于 空 文 件
夹 监 控设 计 并 实 现 了
K R P RO TE C T O R 来 检 测 勒 索应 用 并 保护 文 件
。
4 1
.
引言
近 年 来 加 密勒 索 应 用 以 其 破坏 性 强 获 利 快 的 特 点 吸 引 了 众多 犯 罪 分 子
根
[
63 ]
、 。
,
?
据 C N C E RT 于 202 1
年 发布的 《 2 02 0 年 中 国 互 联 网 网 络 安 全 形 势 概述 》 ,
可以看
出 加 密勒 索 应 用 发展迅速 。
加 密 勒 索 应 用 仍 然 是 网 络 安 全 的 最 大威 胁 。 这种恶意软
?6 6
件 也 为 欺 诈 和 数据 盗 窃 创 造 了 机 会 [ ]
。 加 密 勒 索 应 用 仍 然 是移 动 设 备 的 最 大 威胁
。
年内给 1 50 多 个 国 家 和 地 区 造成 了 高 达 80 亿美 元 的 损
尽 管攻 击 者 尚 未 大 规模 在 所 有 系 统 类 型 的 设 备 上 实 现 勒 索 攻击 ' 但 研 究
64 ] 6 40 ]
失 [
。
[ [
证明 , 加 密勒 索 应 用 可 以 很 容 易 的 在 不 同 系 统类 型 的 设 备 上 实 现 , 并 将 在 这 些 设备 上
迅速 传播
。
据报 道 , 截至 202 0 年 , 安 卓 设备 的 数 量 将 达 到 6 1 亿左右 目 前 , 安 卓 上运
行 的 勒 索 应 用 仍 然 是物 联 网 设备 的 威胁 。 自 20 1 4 年 , 安卓 系 统 上 的 第 一
个加 密勒索
应用 S i m p l e L o c ke r 出 现至今 , 加 密勒 索 应 用 的 数 量 仍在增 长 。 根据 C h e ck p o nt i
发布
的报告 , 在 202 1
年 的 最 后 六个 月 ,
加 密 勒 索 攻击 增 加 了
57 % 。 报告 中 还指 出 , 平均
每 秒就会有 个 新 组 织 受 到 加 密勒索 应 用 的 攻击 由 于 网 络犯 罪 的 风 险 低于 现
D]
1
[
0
一
1 。
实犯 罪 将 吸 引 更 多 的 攻 击者 开 发 与 传 播 加 密 勒 索 应 用 安 卓 系 统 上 的 设 备将
3
_
1 1 1
[ ]
, ,
面 临 更大 的 威 胁
。
些研 究 者提 出 了 一
些 基 于 静 态 分 析 和 动 态 分析 的 加 密 勒 索 应 用 检 测 方 法 。
例
^
如 ,
H e Dro l i d 通过监视 API 调 用 和 提 取勒 索 或 威 胁 消 息 来 检 测 勒 索 应 用 。 H e Dr o l i
d
无 法 检 测 通 过 视 频 或 音频 显 示 勒 索 信息 的 勒 索 应 用 。 加 密勒 索 应 用 可 以 通 过 加 固 和
混 淆 来 逃避 静态 分 析 。 他 们 还可 以 通 过 延 迟 勒 索 行 为 来 逃避 动 态 分 析 , 也就是 说 ,
他
们 在激 活 文 件 后 不 会 立 即 加 密 文 件 。
据 本 文 所 知 这 些 加 密 勒 索 应 用 检 测 方法 无 法 阻
,
37
北京 邮 电 大学 工学博 士学 位 论 文
止勒索应 用 加 密 文 件 , 或 在勒 索 应 用 加 密 文 件 时警告 用 户
。
些 研究 人 员 提 出 了
一
些 实 时检 测 加 密 勒 索 应 用 的 方 法 。 S an
g g ei
m 等人 关注
了 文件 系 统和 I/ O 请求 的 变化 。 也就是说 ,
只 有在加 密勒索 应 用 完 成加 密 后 才 能 得到
检测 结果 , 这可能 会给 用 户造成 巨 大损 失 。 R a n s o m Pr o b e r M 通 过对 比 文 件 的 香 农熵
在 文 件被访 问 前 后 的 变 化是否 超过 阈 值 .
进行加 密勒索 的识 别 。
如 果 加 密勒索 应 用
, ,
M
用 误判 为 正 常应 用 程序 。 R a n s o m G u ar d i
使 用 静态 分 析检 测 加 密勒 索 应 用 ,
它 提取
API 调用 作为特征 , 并 借助 机器学 习 检测 勒索 应 用 。
如果加 密勒索 应 用 使 用 隐 写 、
混
淆 、
加 固 或 反射 ,
R a n s o m G u ar d 可 能 会将加 密勒索 应用 误判 为 正 常应用 程序
。
此外 , 现有 的 大 多 数 实 时检 测 方法都需 要 RO OT 权限 , 因 为它 们 需要 是安卓 智
能 手 机 的 超级 管理 员 来 激 活
一
些隐藏的 L i nux 机制 , 从 而 修 改 安卓 上 的 文 件访 问 控
制模式或 I/ O 响 应 模式
。
考 虑 到 信 息 安 全 大 多 数安 卓 用 户 不 会 选择 :
RO OT 设备 。 根 据调 查 ,
只有 22 %
的
@
用 户 选择 使 用 RO O T 他 们 的 安 卓 设备 1
。
现 有 的 检 测 方 法 依 赖 于 超级 管 理 权 限 ,
但
加 密 勒 索 应 用 可 以 在 没有 管理员 权 限 的 情 况 下 加 密 文件
。
另外 ,
RO OT 的 成本越 来 越高 。
随着安卓 系 统 的 不 断升级 , 许 多 制 造商 试 图 阻 止
用 户 在 其 设 备 上 进行 RO OT , 以 抑 制 用 户 对设备 的 独 立控 制 。 R O OT 安卓设备越来 越
难 , 有 些 设备甚 至 可 以 采 用 物 理 短路 的 方式 来 阻 止 设备被 RO OT 。
安卓 系 统整 体安全
性 的提升和 权 限管理 的 升级也使得新 版安卓 系统 的 RO O T 变得困难
。
由 于 RO O T 设备 的 困 难 .
越 来越 多 的 安全 测 试 人 员 开始使 用 系 统版本高 但没有
RO OT 的 设备 进行 应 用 程 序 测 试 。
如 果在 测 试设备上安 装 并 激活勒 索 应 用 ,
则勒索应
用 加 密 文 件 后 会 大 大 降 低安全 测 试人员 的 效率
。
如上所述 ,
现有 的 实 时检 测 方法 只 能 保护 已 经 RO O T 的 安卓设备 ,
而不能保护
没有 RO O T 的 安卓设备 , 这 不 能 完 全 解 决安 全 测 试 人 员 在 进行 应 用 程 序 测 试 时遭遇
设备 、
文 件资 源被劫持 时所带来 的 不 便
。
当 前 对 于 勒 索进 行 中 的 防 御 技 术 研究 概 览 如 表 4 -
1
所示 。
为 了 检测 加 密勒 索 应 用
并保护没有 R O OT 的 安 卓设备上 的 文 件 ,
本章分析 了 各 种 加 密勒索应 用 , 提出 了基
于 空 文 件 夹 监控 的 文 件保护 策略 。
本 章 设 计 并 实 现 了KR P R OT E C TO R ,
这是 一
个基
于 空 文 件夹监控 的 、 具有 文件保护机制 的勒索 应 用 检测 引 擎 .
本章 的 主 要 贡 献 如 下
:
1 .
、
Ko o d o u s 开 源数据集 _ 和 V i m s To t a l
_
中 收 集 了6 7 5 个 加 密 勒 索 应 用 。
本 章对这
些勒 索 应 用 进行 了 反 编译 :
从 攻击 时 间 、
目 标文件夹 、 遍 历方式 、
文件排 列 、
加 密范
围 、
加 密 方法 、 加 密模式 、
加 密策略 、
目 标 文 件和 加 密 文件等方面总结 了 加 密行 为 的
特点
。
2 .
3 8
第 四章 KRPRO
T E C T OR :
基 于 兴 趣 文件 夹 访 问 感 知 的 勒 索 应 用 实 时 检 测 研究
提 出 了 基于 兴 趣 文件夹监控 、 搭载在未被 RO OT 过 的 安 卓 设备 端 的 加 密勒 索 应 用 检
测策略 。
该策 略 以 空 文 件夹 为 兴趣 文 件夹 的 实 体 , 搭 载 在 未被 RO O T 的 终 端进行勒
索应 用 检 测 ,
能 够 有 效 识 别 使 用 了 动 静 态 检 测 逃逸 策 略 的 勒 索 应 用 。 本章还证 明 了 该
策 略 除适 用 于 安卓 系 统外 ,
也可 以 在 未 获 得 管理员 权 限 的 前提下 在更 多 种 类 的 其 他
,
设备上实 现
。
3 .
对 勒 索 应 用 加 密 文 件进行 防 御 为 了 更 好 地 保 护 文 件免 受 勒 索 应 用 的 攻击 本
。
,
章 基于 上 述 策 略 实 现 了
K R P R O TE C T O R , 它 对勒 索 应 用 识 别 的 准 确 率 较 R -
P a c kD r o d M
i
、
?
He D r o
l i d 等 引 擎高 20 % 以上 , 并 能 够在 第
一
个 文件加 密前 1 4 秒 左 右 发 出 警告 ,
实
现 了 在 设备 未 被 RO O T 的 情况下 , 对勒索 应 用 加 密 文 件进 行 防 御
。
表 4 -
1 勒 索 进 行 中 昉 御技 术 概 览
需要
搭载 在 部 署 兴 趣
RO O T 文 件
检测 的 时 间 移 动 设 乎 台 文 件 文
/
或 管理 员 保护
备上 件夹
应用 激活 后
,
S D G ua r d
[
32 1
/ 安 卓 / / x
实 施加 密 前
应 用 激活 后
,
等 人 的 研 究 / 安 卓 / / x
2 51
Yu a n 1
实 施加 密 前
, 安卓
22]
S ong
[
等人 的 研究 加密时 , x x
34 ]
Fe rr a n t e [
等人 的 研究 加密时 , 安卓 , x x
应 用 激活 后
,
RW G u a r d [
37]
W -
i n d ow s / / /
实施加密前
应 用 激活 后
,
R L oc ke r
-
[
38]
W -
i nd ow s / / /
实施加密前
应 用 激活 后
,
K R P RO TE C T O R Z 安 卓 x , /
实施加 密 前
39
北 京 邮 电 大 学 工学 博士学 位 论 文
4 2
.
加 密手段 分析
部分 研 究 人 员 提 出 了
一
些 加 密 勒 索 应 用 的 攻击特 征 。 研究 人员 在 分析 了 不 同 家
2 a 4 9 5 3 69 ]
族 的 加 密勒索 应 用 后 证 明 了 并 非 所 有勒 索 应 用 的 攻击 时 间 都 相 同 在部 分
_
[ ,
。
,
文献 中 , 研究 人 员 提 出 勒 索 应 用 不 会 加 密 设 备 上 的 所 有 文 件 , 但 会加 密照 片 、 文档等
m
主 保存 的 文件 等人 提出 并 非 所 有勒 索 应 用 都 对 整 个
23 7 0 721
C H EW C
73]
用户
"
自
, ,
。
,
文 件 进行 加 密 有 些勒 索 应 用 只对 文 件 的 部 分进 行 加 密 部分研究 人员 分析 了 勒
一
。
,
索应 用 的 加 密 方法 部 分 研究 人 员 介 绍 了 勒 索 应 用 的 不 同 加 密 模 式 以 及 如 何
2Q 23 70 72 ]
"
[ , ,
实 现这些 加 密模式 研 究 人 员 讨论 了 勒 索 应 用 对 其加 密 的 文 件 的 些 命名 规
23 5 3 5 9 ]
-
, 一
[
剛
则
。
为 了 更 好地 了 解 加 密勒 索 应 用 的 加 密 手 段 , 本节分 析 了 6 7 5 个勒 索 应 用 , 并总
结 了 1 0 项 典 型 的 勒 索 应 用 加 密 特征 ,
这 些 特 征 有 助 于 本节 制 定 兴 趣 文 件 夹 的 部署 策
略 , 例如 , 勒 索 应 用 进 行 加 密 目 标 文 件 搜 索 时 的 文件遍 历 方 式 、
勒 索 应 用 获取 目 标文
件列 表 时 文件 列 表 的 有 序方式 等 卜
。
“
攻击 时 间 包 括 立 即 等 待 和 定 时 立即
”
攻 击时 间 是 指 加 密勒 索 应 用 在 第
一
1 .
。 、 。
次 激 活后 立 即 对文 件进 行 加 密
“
,
并 且 大 多 数 加 密 软 件 的 攻击 时 间 是 立 即 的 方 式 。
等
”
次 激 活 加 密 勒 索 应 用 后 它 在 收 到 加 密 命令 之 前 不 会 加 密 文 件
“
待 意 味 着 在第
定
一
。
,
意 味 着 首 次 激 活 加 密勒 索 应 用 时
”
时 , 它 会设 置 时 间 触 发器 , 并 使其 能 够 在 指 定 时 间
加 密文件 。 基于 沙 箱动 态分 析 的 文 件 加 密 型 勒 索 应 用 检 测 通 常 会 在 勒索 应 用 被 激 活
后 立 即 进行 , 因此 , 勸 索 应 用 可 以 利 用 恶 意 代 码 定 时加 载 等逃逸 方 式 来 规避 该类 型 的
检测
。
表 4 -
2 加 密型 勒 索 应 用 的 攻击时 间 特 征
S i m p l e L o c k er C on g u r Wa n n a l ok er X B o t D o u b l e L o c ke r P l et or
攻 击 时 间 立 即 立 即 立 即 立 即 立 即 等待
综上 , 攻 击 时 间 是 加 密勒 索 应 用 的 一
种 攻 击特 征 。
如表 4 2 -
所示 , 大 多 数加 密 的
攻击 时 间 是 立 即 的 。
如 果 本 节在 设 备 中 部署 兴趣 文 件 夹 并 监控 到 应 用 访 问 兴趣 文 件
夹 那 么 刚 刚 开 始运 行 的 应 用 程 序 比 已 经 运 行 段 时 间 的 应 用 程序 更 加 可 疑
一
。
,
2 .
目 标文 件 夹 。 加 密 型 勒 索 应 用 的 攻击 目 标 文 件 夹 特 征 如 表 4 -
3 所示 , 目 标 文件
夹 是加 密 文 件 的 父 目 录集
。
在 没有 R O OT 的 设备上 , 目 标 文 件 夹 的 值通 常 为 /s d c a rd / 或 /s d c a r d/ 文件 夹 的 子 文
件夹 第 个原 因 是普通 用 户 只 能 访 问 加密勒 索 应 用 只 要 申 请写 人外 部存
一
。 /s d c ar d/
,
储器 的权 限 , 就 可 以 读取 或 写 入 /s d c ard/ 中 的 所有 文 件 。 第 二 个 原 因 是该 文 件 夹 包 含
用 户 最 关 心 的 文件 , 如照片 、 视频等
。
综上 , 目 标 文 件 夹 是 加 密 勒索 应 用 的 一
种 攻击 特 征 。
如 果 本 节在 加 密勒 索 应 用 的
40
第 四章 TE C TO R
KR P RO :
基 于 兴 趣 文 件 夹 访 问 感知 的 勒 索 应 用 实 时 检 测 研 究
表 4 -
3 加 密型 勒 索 应 用 的 攻击 目 标 文件 夹特 征
S i m p l e L o c k e r C o n g u r Wa n n a l o ke r X B o t D o u b l e L o c k e r P l e t o r
目 标 /s d c ar d/ 和 它 /s d c a rd / / s d c a rd / 下 /s d c a r d / / s d c ar d / 和 它 /s d c ar d / 下 , 除路
”
文 件 所有子文件 和它所 的 B a du n et
i
-
夹 夹 有 子 文 di s t 下载和 有子文 夹 t mp ,
l og ,
t est >
c ac h e
,
M 件 夹 的 其 他路 径
”
件 夹 D C I t h u mb
下 的 所 有 子 文 件夹
偏 好 目 标 文 件 访 问 位 置 处 部署 兴 趣 文 件 夹 可 以 增 加 兴 趣 文 件 夹 被 访 问 的 概率 从 而 , ,
.
保护 文件
。
3 .
遍历方法 。 加 密 型 勒 索 应 用 的 攻击 目 标 文 件 夹 特 征 如 表 4 4 -
所示 ,
遍 历 方法 包
含 深 度 优 先遍 历和 广 度 优 先遍历 。 这 意 味 着 大 多 数加 密勒 索 应 用 釆 用 深 度 优 先遍历
的 方 式 遍历 文 件 夹 , 以 获取 文 件夹 及 其子 文 件 夹 中 的 文 件列 表
。
表 44 加 密 型 勒 索 应 用 加 密 时 遍 历 方 法特 征
S i m p l e L o c k e r C o n g u r Wa nn a l o k e r X B o t D o ub l e L o c k e r P l e t o r
遍 历 方 法 深度 优 先 深 度 优 先 深度优先 深 度 优 先 深 度 优 先 深 度 优 先
遍 历 方 式 是 加 密勒 索 应 用 的 种 攻击 特 征 它 有 助 于 研 究 如 何部 署 兴 趣 文 件 夹
一
。
,
安 卓 设 备 的 目 录 是 树 状 结 构 如 果 加 密 勒 索 应 用 的 遍历 方式 是 深 度 优 先 搜 索 本节 可
。
,
4 .
文 件获取颇 序 。 加 密 型勒 索 应 用 的 文 件获取 顺 序特 征 如 表 4 5-
所示 ,
文件
获 取 顺 序 包 含有 序 和 无 序 。 它 是 指 加 密 勒 索 应 用 获 取文 件 列 表 时 列 表 内 目 标文件 的
4]
排序 方法 如 按文 件 名 的 升 序 或 降序 排序 按 文 件 大 小 的 升 序 或 降 序 排序 等
在
1
[
、 。
,
没有 RO O T 的设备上 , 文 件 的 排列 通 常 是 无 序 的 。 原 因 是 安 卓 上 的 加 密勒 索 应 用 在
j
aV a . i a Fi l e > -
Ii St Fi l e S ( ) 的 帮助下获得 了 文件列 表 ,
此 方法返 回 的 文 件 列 表 将 不 会 按 照
特 定 的 方 式 排序
。
表 4 -
5 加 密 型 勒 索 应 用 加 密 时 文 件 获取顺 序 特 征
S i m p l e L o c k e r C o n g u r Wa n n a l o k e r X B o t D o ub l e L o c ke r Pl e t o r
文 件 获取方 式 无 序 无 序 无 序 无 序 无 序 无 序
41
北 京 邮 电 大 学 工 学 博 士 学 位 论文
综上 , 文件 获取 顺 序 是加 密勒索应 用 的
一
种 攻击 特 征 ,
它 有 助 于 本节 确 定 兴趣 文
件夹 的 实 体
。
5 .
加密覼序 。
加 密 型勒 索 应 用 的 加 密 顺 序 特 征 如 表 4 6 -
所示 , 加 密 顺 序 包 含集 中
“
加 密 和 逐个加 密 。 这 意 味 着 加 密 软 件是将所 有 目 标 文 件 一
起 加 密 或 逐个 加 密 。 集中
”
加密 是 指 加 密 勒 索 应 用 将 文 件 列 表 中 的 所有 文 件
一
起加 密 。 大 多 数加 密勒 索 应 用 将
要加 密 的 目 标 文 件 的 路 径 利 用 列 表进行存 储 ,
之 后 通 过对 列 表 中 文 件路径 的 遍 历进
是指如 果 加 密勒索应用 找 到 要加 密 的 标文件
“ ”
行文件加 密 。
逐个加 密 目 , 它 会立 即
对 其 进行 加 密 然 后继续查 找下 个要 加 密 的 文 件
一
。
,
表 K 加 密型 勒 索 应 用 加 密时加 密顺 序特怔
S i m p l e L o c k e r C o n g u r Wa nn a l o k e r X B o t D ou b l e L oc ke r P l e t o r
加 密 顯 序 集 中 逐个 逐 个 集 中 集 中 集 中
综 上 加 密 顺 序 是 加 密 勒 索应 用 的
,
一
种 攻击 特 征 , 它 有 助 于 本 节确 定 兴 趣 文件 夹
的 分布 情 况
。
6 .
加 密 方法 。 加 密 型勒 索 应 用 的 加 密 方法特 征 如 表 4 7
-
所示 , 加 密方法包含
cr
y p tA P I s 和 自 定义 。 c ry
p
t API s 表 示 该 加 密勒 索 应 用 在 加 密 文 件 时 釆 用 了 J av a
官方
定 义 的 加 密 方 法进 行 加 密 , 例如 ,
开 发者 可 以调 用 j
av a x c r y p t o
. . C i
p
h er 等 官 方类 中 的
AE S 或 DE S 方法 完 成 文 件加 密 。
若攻击者 使 用 J av a 官 方 定 义 的 加 密 方法 进行 加 密
,
则 在 进行 文 件 解 密 时 , 能 否 成 功 获取加 密 的 密 钥 就 成 了 解密 能 否 成 功 的 关 键 。 而在
HO O K 的帮助下 , 安 全 分 析 人 员 能 够 通 过对 加 密 方 法 日 志 的 监 控 对 密 钥 进行 获 取 大
。
多 数 加 密 勒 索 应 用 的 加 密方法 应 用 了
Ja v a 官方 加 密 方 法 , 并 使 用 随 机数生 成 加 密 密
”
表 示 加 密 勒索 应 用 进行 文 件 加 密 的 方 法 是 攻击 者 自 行 定 义 的 加 密 方 法
“
钥 。
自 定义
,
例如 , 加 密 方 法 使 用 逻 辑 和 算 术 运 算 相 结 合 对 文 件 进行 加 密 。
加 密勒 索 应 用 使 用 自
定
义 的 加 密 方 法 对 文 件进行加 密 ,
可 以 增 大勒 索 应 用 成 功 逃逸 安 全 引 擎检 测 的 成功 率
,
但安 全 人 员 通 过 逆 向 分 析 也 可 以 获取解 密密 钥
。
表 4 -
7 加 密 型 勒 索 应 用 加 密 时 加 密 方 法特 征
S i m p l e L o c k er C o n g u r Wa nn a l o k e r X B o t D ou b l e L o c ker Pl e t o r
加密 顯 序 A E S A E S A E S 自 定 义 加 密 方 法 A E S A E S
7 .
加密 模 式 。 加 密 型勒 索 应 用 的 加 密 模 式 特征 如 表 4 -
8 所示 , 加 密 模 式 是指 加 密
勒 索 应用 从访 问 文件 到 加 密 的 过程 。 大 多 数加 密 勒 索 应 用 的 加 密模 式 可 以 分 为 五 种
模式
。
42
;
第 四章 K R P RO TE CT O R :
基于 兴 趣 文 件 夹 访 问 感知 的 勒 索 应 用 实 时 检 测 研究
“ ”
数 据读取 数 据 加 密 数 据 重 写- -
是 指 加 密勒 索 应 用 的 加 密 过 程 是 读 取 文 件 、
加
密 读取 的 数 据 并 用 加 密 数据 重 写 原 始 文 件 。 也就是说 , 原 始 文 件 被加 密 文 件 覆盖
。
“ ”
数据读 取 数据 加 密 创 建 数据 重 写 原 数 据 删 除
- - -
-
是指加 密勒 索 应 用 的 加 密 过程
是读取 文件 、
加 密 读取 数 据 、
在 原 始 文 件 位 置 创 建新 文 件 、
将 加 密 数据 重 新 写 入 新 文
件 , 并 将 原 始 文 件 进行 删 除 。 也就是说 , 勒索 应用 删 除 了 原始文件 , 同 时在 外 部 新 建
了 对原始 文 件 加 密 后 的 文件 。
目 前 , 大多 数加 密勒 索 应 用 , 如 S im
p l e L o c ke r 、 C o ngur
、
Doub l e L o c k er 和 P l e to r , 均 使 用 该 加 密 模 式 进行 文 件 加 密
。
“
数 据 读取 数 据 加 密 创 建 数 据 重 写 重 命 名 原 数 据 删 除
”
- -
- - -
是指 加 密勒 索 应 用 的
加 密 过程是读 取 文 件 、
加 密 读取数据 、
在 原 始 文 件 位 置 创 建新 文 件 、
将 加 密数 据 重 新
写 入 新 文件 、 重 命 名 文件 并 删 除 原 始 文件 。
一
些 加 密 勒 索 应 用 开 发 人员 添加 了 重命 名
步骤 , 以 使 加 密勒 索 应 用 检 测 引 擎 将 加 密勒 索 应 用 误 判 为 正 常 应 用 程 序 。
如果加 密勒
索 应 用 检 测 引 擎对 原 始 文 件 的 识 别 标 准 为 使 用 F i l e l np u t 方 法打 开 的 文 件 ,
Xt 加 密文
件的识 别标准为 使 用 F i l e O u tp u t 方法 打开 的 文 件 那 么 检 测 引 擎 无法 找 到 已 经被重 命
,
名 的 加 密文件
。
“ ”
数据读 取 原 数据 删 除 数 据 加 密 创 建 数 据 重 写
- ? - -
是 指加 密勒 索应 用 的 加 密过 程
是读取文件 、
将 原 始 文件 进 行 删 除 、 加 密 读 取 数据 、
在 原 始 文件 位 置 创 建 新 文 件 并 将
加 密 数据 重 新 写 入 新 文 件
。
数据转 移 数据 读取 数据 加 密 数 据 重 写 数 据 转 移
”
-
-
- -
是指加 密勒索应 用 的 加 密过
程 是 将原 始 文 件 移动 到 另 个文件夹 读取 原 始 文件 加 密读 取 数 据 将 加 密数 据 重
一
、 、 、
新 写 人 原 始 文 件 以 及 将 原 始 文件 转移 到 原 始 文 件 夹 。 也 就 是说 , 原 始 文 件被 加 密 文 件
覆盖 , 加 密勒 索 应 用 不 会 加 密 原 始 文 件 夹 中 的 文 件
。
表 4 -
8 加 密塑 勒 索 应 用 加 密 时 加 密 模式特 怔
S i m p l e L o c ke r C o n g u r Wa nn a L o k e r X B o t D o ub l e L o c ke r P l e t o r
数 据读取 数 据读 取 数 据读取 数据 读 取 数据 读 取 数据 读 取
创 建 创 建 数 据 加 密 原 数 据删 除 创 建 创 建
加 密 数 据 加 密 数据 加 密 创 建 数据 加 密 数据 加 密 数 据 加 密
模 式 数据 重 写 数据 重 写 数 据 重 写 创 建 数据 重 写 数据 重 写
原 数 据 删 除 原 数 据删 除 重 命 名 数据 重 写 原 数据 删 除原 数据 删 除
原 数据 删 除
综上 加 密 模 式 是 加 密 勒 索 应 用 攻击 的 种 特征 它 有 助 于 本 节从访 问 兴 趣文 件
一
, ,
夹 的 事 件 中 发 现 加 密事 件 , 及 时感 知 勒 索 应 用 进行 文件加 密
。
8 .
加 密 策略 《 加 密 型 勒 索 应 用 的 加 密 策 略特 征 如 表 4 9 -
所示 , 加 密 策 略包括全
43
北 京 邮 电 大学工学博士学 位 论 文
文 、
头部和 尾 部 。 这 意 味 着 加 密 勒 索 应 用 是否 对 目 标 文件进行 全 文 加 密 。 全文意 味着
当 加 密勒索 应 用 加 密 文 件 时 , 将全 文 数据 进 行 加 密 大 多 数 加 密 勒 索 应 用 的 加 密 策 略
。
是全 文加 密 。
头部表 示 仅 对 文件头 中 的 部 分 数 据进 行 加 密 。 例如 ,
D o ub l e L o c ke r 中包
含 的 加 密勒 索 应 用 仅 加 密 每 个 文 件 的 前 1 0 24 个字节 。 尾 部表示 仅对文 件 尾部 的 部分
数据进行 加 密
。
表 4 -
9 加 密 型 勒 索 应 用 加 密 时 加 密 策略特 征
S i m p l e L o c k e r C o n g u r Wa nn a o ke r X B o t D ou b l e L o c k e r P l e t o r
l
加 密 策 略 全 文 全 文 全 文 全 文 前 1 024 个字 节 全文
加 密勒 索 应 用 为 了 快 速实 现 对 文 件 的 加 密 ,
可 能 会 存 在较 高 的 C PU 负 载 的 现象
,
其恶意行为 容易 被 发现 。 因此 , 有 些 勒 索 应 用 只 对 文 件 中 的 少 量 数据 进行 加 密 ,
可以
降 低被发现的 风 险
。
综 上 加 密 策 略是 加 密勒索 应 用 的 种 攻击 特征 它 有 助 于 本 节 研究 需 要 部署 的
一
, ,
兴 趣 文 件 夹 数量
。
9 ?
目 标文 件 。
加 密 型勒 索 应 用 的 目 标 文 件特征 如 表 4 -
1 0 所示 , 它 表示 加 密勒 索
应 用 在进 行 目 标 加 密 文件 选 取 时 釆 用 的 过 滤 准 则 。 例如 , 文 件 的 大 小 是否 符合用 户 常
用 文件 大 小 的 范 围 、
文 件 的 后 缀 是 否 为 常 见 文件 后 缀 等 。 但是 , 并 非 所有 加 密 勒 索 应
用 都 需 要 过滤 条件 ,
例如 ,
Xb o t
加 密 指定文件夹 中 的 所有 文件 。
某 些 加 密勒 索 应 用
具 有 多 种 过滤 标 准 。 例如 ,
D o ub l e L o c ke r 对大小 大 于 或 等 于 1 0 24 字 节 的 文 件进行 加
” “
对 文 件 名 后 缀 包 含在 用 户 主 动 存 储
”
“
密 , 并 且 文 件名 不 包 含 . cr
y ee 和 ap k ; P l e to r
(
4 d oc , docx ,
d oc m , av i ,
j pg ,
j peg ,
m p4 ,
t xt ,
3
gp ,
pp t ,
p d f pp t m , ,
pp t x , xl s , xl s b , xl s m
,
xls x , zi p ,
7z ,
vcf , 3 £r , ac c db , ai , ar w ,
b ay , c dr , c e r, c r 2 , c rt , cr w ,
db f , d cr ,
de r ,
dn g , dw g , e ps
,
e rf , i nd d , j pe ,
k dc , m db , m d f, m e f, m r w , m kv n e f nrw
, , , odb , o d m , od p , o d s , o d t , o rf, p i 2
,
p7b ,
p 7c ,
p dd ,
pef pe m ,
,
p fx ,
psd ,
p s t p tx ?
,
r3 d ,
ra f ,
ra r, r a w ,
rt f ,
rw 2 ,
rw l , s
f
r , s
rw , wb 2 ,
wp d
,
中 的 文 件进行 加 密
1 4]
wp s x lk
【
,
。
)
表4 -
1 0 加 密型勒索应 用 加 密时 目 标 文 件 选择特 征
S i m p l e L o c k e r C o n g u r Wa nn a l o ke r X B o t D ou b l e L o c ke r P l e t o r
文 件 b mp ,
gi f ,
p df ,
doc , 不 超 过 小 大 于 文 件 于 1 0 24B ,
且 户主动存
docx ,
t xt ,
avi ,
m kv ,
3
gp , 1 0 M B 1 0 KB , 小 文 件 后 缀 不 为 储列 表的
“ “
的 文 件 于 文 件
“
mp4
5 0MB c ry ey e ,
.
ap k
44
第四章 K R PR O
TE C
TOR :
基 于 兴 趣 文 件 夹 访 问 感 知 的 勒 索 应 用 实 时检 测 研究
, ,
的 实体 , 使 兴 趣 文 件夹 最 大 条 件 的 满 足 勒 索 应 用 的 访 问 标 准
。
1 0 .
加密文件名 变化 。 加 密 型勒 索 应 用 的 加 密 文 件名 变 化特征 如 表 4 -
1 1
所示 ,
这
意 味 着 文件加 密 后 的 更 改 。 本节 将 侧 重 于 文 件 名 的 变化 而 不 关 注 香 农 熵 和 文 件相 似
,
性 的 变 化 加 密 勒 索 应 用 通 常 为 被 加 密 文 件 添 加 攻击 者 自 定 义 的 后 缀
。 。
自 定义后缀 的
添加 , 不 仅 能够 向 受 害者显 示缴 纳 赎金 的 方 法 ,
而 且还 能 方 便 攻击 者对 被 勒 索对 象 以
及 使用 的 加 密 密钥 进行标记 , 防 止 重复
。
表 4 -
1 1 加 密 型 勒 索 应 用 加 密 时 加 密 文 件 名 变 化特 怔
S i m p I e L o c k e r C o n g u r Wa nn a l o k er X B o t D o u b l e L o c k e r P l e t o r
”
化 后 缀 如 式 至 文件 后 缀 式至文件后缀 称
“ ” “
. c iy ey e . l ock
“
”
. en c
综 上 加 密 文 件 名 变 化 是 加 密勒 索 应 用 的
,
一
种 攻击 特 征 ,
它 有 助 于 本 节定 位 目 标
文 件 和 部署 兴 趣 文 件 夹
。
4 3
.
方 案 设计
本节将介绍 K R P RO T E C TO R 的实现 。 K R P RO
T E C TO R 是 一
个基 于 兴 趣 文 件 夹
访 问 感知 的 勒 索 应 用 实 时检 测 引 擎 ,
它 搭载 于 未被 RO OT 的 安卓 系 统 , 能 够 在勒 索
应 用 对 用 户 文 件进行 加 密 前 感 知 加 密 行 为 , 并 对 用 户 进行预警 , 具 有 文 件保 护 功 能
。
4 3 1
. .
工 作流 程
KR P RO TE C TO R 的 工作流程如 图 4 -
1
所示 。 K R P RO TE C T O R 中 主 要 有 两 个 模 块
,
兴 趣 文 件 夹 部 署 模 块 和 加 密勒 索 应 用 检 测 模 块 旦激 活 兴 趣 文 件 夹 部 署 模 块 将根
一
。
,
据 文 件 的 分 布 生 成 并 部 署 兴 趣文 件 夹 ,
包 括 同 级 目 录 兴 趣文 件 夹 和 子 目 录 兴 趣 文 件
夹 。 这些 兴 趣文件夹 的 实 体 是 空文件夹 , 这些 文 件 夹 由 K R P RO T E C TO R 监控 。 如果
KR P R OT E C T O R 发现
一
些 兴 趣 文 件 夹 被访 问 ,
K R P R OT E CT O R 将 使 用 过 滤条 件对 活
动的 Ac ti vit
y 进 行 过滤 ,
然 后 触 发 加 密 勒索 应 用 检 测 模 块 。 加 密勒 索 应 用 检 测 模 块 根
据 可 信值识 别 加 密勒索应 用 , 并 向 用 户 发 出 警报
。
45
北 京 邮 电 大学 工 学博 士学 位论 文
诱馆 觸
難
\ mm ^ m I *S
!
^ /
s d c ? r d /* l w s / ki F l ?h
^
B
/ s dc ?r d/AI ?r? s/ ft
s
I
[/ ^r ^ r VT T i
j
|
A Jc ? n 2K
/ s d c a r d ^ A l a x W / s dc ax d/ KHj
-
ic - i 2D §: 2
< l
/A l ?r? s e s /
r
) :
_
:
^ 久
^
避- ⑶
,
过通
“
g
1
/ S f
c ar d / / dc T d/W o ^a/
I
?
s '
<
^
/ s d a r d ^ o m l o a d / ^ / s d c a r d ^ I v i e ^
,
l
t
A L J d^ ownl o ad/
c
^
} / sdc a
^ ^
vie s/
、
一
^
J | A
,
?
/ s dc ar dAo r i e s / .
|
/ l
-
t a
i
口
一
^
 ̄
/s dc d /
'
ar or i e s e s
Z
- i
> v
Z
j
、 — ? ?
u
- —
_
I
I
加 密勒寮關
'
n
r
n ;
雜
可 信 值 计巷
… 产
骇巧?
" "
r 子1 录 i m 種?
t /s dc ar 4 / Mm / C ?? e r a/l .
pn g /
CI*/C
/s dc ?r d /l / 安^ 模 聖 结 果
1
) ? er ? i l
p a
g ( i hi a i s a Az a± tr y )
j
SO
A
/ s d c #r d /D C 3I/t
^7? ^ 5 ^^
-
B? ? a t
pag /s r
icar4 <
4 ^ ea / t t i o r
t i l ?i ? W ? L
vif
i st> 4 :
/ ■ = E a L ^? < * i =nd e *i cAB ? ML h
/ s dc ar d/Kor i e s /A c t i oi i loT i e /B o v i e l i
BS ^8? S i
? — ?
? ■
ap4/ ( t Li s i s a di r ec t or
y) 一 — 了 一 … — 一
——_ 训… ’ 一
?
^
^
j
i 3
,
臟 再 狯 供 和 计H
{
i
丨
1
 ̄
 ̄  ̄ -  ̄ - - —
r ifi r =: ^ ^ ^
,
T: . . . rr . . - . .
z: zz . - . r . . : . .
r : . .
r :
.
. . . 7= , - . . :
- - - . ,
i
L
'
oam t
f ? a? r ?a y t ^mrr : 获笔 疾
, £ -
U
>
[/ 畑 伤拓 阳职 面s r S^^钱 为 兵 色 拍 d f ?
—
/ s dc ar d/BCI MEI/
]Z
获 贿 分 笛 鍾 威 纖淨
:
/ s dc ^ a / D oiJL o adad/
|
^ ** *^ *^
t ** *^* **
'
**
/s dc ar dy ior i e s es/ L -
* ok Rc au l :
** *
^ S 7I 6 Z5 M7 ^ S ^r <?
/s de ar d/BC H / C *e r a / l .
pa c/ J s w j e n t mc : t t i De c 20 2 2 : : 4 1
/■ o r x el
^4 / _ 丨
^工 脚娜
*
OT ? 2D
^ B
-
t : I 9)
E/ l
? KS t
!
j
i; 一 : ' !
J
^
■
:
」 L
事件
f
r
c o. btt ccc c ou nt 0 v
^
. =
t
c o. tt a c cc
—
K
^
—
^
.
:
可撕 十?
.
L -
>
」 _ 1
没 有 运行应 用 程 序 的 g 台 殿努
丨
cm .
c c .
bh b ^ .
, c ou n t > 1
、 ?
‘
見 —
醒 窗 口 运行 应 兩程淳
3
一 ?
SA M a n f
es 明的 程 琢
'
pS
'
Jon
、
i t 」
、
图 4 -
1 KR P R0 T EC T 0 R 工 作 流程示 意 图
4 3 2
. .
兴趣 文件 夹 部署
1 .
兴趣文件夹的实体
兴趣 文 件夹 的 实 体 是 空 文 件夹 。 选择 空 文 件夹 作 为 实 体 的 原 因 如 下
。
兴趣 文 件夹 占 用 了 较少 的 设备 存储空 间 。 在安卓 7 . 1
的 P xe i l
手 机上 , 每 个空文
件 夹 需要 占 用 存 储 空 间 8 KB 。 生成 1 000 个兴趣文 件夹 只 需要 占 用 4MB -
8 MB 的存储
空间 。 如 果 兴趣文件夹 的 实 体是普通文 件 ,
则 每 个兴趣 文件夹 的 大小 应与 设备上 的 普
通 文 件大 小相 近 ,
可 以 防止加 密勒 索 应用 在 文件夹访 问 时 利 用 文 件大 小过滤 的 逃逸
策 略绕过兴趣文 件夹 。 另外 , 普通文件 比 空文件夹需要更多 的存储空 间
。
空 文 件 夹 难 以 被逃 逸策略绕 过 。
加 密勒 索 应 用 通 常加 密 具有 指定 名 称 的 文件 ,
或
46
第四章 KR P RO T E C T O R :
基于 兴 趣 文 件 夹访 问 感知 的勒 索 应 用 实 时检 测 研究
加 密 除某 些 具有指 定名 称 的 文件外 的 所有 文 件 。
如 果 兴趣 文 件夹 的 实 体是普通 文 件
,
为 了 确 保加 密勒 索 应 用 能 够访 问 到 该文 件 , 该 文 件 的 后缀 需要尽量多 地 满 足勒 索 应
用 加 密文 件 后缀 的 偏好 ,
这将使 KR P RO T E C TO R 在设 备 中 部署 的 文 件数量大 幅 度增
空 文件夹也是 种 普通 文 件 夹 加 密勒索应用 在访 问 它 们之 前 无法 根据名 称或 大
一
力D 。 ,
小 来 区 分 兴 趣 文件 夹和 普通 文 件 夹
。
更快对用 户进行警告 。
如果加 密勒索应用 在获取所有 目 标 文 件 的 路 径 后 再对
目
标 文件进行集 中 加 密 ,
则勒索 应 用 的 整 个加 密过程为 :
遍 历 文 件路径获取 目 标 文件路
径列表 、
文 件访 问 和 文 件加 密 。
若将空 文 件夹作 为 兴趣文 件夹 ,
KR P R O T E C T O R
可
以在加 密勒 索 应 用 遍历 文 件夹 时 向 用 户 发 出 警 报 。 但是 , 若 K R P R OT E C T O R 部署 的
兴趣 文 件实 体 为普通 文 件 , 那 么 只 有 当 勒 索 应 用 在进行 文 件访 问 时 , 勒索应 用 检测 才
能被触 发 , 进而 向 用 户 发 出 预警 。 也就 是说 .
使 用 空 文件夹 可 以让 KR P R OT E C T O R
更早地 向 用 户 发 出 警报
。
2 .
兴 趣 文 件夹 的 分 布
KR P R OT E C T O R 仅 在 /s d c ar d 上部署 兴趣 文 件夹 。
安卓 设备上 的 文 件 可 以 分 为 系
统文件和 用 户文件 。
用 户 文 件 由 用 户生成 : 并 保存在 /s d c ar d 中 。 系 统 文 件 通 常对用 户
不 可见 ,
它 们 保存在 除 /s d c ar d 以外 的 文 件夹 中 。
由 于 加 密 系 统 文 件 存在 着 使 设 备
崩 溃 而 终 止 程 序 运 行地 风 险 ,
加 密勒索 应 用 的 开 发者 们 通常不 会将系 统 文 件列 入应
用加密的 目 标文件范 畴 .
更偏 向 于对 /s d c ar d 目 录下 的 用 户个人文 件进行加 密 。 因此
,
K R P ROT E C T O R 将 仅 会在 / s d c ar d 目 录下 进行兴趣文 件夹 的 部署
。
在本节 中 , 使用 u ser
fo l d e r 表示 / s d c ar d 中 除了 /s d c ar d/ 安卓 文 件夹 外 的 索 引 文 件
“ ”
夹及 其子 文件夹 :
这 些 文件夹 的 名 称包 含 应 用 程序 的 文件名 ,
文 件 夹 的 前缀为 .
。
父路径 中 的 兴趣 文件夹 ,
并 使 用 子 兴趣 文 件夹表示 叶 文 件
夹 中 的 兴趣 文 件 夹 。 在 / s d c ar d 中 ,
KR P ROT E C T O R 为 每 个 用 户 文 件 夹 生 成兄弟 兴趣
文件夹 这些 兴趣文件夹与 原始文 件夹位于 同 目 录中 兴趣文 件夹 的 名 称与 用 户
一
。
:
文件夹对应 , 例如 .
为 /s d c ar d/ D C IM 文 件 夹生 成 的 兴 趣 文 件 夹名 为 /s d c ar d/ D C I M S
。
同时 ,
KRP R OT E C T O R 为每 个 叶文 件夹生 成子兄弟 兴趣文 件夹 ,
子兄弟 兴趣文件夹
的 数量 不 超过叶文 件夹 中 文 件 的 半 兴趣文件夹 的 名 称与 叶文 件夹相 关 例如
一
。
,
,
为 / s d c ar d/D C I M /p i c t u re s 文 件夹 生 成 的 兴趣 文 件 夹名 为 /s d c a r d/ D C I M S /
p
i c t u re s s
。
在 安卓 系 统 内 pro c n o t i fy / m a x 对 个 进程 同 时监 控 的 文 件 数 目 不 得 多 于
一
/ /s s / fs / i
,
y
8 1 92 个做 出 了 规 定 。
受 兴趣 文 件 夹 保护 的 文 件都在 /s d c ard 中 。 /s d c ar d 中有 9 个原始
文件夹 ,
包括告警 、 DC M I 、
下载 、 电影 、
通知 、
图片 、
播客 、 铃声和 音 乐 。 通常 .
每
个 原 始 文 件 夹 最 多 三 个 子 文件 夹 ,
这表 明 兄 弟 兴趣 文 件 夹 的 数量最 多 为 36 个 .
兄弟
兴趣文件夹最 多 占 用 1 44 KB -
2 8 8 KB 的空间 。
由 于受 限于安卓设备 外部存 储容量 :
存
在很少的 用 户文件 。 例如 ,
P xe i l
设备有 32 GB 的外部存储容量 .
能够存储 1 1 034
张
47
北 京 邮 电 大学 工 学 博 士 学 位 论 文
2 9 MB
.
的照片 。 如果 K R P R O T E CT O R 在设 备上 部署 兴 趣 文 件 夹 ,
子 兄 弟 兴 趣 文 件夹
的 数 量不 超 过 55 1 7 ,
这 远 远 低 于 最大 用 户 监 视 数 量 限 制 。 子 兄 弟 兴 趣 文 件 夹最 多 占
用 22 MB -
.
的空间 , 与 8 1 6 张 2 9 MB
.
照 片 的 大小相 近
。
4 3 3
. .
加 密 勒 索 应 用 检 测 与 文 件保护
如果 K R P ROT E C T O R 监视 个 已 被 访 问 的 兴 趣 文 件 夹 那 么 它 将根据表 4 2
中
一
-
1
,
四 条规则 过滤所有 活 动 的 应用 程序
。
表 4 -
1 2 KR PRO TE C T O R 良 性应 用 过滤规 则
规则 内容
 ̄  ̄  ̄
 ̄ ̄ " "
应 用 程 序 是 否 为 系 统 应 用 程序 。
本 文将 系 统 应 用 程 序 视 为 正 常 应 用 程序
。
2
应 用 程序 是 否 具 有 写 入 外 部 存 储 的 权 限 。 加 密 勒索应 用 在 没有此权 限 的 情
 ̄  ̄
况 下 无法更 改或 加 密 /s d c a rd 中 的 文件 。
应 用 程序 是 否运 行后 台 服 务 , 或其 接 口 是 否 为 设 备 的 当 前接 口 。 加密行为
 ̄  ̄  ̄  ̄
必须来 自 活动 进 程
。
4
应 用 程 序 应 用 的 M ME 类 型 是 否 与 被 访 问 兴 趣 文 件 夹 保 护 的 文 件 夹 下 的 文
I
件类型 致
一
。
为 了 在无 R O OT 设 备 上识 别 加 密 勒 索 应 用 提出 了 种 基于 可 信值 的 加 密 勒 索
一
应 用 检 测 方法 。
使 用 最 小 正 数 过滤 后 的 应 用 程 序 将 被 视 为 加 密 勒 索 应 用 , 它 是访 问 兴
趣 文 件夹 的 评 估 启 动 器 可 信值受 应 用 程 序 首 次 安 装 的 时 间 。 、 应 用 程序 最 后 更 新 的 时
间 、 应 用 程序 首 次 激 活 的 时 间 、 应 用 程序最后激活 的 时 间 、 应用 程序显示 的 时间 、
服
务 运 行 的 时 间 和 应 用 程 序 的 大小 这 七 个 因 素 影 响 。 本 节 可 以 从第 4 2
.
节 中 了解到 ,
加
密 勒 索 应 用 通 常 在 激 活 后 立 即 对 文 件进 行 加 密 , 只 有 少 数加 密勒 索 应 用 将 自 己 视为
普 通 应 用 程序 并 隐 藏起 来 。 它 在 收 到 命 令之 前 不 会 加 密 文件
。
如算法 4 . 1
所示 ,
s u s Ap p L i s t 表 示 可 疑 应 用 程序 的 列 表 。 K 表示 sus App L i st 中的
应 用 程 序 数量
。
i n s t a l l Ti m e s u s A pp L i s t 表示 应 用 程 序 首 次 安 装 的 时 间 。 up d at e Ti m e 表示 应 用 程 序
最 后更新 的 时 间 。 ir s t A ct
f i v at e Ti m e 表示 应 用 程序 首 次激活 的 时 间 。 l a s tA c t
i v at e T i m e
表示 应 用 程序最 后激活 的 时 间 。 D I S PL AY T i me 表 示 应 用 程序 显 示 所 花 费 的 时 间 。 s er
-
48
第 四章 KR P R O T E C T O R :
基于 兴趣文 件 夹访 问 感 知 的 勒 索 应 用 实 时 检 测 研究
A l
g o r i thm 4 1 . :
可 信值计 算 算 法
In
put : s u s a pp l i st
1 K = l e n ( s u s App L i s t )
;
2 s u s Ap pL i st 0
;
3 fo r i ^ O t o K do
4 i f i T i S i^ dl lTi 7 Ti e s u s A
pp IA s t i
〈 K 只 P EdOR s us App L i s t i
[ ] [
]
5 s u s Va l u eL i st
[
i
] s u s Va l u e L i s t
[
i
]
+K
;
6 e l s e
7 s u s Va u e L l i st
[
i
] su s Va l u eL i s t
[
i
]
-
K
;
8 e nd
9 i f lo ca ltim e
-
u
p da t e T m e [ i i
]< 2 4 hth e n
1 0 s u s Va u e L l i st
[
i
] s u s Va l u e L i st
[
i
]
+K
;
1 1 else
12 s u s Va l u e L i s t [ i ] s u s Va l u e L i s t [ i
]
-
K
;
13 end
14 n de x u a s c en d n
g or de r of s u sA L i st i i n u p d at eTi m e
i i
pp
pdat e [ ]
;
is s u s Va l u e L i st
[
i
]
^ s u s Va l u e L i s t f i
]
+ n d e x up d a
i
t e
\
1 6 i n de x
fi r s t a ct
<
-
as c en d n g o r de r o f
i sus A ppL i st
[
i
]
i n fi r s t Ac ti vat e T m e i
;
17 s u s Va l u e L i st
[
i
] su s Va l u eL i s t [ i
]
+ n d e x
f
i
i T S t a ct
\
18 i n de x i a s t act a s c en d n g i
or der o f s u s A p p L i s t [ i ] i n l a s t A c t i v a t e Ti m e
;
19 s u s Va u e L l i st
[
i
] sus Va l u eL i s t [ i ]+i n d e x i as t act
\
2〇 i n de x d i s
p ayi
d e s c e n d i n g o r d er o f s u s A pp L i st
[
i
]
i nd i s
p l a
y
T me i
;
21 s u s Va l u eL i st i
s u s Va l u e L i s t f i + i n d e x d
[ ] ] s
p ay
\
i i
23 s u s Va u e L u s Va l u e L i s t [ i ] + i n d e x s e r v
■ —
l i st i
]
< s ce
f i
;
24 i nde x s i ze de s c e n d i n g o rd e r o f s u s Ap p L i st
[
i
]
i ns i ze
;
25 s u s Va l ueL i st
f
i
] s u s Va l u e L i s t f i ] + i n d e x s i ze
\
26en
d
27 i n d e X ra i n ,
s u s m i n ( s u s Va l u e L i s t )
;
28 i f < 0 t hen
2 9 re tu rn s u s AppL i s t
[
m de x m ? ;
n ]
;
3〇en
d
49
北 京 邮 电 大学 工 学 博 士 学 位 论 文
v i c e Ti m e 表 示 服 务 运 行 所 花费 的 时 间 。 可 信值 的 具 体 计算 如 下
。
步骤 为 每 个 可 疑 软件 设 置 〇 为 初 始 可 信值
一
:
;
步骤二 :
对于 s u s A pp L i s t 中 的每个可 疑 应 用 程序 , 如 果该 应 用 程 序 的 安装 时 间
早于 K R P RO T E C T O R , 则 该 应 用 程 序 的 可 信值 会 增 加 k , 否则 会减少 k
;
步骤 三 :
对于 su s A p pL i st 中 的每个可疑 应用 程 序 , 如 果该 应 用 程 序在 24 小时内
没 有 更新 ,
则 该 应 用 程序 的 可 信 值 将增 加 k , 否 则 将减 少 k
;
步骤 四 :
对于 s u s A pp L i s t 中 的 应 用 程序 , 根 据安 装 时 间 按 升 序 排 序 。 i
将添 加 到
排序 列 表 中 的 第 个 应 用 程 序 中 例如 点 将 添加 到 排序 列 表 中 的 第 个应用 程序
一
i 。 1
,
,
K 将添加 到 排序 列 表 中 的 最 后
一
个 应 用 程序
;
步骤五 :
对于 su s Ap p L i st
中 的 应用 程序 , 根 据 更 新 时 间 按 升序 排 序 。 i
将添 加 到
排序 列 表 中 的 第 个 应 用 程 序 中 i 。 例如 ,
1
将 添 加 到 排序 列 表 中 的 第 一
个应用 程序 ,
K
将添 加 到 排 序 列 表 中 的 最后 个应用 程序
一
;
步骤六 :
Xf 于 s u s A p p Li s t 中 的 应 用 程序 ,
根据 首 次 激 活 时 间 按 升 序 排 序 。 i
将添
加 到 排序 列 表 中 的 第 i
个应用 程序 中 。 例如 ,
1
将添 加 到 排序列 表 中 的 第 一
个应用 程
序 K 将添 加 到 排 序 列 表 中 的 最 后 个 应用 程序
一
;
,
步骤七 :
对于 su s App L i st 中 的应 用 程序 , 根据最 后 激 活 时 间 按 升 序 排 序 。 i
将添
加 到 排序 列 表 中 的 第 个 应 用 程序 中 例如 将添 加 到 排 序 列 表 中 的 第 个应用 程
一
i 。 1
,
序 K 将添加 到 排序 列 表 中 的 最 后 个应 用 程 序
一
;
,
步骤八 :
对于 sus A pp L i st 中 的 应 用 程序 , 根据 显示 时 间 按 降 序 排序 。 i
将添 加 到
排 序 列 表 中 的 第 个 应 用 程序 中 例如 将 添 加 到 排序 列 表 中 的 第 个应用 程序
K
一
i 。 1
, ,
将添 加 到 排序 列 表 中 的 最 后 个应用 程序
一
;
步骤九 :
对于 s u s A pp L i s t 中 的 应 用 程序 , 根 据 服务 时 间 按 降 序 排 序 。 i
将添加 到
排序 列 表 中 的 第 个 应 用 程序 中 例如 将添 加 到 排 序 列 表 中 的 第 个应 用 程序
K
一
i 。 1
, ,
;
步骤 十 :
对于 S uA p p U s t 中 的 应 用 程序 ,
根 据 大 小按 降 序排序 。 i
将添加 到 排序 列
表 中 的 第 个应用 程序 中 例如 将添加 到 排序列 表 中 的 第 个应用 程序 K 个将
一
i 。 1
, ,
添加 到 排 序 列 表 中 的 最 后
一
个 应 用 程序
;
步骤十 如 果 可 信值 中 的 最 小 值 小于 0 则 相 应 的 应 用 程 序 将 被视 为 加 密 勒 索
一
应用
。
可 信值 计 算算 法 的 时 间 复 杂 度 为 o (
n l
) 。 nl 表示 S uA
pp l i s t 的 长度 。 通常 ,
sus Ap
-
pLi s
t
中 的项 目 不 超过 5 项 ,
n l
的 值通 常不 超过 5 项 。 兴 趣 文 件 夹 部署 的 时 间 复 杂 度
为 0 (
n2) ,
因 为它可 以看 作是
一
个 简 单 的 树 遍历 。 ii 2 表示 /s dc ard 中 的 文 件 夹数 。 也就
是说 ,
兴 趣 文 件 夹 部署 在九 个 文 件 夹 中 ,
包括 / A l ar ms 、 / D C IM 、 / D ow n l oad 、 / Mus i c
、
Mov No / P o dc a s t Pi c t u r e 和 R 通常 在 dc a rd 中 个 文件夹不
一
/ i es 、 / ti f 、 、 / / i n gt o n e 。
,
/s
,
超过 3 个 叶文 件夹 。 也 就是 说 ,
n2 的 值 通 常 不 超过 27 。 K R P ROTEC T O R 的 时 间 复杂
50
第四章 KR P RO T E C T OR :
基 于 兴趣 文 件 夹访 问 感知 的勒索 应 用 实 时检 测 研究
度为 〇〇 1
)
。
4 4 .
实 验评估
本节将对 K R P RO T E C T O R 进行 一
些评估 。
首先 , 本 节将设计 四 个 实 验来 评估
KR P R OT E C T O R 。 对于每 个实验 ,
本 节将在开 始 时 简 要 介 绍 数据集 和 初 始 实 验环境
。
然 后碰
一
些 实 验 并做 一
个 简 要 的 总 结 其次 将 证 明 本 节提 出 的 方法 不 仅 可 以 在安
。
,
卓上实现 ,
而且 K R P RO
TE C TO R 釆 用 的 基 于 兴 趣 文 件 夹 访 问 感 知 方法 也 能 够 应 用 于
更 多 平 台 的 设备
。
44 . 1
实 验数 据
数 据集 可 以 用 D 表示 。 如 公式 4 -
1 、 4 2 -
、 4 3 D
-
, 包含三 个 子 集 功 、 认 和 功 。
从
包含 A ud f
y i 、 Fi l em an ag e r + 、 S n ap s e ed 和 网 易 云音 乐 。 D 1
中 的 正 常 应 用 程序 都 具 有 扫
描文件 的 功 能 , 这 些 文 件 可 能 会 访 问 设 备上 的 兴 趣 文 件 夹 , 并使 K R P R OT E C T OR
将
其误判 为 勒 索 应 用
。
D =
{
D ; l ,
D 2 D 3 } , (
4 -
1
)
D i
=
{
Fi l e m a n ag e r + S n ap s e e d
,
,
Aud f
y Ne E a s e C i
,
t l ou d Mu s i c
} (
4 -
2)
D 2 =
{
S i m p l e L o c ke r ,
C o ng u r Wa nn a L o c k er X b o t D o ub
, , ,
l eL o cker ,
P l e to r } (
4 -
3)
?
A 包含五 种勒索 应 用 包括 种勒索 应 用
75]
Sim L c ker
p e o 中的 2 C on g u r
中
[
l 1 、
,
W m
的 49 种勒索应用 、 Wa x ma l o ke r 中的 3 种勒索应用 、 Xb o t 中的 6 种勒索 应 用
、
^
种 勒索 应 用 和 种勒 索 应 用 这些 勒 索 应 用
78]
D o ub le L o c ke r ]
中的 1 3 Pl e t or [
中的 2 。
使 用 不 同 的 加 密 模 式 和 方法 对 文 件 进行 加 密 。 S im
p l e L o c ke r 中 包含的勒索应用 与 加 密
数据读 取 创 建 数据 加 密 数 据 重 写 原 数 据 删 除
“ ”
AP I 起加 密 文 件 加 密模式 为
—
- - -
-
。
,
加 密模式 为
“
C o n g ur 使用 加密 API 逐个 加 密 文 件 , 数据读 取 创 建 数 据 加 密 数 据 重
-
- -
” “
写 原 数据 删 除 Wa n n a L o c k e r 加 密 文件 与 加 密 AP I 起使 用 加 密模 式 为 数据读
—
-
。
,
取 数据 加 密 新 建 写 人 重 命名 删 除
- - - - -
。 Xb o t
使 用 定 制 的 方 法 对 文 件进 行 加 密 , 加密
数 据 读 取 原 数 据 删 除 数据 加 密 创 建 数 据 重 写
“ ”
模式为 - - - -
。
D3 包含 1 2 个具 有 检 测 逃逸 策 略 的 加 密 勒 索 应 用 。
有 5 个勒 索 应 用 具有加 固 或
混淆策略 这可 能 会使 些 检 测 引 擎 将勒 索 应 用 误 判 为 正 常 应 用 根据 提出
7 9]
Z ya [
一
。 i
,
的 三 种 策 略 本 节 开 发 了 其 余 的 加 密勒 索 应 用 , , 并 使 用 相 应 的 方 法避免访 问 兴趣 文 件
夹 以 逃避 检 测 。 2 个勒 索 应 用 只 加 密 除 隐 藏 文 件 、 空 文件和 不 规则 文件 以 外 的 文件
。
3 个 加 密 勒 索 应 用 在访 问 文 件 之 前 ,
可 以 根据 文 件 类 型统 计 文 件数量 。
如 果 结 果 存在
显 著差异 , 则 说 明 存 在 防 护 应 用 部署 的 兴 趣 文 件 夹 , 勒索 应 用 可 以 改变 其访 问 文件 的
5
1
北 京 邮 电 大学 工学 博 士 学 位 论 文
策略 。 2 个勒 索 应 用 可 以 监视 用 户 的 活动 , 以 获取 实 际 文 件 的 列 表 并 对其 进行 加 密
。
4 4 2
. .
评 价指 标
的 准确度 、
精度和 召 回 率 。
如公式 4 4
-
所示 , 准 确 率表 示 KR P R O TE C T O R 识别 出 的
正 确 勒 索 应 用 和 正 常 应 用 程序 的 总 数 除 以 数 据集 的 数 量
。
1
) TP
:
真 阳性 。 TP 表示 K R PR OT E C TO R 检测 到 应 用 程序 是勒 索应 用 , 结果 是
正确 的
。
2 ) FP :
假阳性 。 FP 表示 K R P RO T E C T O R 检 测 到 应 用 程 序 是勒 索 应 用 , 结果不
正确
。
3
) FN
:
假阴性 。 FN 表示 KR P RO T E C T O R 检 测 到 应 用 程 序 不 是勒 索 应 用 , 结果
不正确
。
4 ) TN
:
真阴性 。 TN 表示 KR PR OTE C T O R 检 测 到 应 用 程 序 不 是勒 索 应 用 , 结果
是正确 的
。
+ TN
TP
m&
4
a c c u r ac y
4
_
_
-
(
)
T p + T N + F P + F N
本节 以 K R P RO T E CT O R 监控到 一
个 兴 趣 文 件夹 访 问 的 时 刻 为 开 始 时 间 , 定义 了
、
。
1
) 过滤 时 间 。
过滤 时 间 是 指 从 开 始 时 间 到 过 滤 正 常 应 用 程 序 所 花 费 的 时 间
。
2 ) 获取 时 间 。 获取 时 间 是 指 从 开 始 时 间 到 获 取 所有 可 疑 应 用 程 序 的 信 息 所 花 费
的 时间
。
3
) 跟踪时间 。 跟 踪 时 间 是 指 从开 始 时 间 到 基 于 可 信 值 检 测 勒索 应 用 所 花费 的 时
间
。
4 ) 警告 时 间 。 警 告 时 间 是 指 从 开 始 时 间 到 显 示 警告 所 花费 的 时 间
。
5
一 一
。
)
需的 时间
。
6 第 次加 密文件 加 密第 个 文件 的 时间 意 味着第 个 文 件 被勒 索 应 用 加 密
一 一 一
。
)
的 所需 的 时 间
。
4 4 3
. .
实 验分 析
实 验选 取 的 测 试 设 备 为 未 被 R OO T 的 安卓 7 . 1
的 Pi x e l 移动 设备 测 试设备 的 配
置为 C PU 2 . 1 5 GH z 、 4 G B R AM 和 32 G B RO M 。
为 了 模 拟 用 户 正 常 的 设 备环境 ,
在
K R P ROT E C TO R 安装 之 前 , 本 节 在 该 测 试设备 的 /s d c a r d /mu s i c 中 保存 了 1 0 个音 乐 文
52
第四章 KRP RO
T E C T OR :
基 于 兴 趣 文 件 夹 访 问 感 知 的 勒 索 应 用 实 时 检 测 研究
件 (
. mp 3 、 . l ac
f 格式 )
;
在 /s d c ard/D C J M 中 保存 了 1 0 张照 片 (
.
j pg 、 .
p ng 、 .
gi f 格式 )
;
在 /s dc ard/D o w nl o ad 中 保存 了 1 0 个文档 (
. t xt 、 . d oc x 、 . xl s x 、 .
p df 格式 )
。 环境 设 置 完
毕后 , 激活 了
K R P ROTE C T O R
。
为 了 更 好地 评 估 K R P R OTE C T O R , 本节 将 回 答 四 个 问 题 。 对于每 个 问 题 , 将描
述 实 验 的 过程 和 结 果 。 然 后 将对 结 果 进行
一
些分析 。 最后 , 本节将 根 据结 果 给 出 一
个
简短 的 结论
。
问题 1 :
K R P ROT E C T O R 会 影 响其 他 良性应用 的 运行吗
?
问题 2 :
K R P R OTE C T O R 的 检 测 效 果 如 何 ?
问题 3 :
K R P R OTE C T O R 能否 起 到 对 文 件 的 保 护 作 用
?
问题 4 :
K R P ROT E C T O R 釆 用 的 基于 兴趣 文件 夹访 问 感知 方法 能否 应 用 于 更 多
平 台 的 设备
?
4 4 3 1
. . .
回答 1 :
KR P RO TE C T O R 会 影响 其 他 良 性 应 用 的 运 行 吗
?
在本 实 验 中 , 本节使 用 中 的 应 用 程 序 作 为 数 据集 。
为 了 避 免这 些 应 用 程 序 之
间 的相互作用 , 在激活 新 的 应 用 程 序 之 前 结 束 了 前 一
个过程 。 在 这 些 被激 活 后 ,
研
究 人 员 触 发 了 每 个 应 用 程序 的 文件扫 描功 能 。 本节发现 K R P R O TE C T O R 并 没有将
A ud f
y i 、 F i l em an ag er + 、 S n ap s e ed 和 网 易 云 音 乐 误判 为 勒 索 应 用
。
Fi l e m an ager+ 和 Aud i
y 在被 激 活 时 遍 历
f ,
/s dc ar d 并访 问 兴趣文件夹 /s d c a r d /A l ar m s A l a
和 /s i O S c aj
d c ar d / D o w n l o ad / F i l e s / i O S d e t e c t .
。
被访 问 文 件 夹 中 的 文 件 类 型 与 他 们 已 经 声
明 的 M M E 文 件类 型 致 它满足 K R P RO T E C T O R 的 正 常 的 应 用 程 序 过 滤 条件
并
一
I 。
,
且 这 两 个 应 用 程 序 没 有被 误判 为 勒 索 应 用 。 S n ap s e e d 通过使用 c o n t e nt Res o l v er .
Q u e ry ()
方 法 查 询 数据 库 而 不 是访 问 兴趣 文 件 夹 获 取 照 片 列 表 。 网 易 云 音 乐 通 过遍 历 /s d c ar d
和 访 问 兴 趣 文 件 夹 获 得 本地 音 乐 列 表 。 然而 ,
网 易 云 音 乐 的 可 信值很 高 , 并 没有 被 误
判为勒索 应用
。
TE C T O R 不 会 将 这 些 正 常 应 用 程 序误 判 为 勒索 应 用 在 某 种 程 度 上 。
,
K R P ROT E C T O R
在 激活 后 不 会 影 响 其 他 应 用 程 序
。
4 . 43 . 2 回答 2 : KR P RO TE C T O R 的 检测 效 果 如 何
?
, ,
应 用 的 检 测 引 擎进 行 比 较 , 如 R P a ckD ro
-
i d 、 R an s o m Pr ob er 和 参 考文献 _ 等 。 本节将
评估 K R P ROTE C T O R 是否 能 够识 别 比其他检测 弓 擎更 多 的 加 密勒索 应 用 丨 ,
K R P RO
?
TE C T O R 是否 能够 使 用 检测 逃逸策略识 别勒索 应 用 , 并 详 细 分 析本 节 提 出 工 作 的 优
越性
。
在本实验 中 , 数据集 包 含 认 和 巧 。
如 4 4 . . 1
所述 , 认 包含五 种 不 同 类 型 的 加 密
53
北 京 邮 电 大 学 工 学博 士学 位 论 文
表 ‘ 1 3 K R P RO TE CTO R 与 其他 加 密 勒 索 应 用 检测 引 擎 的 实验对 比 结 果
Si m p le L o c k e r C on g u r Wann a l o k e r X B o t D ou b le l eto r D 3 准 确 率
Lo c ke f i
t e c t o r 1 00 % 9 3 9 % 1 0 0 % 8 3
k r p ro . . 3 % 1 00 % 1 00 % 1 00 % 9 6 2 %
.
90 % 8 1 6 % 66 7 % 66 % 4 % 1 00 % 8 3 3 % 7 4 5
%
19
Ra n somP r 5 7 5
1 1
ob e r . . .
. 1 . . .
文献 [
8 0] 1 00 % 5 1 . 0 % 6 6 7 % 5 0 0 % 9 2 3 % 1 00 % 5 0 0 % 6 7 0 %
. .
. . .
R Pa c k D r
-
o i d
^
1 0 0 % 2 6 5 % 0 0 1 00 % 1 00 % 5 0 0 % 5
. . 1 . 9%
85 7 % 3 2 7 % 3 3 3 % 5 0 0% 69 2 % 5 0 0 % 5 0 0 % 5 0 9
%
28
He D r o
1
d
1
i i . . . . . . . .
%22 4 % 1 00 % 1 0 0 % 2 3 % 0
M
RW G u a n 57 6 7 % 3 4 9
%
( 1
i . 1 . . 1 1 . .
勒索 应 用 , 将 用 于 评估 勒 索 应 用 检 测 引 擎 的 检 测 效 果 。 包 含 具 有 不 同 逃逸 策 略 的
加 密勒索 应用 , 它 将 用 于 评 估检 测 引 擎 是 否 能够 识 别 具 有 逃 逸 策 略 的 加 密 勒 索 应 用
。
本 节将 通 过
一
个 实验 来 回 答 这 个 问 题 。 它 将评 估 kr p rot e c t o r 是 否 比 其 他最
先 进 的 检 测 引 擎识 别 更 多 的 加 密 勒 索 应 用 , 以 及 k r p r ot e c tor 是 否 能 够 使 用 检 测
逃逸 策 略识 别 勒 索 应 用 。 在本 实 验 中 , 本节 使 用 1? 2 和 ^3 作 为 数 据集 。
为 了 避 免勒
索应用 之 间 的 相 互作用 , 在安 装 新勒 索 应 用 之 前 , 研究 人 员 卸 载 了 以 前 的 勒 索 应 用
。
本节还 使用 了 些 最 先 进 的 勒 索 应 用 检 测 引 擎进行 比 较 例如 R P ac k D r〇 勒索
2 3]
d
一
-
[
i 、
,
检测 引 擎 和 等 人提 出 的 方 法
9]
Wa n g
1
[
如表 4 -
1 3 所示 ,
K R P RO TE C T O R 成功 识 别 了 数据 集 中 的 90 个 加 密勒 索 应 用 ,
准
确率为 96 2 . % 。 KR P RO
T EC TO R 可 以 识 别 比 其 他 检 测 引 擎 更 多 的 加 密勒 索 应 用
。
分析 本 节进 步 分 析 了 被 其 他 检 测 引 擎 误判 的 勒 索 应 用 研究 发 现 被 He
一
1
-
:
。 l
,
D ro i d 、 R -
P ac k D r o d i
和 Wa n g 等 人提 出 的 方法 ^ 误判 的 加 密勒 索应 用 主要集 中 在
C o n g ur 。 当 研究 人 员 在 C o n gu r 中 对 这 些 勒 索 应 用 进 行静 态 分析 时 ,
发 现这 些 勒 索应
用 与 正 常 应 用 程序 之 间 没 有 区 别 。
这 些 勒 索 应 用 被激 活 后 将 加 载 与 勒 索行 为 相 关 的
,
代码 。 尽 管检 测 引 擎 He D r oi i d 、 R P ac k D r o
-
i d 和 Wa n g 等 人提 出 的 方 法 ? 使 用 了 不 同
的 特 征 提 取 和 特 征 处 理 方法 , 但 它 们 都 是 通 过 静 态 数 据 处 理 的 方 法 来 检 测 加 密 勒索
应用 , 这 仅 限于 检 测 C o ng ur 等勒索应用 的 行为
。
RWG u a rd 误判 的 加 密 勒 索 应 用 主 要 集 中 在 C on g u r 、 D o ub l e L o c ker 、 S i m p l e L o c ke r
和 £ >
3 。 实验 发 现 C o ngur 、 D o ub l e L o c ke r 和 S i m p l e L o c ke r 中 误判 的 勒 索 应用 没 有 加 密
原 始 文件 。 当 勒索应用 找到 目 标 文件 时 , 它 将复 制
一
个新 文 件 , 加 密 新文件 , 删 除原
始 文件并删除加密文件 。 RW G u ard 使 用 诱 饵 来 监 控 写 人 过程 , 即 它 可 以 识 别 出 其加
密模式 是 加 密 原始 文 件 ,
而 不 是 加 密复 制 文 件 并 删 除 原 始 文件 的 勒 索 应 用 。
在
中
误 判 的 勒索 应 用 不 仅 可 以 避免 访 问 或 加 密 不 规 则 文 件 如 隐 藏 文 件 和 空 文 件 还 可 以
, ,
借 助 统 计方 法 和 用 户 监 控 活 动 识 别 防 护 应 用 部署 的 兴 趣 文 件 文 件 夹 /
, 获得 实 际 文 件
54
第 四章 K R P RO TE C T
OR :
基 于 兴 趣 文 件夹 访 问 感 知 的 勒 索 应 用 实 时 检 测 研究
列表 。
被 R a n s o m Pr o b e r 误 判 的 加 密勒 索 应 用 主 要 集 中 在 D oub l e L o c ke r 中 。 实验发 现
D oub l e L o c ker 中 误判 的 勒 索 应 用 不 会 加 密 整 个 文 件 。 它 只 加 密不超过 1 0 24 字节 的 文
件 并 且 原 始 文件 和 加 密 文件之 间 的 熵可 能 很 少 变 化
,
。 R a n s o m Pro b e r 根 据熵 的 变 化 检
测 加 密勒 索 应 用 其 中 熵 仅 限 于 检 测 勒 索 应 用 加 密 文 件 的 小部分 如 D ou b e L o c ke r
一
l
。
, ,
实验发现 K R P RO T E C T O R 在 当 前 工 作 中 具有 定 的 优势 K R P R OTE C T O R
在
一
加 密 文 件之 前 和 激活之 后检 测 加 密软 件 。 此外 ,
K R P ROT E C T O R 根据应用 对兴趣文
件 夹 的 操纵信息 识 别 加 密勒索 应 用 。 与 静 态 分 析 检 测 引 擎 或 基 于 文 件熵 的 检 测 引 擎
相比 ,
K R P ROT E C T O R 能够识 别 使用 混淆 、 隐写 和动态加 载 恶 意 代 码 等手段 的勒索
应用 。 KR P ROT E C T O R 还 可 以 识 别 利 用 对 文 件 部分 加 密 ,
进行 文 件 熵敏 感 检 测 逃逸
手 段进行检 测 逃 逸 的 勒 索 应 用
。
?
分析 2 :
Z i
ya 提出 了 一
些 关 于 加 密 勒 索 应 用 如 何 逃 避检 测 以 及 勒 索 应 用 如 何
避免访 问 诱饵 的 方法 检 测 逃 逸 策 略包括 勒 索 应 用 是 否 将 所有 文 件 起 加 密 或 逐个
一
加密 , 勒 索 应 用 是否 通过加 密 API 或 伪 装 的 加 密 方 法 对 文 件 进行 加 密 , 加 密模 式 会
影 响 加 密勒 索 应 用 的 检 测 结 果
。
些 访 问 规避 策 略 包 括避免访 问 隐 藏 文 件 和 空 文 件 等 不 规 则 文 件 , 在加 密勒索
应 用 访 问 文 件之 前 根据 文件类 型统 计 文件数量 , 并监控 用 户 的 活动 以 获得实 际 文件
列表
。
在本实验 中 , 研究 人 员 发 现 C o ng ur 中 包含 的勒 索应 用 对 D 2 中 加 密 文 件逐个加
密 S i mp l e L o c ke r Wann a o ker Xb ot 中 包 含 的 勒 索 应 用 对 £ 中 所 有 文件 起加 密
一
>
l
,
、 、
2
。
在某 种 程 度 上 勒索 应 用 是 将 所 有 文 件 起加 密 还 是 逐个 加 密 都不 会 影 响 KRP RO
一
-
, ,
T E CT O R 检测 加 密行为
。
实验发现 ,
Xb o 中 包 含 的 勒 索 应 用 在 D 2
t
加 密 文件 中 釆 用 了 定 制 的 加 密方 法 ,
而
C o n gur 、 S i mp l e L o c ker 、 Wa nn a l o k er 包含 的勒索 应用 在 _ 02 加 密 文件 中 采 用 了 加 密 A P I
方法 。
在 某 种 程度 上 , 勒 索 应 用 是否 使 用 加 密 AP I 或 定 制 加 密 方法对 文 件 进行 加 密
,
都不影 响 K R PROTE C T O R 检 测 加 密行 为
。
读取 加 密 创
“
实验发现 ,
Wa r m a L o c ke r 包含的勒索应 用 对 D2 加 密文件 中 釆 用
-
-
”
包含 的勒 索 应用 在 P 加 密 文件 中 采用
“
建 重 命名 删 除
- -
模式 ;
Xb o t
2 读取 删 除 加
- -
”
密 创建-
模式 ;
在 C o n g ur 、 S i m p l e L o ck e r 中 包 含 的 勒 索 应 用 在 D2 加密文件 中 釆
”
勒 索 应 用 的 加 密方式 不 影 响
“
用 读取 创 建 加 密 写 入 删 除 模式 在 定程 度 上
一
- -
- -
。 ,
K R P ROT E C T O R 检测 加 密行为
。
A 中 的勒 索 应 用 可 以 通 过 文 件 类 型统计 、
用 户 文 件访 问 监 控 和 对 典 型 文 件类 型
的 访 问 限 制 来 识 别 诱饵 文 件 。 在某 种 程 度 上 勒 索 应 用 的 访 问 限 制 策 略避免 了 对 诱 饵
,
文件 的访 问 ,
但并不影 响 K R P ROTE C T O R 检 测 加 密行 为
。
通 过 与 其 他 实 时 加 密软 件 检 测 引 擎 相 比 , 研究 人 员 发 现 K R P ROT E C T O R 可 以通
过 检 测 逃逸策 略 识 别 更 多 的 加 密 勒 索 应 用 。 考 虑到 勒 索 应 用 必 须在开 始 加 密之 前 搜
55
北 京 邮 电 大学 工 学 博 士 学 位 论 文
索 目 标文件 ,
K R P ROT E C T O R 将 空 文 件 夹 作 为 加 密勒 索 应 用 的 兴趣访 问 实 体 , 而不
是将 空 文 件 或 隐 藏 文 件 作 为 实 体 , 以 确 保 可 以 触 发勒索 应 用 对兴趣文件夹 的 访 问
。
综上 ,
KR P R OT EC T O R 不 仅 通 过 静 态 分析 关 注 权 限 和 AP I
调用 , 还通 过 兴趣 文
件 夹 关 注 操 作过程 中 的 服 务 更 改 、 文件 访 问 等 。 此外 ,
K R P RO T E C T O R 将 空 文 件夹
作 为 兴 趣文 件 夹 的 实 体 并 能 够 检 测 出 使 用 了 诱 饵 逃 逸策 略 的 勒 索 应 用 在 定 程度
一
。
,
上 ,
K R P ROT E C T O R 可 以 较 准 确 地识 别 加 密 勒 索 应 用
。
4 . 43 . 3 回答 3 :
K R P RO T E C T O R 能否起 到 对 文 件 的 保护 作 用
?
本 节将 通 过 两 个 实 验 来 回 答这个 问 题 第 个 实 验将 评 估 K R PROT EC T OR 的效
一
率 以及 K R P ROT E C TO R 是否 具 有 文 件 保 护 功 能 第 二 个 实 验 将 比 较 。 K R P RO T E C T O R
与 两 种 最 新 的 文 件保 护 方 法 的 性 能
。
实验 1 :
在 本实 验 中 重 点 研 究 了 ,
K R P ROT EC TOR 的 有效 性 和 效率 实 验 使 用 込
。
作 为 数 据集 。
为 了 避免勒 索 应 用 之 间 的 相 互 影 响 , 在 安装
一
个新 的勒索应用 之 前 ,
研
究人员 卸 载 了之前 的勒索 应用 。 对 于 每 个勒 索 应 用 , 实 验记 录 了
K R P RO T E C TO R
的
过滤 时 间 获取时间 跟 踪 时 间 和 警告 时 间 实 验还 记 录 了 勒 索 应 用 访 问 第 个文件
一
、 、 。
所花 费 的 时 间 以 及 勒 索 应 用 加 密 第
一
个 文 件所 花费 的 时 间 诱 饵 部 署 时 间 为 。 8 9ms ,
其
中 产生 诱饵 的 时 间 为 6 5 ms ,
遍历 /s d c ard 的 时间 为 24m s 。 在本 实 验 中 ,
K R P ROT EC T O R
生 成 的 诱饵数量 为 42 个 ,
所 有 诱 馆都 是 空 文 件 夹 。
每 个诱 饵 占 用 8 KB 的 存储 空 间
,
K R P R OTE C TO R 生 成 的 诱饵 总 共 占 用 336 KB 的 存 储空 间
。
表 4 -
1 4 KR PR O T E C TO R 文件防护测试结 果
平 均 防 护
S i m p l e L o c ke r C o n g u r Wa n na l o k e r X B o t D o ub l e L o c ke r D 3
时 间 率
过滤 时 间 〇 . 〇 6 3 s 0 0 24 s . 0 . 0 5 s .
0 . 0 3 3 s 0 05 . s 0 . 04 2 5 s 1 00 % 9 6 2 %
.
跟踪 时 间 0 . 1 1 3s 0 . 04 7 s 0 . 1 7 1 s 0 . 06 3 s 0 7 7 9 s 0 09 8 5 s5 0 0 % 67 0 %
.
. . .
告警 时 间 〇 . 1 1 4 s 0 0 47 s 0 . . 1 75s 0 . 06 3 s 0 7 7 9 s 0 099 8 s 5 0 0 % 5
. . . 1 . 9%
访问第
一
0 0 8 7 s 0 00 5 s 0 007 s 0
. .
-
. . 1 25 s
-
0 . 05 2 5 s 5 0 0 % 5 0 9 %
.
.
个文件
加密 第
一
4 6 94 s 6 2 5 5 s 2 9 3 0 s 0
. . . . 1 3 5 s
-
1 4 06 5 s 1 6 7 % 3 4 9 %
. .
.
个文件
在本 实 验 中 ,
D oub l eL o c ke r 无法 完 全 实 现 加 密 行为 。 原因是 D o ub l eL o c ker 中包
56
第 四章 K R P RO TE C
TO R :
基 于 兴 趣 文 件 夹 访 问 感 知 的 勒 索 应 用 实 时 检 测 研究
如表 4 -
1 4 所示 ,
K R P R OTE C T O R 平均 可 以 在勒 索 应 用 访 问 文 件 前 0 05 2 5.
秒检测
到 加 密行为 , 在 0 099 8
.
秒 后 检 测 到 勒 索 应 用 并 发 出 警告 。 此时 , 加 密行 为 处于读取
文 件 内 容 和 加 密 数据 的 早 期 状 态 。
勒索 应用 加 密整个文件花费 了 1 4 0
. 1 25 秒 。 也就是
说 ,
KR P R O TE C T O R 可 以 在勒 索 应 用 加 密 第
一
个文 件前 1 3 965
.
秒 检测 到 勒 索 应 用
。
实验 2 :
在本实验 中 , 随 机 选取 集 合 {
D2 D3} 中 , 的 50 个勒 索 应 用 作 为 数据 集
,
m
评估 K R P ROT E C T O R 、 S D G u ar d 和参考文献 是 否 能 够 保 护 文 件 免受勒 索 应 用 的 攻
击 。 为 了 避 免勒 索 应 用 之 间 的 相 互 影 响 , 在 安 装 新 勒 索应 用 之 前 , 研究 人 员 卸 载 了 以
前 的 勒索 应 用
。
在安装勒索 应用 之 前 , 研究 人员 为 每 次 评 估安 装 并 激活 了 保护 应 用 程序 。
实验
发现 ,
S D G u ard 可 以 保 护 文 件 免受 44 种 勒 索 应 用 的 攻击 , 其 文件保护率为 88 % ;
参
考文献 口 中 的 方 法 可 以 保 护 文 件免 受 种 勒 索应 用 的 攻击 其 保护 率 为 90 %
5]
45 KR
?
;
,
P R O TE C T OR 可 以 保 护 文件免 受
5 0 种 勒 索 应 用 的 攻击 , 其保护 率为
1 00 %
。
分析 。 这 两 个应 用 程 序 都 基 于 访 问 控 制 来 保 护 文 件 。 当 他 们 被激活 后 , 在默认 状
态下 , 设备 中 的 每个 应 用 程 序 都 有其 可 以 访 问 的 特定 文 件 。 也 就是说 , 除非用 户 授予
勒索应 用 访 问 权 限 , 否 则 勒 索 应 用 无法访 问 整个 文 件
。
综 上 实验进 步 分 析 了 可 以 使这 两 个 防 护 应 用 程 序 失 效 的 勒 索 应 用 研究 人 员
一
,
。
发 现这些勒 索 应 用 有 一
个共 同 点 , 他们将 自 己 伪 装 成 需 要 许 可 才 能 扫 描 设 备存 储 的
应用 程序 。 例如 , 勒索 应 用 4 9 9 a 2 4 6 8 c 9 2 a f l fc 9 0 9 d 0 3 a e 0 8 8 e 2 a 7 6 ( MD 5 ) 将 自 己 伪装
成 音 频播 放 器 。 当 用 户激活伪装 应用 程序 时 ,
它 会 向 用 户 申 请外 部存 储 器 访 问 , 以扫
“ ”
描存储器 并 加 载 音频 文件 。
如果用 户 同 意 , 应 用 程序 将 扫 描 并 加 密 设 备 中 的 文 件
。
KR P RO TE C T O R 可 以 用 更 少 的 存 储 空 间 和 更 短 的 时 间 部 署 诱饵 。 此外 ,
K R P RO
?
TE C TO R 具 有 良 好 的 时 效性 如图 4 2 所示 它 可 以 在勒 索 应 用 加 密 设 备 文 件 前
0
-
。 1
,
秒左 右 , 向 用 户 发 出 预警 。 如实验 2 所示 ,
K R P R OT E C TO R 可 以在更多 情况 下保护
文件 免受勒 索 应 用 的 侵害 。
在某种程 度上 ,
它 可 以 保护 文件免受加 密勒 索 应 用 的 攻
击
。
57
北 京 邮 电 大学 工 学博 士学 位 论 文
'
'
—
? :
麵 )
获取 信皂 :
可 信 值计 算
|
s
|
时_
? " h 1 I "
I ! m u
M—
IB
I I i i 丨
1
; !
I 丨 I ! I i
; i
t i
t I
j
I
^
|
r -
gg -
穿
乂
;
加 密 文件 进程 ,
、
)U
告§
{ -
.
-
l o o%
—
I RHH
f
i
图 4
-
2 文件 加 密与 预警时间 战示 意 图
4 4 3 4 K R P RO T E C T O R
. . .
采 用 的 基 于兴趣 文 件 夹访 问 感 知 方 法 能否应 用 于 更 多 平
台的设备
?
本 节 中 将讨 论 KR P RO T E C TO R 所 釆 用 的 基于 兴趣 文 件夹访 问 感知方法 的 可 扩 展
性 。 也就是说 , 该 方法 是 否 可 以 应 用 于 更 多 平 台 的 设 备 。 由 于 基 于 安卓 平 台 的 物 联 网
W
设备大 幅增加 基于安卓平 台 运行 的勒 索 应用 仍然 是物 联 网 设备 的 威 胁 因此
[
2 ]
。
,
,
本 节将设 计
一
个基于 六 种 不 同 物 联 网 设备 的 实验 , 以证 明 该方法也 能在 未拥 有 管理
员 权 限 的 前提下 能 够 在 更 多 平 台 的 设 备上 实 现 对 勒 索 应 用 的 检 测 然后 本 节 将对
?
。
, ,
感知 方法 的 可 扩展性进行 了 简 要总结
。
实 验选取 了 日 常生 活 中 广 泛 使 用 的 路 由 器 、
数码相 机 等 六 种 物 联 网 设备进 行 了
测试 M W F 是 款销往 印 度 中 国 和 许多 东南亚 国 家的路 由 器 其市场 占 有率为
一
-
i i i 、
。
,
4% T P L IN K 是最受欢迎 的路 由 器之 其 全 球市 场 份 额 约 为 %_ 中 国市
8 1
20
] 一
5
[ -
.
。
, ,
—
场 份额约为 34 8 8 % C an on 是 款应用 广 泛 的 数码 相机 其市场 份额为 47 9 %
销
一
.
。 .
, ,
_
往美 国 欧洲 和 亚洲 的几十个 国 家 M C a me ra 是 款室 外 无线 摄 像 头 每年的销
一
、 。 i
,
售 额达数百 万
[
85 ]
。
如表
4 -
1 5 所示 , 实验 发现
Ba i du
-
W F i i 、 H o w e R e dS t o rm 1 、 M i
-
WF i i
和
TP LIN K
-
提 供 了 监控 文 件 的 功 能 , 并 允许 用 户 查 看 文件操 作信息 。
在 这 些 设备上 能够 实 现基于
兴趣 文件夹访 问 感知 的 勒索 应用 检测 。 C ano n 和 M i
-
C a mera 不具备监控 文 件 的 功 能
,
也 无 法 基于 兴 趣 文 件 夹 访 问 感 知 检 测 勒 索 应 用
。
分析 。 正 如在实验 中 所述 ,
此方法 中 部署 的 诱饵 需要在没有 R O OT 或 管理 员 权
限的情况下 触 发 。 Ba i du
-
W i F i 、
M i
-
W i F i
和 T P L IN K -
这三种 路 由 器是 O pe n Wr
t 构建和
开发的 Ope nWr
t 是 种适 用 于嵌人式设备 的 L n ux 系统 _ L nu x 提供 了
机
一
。 i 。 i In o t i fy
制 来监视文件系 统 也 就 是说 安 全 人 员 可 以 监 视 文 件 夹 和 文 件 的 评 估 通 过安装
1
8 6]
。 。
,
5 8
第 四章 KRPRO
T EC TOR :
基 于 兴趣文 件 夹访 问 感 知 的 勒 素 应 用 实 时 检 测 研 究
表 4
-
1 5 六 种 测 试设备 的 结 果 展示
基 于兴 趣 文 件 夹 访 问 感
设备 名 称 需要 RO O T 或 管理 员 权限 监 控文件
知 检测勒 索 应 用
M WFi
-
i i 4p ro x / /
B a du i
-
WF i i
^X 6 x / /
H ow e R e d S to rm 1 x / /
TP L I NK A X 3 0 00
-
x / /
C anon 2 0D N/ A x x
M i
-
C am e r a 2 K x x x
扩展包 安 全人 员 可 以 监 控 这 些 路 由 器 上 文 件 系 统 中 的 所 有 文 件 How e
87
no ti f
y w ai t
[ ]
I
,
。
刚
Red S t o rm 是 一
种采用 定制 L nu x
i
系 统 的 数字 录像机 。
安全 人 员 也可 以 在 In o i fy
t
的
帮 助 下 监 视 文 件夹 和 文 件 的 评 估
。
以 M W i
-
i Fi 为例 , 在实验之 前 , 研究 人 员 在 其 系 统上安装 了
I no ti f
y w ait 扩展包
,
以 确 保 能 够 监控文 件 系 统 。
然 后 实验部署 / Te S t n 〇 i i
y
f /a . t xt 作为 目 标 文 件 , 并 部 署 对等
空文件夹 / Te s t i noi yy 作 为 兴趣 文 件夹
f 。 之后 , 研究 人 员 激 活 了
一
个文 件加 密 脚 本来
遍历 目 录 并 加 密 文件 。 本节 发 现 , 在没有 RO O T 的情况下 , 部署 的 兴趣 文件 夹 能够
被文件加 密脚本 成 功 访 问 , 成 功 触 发 加 了 密 勒索 应 用 检 测 模 块
。
C an o n 2 0D 基于
一
个特定 程 序 。
设备上 没有操 作 系 统 或 文 件 系 统 。 也就是说
,
C an o n 无 法 提供监 控 文 件 夹 或 文 件 状 态 变 化 的 功 能 ,
无法 触 发 勒 索 应 用 的 检 测 模块
,
且 本 章提 出 的 方 法 不 能 应 用 于 C an on 。 M C a me ra
i
-
基于 简 单 版 L nux i
内核 ,
不具备监
控 文件 和 文 件 夹 状 态 变 化 的 功 能 无 法 触 发 勒 索 应 用 检 测 模 块 且 本 章提 出 的 方 法 无
, ,
法应用 于 M C am e r ai
-
。
综上 ,
正 如 在 引 言 与 实 验部 分 所 提 到 的 ,
K R P ROT E C T O R 的 实 现 难点在于在未
获取 管 理 员 权 限 的 设 备 上 对勒 索 应 用 的 勒 索 行 为 进行感 知 。 因此 , 该方法需要在 没有
RO OT 或 管理 员 权 限 的 情况 下 监控兴 趣文 件 夹 的 状态 变 化 , 从 而触 发检测 模块 。
据
作者 所知 ,
L i nu x 可 以 提供 文 件 系 统 监 视 机 制 , 实 验 也证 明 了 基于 L i nu x 的 设备可 以
在没有 RO O T 的情 况 下监视文件夹或 文件 。 本 章提 出 的 方 法 不 仅 可 以 在安 卓 上 实 现
,
而 且 可 以 在 资 源 有 限 的 更 多 设备 上 实 现
。
59
北 京 邮 电 大 学工 学 博 士 学 位 论文
4 5
.
本 章小结
本 章从 多 个方 面 对加 密勒 索 应 用 的 加 密 手 段进行 了 分 析 。 基于 对分 析 结 果 的 总
结 本 章提 出 了 面 向 非 RO OT 的 安 卓 设备 的 种 基 于 兴 趣文 件 夹 的 加 密 勒 索 应 用 检
一
、
,
测 方案 。 它 可 以 准 确 识 别 加 密勒 索 应 用 , 也 能 够检 测 带 有 逃逸 策 略 的 加 密 勒 索 应 用
。
为 了 保护 文件 并 方 便安 全 分 析 人 员 进行 测 试 本 章 设 计 并 实 现 了 K R P RO TE C T O R
—
, ,
个 具 有文件 保 护 功 能 的 加 密勒 索 应 用 检 测 工 具 。 K R P RO TE CT O R 可 以 识 别 勒索应 用
,
并在第
一
个文件加 密 前 1 4 秒 左 右 发 出 警告 。 此外 , 本章还 证 明 了
K R P ROTE C TO R
釆
用 的 基 于 兴 趣 文 件 夹 访 问 感 知 方 法 能 够 应 用 于 更 多 平 台 的 设备
。
60
第五章 K R R E C OV E R :
勒 索实施后资 源 自 恢复 技 术 研 究
了 巨 大的 财产损 失 。 本 章通 过 对 47 5 0 个 设 备 劫 持 型 勒 索 应 用 与 文 件 加 密 型 勒索 应 用
进 行分析 , 总 结 出 了 勒 索 应 用 进行密 码 劫 持 、
屏 幕 资 源 劫 持 以 及 文 件 加 密 的 实 现方
式 。 针对密 码 与 屏幕 资 源 劫 持提 出 了 自动 、
高 效 设 备恢复 策 略 ;
针对 文 件 加 密 提 出 了
加 密 文 件 恢 复 策略 。 同时 , 设计并 实 现 了 基于 A nd r o i d 系 统 能 够 对 被勒 索 应 用 劫 持 的
设 备 和 被 加 密 文件 进 行 自 动 恢 复 的 工 具 K R R E C OV E R
—
。
.
5 1
.
引言
ge
t A pp Ta s k s [ ]
,
ti vi t
y
出 现 到 安卓 N 在 进行 设 备 密 码 设 置 清 除 时 需 要 的 权 限 只 能 进 行 动 态 申 请 % 再 到
/
安卓 O 禁用 了
T Y PE _
PH O NE 等 5 种 勒 索常 用 的 窗 口 类 型 , 对 勒 索 应 用 的 开 发 进行
遏制 据安 卓 官 方 的 统 计 结 果 显 示 前 各 版 本 安卓 操 作 系 统 的 分 布 情 况 来 看 高
9 1
目
[ ]
。 ,
,
达 61 3 . % 的 设 备 仍 旧 使用 安卓 N 以 下 系 统版 本 ,
这 也 就 说 明 绝 大 多 数 用 户 设备 仍 面
临 着勒 索 应 用 带 来 的 高 危 风 险 。 由 于 系 统版本不 同 , 窗 口 顶 置 的 实 现 方式 多 种 多 样
,
“ ”
在 系 统 层面 用 一
种 统
一
的 方 式 来避免 用 户 感染 勒 索 病 毒 ,
这是安 全 研究 人 员 正 面
临的
一
大挑 战
。
研 究 者对 在 PC 端 恢复 被 勒 索 应 用 加 密 的 文 件 进 行 了 研 究 。 这 些研究主 要 是通
过对设 备 上 不 同 对 象 进行 监 控 , 获 取 文 件 加 密 时 的 相 关 信息 用 来 进行 加 密 文 件 的 恢
M
复 :
L ee 等人 设 法 对 加 密 方法进行 监 控 从 而 获 得 加 密 密 钥 进 行 文 件 解 密 搭 载 于
,
;
系 统 的 文 件恢复 应 用 通 过对 动 态 链 接 库 与 静 态 链 接 库 监 控
93 3
W i nd o w s 7 P ay B r e a k
l
,
获取加 密相 关信息 , 并 使 用 托 管 密 钥 与 每 个 偏 移 量 迭 代 尝 试文 件 解 密 。 S卩 ,
PC 端大
多釆用 s a n db o x ,
通过对其 底 层 的 fun c t
i on 进行 HO OK 操作 , 从 而 获 取 到 密钥 , 对加
密 文 件 进 行解 密 。 在 自 动 化进 行 被 勒 索 的 设 备 的 恢复方 面 , 就 目 前而言 ,
PC 端并 没
6
1
北京 邮 电 大学工学 博 士学 位论 文
有 相 关 的 研究 和 能 够 借 鉴 的 经 验
。
目 前 对 于 移 动 端 的 加 密 文 件恢复 大 多 使 用 逆 向 的 方 法 , 通过在勒 索 应用 中 找 到
源码 从 而 利 用 加 密 密 钥 对 文 件进 行 解 密 当然 如果 用 户具有 定 的 安卓背景知
一
。
, ,
识 , 用 户 也 可 以 通 过对勒 索 应 用 进 行 逆 向 操 作 , 从 而 直接 在 源 码 中 找 到 勒 索 应 用 的 设
备解锁 密 码 从 而 进行进 步 的 设 备 恢复
一
。
,
AD B PU
是 个 通 过 计算 机 与 模 拟 器 或 真 机 交 互 的 工 具 该 工 具 提 供 了 多 种 对设 备 进
一
行操作 的 命令 , 并 提供 对 Un i x S h e ll 的访 问 权限 。 当 设 备被 锁 定 后 ,
已 开 启 US B 系
统调 试 的 设备 , 能够 通过 US B 连 接 外 部设 备 的 方 式 , 对 设 备 进行 恢 复 。 当 设备 未 启
动 USB 系 统调 试 时 , 则 不 能 使 用 该 方法 , 另外 , 该方 法 无 法 对 加 密 文 件 进行解 密
。
但 随 着勒 索 应 用 的 不 断 进化 , 目 前 已 经 出 现 了 能 够 自 动 屏 蔽设 备 US B 接 口 的勒
索应用 ,
g卩 勒 索 应 用 被激 活 后直接 将 设 备 的 USB 调 试开 关 关 闭 ,
也 就 是说 , 对于 该
类型 的勒 索 应 用 , 用 户 在 被 感 染 后 无 法 借 助 其 他 设备 进 行恢复
。
Fa s tB o o t 是 一
种 引 导加 载程序 的 模式 間 。
使用 Fa s tB o o t 可 以在 没 有 U SB 连接 的
设 备上 重 写 系 统 。
当 设备被 锁 定 后 , 利用 F a s tB o o t 对 系 统 进行重 写 , 能 够 恢复 设 备 的
使用 。
但是 由 于 重 写 系 统 , 用 户 在 设备 上 的 部 分 数 据有 着 丢 失 的 风 险 。
设备 不 同 的 机
型 通 过物 理 键进 入 到 Fa s tB o o t 模式 的 方 式 各 不 相 同 , 并 不 是统
一
的 另外 ; , 由 于不 同
的 安卓 设备 的 系 统在 设计 上 的 差 异 , 在利用 Fa s tB oo t 进入 第 三 方 re c o ve r
y 之后的操
作 也 各不 相 同 , 若设备搭 载 的 系 统 进行 了 强 制 前 台 , 那 么 用 户 需 要 通 过操 作 数 据 库 进
行设 备 恢 复 但这 种 方式 要 求 操 作 者 具 有 定 的 专 业性
一
。
。
为 了 能 够 使 更 多 的 用 户 能 够 对被 劫 持 的 设 备 进行 自 动 化 恢 复 、 对被 加 密 的 文 件
进 行解 密 , 本 章 提 出 针对 被 勒 索 应 用 感 染 的 设 备 与 文 件 的 恢 复 方案 , 并 设 计实 现 了
K R RE C OV E R 基于 安卓 系 统 的 勒 索设备 与 文 件恢复 应 用 据 我 们 所知 这是 第
 ̄  ̄
一
。
,
个在安 卓 系 统 上 实 现 了 对被 勒 索 设 备 和 被 加 密 文 件 进 行 自 动 恢 复 的 应 用 。 本章 的 主
要贡献 如 下
:
1 .
提 出 了 对 被 勒 索 应 用 和 被 加 密 文 件 进 行恢 复 的 方 法 。 对设备劫 持型勒 索 应 用
与 文 件 加 密 型 勒 索 应 用 的 勒 索 原 理 进行 了 分 析 , 并 提 出 了 针 对被这两 种勒 索 应 用 感
染 的 设 备 的 恢复 的 相 应 策 略
。
2 .
实 现 了 在 安 卓 端 对被 勒 索 应 用 劫 持 的 设 备 的 自 动 恢 复 。
自 动 终 止勒 索 应 用 的
进程 并 删 除 写入密 码 的 文 件
。
3 .
实 现 了 在安 卓 端对 被勒 索 应 用 进 行 加 密 的 文 件 恢复 。 通 过对 加 密 API 的 监控
,
获 取 其在 动 态 运 行 中 ,
进 行 加 密 时 使 用 的 密 钥 与 被 加 密 文件 列 表 对 加 密 文 件 进 行 解
,
密
。
62
第五章 K RRE C OV E R :
勒 索 实 施 后资 源 自 恢复 技 术研究
5 2
.
恢 复 策 略设 计
5 2 1
. .
前提假设
本 节 中 所 研 究 的 恢 复策 略 是 在 以 下两 个前 提 假设 下 进行 的 。 第
一
, 承载本方法 的
应 用 可 以 通 过手 机 预 装 获 得 RO O T 权限 。
首 次 安装 重启 设 备 后 在 后 台
一
直 运行 ,
即
该 应 用 在 安 装 运行 时 , 用 户 的 移 动 设备上 确 保 不 存在 勒 索 应 用 ; 第二 ,
加 密 文 件 恢复
方法 , 作 用 于 使 用 官方 加 密 API 进行 非 动 态 加 密 的 文 件 。 本 章 致 力 于 在 移动 端 恢 复
加 密 文 件 的 解 决方 案 , 因此 ,
通 过 对勒 索 应 用 进 行 反 编 译 , 并 逆 向 得 到 密钥 的 方 式 不
在 本章 的 考 虑 范 围 之 内
。
5 2 2
. .
恢复 策 略
1 .
恢复 被 劫持 的 屏 幕 资 源 。
屏 幕 资 源 抢夺 行 为 , 主 要 通 过对 应 用 系 统 窗 口 进行
不 同 的参数设置 , 使勒 索 应 用 的 窗 口 获 得 最 高 优 先 级 , 进行 屏 幕 资 源 的 抢夺 。 因此
,
如 何判 断系 统 当 前顶级 的 Ac ti v it
y 或 S erv i c e 是否 属 于勒 索 应 用 ,
是 进行 屏 幕 资 源 抢
夺恢复 的 关 键
。
为 了 解 决 上 述 问 题 需 要 对 设 备 上 的 进程 与 顶 级 ,
Ac ti vi t y 与 S e rv i c e 进 行监控 若
。
在 监 控 名 单 中 的 应 用 进 程 处 于运 行 状 态 , 并且 当 前顶级 的 Ac ti vi t
y 或 S e rv i c e 属于监
控名 单 中 的 应 用 ,
则 该设 备 大 概 率 已 被 勒 索 应 用 感染 。 此时 , 需要使用 R O OT 权限
,
强制 ki l l 正 在运 行 的 Ac ti v i t
y 与 S erv i c e , 从 而 对 屏 幕 资 源 抢 夺进 行恢复
。
2 .
恢复 被 加 密 的 设 备 。
在 用 户 唤起 物 理设 备 时 , 系 统 会在 / d at a/ s y s t em / 目 录下 进
行 文件捜 寻 , 若 发 现 含 有 设备 加 密 密 码 的 p a s s w o r d J ke y 文件 , 则 读取 文 件 中 的 密 码 信
息 , 将 文 件 中 存 储 的 密 码 设 为 设备密码 , 若 未 发 现 k ey 文 件 ,
则 不 设置 设 备 密 码 。
因
此 , 如 何判 断 / d a t a /s
y s te m/ 目 录下 的 配 置 文 件 是 否 为 被 勒 索 应 用 重 写 过 的 , 是进 行设
备 恢复 的 关 键
。
为 了 解决 上 述 问 题 , 需 要 对设 备 上 的 进 程 与 I/ O 操作 日 志 进行 监 控 。
若在 监 控 名
单 中 的 应 用 进 程 处 于运 行状 态 , 并且 , 在 I/ O 日 志 中 发现 / d at a/ s y s te m/ 目 录 下 有对 . ke y
文件进行 的 读 写 相 关 操 作 , 则 该设 备 大 概率 已 被 勒 索 应 用 感 染 。 此时 , 需 要 使 用 设备
的 读写权 限与 RO O T 权限 , 对 /d at a/ s
ys e
t m/ 目 录下 的 . ke y 文 件进行 删 除 , 从而对加密
设 备进行恢复
。
3 .
恢复 被 加 密 的 文 件 。 通 过对 amd 数 据集 、 d re b i n 数据 集 中 的 文件 加 密 型勒
索 应 用 进 行 人 工 分析 , 发 现大 部 分勒 索 应 用 釆 用 了 私 钥 加 密 的 方式 ,
进行 加 密 操 作
。
另外 由 于 开 发 者 很 难 针 对 不 同 的 受 感染 用 户 生 成 不 同 的 私 钥 即 通常 同 个文件
一
,
,
加 密 类勒 索 应 用 是 基于
一
个密钥 的 ,
而 不 是 单 独 进行 加 密 解 密 的 密 钥 的 生 成 。 因此
,
如 何 获 得 勒 索 应 用 进行 文 件 加 密 时 的 私 钥 , 是 进行 文 件恢复 的 关 键
。
本 章 选 择借 助 在 移 动 端 基 于 Xp o s e d ^ 的 Xp o s e d In s t al l er 插件 , 在勒 索 应 用 在
63
北京 邮 电 大学工学 博 士学 位论 文
动 态 运 行 过程 中 执行 文 件 加 密 时进行私 钥 的 获 取 。
首先 , 为 了 避免 产 生 过多 冗余 的
应 用 运行 日 志 , 占用 手机 的 存储 空 间 , 节省 运 行 时 间 , 本 章 对插 件进行 了 重 写 ,
使
它 HOOK 的 AP 仅 针 对 于 加 密 类 I AP I
并 以文 件名 .
l og 的 形式 , 存 储在 /s d c ar d/ 目 录下
。
5 3
.
方案设计
本节将对 K R RE C OV E R 的 方 案 设计进行介绍 。 KR R E C OV E R 致力 于 在 安 卓 移 动
端勒 索 应 用 的 勒 索行为 被触 发 后 ,
对被 感染 的 移 动 设 备 ,
进 行 设 备 劫 持 恢 复 以 及 对被
勒 索 应 用 加 密 过 的 文 件 进行 文 件 恢复 。 K R R E C OV E R 的 工 作流程如 图 5
-
1
所示
。
*
^
如密ap i |
、
2Xp o s ed
p2 o
t
―
p
-
千
密钥 邡密后
— 朴 — 十 ■
[
r P 4 P 5 P 6 C 4 C 5 C 6 -
+
丨
文装 細 酿 国
I
一
■ r r S
P7 1 ps 1
P9 1 I l
丨
应 周 程序 监 听 恢 复
▲
1
文 件 恢复 7 =
哟 系 统 广播 :
▲
?:
I 沙箱 曰 志
and r o d nten ac ;
on PA C KAG c RE M〇 V &D 筇 玄方 泫 丄 密铥 1
文M径 i
i
=
i .
t .
4
方 法 2 密铝 2 文 样路 径 V
|
2
a Td r o d
i
.
n t e r t a ct
=
.
=
on P A C ^G E
.
. R E P LA C E C j |
aad r G d
i
.
r t en L a c t :
o n F A C K AG E A D D E D
.
_
一
设 备 恢复 系 统 密码 文 件
|
/ d a i a / s y s t e m /^ e a i u e r ke
y ?M 除
初 始 化
'
/ ca ta/ s
ys i e ra p a sswo
/
r d k ey
〇
v
^
气 ;
^
■
< Pa c k D ro d 白 i 单 a
i
G
-
终 止 进 程 运行进 程
.
-
雜 应 雜成
?
系 班S 舜 程 隹 2 B W AN ?
1 C C T ' 3H 3 T T J ?f
良 应 角 程序 ke
?
8 9 r n ^ l n s n a^ e 4 6 . 6 3 7 : 6 1 : 3 1
? , ,
? . .
. 1 4 3 W lnt
f owS e rv g r 2 9 . 5 B6 :
2S : 39
〇 终土
^
U cyC 2 C n
1 3 S s
y s po i . 6 i : :
B l
^
否
K R R ec ove r 服 务 进 程池 一
1
*
全 周 定时 蓀 — 后 台 羰 务器
L 」
麵桕
: I
”> 钟
r
图 5
-
1 K R R E C OV E R 工 作 流程示 意 图
K R R E C OV E R 在设计实 现上 分 为 了 初 始 化 、 监控 触 发 以 及 恢复 三个模 块 。 初始
化模块通 过对 系 统 应 用 以 及 系 统 预 装 应 用 包 名 的 采 集 , 完 成对 白 名 单与 监控名 单 的
初 始 化操 作 ;
KR R E C OV E R 通过 R P a c kD r o
-
i d 来 初始化监控列 表 。 R P a c kD r o
-
i d 是
一
个 针 对安 卓 应 用 程 序 的 恶 意 应 用 检 测 引 擎 如果 个应 用 程序 被 判 断为 恶意 应 用
它
一
。 .
64
第五章 K R R EC O V E R :
勒索实施后资源 自 恢复 技 术研究
5 3 1
. .
设备恢 复 算 法
设备恢复 是恢 复 的 重 要 组 成 部 分 。
设 备恢复 算 法 为 算 法 5 2
.
。
表 示 监控 列 表
,
表示 应 用 程 序 是否 处于 活 动 状态 的 标记 , 算法 中 的 pname 表示 应 用 程序 的 包
名 ,
Mo n i t or 表示 前述 的 可 监 听进程和 其他方法 的 部分 。
为 了 便于 解 释 , 密码 的 存储
”
表示
“
路 径将 用 / d at a/ s
y s t e m / rk e y
。
A l
go rith m 5 , 1 :
设 备 恢复 算 法
1 F un c t i o n D e v i c e s R e c o v e r
;
2 fo r i ^ O t o l e n m l i st do
( )
_
3 s us _
r un ,
l o g ^r M o ni t o r c r yp t o AP Is )
;
4 i f s u s jr u n = 1 t h e n
pn a m e
■
5 <
6 k i l l t h e p r o ce s s o f p n a m e
'
7 end
8 sw i tc h pa s s w o r d
t
yp e
;
9 c a s e i np u t
10 r e m o v e / d a t a / s y s t e m /p a s s w o r d k e y .
;
1 1 c a s e g r ap h
1 2 r e m ov e/ dat a / s y s t e m / g e s t ur e k e y .
\
13 end
14 E n d fun c t i o n
接收到 Mon i t or 方 法 的 结 果 后 设 备 恢复 将被 激 活 设 备 运 行 后 ,
。
,
K RR E C OV E R
会
自 动启 动 。 监控触 发部分 随 时更新监控表 。
如 果 当 前监控列 表为 空 , 则 K R RE C O V E R
将继续 监 控设备上 的 应 用 状 态 。
如 果监控列 表不 是 空 的 ,
则 K R RE C O V E R 将 使用
Mon 方法监控列 表 中 的 每个应 用 程序 并 将进程状态 信息 返 回 给变量
如
?
i t or 。 抓 。
果 被 监控 的 应 用 程序 正 在运行 ,
K RR E C O V E R 将 终 止 该 进程 , 并 根据 不 同 的 劫 持 策
略恢复 设备 。 KR RE C OV E R 会删 除密 码 文件 , 恢复被 劫 持 的设备
。
5 3 2
. .
文件恢复算法
加 密 文 件 恢复 部分 是 恢 复 部 分 的 另 个 关 键 部 分 加 密 文 件恢复算 法 为 算法
一
。 5 3
.
。
表 示 监控列 表 , 表示 应 用 程 序 是否 处于 活 动状 态 的 标记 算法 中 的 , p n am e
65
北 京 邮 电 大学 工 学 博 士 学 位 论 文
表示 应用 程序 的 包名 ,
M on t
or i
表 示 上 述 可 以 监 控 进程 和 其 他 方 法 的 方 法
。
KR R E C OV E R 将遍 历 监 控 列 表 监 控 应 用 程 序 是 否 使 用 了 加 密 方 法 变 量 ,
。 5似削
”
表 示 应 用 程 序 正 在运行 表示 应 用
“
表 示 应 用 程序 的 进 程 是 否 处于 活 动 状 态 。 1
,
程序 未运 行 。 同时 ,
KRRE C O VE R 将操 作 日 志 分配给变量 日 志 。 之后 ,
K R R E C OV E R
将通 过 S U S r u fl 和 日 志 来 判 断所 监控 的 应 用 程 序 是否 正 在 运 行 , 以 及 它 是否 加 密 了 文
件 。
如 果是 ,
则 K RR E C OV E R 会 获取 加 密 密 钥 , 并 通 过 分 析操 作 日 志 找 到 被加 密 的
文件 。 然后 ,
它 将 用 密 钥 解 密被加 密 的 文 件 。
A l
g or
i th m 5 2 . :
文 件 恢复 算法
1 F u n c ti o n F i l e s R e c o v e r
;
2 fo r i <
-
0 t o l en
(
m _
l i st
)
do
3 s u s jr u n l og Mom to r cr yp t o A P I s
\
^ )
4 i f s u s jr un = 1 a n d cr yp t o
A PI i n f o i n l og th e n
5 k e y i —
cr
yp t k e y i n l o g
;
6 l o c a t e e n cr yp t e d f i l e s
;
i d e c r yp t f i l es
;
8 end
9en
d
io E nd fun c t
ion
5 3 3
. .
监 控算 法
监控 触 发模块 通 过监 控 应 用 程 序 的 实 时状 态 变 化 、 进程变化和 目 标方 法 的 变 化
来 决 定 是 否 激 活 恢 复 部分 。
算法 5 . 1
展示 了 K R R EC OV ER 的 监控触 发 部分是 如 何 工
作的 算法 中 的 。
p n a me 表 示 应 用 程序 的 包名 , pr oc e s s 表 示 应 用 程 序 的 进程 ,
s u s r un
表
示 应 用 程序 是否 处 于 活 动 状 态 的 标 记 , 表示监控列 表 , 叫 表示 白 名 单 ,
HO O K
i n fo 表 示 被 监 控方 法 的 日 志
。
K R R E C OV E R 初 始化应 用 的 运行标签 、
被 监 控 应 用 的 进程 I D 和 被 监控方 法 的 操
作 日 志 。
如果 K R R E C OV E R 监控 到 应 用 程 序 的 卸 载 信息 ,
且 应 用 程 序 的 包 名 称在 白
名 单 或 监 控列 表 中 ,
则 删 除 应 用 程 序 的 包名 称 。 如果 K R R E C OV E R 监视到 应 用 程序
的安装 或 更新信息 ,
它 将 把 应 用 程 序 的 包 名 添 加 到 监 控列 表 中 并 激 活 应 用 程 序 。
如
果 应 用 程 序 是勒 索 应 用 ,
则 K R R EC OV E R 将 恢 复 设 备 或 加 密 文 件 。
如果应用 程序 不
是勒索应 用 , 则 K R R E C OV E R 将其 包 名 从 监 控 列 表移 至 白 名 单 。 K RR E C OV E R 将遍
历 监 控列 表 , 以 查 找 目 标 应 用 程序 是 否 在 监 控 列 表 中 并 且 是否 正 在 运 行 。
如果是 ,
则
”
将 运 行状 态 标 签 更 改 为 挂 钩 加 密 方法 并 将操 作 志 分配 给
“
KR R E C OV E R 1
, ,
日
日
志 变量
。
66
第五章 K R R E C OV E R :
勒 索 实 施 后资 源 自 恢复 技 术研 究
A l
gor
ithm 5 3 . :
监 控算 法
i np ut :
p
n a me , me th o d
1i ni t i a li z at i o n
;
2 F un c t on i Mon it or
( p n am e m e t / i o d )
,
;
3s u s jr u n ^r 0
-
;
pr o ce s s f p r o c e s s o f pn a m e
-
4
-
\
, ” ,
s l og —
;
6 if u n i n s t a l l app t h e n
7 i t pn a m e i n w
一
l i s t or pn a m e i n m 一
l i s t th e n
8 r e m ov e p n a m e i n w
_
l i s t or m 一
l i st
9 e nd
10 end
11 i f n e w i n s t a l l app o r up da t e app th e n
12 a dd pn a m ei n
13 a ct i v a t e app
;
14 i f ap
p
i s r a n s o m th e n
15 r e cov e r de v i ce
1 6 el s e
17 r e m o v e pn a m e i n m —
l i st \
a dd pn am ei n w
_
l i st
is e nd
19 end
2〇 i f
( pn am e i n m _
l i sta n d p r o v e s s i s a ct i v e )
t hen
21 s u s jr un 1
;
22 h oo k m et h od
;
og — h o o k i n f 〇
.
23 l
,
24 e n
d
2 5 re t u r n s u s jr u n ^
l og
5 4
.
实验评估
本节 对 K R R E C OV E R 的 有 效 性进 行 评 估 。
首 先介 绍 数 据 集 的 组 成 ,
然 后设计 四
个实 验来 测 试 K RR E C OV ER 。
对于 每 个 实 验 , 都 会 先提 出
一
个问题 ,
然 后描述 实 验
过程 和 结 果
。
67
北 京 邮 电 大 学工学 博 士学 位论 文
5 4 1
. .
实 验数据
实 验 选 用 的 数 据集 来 源 于 Vi r u s To t a l 以及 AMD 公 开 数据集 中 的 勒 索 应 用 。 测试
数 据集 的 组 成 与 各 组 样 本 具 有 的 勒 索 行 为 如 表 5
-
1
所示 。
为 了 方 便进 行 验 证 , 实验按
照 勒索 应 用 加 密对象 的 不 同 ,
人 工 将勒 索 应 用 按 照 勒 索 类 型 分 为 了 设 备 劫 持 类勒 索
和 文 件 加 密类勒 索 两 组 。 其中 , 文 件 加 密 类 勒索 应 用 样 本 数 量 为 1 26 , 其中 , 有 1 8
个
样 本 同 时 具 备 屏 幕 资 源 抢夺行 为 与 文 件 加 密 行 为 。 设 备 劫 持类 勒 索 应 用 数 量 为 5 00
。
在 设备劫 持类勒 索 应 用 中 , 设备 加 密 类勒 索 应 用 的 数量 为 47 5 ,
屏 幕 资 源 抢 夺类勒 索
应 用 的 数量 为 25
。
表 5
-
1 测 试数据 集 组 成 表
N um be 设备 加密 劫持 屏幕资 源劫持 文 件 加密
■
i
( )
数据 集 1 47 5 /
数 据集 2 2 5 /
数据集 3 1 0 8 /
数据集 4 1 8 / /
5 4 2
. .
实 验 分析
为 了 更好 的 评价 K R RE C OV E R ,
本节设计 了
4 个实验 问 题 。
对于每 个 问 题 ,
都
会 先 设计
一
个实 验 , 并 给 出 实 验结 果 。 然 后 对 实 验做 一
个简 短 的 总 结
。
问题 1 :
K RR E C OV E R 能否 自 动 恢 复被 勒 索应 用 劫 持 的 设 备 ?
问题 2 :
K R R E C OV E R 能 自 动 解 密 被勒 索 应 用 加 密 的 文 件 吗
?
问题 3 :
K RR E C OV E R 能 同 时恢复 被加 密 的 设 备 和 被加 密 的 文件 吗
?
问题 4 :
K R R E C OV E R 的 运 行 效 率 是 否 可 以 接 受 ?
5 4 2 1
. . .
回答 1 : KR R E C OV E R 能否 自 动 恢复 被 勒 索 应 用 劫 持 的 设 备
?
本 实 验 在 安 卓 设备 上 安 装 并 触 发 了
475 个 加 密设备 的 勒 索 应 用 和 25 个抢夺屏幕
资源 的勒索应用 , 并 通过 K R R EC O V ER 恢复 了 被加 密 的设备 。
为 了 避 免勒 索 应 用 间
的 相 互影 响 , 在 进行 测 试 时 , 前
一
个勒索 应 用 测 试结 束 后 , 研 究 人 员 将 其 进行 卸 载
,
之 后 再进行 下 一
个勒 索 应 用 的 安 装 测 试 。
测 试使用 的 47 5 个设备加 密类勒索 应 用 在
被触 发 后 ,
K R R E C OV ER 均 能 够 自 动 解 除设 备 的 密 码 , 恢 复 设 备 正 常 使 用 E 测 试使
用的 25 个 屏 幕 资 源 抢夺类 勒 索 应 用 在 被触 发 后 ,
K RRE C OV E R 均能 自 动解 除 勒 索 应
用 对 屏幕 资 源 的 抢夺 , 使设备恢复 到 正 常 使 用 的 状 态
。
68
第五章 K R R E C OV E R :
I
^ ■ ?T ^ a
■H HW i
(
a) ( b )
图 5
-
2 设 备劫持恢 复 实 验 效 果
以设备加 密型勒 索 应用 5 6 6 9 f7 8 4 7 4 4 8 a a 9 2 1 4 b 4 6 5 f9 4 e b 3 e 4 5 6 ( M D 5 ) 为例 , 在图
5
-
2 中 ?
(
a) 为 应 用 被 触 发 后 对 设 备进行 加 密 勒 索 , (
b) 为 KR R E C OV E R 对设备 进 行 恢
复后 。 可以看出 , 此 时设 备 的 加 密 密 码 已 被 解 除 , 设备 能 够 正 常 使 用
。
5A2 2 .
回答 2 : KRR E C O V E R 能 自 动解密被勒 索应 用 加 密 的 文件吗
?
。
, ) ,
,
研 究 人 员 将 其 进行 卸 载 之 后 再进 行 下 个勒 索 应 用 的 安装 测 试 同时 为 了 方便测
一
. 。
,
”
测试使用 的 个文 件加 密类
“
试 , 研 究 人 员 预 先 在 测 试 机 中 存放 了 te s t tx t 文件 。 1 08
勒索应 用 在被触 发 后 ,
K R RE C O VE R 均 能够恢 复加 密 文 件 使 其 正 常打开
。
以 文 件加 密 型勒 索 应用 f3 a 7 9 9 5 3 c c 2 e 3 b a b b c 8 7 f f4 4 c 2 b c 7 0 3 1 ( MD 5 ) 为例 。
为 了方
便测试 , 实验使 用 t es ux t 作为 目 标文 件 。 图 5
-
3 显 示 了 测 试 使 用 的 原始文 件被打开后
在勒 索 应用 被激活 后
”
如图
“
的 语句 为 T h etxt f
i l ei su s e dt ote stran s o m w ar e s 。
,
5
_
4
所
示 .
文 件变 成 t es t . t x t e nc.
。 文 件 无法被正 常打开 , 内 容 已 经变成乱码 。
在 KR RE C O V E R
解密 文件后 , 如图 5
-
5 所示 :
加密文件 t e st . t x t e nc.
已 恢复 为 t est . t xt 。 此 时文件 可 以正
常打开 文件 内 容与 原始 文件 致
一
。
,
实验 随机抽 取 了 测 试样本 中 50 % 的 数据 , 对其 进 行 反 编 译 .
人 工 进行 代 码 查 看
。
69
北 京 邮 电 大 学 工 学 博 士学 位论 文
A * *5
V
i 1
m
T SM8 6 S J J V Ti GS 3
?
^ .
f
,
An d rc d
^
?
^ S ^ik
i
;
l
: t 5
. S SS 3* 4 tr
f -
f w
-
-
j
 ̄ *
 ̄
DC M
■
I
l? i
st Pi R P oc ca s i t
s
K
'
C wa w
5 t
-
Kov e s
.
? ^ *
S *
r
>
. i 5
J
? i > t : f i ca t ; or s .
一
P r t ur抒
在U P ? 蒙 S 件 之 儺 * 今 灌 * X 锌 的 S ? 名 R B 5 E t S ?
5 l *
;
J
"
,
1 .
‘
P od ^ 糾 扣 文 件 s 示 约 内 S S U 文 件 用7 ? 碟 《 ? 件
c t * !
,
,
8 i ng t 〇t e ? :
 ̄
R n gton es
i
j
X *S X t x t
1 ^ n? t
f <
r K S
:
ww
'
*
j oo t Cye m i i c *S6 : a dc ai d 5 c a l t e s t t x
m
7 ^mf : i e i s u s > i d yp
t ? T
tB
s y st e
i ?n S < * ?a r c r o o te S e n ? :
-
i
c T S6 : i c
s< cai r ?
? ;
枯 作 w mK 知阶
it
e
t bs
?
*
? ?
=
r ? 3i3 : : A / r w x
n? Ten cen
t
g
iV
l t es t t xt
u
[ -
<l ? N y ?
—
<
?
>
-
/ ,
g j j
j J H
? 站 ; 3 n a s ; 4? ■
?
?
w m '
.
‘
■
! > ! W
■P
明 饨
響
23 96 it wr t i
i
…
图 5
-
3 原始 文件
1M mmH S
i s aras
i
|| |
l
^B pMB 1 l l
1
i l
p ilSl BH l
P M A s aro i d
|
f ? M3 S 系 U ? &8 考 專
〇
;
K Vi
!
^ j
! S i /j i
S 〇? 2
:
n
- a
J J H
< ?
?
-
L OST . D I R * 一 1
■ C —
肪拂 *細 》 懷 文咖 臟生
奴 洗^ 签 发 立 c
f 文 柯 示
n
' - 1 M - £ -
? 也
,
了 交 . u ?
-
r a ?K
了
I
酸
▲
的内 ¥ 为£ 转 ■
该文P E?S 案 ?
茨g ^^ ft QQB f O w s er
P ^? as s -
M t
p
3 ? a ^ v
? .
. v =
?
? aa4 b〇 3 l〇 f
_
c o c l
-
-
9t n 3 i c kfrvc o v r : .
i ?r Mm R
i
ng t o n es
r
? ? oc ke r 〇s f w w*
:
^ i J ?
sn f x Lo e
>
r
a < i
> [
*
r i ; £ i )
] :
3 i > ; :
I r o & m ?ce r i r ; S6 s a c ar?
a c a t t c s t . : x
*
c nc
r- a “
」
g ^r o
"
eg nw
f *
化 S
 ̄
? ? 7 v < I i & iT aS f
c s d: a rd
g?
? : - c
^
r: t >i i ^ : i : :
v ?x ; wt
T e n c e n t
rv t est txt en c
S i?
a
? ? 7  ̄ ^e
 ̄
—
i
f S l
! ? r ? H9
-
t
j J
磁 ; —
]
5 T
_
TW B P I
HP
^
|
f
图 5 4 文件加 密
Jf ^ w c *rc s
-
r oo '
T l c .
j S i :
* ? S ;
*
A ?4n* i d
H3
?
i
? e
?
?
i
? f >
/ i ^ a r !
K i
w n j
-
'
 ̄  ̄
1
Dos sl .
'
ud
LOST . D I R P od ca s t
s
P K X n ws x
'
Ur t
1
L i
-
-
t i i
P £
^
i
.
, _
^
; V KKK ? 〇 \ x t
解 密 文 件后 .
取 始 内 客可 以
—
P od c t S l K
H
明
S i opi c np * R n gt ones
i
^
S
'
krr eco ve r og a
-
s and hc xi o -
e ^ ok o
^ t n i rc
.
l F (
t t i s r
r i e . . < :
? 〇
s ,
'
. r . ( l > i o >j n s r y , i 5 1 ?
'
1 * 1 〇 ^ ^ 1 . l 〇K
t e? . t i t
_ I
鱗m
j < x > ^ K
*
-
i ? .
t ^
?
s i ! c ?r d s ca l i w t . l ,
r ? - —
r
〇^ 5
- - '
? - *
Th r r o > r r
-
a r f
- =
f
J
j
e
>
i
T l .
> :
r
: ? i
r
t & S
* ! >
>
■ r ? n
T en cen
t
"""
& —
t es
5 !
i
,
?
t xt
? * <
^ i t MK
i
S
!
? i
f |
^ r s
f
5 2 ? i
: U NT C ; >
T WR
P
動
图 5
-
5 文件解 密
70
第五章 K RR E C O V E R :
5 4 2 3
. . .
回答 3 :
K R RE C OV E R 能 同 时恢 复 被 加 密 的 设 备和 被 加 密 的 文 件 吗
?
本 实 验 在 安 卓 真 机 上 安 装 并 触 发 了 1 8 个具有 屏幕 资 源抢 夺行为 和 文 件 加 密 行 为
的勒索应用 。 然 后 研究 人 员 使 用 KR R E C OV E R 恢复被 加 密 设备和 被加 密 文 件 。 和之
前 样 在进行测 试 时 前 个勒 索 应 用 测 试结束 后 研究 人 员 将 其 进行卸 载
之
一 一
,
, , ,
后 再进 行 下
一
个勒 索 应 用 的 安 装 测 试 。
测 试使 用 的 1 8 个混 合型勒 索 应 用 在被触 发 后
,
均能被 K R RE C OV E R 进 行恢 复
。
? _ “v T —i
i i
f _Y H
丨 r
m c vyfsi s ^* O TH B *
9
g
if
5 .
1 H ai f
t
i r w te
界敗湖
C 3 ? o o 6 wy * 8a?es * >
*i
2 .
ViZ M f s rz
i
f n wa m a w w V SAI
-
屬
c pn w i M i F r
■腦 '
i>
(
a) (
b )
图 5
-
6 设 备劫持恢 复
#入
'
s r>
'
: c >
〇 T § ?
p n s T i c x S? >
a rt5  ̄
i s
、
K iM
Sy ?
C
p 4 < v
.
T ?
|
,
^ 03 5
< 1
? r
; . .
U bT
?  ̄  ̄ 1
.
D I R
j
P odca
BS f
si s
八
-
? 索 软雜 -
两 淑文 邮后组 名 发生 了 在n ?f .
a
■
' i i
' c
p :
: .
H 对 故 容 也发 生 了 狄 cM u r r m 文 锋 £ 示
? t .
_ 4
紇*容为 S 文 件 已 孩 私 索 玟 件如 g QQB r ow se
r
■ : 匕
明 '
, ?
* ,
一
R ;
s &n d bc sL 〇f :
_
c 〇 ! E . i ) up t r
. i rc - f j re co v er .
l og R n i
g o
t nes
s a n d bc xLo j c c ? . s i mp l e l oc k - r ; . ^ o y :
0 |
u ^h
>
>
7 r
^ a .
-
| 1 = 心 1 1 b?
s yste m
W Sai
s dc Sc xt I
r oo t ^ ge neri c ^y e : ard a t t e s t . t .
en c
j
; ??? \ ? v £< ?# @@ ry roo t e n er
g8f i c _
s 6 S : sd c ar d £
饑t
e^b
s
V 5 i
06 ^ r 5£ Ki -
t K x
-
Te n c e nt
fit t e st tx t en c
— 找巧
-
I I
巧 丨
d 39 V f
c U E J K :
你 ;
V i
—
j 5 S .
?
E
? 5 ? S& 3 J / < 4 ( ? y ;
? wx
-
了騰
_ -
-
v M K
-
25 :
55放 ( WW ? >
-
—
图 5
-
7 被加 密的 文件
7
1
北京 邮 电 大 学工学博士学位论 文
^
〇
-
M S B^ m
<
nG B Sj
1 1
g4 a g 1 1
r /
w
j
.
.
叱说
^ 1
1
? 9 Q33 1 3* & r
k
D o wn l oa d
LO ST . D I P P od c a s t s
"
'
'
■ S^ f i ca x i on s
敗此 ■
?
解 密 文 件后 .
原始 内 容咖
■ P i c t ur e s 1示在文件中 e 纖醮 ows e
QQ Br
r
■ / 画
… 祕齡 離擎
P od cas t s
■
R i n g t one s ’ R n i
g
t ones
s a n dbo x L n g c o? 4 ) ?
n
* T n3 i r k rr e c o v <
?
r .
l o g
H no
'
r
w
s an d b o xL o g oOb . s i ap i e i oc ker . l og
■j ^r u Tj ag sy s t em
|
B
 ̄
=
w vfwx
S 5
"
ard a
s
r oo
3
t ^g p r e .
i : c x S6 / s d c c a t t es t t x t
^
: .
Th
^
'
f i e c
u s e d t o c s a n s n rs
-
o r of 5g e n n c \ 86 s dc n r i
.
-
t r l
i
t r e
j s
i r t
?
t bs
HU rt f x s v t *
—
T e n c e n t
e
t
P
s t txt
I l
^
—
= S 9 34 2 i 2f 5? a< r < ?
—
:
\
7 I
} : ? r
.
|
j I
7? 9 U rf : y . i r n
x
P^ tw r p
^p
r
图 5
-
8 文忤解密
以 混 合 型 勒 索 应 用 1 5 4e a b 9 5 d b b 2 c 8 1 3 44 6 1 9 9 6b l 4 ] 5 8 bc a ( MD5 ) 为例 在图 ,
5
-
6 中
,
(
a) 为勒索 应 用 被触 发 后 的设备 界面 。
勒索 应 用 抢 夺 了 屏幕 资 源 , 阻 碍 使 用 该设 备 的
用户 , 并索要 赎金 。 (
b) 为 KR RE C OV E R 释放被抢 夺 资 源 后 的 设备 界 面 。 图 5
-
7
显
示在勒索 应用 被触 发 后文 件 t es t . t xt 被加 密为 文 件 est
t . t xt en c .
,
且 无法打开 。
图 5
-
8
是
KR R E C OV E R 对 被 加 密 文 件 解 密 后 的 文 件 状态 。 可 以 看 到 被 加 密 的 文件 已 经恢复 到
文 件 能 够 正 常打 开 文 件 内 容与 原始文件 致
一
t es t . t xt 。
,
。
5 4 2 4
. . .
回答 4 :
KRR E C O V E R 的 运行效率是否 可 以接 受
?
KR R E C OV E R 的大小为 4 9MB .
, 在 1 2G 内存 、 C PU 型号 为 MSM8974 , 电池容
量 393 1 Amh .
安卓 4 4 .
版 本 的 测 试机上运行 。
为 了 测 试 文 件 解 密 的 运行效率 ,
本章
在 测 试 设 备 上 随 机 生 成 了 2 0 0 个 大 小 不 同 的 文 件 , 并触发 了勒索应用 。 然 后使用
K R R E C OV E R 对 文 件进行解 密 ,
记录不 同 文件 的解密 时 间
。
图 5
-
9 显示 了 不 同 大 小 文 件对解 密 时 间 的 影 响 。 从图 5
-
9 可 以看 出 ,
文件越大 ,
解
密 所 需 的 时 间 就越 长 每增 加 。 1 MB 大小 解密 时 间 需要增 加 近 ,
20 秒 设备 中 私 有 文 件
。
的 大 小平 均 为 5 MB 。 与 勒索应 用 造成 的 经 济损 失 相 比 , 我们认为 K R R E C OV E R 的解
密 时 间 是可 以接受 的 为 了 测 试 ;
K R RE C O V E R 的 能 量 消 耗 实验 记录 了 ,
KR R E C OV E R
在运行 时 的 C PU 占用 、
内 存 占 用 和 电 量 具 体 能耗见 图 。 5
-
1 0 。
当 K R R E C OV E R 处 于 监
控状态 时 ,
C PU 占用 率为 7 % , 内 存 占 用 率为 4 08 . % , 耗 电 量为 1 . 1 % 。 在 KR R E C OV E R
解密文件时 ,
C PU 占 用 率为 25 4 % .
, 内存占用 率为 4 78% .
, 耗 电 量为 1 2 28. %
。
KR R E C O V E R 的 运 行 效率 是 可 以 接 受 的 。 它 可 以在短时 间 内 以 很 少 的 能 耗恢复
被劫 持 的 设备和 被加 密 的 文 件
。
72
第五章 K R R E C OV E R :
消耗时 间 (
m s )
1 2 0 00 0
,
1 0 34 6 2
^
1 00 000 9 2 5 1
.
^
,
'
7886 2
^
80 000
^
6 68
-
"
^
60 00 0 5 2 49
.
K
41 6 34
,
4〇 〇U〇
,
’
26
,5
20 00 0
. 1 570 8
2235
文 件大小_
图 5 9 解密时间 与 文件大小 关 系
-
C PU ? 内 存 电 量
消耗占比 》
30
CPU
2 5 .
4
■I
1 5 电量
1 2 . 28
1 0 ■
- :
i
:
:
ii i v
:
运 行 时 间 文 件 加 密
图 5 1 0 KRR E C OV E R 资源 消 耗示 意 图
5 5
.
本章小结
本 节 提 出 了 针 对 感染 设 备 劫 持 型 勒 索 应 用 的 勒 索 设 备 恢复 方 案 .
以 及 对感染 文
件加 密 型勒 索应 用 的 加 密 文件恢复方 案 。 本 章设 计 了 KRRE C O V E R ,
—
个搭载 在安
卓 移 动 端 的 勒 索 设 备 及 加 密 文 件 恢复 应 用 。 KR R E C O V E R 能够在 用 户 的 设备感染勒
索应用 后 , 在不借助 US B 连接 电 脑进行设备 与 文 件恢复 的 情 况 下 , 自 动 进行移动设
备 与 加 密 文 件 的 恢复 。
有 效避 免 了 因 为 勒 索 应 用 屏 蔽 了 设 备 的 US B 调 试接 口 , 迫使
用 户 不 得 不 在 终 端 进行 操 作复杂 、
专 业性较 强 的 设备资源恢复 的 情 况 。
据研究人 员 所
知 这是第 个 实 现 了 对 被勒 索 设 备 和 被 加 密 文 件 进行 自 动 恢复 的 应 用
一
。
,
73
北 京 邮 电 大学 工 学 博 士 学 位 论 文
74
第 六章 K R PR OV E :
攻击者 视 角 的 新 型勒 索 技 术
第六章 KR P ROV E :
攻 击 者视 角 的 新 型 勒 索 技 术
安 卓 端勒 索 应 用 发 展变 化快 、
勒索 应 用 繁 衍 快 、 变种 多 , 但 面 对快 速 变 种 的 勒 索
应用 , 当 前对 于 新 型 勒 索 技术 的 发 展 与 验 证 研 究 却 十 分 有 限 。 为 了 主动 发 现勒 索 应 用
在进化 中 的 潜 在 威 胁 本章 详 细 地 对 现 有 安 卓勒 索 应 用 的 勒索 技 术进 行 了 分析 提 出
, ,
了3 种 新 型 勒 索 技 术 并 进 行 了 实 验 验 证 。
为 了 对勒 索 应 用 进 化 中 可 能 出 现 的 不 同 的
勒 索 行 为 进 行安 全 防 护 本章提 出 了 个 支 持 多 种 策 略 组 合 的 安 卓 端勒 索 行 为 验 证
一
框架 ,
并 针 对 各 种 策 略 组 合 得 到 的 勒索 行为 在 设 备 上 的 测 试结 果 给 出 了 防 御 建 议
。
6 1 .
引言
当 前勒 索 应 用 的 发展呈 现 出 了 技术 发 展 变 化快 、
勒 索 应 用 繁衍快 、 变种多 的特
^
点 。
根据 《 202 0 年 中 国 互联 网 网 络 安全 报 告 》 发 布 的 数据 显示 ,
2020 年 全 年 传统
勒 索病毒 家族新变 种 、
新 的 勒 索病 毒 家族均 大 量 出 现 。 卡 巴 斯基 实 验室 同 年 发 布 的
数据 显 示 年第 季 度捕获到 了 种 新型 的 勒索 应用 变种 较 年第
97 ]
[
2 020 2 9 00 20 1 9
一
, ,
四 季 度 种 类 增 加 了 1 4% , 第 三季度捕获 到 的 勒索 应用 变 种 为 第 二季度 的 3 5.
倍 , 种类
超过 了
3 2 000 种 。 T h re a t p o s t 在发布 的 《 202 1
年 勒 索软 件 演 变 趋 势 报 告 》 中 也指 出
了 , 勒 索 应 用 的 开 发 者 通 过 不 断 演 变 攻 击 技 术 与 攻击 战 略 , 使 用 多 重 勒 索 攻击 的 技
术 , 进 行 大 规模 勒 索 应 用 的 繁 衍
。
勒 索 应 用 的 大 规 模 变 种 繁 衍 也 带 来 了 攻 击 事 件 的 大 规模 爆 发 。
据 P o s i t i v e Te c h
?
发 布 的 数据 显 示 2 0 2 1 年 第 三 季 度 的 勒 索 攻 击 事件 比 例 占 同 期 所 有攻击
99]
no l ogi e s
【
,
类型的 一
半 以上 , 与 同 年 第 二 季度 相 比 , 勒 索 应 用 的 攻 击 尝 试在数 量 上 提 高 了 1 2%
。
面 对着 不 断快 速 发 展 繁 衍 的 勒 索 应 用 , 需 要 安 全 人 员 能 够 针 对新 型 攻击 进 行 防
御 的快速响 应 否 则 , , 防 御 策 略 的 滞 后 以 及 攻 防 研 究 的 不 对 等 性将 会 导 致大 量 的 经 济
损 失 与 资 源损 失 。
据 Te n ab l e 公 司 发 布 的 数据 _ , 20 2 1 年 由 于 勒 索 应 用 导 致 的 数据
泄露较 202 0 年增长了
78 % ,
超过 400 亿 条 隐私 数 据 遭 到 曝 光 。 然而 ,
面 对 快 速变 种
的 勒索 应 用 , 当 前 对 于 新 型 勒 索 技 术 的 发 展 与 验证 研 究 却 十 分 有 限
。
在 Io T 领域 部 分 研 究 人 员 已 经 开 始 了 面 向 勒 索 应 用 可 能 应 用 技 术 的 研 究
,
。 Ca l vin
Br
i erl e y 等 人提 出 了
6 种 在 不 同 种 类 的 路 由 器 与 数 码 相 机设 备 上 勒 索 应 用 可 能 采 取 的
6 种模式 。
由 于 安卓 系 统 勒 索 应 用 的 开 发相 较 于 路 由 器 系 统 能 够 有 更 多 的 方 式 , 例如
,
屏幕 资 源 的 劫 持 等 。 因此 , 该 方 法 不 能 完 全适 用 于 安 卓 系 统 上 新 型 勒 索 技 术 的 研 究
。
在 安 卓 领 域 仅 有 部 分 研究 人 员 对 勒 索 应 用 的 文 件 加 密 行 为 进行 研 究
,
。 研究 人 员
设 计 了 动 态 加 密 与 混 合加 密 相 结 合 的 勒 索 应 用 A E S t het
ic 来测 试 目 前 的勒索应用
—
检 测 引 擎 检 测 文 件 加 密 行 为 的 有 效性 得出 了下 代 加 密勒 索 技 术 会朝 着动 态 加 密
一
75
北 京 邮 电 大学 工 学 博 士 学 位 论 文
或 混 合加 密等 技 术 的 发 展预测
。
因此 , 如 何 主 动 发 现勒 索 应 用 在 进化 中 更 多 的 潜 在 威胁 , 并 针对 不 同 的 勒 索行 为
进行 安 全 防 护 是 应 对 勒 索 应 用 不 断 变 种 中 亟 待 解 决 的 问 题 。
为 了 主 动 发 现勒 索 应 用
在进 化 中 的 潜 在威 胁 本 章 在 详 细 地 对 现有 安 卓 勒 索 应 用 的 勒 索 技 术进行 分析 后 提
, ,
出 了3 种 新 型 勒 索 技 术 并 进 行 了 实 验验 证 。
为 了 对勒 索 应 用 进 化 中 可 能 出 现 的 不 同
的 勒 索行 为 进 行安 全 防 护 本 章提 出 了 个支 持 多 种 策 略组 合 的 安卓 端勒 索 行 为 验
一
证框 架 , 并 针对 各 种 策 略 组 合 得 到 的 勒 索 行 为 在 设 备 上 的 测 试 结 果 给 出 了 防 御 建 议
。
本 章 的 主 要贡 献 如 下
:
1 .
详 细 分 析 了 勒 索技 术 的 发 展 。 对现有 的勒索 技术 :
设 备 劫持 技 术 屏 幕 资 源 劫
、
持技术 、
文件加密技 术 ;
辅助勒索 技 术 :
按键屏蔽技术 、
信 息 窃 取 技 术在勒 索 应 用 中
的 应 用 与 进化进行 了 分析 。
同时 ,
本 章 分 析 了 安 卓 系 统 面 对 现 有勒 索 技 术 与 辅 助 勒 索
技 术 的 不 断 进化做 出 的 不 断更 新
。
2 .
提 出 了 攻 击 者视 角 下 3 种 在 安 卓 端 可 以 实 现 的 新 型 勒索 技 术 , 并验证其 实现
的可能性 。 本 章提 出 了 新 型 勒 索 应 用 可 能 进 化 的 方 向 , 并 提 出 了 基于 DN S 劫持的通
信劫 持 、 基 于 中 间 人 攻 击 的 数 据 劫 持 以 及基 于 DN S 隐 蔽 信道 的 数据 劫 持 三 种 在 安 卓
端 可 以 实 现 的 新 型 勒 索 技 术 实 验证 明 。
, 上述三 种 技 术 均 能 够 在 不 同 版 本 的 安卓 系 统
上实现 , 验 证 了 上 述 新 型 勒 索 技 术 应 用 的 可 行性
。
3 .
提出 了 一
个 支持 多 种 策 略 组 合 的 安 卓 端 勒索行 为 验 证 框架 。
该框架 内 依据现
有 勒 索 技术 与 提 出 的 新 型 勒索 技 术 集成 了 四 个 功 能 模 块 与 个策 略 选 择 模 块 四个
一
。
,
功 能模块 内 部集 成 了 相 互独 立 的 、 不 同 的 勒索 技 术 手 段 。 策 略选 择模 块 支 持 用 户 对 功
能 模 块 提供 的 行 为 进行 组 合 , 得 到 最终 的 勒 索 行 为 。 同时 ,
本 章 也 针对 各 种 策 略 组 合
得 到 的 勒 索行 为 在 设 备 上 的 测 试结 果 给 出 了 抗勒 索 应 用 的 安 卓 系 统 防 御 建 议
。
6 2 .
勒 索 技术 发 展技术分析
6 2 . . 1 设 备 劫 持技 术
年 第 个 能 够 重 置 设备 PI N 码 的勒 索 应用 L o c kerP n % 出现
1
20 月
1
5
一 —
1 8 ,
i
。
它 使受害者 的 手机被锁住 ,
并 要 求受 害者 支付 5 00 美 元 的 赎金 。
更可恶 的 是 , 由于
L o c ke rP i n 是 用 随 机数 重 置 设 备 PIN 码 , 也 不 告 知 攻击 者 随 机 数 , 所 以 即 使 是 攻击 者
也不知道重置后 的 PI N 码 。 这 意 味 着 即 使 受 害 者 交 了 赎 金 也 无法 解 锁
。
年 被 发现 正 如 其 名 所示 D o ub 同 时釆
2】
月 D ou b e L o c ke r e L o c ke r
1 ( )
20 0
[
1 7 1 l 。 ,
l
,
用 重置 PIN 码 和 加 密 文 件 两 种 方 式 向 受 害 者索 要 赎 金 它 也是第 个 同 时 釆 用 这两
一
旦启 动 , 它 将请 求 激 活
获得 可 访 问 性权 限 后 它 会 使 用 这 些 权 限激
”
的 可访 问 性服务
“
G oo g l ePl a
y S er v i c e 。
,
活设 备管 理 员 权 限 ,
并 将 自 己 设 置 为 默认 的 主 应 用 程序 ,
而这 些均 未经 用 户 同 意 。
被
76
第 六章 K R P R OV E :
攻击 者 视 角 的 新 型 勒 索 技 术
“ ”
其 加 密 的 文 件扩 展 名 为 . cr
y ey e ; 索 要 的 赎金 为 0 01 3 .
个 比特 币
。
表 6 -
1
安 卓 版 本 与 设 备劫持 (
加密 ) 实现方 法
系 统 版 本 设备劫 持 ( 加密 ) 实现方法
A n dr oi d4
-
A n d roi dS D e v i c e P o I i cy M a n a g e r re s e t P a s s w o rd
A n dro d 6 i
动 态授权
D ev i c e Po li c
y
M an a g e r . re s e t P a s s w o rd
Dev i c eP o l i c y M a n a g e n re s e t P a s s w o rd 只 能 为 无 密 码 设备 设 置初 始
A n d roi d 7
-
A n d ro d l O
i
密码 而 不 能 重 置 或 清 除 已 有 的 设备密 码 [
1 () 3 ]
表 6 -
1
中 展 示 了 安 卓 版 本 变 化 与 设备 却 持 ( 加密 ) 实 现 方法 变 化 。 从安 卓 4 版本
到 安卓 5 版本 勒 索 应 用 可 通 过 D e v
,
i c eP o l i c
y
M a n a g er . r e s e t P a s s w o rd
〇 这 一
方法 修改设
备密 码 , 使受 害 者 无 法 解 锁 设 备 锁 屏 ,
达成设备 劫持
。
到 了 安卓 6 版本 D ev c e Po li cy M a n a g er e s e t P a s s w or d ( )
r 这 方法 也 变成 了 需 要运
一
i .
,
行 时 动 态 申 请 获 得授 权 才 可 使 用
。
安 卓 7 版 本 权 限 继 续 变 更 勒 索 应 用 无 法 再靠 D e v , ,
i c eP o ii c
y M an ag e r . re s et P a s s w o rd 〇
随意 更改 设 备 密 码 , 第 三方 应 用 开 发 者 只 能 使 用 D ev i c e Poli c
y M an a g e r
. re s e tP a s s w o r d
()
为 无 密 码 设 备 设置初 始 密 码 ,
而 不 能 重置 或 清 除 已 有 的 设备密 码 。 之后 , 安卓 9 新增
的 S t r o n g B o x Ke 模块 进 步加 强 了 对密钥 的 保护 S t r o n g B o x Ke y m a s t e r
不
1
yma s
1 ] 一
t er 。
仅拥有独立 的 C PU 和 随 机 数 生 成器 , 还 附 加 了 能 防 止软 件包篡 改 或 未 授 权 线 刷 应 用
的机制 当 系 统检 查 存 储其 中 的 密 钥 是 否 完 整 时 会在 TU 的
C 个 安 全 区 域 下 进行
一
。
,
,
因 此 该 过 程 的 机 密 性 能 够 被 有 效 保护 。
为 了 提高 密 钥 加 密 时的 安全性 , 安卓 9 釆用
了 AS N
. 1
格式 来 编 码 密钥 , 实 现 了 将 已 加 密 密钥 安 全 地 导 入 密 钥 库 。 由 于密钥 的 解
密 工 作 由 该模 块 在 密 钥 库 中 执 行 , 因 此 攻 击 者 无 法 在 设 备 内 存 中 获取 到 密 钥 的 明 文
。
同 时 安卓 9 还 増 加 了 对 使 用 客 户 端 密 钥 加 密 安卓 备 份 的 支 持
。
6 2 2
. .
屏 幕 资 源 劫 持技 术
第 个 屏 幕 劫 持 型勒 索 应 用 安卓 它将 自 己
04 1
年 D e fe n d e H 出现
1
20 1 3 6 月
一 一
, ,
M
20 1 4 年 5 月 , 安 卓 Po lic e 家 族 出 现 安卓 。 Po l i ce 家族 的 一
个著名 样 本 是 Ko l er
t
,
, ,
载到 个名 为 a n i m a l p o m ap k 的 虚假成人应用 旦 该 应 用 被安 装 它 将 激活 Ko
一 一
.
。
,
l er
,
W Q7
并 显示 条 执法机构 消 息 指控用 户 观 看 色 情 内 容 并 要求 支付罚 款 有大约
一
[
1 Q ]
,
。
,
48 个 色 情 网 站被 Ko l er 感染 。 此外 , 在安 装 过 程 中 , 设备 的 部分 信 息 会 被 收 集 并 发 送
到 C &C 服务器 , 如 I ME I 号 。 之后 , 它 会 锁 定设 备 , 打开
一
个浏 览器页面 , 在 主屏幕
77
北 京 邮 电 大学 工 学 博 士学 位 论 文
。
, ,
假的 它 根本不加密 文件 _ _
也是第 个具备 我复 制 行为 的 安卓勒索 应
_
Ko
一
.
。 l er 自
用 ,
它会 自 动 向 受 感染设 备 的 联 系 人 列 表 中 的每 个 人 发送包 含蠕 虫 下 载 链 接 的 消 息
。
之后 , 攻击者改 进 了 Ko l er , 使 其 能 够 提 供 定 制 攻击 , 并 能感染 移动 或 PC 用 户 。
不
过 ,
20 1 4 年 7 月 以后 ,
Ko l er 的 移动组 件被 关 闭 ?
其 C&C 服 务 器 向 受感 染 的 设备 发
送卸 载 命令并 删 除 了 恶意 应 用 , 但 PC 用 户 的 恶 意 组 件 仍 处于 活跃状态 6 月 份
,
Ji su t
和 S vpe ng 出 现 。 Sv
pe ng
P l
也通 过持续 显 示 罚 款 信息 来 劫 持屏幕 ,
它 指控受 害者
访问 了 非法色情 内容 。
在其 发布 的
一
个月 内 .
就感染 了 超过 90 万 个设备 [
1 1
火 S v peng
〇 d
] i
。 1 i
。
, ,
的 安全专 家发现
“
被 是 单词
4
年 L o c ker Tr e n d M F L o c ke r
1 1
20 月 F Fr a n
1 ]
5 5 c ro
?
1 i 。
?
”
这些 专 家 已 经 发 现 了 超过
“ ”
t i c 和 L o c ke r 的 组合 。 7 0 0 0 种
FL o c k e r 的 变 体 ,
它的
制 作者
一
直在更新和 创 建新 的 变 体 , 以 改 进它 的 程 序 和 躲避检 测 系 统 。 FL o c k e r 的常
见 变 种 针 对移 动 设 备 和 智 能 电 视 。 例如 ,
变 体安卓 . L o c k dr o i d . E 能够 锁 定安卓智 能 电
m
视 感染 个设备 分钟 后开 始运行它 的 程 序 它会启动 后台 服务
请
u
F L o c ke r 0
一
。 3
, ,
求 设 备管理 员 权 限 。
如 果 用 户 拒绝 了 它 的请 求 ,
它 将立 即 冻 结屏幕 , 并显示
一
个假的
系统更新 。 此外 ,
FL o c k e r 在后 台运行并与 C&C 服务器通信 ,
C&C 服务器将提 供
一
个带有 HT ML 文件和 Ja v a S cr
i p
t
接 口 的 新有 效 载 荷 。 H T ML 页面能够初 始化 AP K ,
并
通过使用 J a v a S cr
i pt 接 口 对用 户拍照 。 这些 照 片 将 会 显 示 在赎 金 页 面上 。 此外 ,
C&C
20 7 年 月 在 Go og ePl a y 商店 中 发 现 了 个能 够 锁 定 用 户 设备 的 远程控制 后
一
1 1 l
:
门 木马 ,
它伪装成 一
个名 为 E nerg y R e s c u e 的 节能 应 用 程序 ,
这个恶意软 件被称为
C h arg e# ' 它 可 以 获取联 系 人和 安装 的 应 用 程序 列 表 C h arg e r 根 据攻击 者 命 令 能
1
锁 定 或 解 锁被 感染 设备 ,
索要 0 2 .
比 特 币 的 赎金 。 它 还 可 以 从 受 感染 的 设备 提取 和 发
送短信 ,
包括收 件箱 ,
已 发送 文 件夹 和 草稿 文 件夹 。 C h arg e r 是第
一
个能通过 Goog l
e
P l ay 安全 检 查 的 屏幕 劫持型勒索 应 用
。
年 款名 为 的勒索应用 被 发现 将 己伪
8
2020
一
3
1 ]
? i 。 i
自
。
. .
,
,
表 6
-
2 中 展 示 了 安卓 版 本变 化 与 屏幕 资 源劫 持 实 现方法 变 化 。
在安卓 4 版本 .
勒
索应用 申 请
S Y S T EM _
A L E RT W ND O W _
I
这 一
权 限成功 后 ,
T Y PE _
S Y S TEM _
A L E RT
、
T Y PE _
S Y S TE M E R R O R _
等 高级 别 窗 口 可 以将其 窗 口 置顶 。 另外 .
勒 索 应 用 还 可通 过
get
R unn i n g Ta s k s 、
ge
t Runn i n
gApp
Pro c e s s e s 、
get
A p p Ta s k s 三 种 方 法 完 成弹窗
。
到 了 安卓 5 版本 .
窗 口 顶置仍 能通过 申 请 S Y S T E M A L E RT W N D O W
_ _
I
权 限达
7 8
第 六章 K R PROV E :
攻击者 视 角 的 新 型勒索 技 术
表 6
-
2 安卓版 本与 屏 幕资 源 劫持 实 现 方 法
系 统 版本 屏幕资 源劫持
窗
口 顶置 :
申请
S Y S TEM _
A LE RT W I ND O W _
权限
;
A nd ro i d4
弹窗 :
使用 g
et R u nn i n g Ta s k s ,
g e t R u nn i n g A pp P r o c e s s e s
窗 口 顶置 :
申请
S Y S TE M _
A LERT W I N D OW _
权限
;
A n dro i d5
弹窗 :
通过
A c ce s s i b i li ty
A n dro i d6
-
A n d ro d7 窗 口 i
顶置 :
动态授权
S Y S TE M A L E RT W I ND OW
_
_
A nd r o d S i
-
A nd r o i d lO 窗 口 顶 置
:
使用 TY PE A P PL I C AT I O N OV ER L AY
_ _
窗口
成 但 ge
,
t R u nn i n g Ta s k s 被弃 用 , get
R unn i n g App P r o c e s s e s 和 ge
t A pp Ta s k s 的 使用 受到 限
制 ,
一
定 程 度 上 抑 制 了 部分 勒索 应 用 的 出 现 。 但是 A c ce s s i b i l it y 替代 g e t R u n n i n g Ta s k s
接 口 被 用 作 劫 持 诈骗 类 木 马 的 行 为 越 来 越 多 。
安卓 Ac ce s s i b i l i ty 也 被称 为 无 障 碍 辅 助
功能 , 其 初 衷 是为 了 辅 助残 障 人士 。
部 分 安卓 用 户 因 为 年 龄 或 身 体 的 原 因 ,
无法与 安
卓 设 备 充 分 的 进行 交 互 , 例 如 无法 看 到 完 整 的 屏幕 、 难 以 使 用 触屏 、
听 不 清 语音 等
。
为 了 解决 上 述 问 题 , g o o g le 提供 了
A c ces s i b i l it y 功 能 和 服 务 帮 助 这类 用 户 能 够 更加 方
便 地 操作 设 备 。 Ac c e s s i bi lit
y 的免 RO OT 自 动 安 装 被攻击者 利 用 , 勒 索 应 用 无 需征 求
用 户 同意即可 自 动 完成安装
。
安卓 到 安卓 版本 S Y S TE M A L E RT W I N D OW 权 限 开 始被 列 为 种 危 险程
一
6 7 ,
_ _
度 较 高 的 权 限 而 被 特殊 处 理 , 开 发者必须在 使 用 前动 态获 得用 户 授权
。
安卓 开始 S Y S TE M A L E RT W I ND OW 权限的 使用 进 步 受 限 对于 第 三方
一
自 8 , _ _
,
应 用 程 序 而 言 该 权 限保护 下 的 ,
T Y PE _
S Y S TEM _
A LE RT T Y P E 、 _
S Y S T E M O V E RL AY _
、
T Y PE _
S Y S TE M _
E_ R 等 几类勒 索 应 用 常 用 窗 口 完 全被 禁用 。
即 使获得 了 用 户动态
授权 , 使 用 这 几种 窗 口 也 会 触 发 窗 口 类 型 错误 。 T Y PE A P P L I C AT I O N O V E R L AY
_
_
新
窗 口 类 型 开 始被勒 索 应 用 运 用 ,
虽 然 这类 型 窗 口 能 覆盖其 他 第 三 方 应 用 的 窗 口 , 但却
会 始 终 位 于 系 统状 态栏 与 输 入 法 窗 口 之 下 , 抢 夺 屏幕 资 源 的 效 果 有 所减 弱
。
6 2 3
. .
文件 加 密技术
20 1 4 5 , ,
型勒 索 应 用 。 S i m p l o c ke r 使用 25 6 位 AE S 密 钥 对称 加 密 对 用 户 设备 上 的 文 件进行
(
)
加密 。
该 密 钥 包 含在应 用 代 码 中 ,
意 味着它不 需要 与 C &C 服 务 器 通 信来 完 成 其 加 密
过程 。 攻 击 者 可 以 通 过短 信 发 送 命 令 ,
比如 加 密 解密用 户 的 文件 / 。 此外 , 在较早 的
安卓操作 系 统版本 中 , 图 像 和 流 媒 体 等 文 件都存 储 在 不 受 保 护 的 外 部 SD 存 储卡 上
,
因此 , 像 S i m p l o c ke r 这 样 的 勒 索 应 用 可 以 访 问 存储在存 储 卡 中 的 文 件 , 并对它 们 进
79
北 京 邮 电 大学 工 学 博 士 学 位 论 文
M
行 加密 和 被发现 家族 的 些样本 旦 运行 就会
1 1 9]
月 Pl e t o r S m al l S m al l
一 一
6
[
。 。
, ,
请 求 设备 管 理 员 权 限 , 以 防 止 被删 除 。
紧接 着 ’
它 们 会 显示 一
条要 求 赎金 的 信息 ,
在
屏 幕 上 覆 盖所有 其 他 窗 口 , 使 得该 设备 无 法 使 用 。 在 劫 持屏幕 后 ,
它 还 会 继 续对 用 户
存 储 卡 中 的 文 件进行 加 密
。
_
20 年 月 Fu s o b 被发现 Fu s o b 会 请 求 设备 管理 员 权 限 并 显示 条消
一
1 5 1
,
。
,
息 ,
通知 用 户 设备 正 在 更 新 。 虽 然 设备仍 然 可 以 使用 , 但 Fu s ob 会用 自 己 的 弹 窗 覆盖
住 设备 设 置 界 面 , 从 而 阻 止访 问 这 些设置 , 以 此 保护 自 己 不 被移 除 。 同时 ,
Fu s o b
会
收 集 设备 和 用 户 信息 并 将其 发 送 给 C&C 服 务器 。 之后等待 C &C 服 务器 的 命 令 来 加
^
密文件 。 5 月 ,
Xb o t
被发现 。 Xb o t
通过仿造 Go og l e P l ay 支 付界面 以 及 7 家不 同
张 1 00 美元 的 P a y P al 现 金 卡 作 为 赎金
。
此外 ,
Xb o t
还 窃 取 所有 短信 和 联 系 信 息 , 拦 截某 些 短信 , 并 解析 银 行 发 送 的
M TAN
( 移 动 交 易 认证号 ) 短信
。
被发现 它 伪 装 成 游 戏 软 件 的 插件 进 行 传 播
能
22 ]
年 Wa m a L o ck e r
1
20 月
[
1 7 6 ,
i
,
。
够 读 写 外 部存 储器 来 窃 取 和 加 密 文 件
。
?
被发现 这款安卓勒索应 用 可 以 对文件进行
2
年 B l ac k R o s e L u c y
1
4 月
[
2020 ,
。
加密 , 并冒充 FB I 欺骗 受 害 者提供信 用 卡 信息 。 它 指 控受 害 者 在 手 机 上 存 储 色 情 内
容 ,
并 威 胁说 他 们 的 详 细 信 息 已 经 上 传 到 FB I 网 络 犯 罪 部 门 的 数据 中 心 。 B l ac k Ro s e
”
通 过各 种 社 交 媒 体 和 短 信 传 播 伪装成 视频 流 优 化器 诱使用 户 启 用 安卓 的
“
L u cy , ,
可访 问 性 服务 , 并 授 予 管理 权 限 , 从而 可 以 加 密文件
。
表 6 -
3 安卓 版 本与 文 件 加 密 实 现方 法
系 统 版 本 文 件 加 密
A n d ro i d4
-
A nd r o i d6 申 请
W R I T E EX T ER NA L _ _
S T OR A G E 权 限 写 外 部存 储
通过 O P E N E X T ER N A L D I R E C
_
T O RY _
行 为 在 外 部存 储 中 申请
A n d ro i d7
-
A n dr o i d9
创 建可 写 目 录 , 方 可 对 外 部存 储 进行 写 操 作
样 ,
但 访 问 别 的 应 用 的 存 储分 区 受 到 了 限制
表 6 3
-
中 展 示 了 安卓 版 本 变 化 与 文 件 加 密 实 现 方 法 变 化 。 安卓 4 版 本 到 安卓
6
版本期 间 , 勒 索 应 用 可 通 过 申 请 WR I T E E X T E R NA L
_ _
S T O R AG E 权 限 来 写 外 部 存储
,
有 了 该 权 限 勒 索 应 用 即 可 对外 部 存 储 中 的 文 件 进 行 加 密 , 妨碍 用 户 对 外 部 存 储 中 的
数据 的 使 用
。
安卓 7 到 安卓 9 期间 , 要 写 外 部存 储 还 需 创 建 可 写 目 录 。 具体而言 , 首先通过
O P E N E X T E R NA L D I R E C T O RY 行 为 在外 部存 储 中 申 请创 建 个可 写 目 录 方 可对
一
_
_
,
80
第 六章 K R P R OV E :
攻击者 视 角 的 新 型勒 索 技 术
外 部存 储 进 行 写 操 作 。 同时 , 应用 的 私有 目 录受 到 保 护 ,
应 用 的 私 有 目 录被 限 制 访
问 ,
文 件 所 有者将 无 法 通 过 设 置 私 有 文 件 访 问 模 式 为 m od e wo r l d re a da b l e
_
_
与 M OD E W O R L D W R I TE A B L E
_ _ 来 开放 私 有 文 件 的 读 写 权 限 此 外 通 过 ;
,
ile
f : /// URI
剛
也 无 法 访 问 到 应 用 包之 外 的 路径 ;
D ow n l o a dM an a g er 变成 不 能通过文件名 来共享
私 有 文 件 的 信息 。 这 些 新 的 机 制 都 限 制 了 勒 索 应 用 访 问 应 用 的 私 有 文 件 避 免这 些 私
,
有 文 件被 勒 索 应 用 加 密
。
安卓 1 0 版 本开 始 对 /
pr o c / n e t 文件 系统 的访 问 权 限实施 限 制 , 各个 应 用 有 了 各 自
的存储分 区 个 应 用 对 别 的 应 用 的 存储 分 区 的 访 问 也 受 到 了 定限制
一 一
。
,
6 2 4
. .
其 他 技术
1 .
按键屏蔽技术
按 键屏 蔽技 术并 非为 种典型 的 勒 索 技 术 它通常作为 种 辅助勒索 的 形 式 出
一 一
现在 勒 索 应 用 当 中 ,
通 过控 制 勒 索 应 用 对 屏 幕 资 源 的 持 续 占 用 , 迫使用 户 交纳 赎金
。
按 键 屏 蔽 技 术 与 勒 索 应 用 的 结 合 最早 出 现 在 20 1 4 年的 Ko l er 家族 中 ,
Ko l er 家族
为 屏 幕 资 源 劫 持 型勒 索 应 用 , 勒索 应 用 被激 活 后 勒 索 应 用 会将其 应 用 界面 会设置 为
,
顶置 窗 口 , 同 时对 用 户 设备 的 Home 键 与 B ac k 键 进 行按 键 屏 蔽 ,
防止 用 户 通过点 击
上述按 键 退 出 应 用 界面 。 部分 应 用 对 用 户 设备 的 电 源 键 同 样 进 行 了 屏 蔽 利 用 该方 式
,
使 用 户 设 备 无 法 进 行熄 屏 与 关 机 , 使勒 索 应 用 被 顶 置 窗 口 的 儿童 色 情 视 频 不 断播 放
。
表 6 -
4 安卓 版 本 与 按键 屏 蔽 实 现方 法
系 统版 本 按键屏蔽
Hom e 键屏蔽 :
反编译安卓 系 统源码
;
B ac k 键屏蔽 :
重写 o nKey D ow n
;
A n d ro i d 4
电 源 键屏蔽 :
通过
" "
< an dr o i d n a m e =
: a n d ro i d .
p er m i s s i o n . D E V I CE P O W E R _
/
>
H om e 键屏蔽 :
不可屏蔽
;
A n d ro d S A n dro d 10
B ac k 键 屏 蔽 重写 o n Ke y D ow n
-
i i
:
;
电 源键屏蔽 :
不可屏蔽
;
8
1
北 京 邮 电 大学 工 学博 士学 位 论 文
表 6 4
-
中 展 示 了 安卓 版 本变 化 与 按 键 屏 蔽 实 现 方 法 变 化 。 在 安卓 4 版本 , 要屏蔽
H om e 键必 须 反编 译安 卓 系 统 源 码 ;
B ack 键 的 屏 蔽可 通过重 写 o n K ey D o w n Q 方法 完
权 限完 成 电 源键 的屏蔽
”
成 可通过 申 请
”
;
a n dro i d p erm i s s i o n
. . D E V C E P OW E R
I _
。
自 安卓 5 版 本 开始 对 可 能 产 生 危 害 的 权 限 的 限 制 导 致
,
Home 键和 电 源 键不 再能
被 第 三方 应 用 开 发者屏 蔽 而 B ac k 键仍 直 能 通过 重 写 o n Ke y D o w n O 方法 被 屏 蔽
一
。
。
2 .
信息窃取技术
信 息 窃 取 技 术 通 常 作 为 勒 索 应 用 进行数 据 劫 持 时 的 种辅助 技 术 出 现 攻击 者
一
通 常 通 过将 用 户 隐 私 数 据 进 行 窃 取 并 转 移 到 远 端 服 务器 ,
之 后通过文件加 密或 文件
删 除 的 形 式 完 成 对 数据 的 劫 持 , 迫 使 用 户 通 过 交 纳 赎金 换取 数 据
。
表 6 -
5 安卓 版 本 与 信 息 窃 取 实 现 方 法
系统版本 信息 窃 取
A n d ro i d 4
-
A n dr o i d 6
申 请 G ET A C C OUN T S
_ 获 取 设备 上 账 户 信 息
弃用 G E T A C C OUN T S
_
权限 , 直接通过 A c c ou n M a n a g e r
t
的
A n dro i d 7
-
A n d ro i d 9
g e tA c c o u nt s O 方 法 获取 设 备 上 账 户 信 息
仍 可通过 A c c ou n M a n ag er
t
的 get
A cc o u n t s 〇 方法 获 取 设 备 上 账
A n dro d i 10
户 信息 , 但 部 分 信息 受 限
表 6 5 中 展 示 了 安 卓 版 本 变 化与 信 息 窃 取 实 现方法 变 化 安卓 4 版本 到 安 卓 6
版
-
本期 间 , 勒索应用 可通过 申 请 G E T AC C O UN T S
_
权 限 来 获 取 到 设备 上 的 账 户 信 息
。
自 安卓 7 版本 开 始 ,
G E T A C C OUN T S
_ 权 限 逐 渐 被勒 索 应 用 弃 用 , 因 为勒索应用
可 以直接 通过 A c c o u n M an a g er
t
的 g et
Ac cou n ts
() 方法 获取 到 设 备 上 的 账 户 信 息
。
安卓 9 版 本新 增 的 系 列 措 施 能 避 免勒 索 应 用 窃 取 到 用 户 信 息 第 统 的指
一 一 一
。
,
纹 身 份验 证对话框 , 系 统提供 统
一
标 准 化 的 指 纹 身 份 验 证 对话 框 ,
包 括 对话 框 外 观
、
风格和 位置 ,
这让 用 户 可 以 更 放 心 地 确 信 , 他 们 是 在 根据 可 信 的 指纹凭据 检 查 程 序 验
证身份 。
第二 ,
可信用 户 确认 , 如 果 用 户 接 受该 声 明 ,
应用 会收 到 由 密钥 哈希消 息身
份 验证 代 码 (
H M AC ) 保护 的 加 密 签名 。
该签名 由 可 信 执 行 环 境 TEE ( ) 生成 , 该环境
会 对 显 示 的 确 认 对话 框 以 及 用 户 输 入 进 行 保 护 。 该 签名 具 有 很 高 的 可 信 度 它 表 示 用
,
户 已 看过声 明 并 同 意其 内 容 。 第三 , 当 麦克风 、
摄 像 头 或 传 感器 空 闲 时 , 应用 程序将
不 再 能 够访 问 它 们 。 所有应用 都使用 H TT P S 协 议增 强 了 信 息 安 全 性
。
安卓 1 0 版 本 的 新 举措 也 进 一
步 限 制 了 勒 索 应用 窃取应用 数据 。 第
一
, 新增 的 分
区 存 储 可 提供 对 特 定 于 应 用 的 文 件 和 媒 体 集 合 的 访 问 权 限 。 第二 , 增 强 了 用 户 对位置
权 限 的控制 力 , 可 让 用 户 更好地 控 制 应 用 对 设 备 位 置 信 息 的 访 问 权 限 。 第三 , 不可重
置 的 硬件标 识 符 , 这 对 设备 序 列 号 和 I MEI 的 访 问 实 施 了 限制 。
第四 , 限制 了 应用 对
82
第 六章 KR P R OV E :
攻击 者 视 角 的 新 型 勒 索 技 术
屏幕 内 容 的 访 问
。
由 上述 分 析 可 知 , 主 流 的勒 索 技 术 的 纵 向 的 发 展 已 经 得到 安 全 人 员 的 广 泛 关 注
,
安 卓 系 统 也 为 了 应 对 不 断 升 级 的 勒 索 技 术 不 断 进 行 更新 。
对于 未 出 现 的 , 如 利 用 信道
传 输 进行数据窃 取 等 其 他 形 式 的 勒 索技 术 , 目 前 的 预 防手段还 不 够 成 熟 。 对于 新 型 勒
索 技 术 的 研 究 仍 需进行 不 断探索
。
6 3
.
新型 勒 索技术发 展趋势
在本节 中 , 本文将 介绍 KR P R O V E , 这是 一
个安 卓 上勒 索 应 用 的 概念 证 明 , 可用
的 困 难 或 攻击 者 花 费 最 多 时 间 的 问 题 。
通 过这种 方式 ,
它 可 以 帮 助 用 户 或 安全 分析师
使 用 适 当 的 策 略 来 保 护 安 卓 终 端 设 备 免 受 勒 索 应 用 的攻击
。
6 3 1
. .
新型 勒 索 技术模式分析
1 .
基于 DNS 劫持的通信劫持
图 6
-
1
展 示 了 在 安 卓 设 备 上 进行 DN S 劫 持 的 实 现手段 。
它 通 过破坏 DNS 查询
,
来 阻 止主 机 正 常 获取 DNS 。
攻击 者 通 过控 制 域名 的 解 析 并 修 改 域名 , 使其不能正 常
访问 特定的 网址 ,
而 是访 问 修改 后 的 i
p
.
从而实 现 DN S 劫持
。
劫持
DN S
" *
V PN RO U T E=
?
S
?
i va e s a
pr t t t i
c f i na i
r
_
0 0 0 0 .
.
.
;
:
"
*
pr v a i t e sta t c S
i V P N D N S4
=
8 8 8 8
:
Bu i l der b u i l der
=
n ew 8u Hd er ( ) ; ;
赛
e Dn s Se VP N D N S4
'
bu i
l d r ad <J r ve r
( _ )
;
bu i l
d er a d d .
Rou t e (
VP N _
D N S4 ,
32 )
:
j
F i l eC h a n ne l v
pn
l n
pu t
=
new F i l e l npu t S t r eam (
v
pn F i e D es cr p o i i r
)
.
get Ch a n n e i
{ )
;
B yt e B u e r b u f f e r To Ne w ork =
B y e Buf e P oo a cq u e
f f t t f r r
截
l
.
i
( ) ;
P a cke t
pac
k et
=
n ew P a ck et
(
bu ff e r To N e w o r k t
)
; —
?
=
n t r e a d B te s v
pn npu t r ea d b u f e r To N e t w o r k
y
i i .
:
( )
f a cket sU DP〇
p
i . i
( )
{
d e v c e To i N e w ork U D P Q u e
t u e ofe . r
(
pa c ke t
)
;
:
}
e se l
:
f
( pa c
ket . i
sT C P〇 ) { ■
^
d e v c e To it TC P Q u
N e wor eu e of e
i t .
f r
( packet )
;
;
}
;
? ? ?
<
③ 丨
D N S 返 回 包 构建
,
f P a cke t
cu rr ent P a ck e t
=
m p u tQ ue u e po . l !
( ) ; !
v
By eB u t ff e r
pac
k et _
bu f f e r= D n s C h a nge .
ha nd e l
_
dn s
_
p
acke t
(
cu r r e nt P a c k e t
)
;
t h s i . ou p u tQ t u e u e of e .
rf
p a ck e b u fe r
)7
t ;
择 返 酸海 包
!
;
F i
i eCh a n ne l v
pn Ou t
p ut
=
n ewF i l e Ou t
p u tS f
re a m (
v
pn
F i
l e D e s cr i
p t o r) .
g
e t Chan n e l
( )
;
B y e B uf e t f r b u ffe rF r om N e wo t r k
=
n e t wo r k To D e v c e Q i u eue po
l i
( )
:
pnO u wr b u fe f om N e
v i e ork
t
pu t . t
{
r r t v/
)
;
图 6
-
1 DNS 劫持 模 式 示 意图
具体实现如下 :
中 ①所示 ,
主要使用 ad d D n s S erver 等函数 ; 然后 , 攻击者对拦 截 到 的 数据包 进 行 处
理 , 对 数 据 包 进行 解 析 并 构 造 出 相 应 的 p acket ,
如 图 中 @所示 ;
攻击者进行 DNS
请
求解析 .
并 构 造 出 含有 假 冒 i
p 的 回包 , 如 图 中 @ 所示 ;
最后 , 攻击者通过 wr i t e 函数
将 回 包写 回 , 返 回 给被攻击者 虚 假包 , 如 图 中 ⑨所示 , 从此完 成基于 DN S 劫持的通
8 3
北京 邮 电 大学工学博士学 位论 文
信劫 持
。
2 .
基于 中 间 人 攻击的 数据劫持
图 6 2 -
展 示 了 在 安 卓 设 备 上 进行 中 间 人 攻击 的 实 现 手 段 。 该攻击 主 要 通 过控 制 局
域网 中 被 攻击 主 机 和 客 户 端 之 间 的 通 信 来 实 现 的
。
基 于 中 间 人 攻 击 的 数 据劫 持
^
S nng
Q
P O RT
l
R E D RECT I
_
CMD { a r
p S poof
=
ne .
v T h rea d ( ) {
f^
《
”
-
F'
l r un f
U
'
*
p t a b es l
-
t n a t
-
A P RE RO UT N G
I
-
j
D N AT
-
p
t cp
-
.
发J
"
d or
t 80 -
o + A o p C o n te x et O
+ +
p
t t
g
p
. ;
}
l
;
H t t
pP o H T T P P RO XY P O R T
r xp S po o s a
y
.
开 启瑞 口 转发 _
}
a r f . t r t
( )
:
:
j
) ?
A R P 欺骗
)
.
j
I
?^ eb S e v
f^
j
②
S t
r
補
F O R WA R D C O M M A N D S 一
=
{ ,
} ; ;
,
Th
"
H p P ro xy e ? s
ea
'
c as <
ech o1> 4/ p ?) s d
<
p r oo o wa
持 发给 服 务 器 的
v
- ? ?
y s/ n e
: r
s d t t
l ;
:
t / f
p
!
/ i r r
{
i
, ;
* "
e ch o 1 > /
p r oc s y s n e / / t / i
p
v6/ co n f / a l l
/ f o ward ng
r i
:
数据 罗送 5 敗 击
1
)
;
卷O v e r r de i
;
者主机
pub l
i c vok J ru n{ ) {
使 周 N AT 机制 f
Se ve
=
AT T A C K Se v e rs S oc k e
4) S AR P ns
修 源
n i c r v r r t
t ;
Q
{
( ) i
p
s e tR e u seA d d
'
ON WA Y H O ST =
mSe D e u*
?
i !
( )
( ( _ _ ) ) {
m3e verS b nd e vv
r s
r . i
;
(
i
f
(
! t ar
ge
t
_
i
p
. eq ua s l
(
Ap p Co n t ex t
g
e t G a te wa
y{ ) ) ) I ne t S oc k e Ad d re s t s
(
A p p C on t e xt ? 使 兩 N AT 机 割 将
Ad d 数提包重 定 向 到
"
a r
ps po
of cm d
=
g
etF i es D i r
( )
+ /
a r
^s p o c
?
ge t l ne t r e ss
( )
h
-
H TT P _
P ROXY
_
P O RT ) 被攻 击 主 机
BAC K LOG
" " " "
+ i n te r f a ce Na me+ -
t
+ a t r
ge t
_
i
p
+
) ;
^
+ Ap p C o n t e x t g e t G a e wa y O
.
t :
…
;
e l se
}
. . .
. . .
;
;
图 6 2 基于 中 间 人 攻 击 的 数据 劫 持模 式 示 意
图
-
攻 击 者 对 被攻击 主 机 进 行 会 话 劫 持 是 实 现 中 间 人 攻击 的 前 提 5
主 要包括 四 步 :
首
先 通过5
I
ptab l e s
转 发 网 络 地 址 转 换 数据 包 , 如 图 中 ① 所示 ,
主要 实 现于 P r o x y S e rv i ce
类的 s t a rt H tt
p P ro x y 方法 中 ;
其次 , 攻击者 开 启 端 口 转 发 , 允 许 本 主 机 能 够转 发 数 据
包 , 如 图 中 @所示 ,
主要 实 现于 A rp S e r v i ce 类的 o n S t a rt C o m m a n d 方法 中 ;
另外 , 攻击
者进行单 向 ARP 投毒 , 声 称 自 己 就是 客 户 端 , 如图 中 @ 所示 ,
主要实 现于 A rp S e r v i ce
类的 o n S t art C o m m a n d 方法 中 最后 攻击者 使 用 S o c ke t 创建 个 We b s e r v e r 从而
一
; ,
,
获 取 到 被 攻击 者 发 送 给 攻击 者 的 请 求 , 如 图 中 ④所示 。
在完 成 会话劫 持 后 , 被攻击 主
机 将 原 本 发 送 给 客 户 端 的 数 据 发 送 到 攻击 者 主 机 上 , 攻击 者 使 用 NAT 机制修改 了 数
据包 的 源 I P , 客 户 端将 回 应 的 数据 包返 回 给攻击者主 机 , 攻击 者 使 用 AN T 机 制 将数
据 包 重 定 向 到 被攻击 的 主 机 ,
从 而 完 成基于 中 间 人攻击 的 数据劫 持
。
3 .
基于 DNS 信 道 的 数据 劫 持
图 6 -
3 展示 了 在 安卓 设 备上基于 DN S 信道 的 数据 劫 持 的 实 现 手 段 。 通过 DNS
隐
蔽 信 道 可 以 实 现 数据 传 输 .
完 成 恶 意 信息 的 执 行 , 从 而 实 现 相 应 的 攻击 。 具体实现如
下 :
首先 , 客 户 端 的 恶意 应用 与 域名 服 务器 间 建立 DNS 隐 蔽 信道 , 具 体实现可 以 借
助 And l o di n e 等工具 ;
其次 , 客 户 端将加 密 后 的 窃 取 信息 构 造在 DNS 请求串 中 ,
并
根据端 口 号 发送给相 应 的 域名 服务器 ; 然后 , 域名 服 务器 可 以 根据端 口 将该信息 转 发
给其 他 服务端 ;
最后 , 服 务 端通 过 对窃 取信息 进行解 密 , 即 可 得 到 想 要 的 数据 内 容
,
从 而 实 现基 于 DN S 隐 蔽 信道 的 数据 传 输 , 完 成基于 DNS 信道 的 数 据 劫 持
。
84
第 六章 K R P R OV E :
攻击 者视 角 的 新型勒索 技 术
I n t ern et
ort 5 3
(p
)
:
n^ 〇r d 2 3456
a c co u dm as sw
 ̄
 ̄
nt a 1
p
: i :
J j
N^
7 1 4 獻 —
M
:
DN S res o n se t
r
5 3
p
(
;
^ Xj gp
NS
二=
*? 3 〇
(
7 5
h—
g a^ t
職 ; T X7
W
"
**
5
'
j
ss H p
(
^
"
DN S
q ue ry (
S OC K : xx
]
b rd 7 5 TX T
S ta n t
qu e y 0x 1
r
1
77 S 9e 23
j
1 2 l . x ?c d u b 攻 志 者域 名 凝 努 器
图 6
-
3 基于 DN S 信 道 的 数据 劫 持 模 式 示 意 图
6 3 2
. .
新 型 勒 索 技 术实 验验证
为 了 更 好地 验 证 攻 击 者 视 角 的 新 型 勒 索 技 术 的 可 行性 , 本节 利 用 6 3 .
节 中 提出 的
安 卓 勒 索 应 用 行 为 验 证 框 架 对基于 DN S 信道 的 用 户 数据劫 持 、 基于 中 间 人攻击 的 通
信 劫 持 与 基于 DN S 劫 持 的 通 信 劫 持 三 种 新 型 勒 索 应 用 攻击 技 术 进 行 了 验 证 ,
实 验验
证结 果 如 表 6 6
-
所示
。
表 & 6 新 型 勒 索 应 用 攻 击技 术 在 安卓 不 同 版 本 上 的 验证
An d ro i d 4 4 / . / /
A n d ro d i 5 0 . / / /
And ro i d 6 0 / . / /
A n d ro i d 7 0 / . / /
A n d ro i d 8 0 / . / /
And ro i d 9 0 / . / /
A n d ro i
d
/ / /
1 0 0
.
由表 6
-
6 可知 , 基于 DNS 信道 的 用 户 数据劫 持 、
基于 中 间 人攻击 的 通 信劫 持 与
基于 DN S 劫 持 的 通 信 劫 持 三 种 新 型 勒 索 应 用 攻击 技 术 均 能 够 在 安 卓 4 4 .
版 本 至 安卓
85
北京 邮 电 大 学 工 学 博士学 位 论 文
1 0 0 .
版 本上 实 现
。
1 .
基于 DNS 劫持的通信劫持
基于 DN S 劫 持 的 通 信劫 持 技 术 实 现将 以 在安卓 7 0 .
版 本上 进行 的 实 验 验证结 果
为 例 进行 展 示 。
为 了 确 保测 试 的 准确性 , 每 次进行 实验验证 时 , 除 了 验证应 用 外 ,
不
再运 行其 他 应 用 。 且默认 测 试 时勒 索 应 用 无特 殊 代 码 加 载 方 式 。 图 6 4
-
展示 了 在 开 启
KR P RO V E 中 D N S 通 信劫 持模块 后 的 真 机 测 试结果 。 该实验 以 ww w b a du
. i . co m (
I P
:
1 1 0 24 2 6 8 4
. . .
) 为
D N S劫 持 对 象
。
b
:
?
访间 a .
co m 的 谞 求 遭 到 拒绝
* ? T P 5 5 K SS 4 0 3
f
V
:
^B
(
a) (
b )
会 令褪 务 0 X
 ̄
d b sh d
"
SS l
?
7 s
;
7 !
(
C
)
图 6
-
4 基于 DNS 劫持 的 通 信 劫 持验证 结 果
(
a) 表明 DNS 劫 持 功 能 在 测 试设 备 上 已 开 启 ,
此 时 勒 索 应 用 将对设备 发 出 的 对于
w w w b a du m 的 DNS 请求进行劫 持 进 行 包 解 析之 后 重 新 构 建 个 DN S 回 包并 以
一
. i . co
,
86
第 六章 KR P R OVE :
攻击 者 视角 的 新 型勒 索 技 术
这说 明 了 基于 DNS 的 通 信劫 持功 能 开 启 后 ,
能 够 成 功 对被 测 试 的 设 备进行 DNS
劫持 , 验证 了 新 型 勒 索 应 用 能 够 使 用 基 于 DN S 劫 持 的 技 术 实 现通 信劫持 的 可 能 性
。
2 .
基于 中 间 人 攻击 的通信 劫 持
基于 中 间 人攻击 的 通 信劫 持 技 术 实 现 将 以 在 安卓 8 . 0 版 本上进行 的 实验验证结
果 为 例 进 行 展示 。 为 了 确 保测 试 的 准确 性 , 每 次进行实验验证 时 , 除 了验证应 用 外
,
不 再运 行 其 他 应 用 。 且 默认测 试 时勒 索 应 用 无特殊 代 码 加 载 方式 。
图 6
-
5 展示 了 在 开
启 K R P R O V E 中 中 间 人 攻 击模 块 后 的 真 机 测 试 结 果
。
⑷ 表 明 中 间 人 攻 击 功 能 在 测 试设 备 上 已 开 启 ,
此时 K R P R OV E 对设 备 发 出 的 网
络请 求进行截获 。 图 (
b) 展 示 了 该 测 试设备 与 ww w . t e s t
-
i
p
v6 com
.
进 行 通 信 时 的 详细
数据
。
这 说 明 了 在 基 于 中 间 人 攻击 的 通 信 劫 持 功 能 开 启 后 ,
能 够 成 功 对被 测 试 的 设备
进 行 中 间 人 攻击 , 截 获 用 户 发 出 的 网 络请 求 , 验证 了 新 型 勒 索 应 用 能 够 使 用 基 于 中 间
人攻击 的 技 术实 现通 信劫持 的 可 能性
。
bp p b ph
I1
(
a) ( b)
图 6 5 基于 中 间 & 攻 击 的 数 据 劫 持验 证 结
果
3 .
基于 DNS 信道的 用 卢 数据劫持
基于 DNS 信道 的 用 户 数据劫 持 技 术 实 现将 以 在安卓 9 0 .
版 本 上 进 行 的 实 验验 证
结果 为 例 进行展示 。
为 了 确 保测 试 的 准 确 性 , 每 次 进行 实验验证 时 , 除 了 验证 应 用
夕卜 ,
不 再运 行 其 他 应 用 。 且 默认 测 试 时 勒 索 应 用 无 特 殊 代 码 加 载 方 式 。 图 6
-
6 展示
了 在 开 启 KR P R OV E 中 数 据 劫 持 模 块 后 的 真 机 测 试 结 果 。 该实验 中 , 安卓 设备 (
I P
:
87
北 京 邮 电 大 学工 学博 士学 位论 文
为 受控端 为 的 主 机 利 用 DN S 信道 传 输 数据
* *
1 0 28
. . 1 气 1
) ; 向 I P 1 92 . 1 68 .
* * *
.
* * *
。
:
5
B a se 64 在 线 缤码 解码 i ? 好海 的 3as e¥4 2 .
钱3 馬 .
)
?K 入? S行 Ba s?S4 编 5 効W 3 的 字 》
i
mm ^9
■
3r , .
^ ?
:
De oo ? i
e }
: 2? G2S! BS23
Base& S
! S 賊關 離, ‘
:
nv
.
.
:
(
a) ( b)
m ? em —
^^ S__ 篡 金 ?
二 黑 叹 兔 灸 e
' "
文
物 ^
>
! ? 0
? *
c*
f ? ?
r
t * ? '
; t S S I l M C ??? f _ a ? v ^ J
?
吹 S e s a a c n 把 * 、 明 3 8 S w ? ? O ws r t o n P 〇 n ^
"
'
l me t i : ; .
t
i
 ̄
?2 ? w ^ a—
C ^ 9 MK w s ” ¥ ? * ?
>
i 2y ? y > ?? s? t s
?
<
i
i
! i ; s
>
;
j
F : x?? 5 幻 。 * s
^
* e > ? w w c l *
j
? v v v *
(
e
f 2 :
乂 J
k w <
? ev? , i i <
)
ix
f ^i
*
^
= w
M k f
r 3 t*
1 '
j ? K
-
t ? ? ! ? S r ; i
i
: ! . v F : i
j
)
?
;
>*
v -
.
. v
-
i
^ c p ;
SM
I
v?
'
n t a ? * ?a?
?
0 1 0 1 HMk r U ^ < -
3 1 >
hr
t j ? i
>
^
"
: > n e?at
? r eS ? W J f
t
-
! ;
> S < ? S
f
?? i ? ?* -
£<
>
T? * i l j a * s h 交、
i &H W i
i ; ** * < ? 4 e? K -
2 ? ?4 S
>
M? j
? 0t?C
> O
T
f
a
r c s <
< ?tM< ?
T i i w K >
| j?* 4
<
!
a 7
*
? j
S f :
?
H? 〇K t
ams 0 t> ?i H Kt s o*
-
i
3
a .
^
■ z i nf a .
t i
li xi
:
;
K?de t i S ?tNan * ? ?? :
t i
s ? s s i
&i
I
A f
r Un?K :
0 i?
?
?S I
M
■ it r M i X ^e . A^ / ^x yy
V H? ?*? Wv eS eO
t ?
- "
I a 7 ?B ? ■
< ( H s n ? ; ? o t T 5
i
f
tw
f s a n V >
! ? S7 * 3 t * >
H w i
s
t
y
)
nw t
r f
r i wn StB *n l
中 > T
C
)
A t u i M r
R i b
朽
z
’
抝 密 耢 的 隐 私繼 - 数 据
qw w*?
i s i
一
V
"
i A S y y ) c
f / V i
AA AA ? o w
t ( S
j t t me
r
s
;
f
l 咖 0 * ? >
!
T
y t r AA AA l i f^ A M <
-
! ? .
i
?
;
C < u> t
>
<
? i < 〇H〇 I
)
! K〇r? ?K i ( ?
擔A
( c
)
图 6
-
6 基于 DNS 信 道 的 数 据 劫 持验 证 结 果
表 明 基于 的 数据 劫 持 功 能 在 设 备 上 已 经 开 启 且该 设 备 与
* * * * * *
(
a) DNS ,
1 92 . 1 68 . .
建立 了
DN S 信道 在 本实 验 中 。
, 用 户 设 备 上 的 手 机 号 码 被 认 为 是 隐 私 信息 。 在 信道 建
立完 毕 后 , 受控 端 将 手 机 号 码 以 使 用 b a s e 64 进行 加 密 , 并 将 加 密 后 的 数据 利 用 DN S
信道 向 1 92 . 1 68 .
* **
.
* * *
传输 。
如 (
c ) 所示 , 在主机 1 92 . 1 68 .
* * *
.
* * *
进行 流量抓 取 ,
能
够 发 现 安卓 设 备 信道 向 传输 的加密
* * * * * * *
DN S
* * *
(
I P :
1 〇 28 . . 1 . 1
) 利用 1 92 . 1 68 . .
信息 。
如 (
b) 所示 , 将该 信息 利 用 b a s e 64 解 码 器进 行 解 码 , 该信 息 为 用 户 设备上 的 手
机号 码
1 987
* * * *
339
。
88
第 六章 K R P ROV E :
攻击者 视 角 的 新 型勒 索 技术
这说 明 了 在基于 DN S 信道 的 数据 劫 持模 块 开 启 后 , 能 够 成功 对被 测 试 的 设 备 进
行数据劫 持 , 验 证 了 新 型 勒 索 应 用 能 够 使 用 基于 DNS 信道 实 现数据 劫 持 的 可 能 性
。
6 4
.
勒 索 行 为 验证框 架
, , ,
的 困 难 或 攻击者 花 费 最 多 时 间 的 问 题 。 通 过这 种 方 式 , 它 可 以 帮助 用 户 或 安全分析师
使 用 适 当 的 策 略 来 保护 安 卓 终 端设备 免受 勒 索 应 用 的 攻击
。
6 4
. . 1 工作流程
K R P R OV E 的 工 作流程 如 图 6
-
7 所示 ,
KR P R OV E 包 含 五 个 模块 , 分 别 是激 活模
块 、
设 备 劫 持模块 、
数据 劫 持模块 、 通 信劫 持模块 和 策略选择模块 。 激 活 模块用 于加
载勒索 代 码 , 以 确 保勒 索 应 用 能 够 成 功 被 激 活 。
设备 劫持 模块 用 于 禁 用 设 备 , 使用 户
无法 正 常 使 用 设备 。
数据 劫 持 模 块 用 于 使 用 户 无 法 正 常 打 开 自 己 的 私 人文件 , 或窃取
数据 对 用 户 进行 勒 索 通 信劫 持模 块 用 于 干 扰 用 户 与 外 界之 间 的 通 信 。 , 从 而对用 户 进
行勒 索 。
策 略 性选 择 模 块 用 于 对 KR P RO V E 提 供 的 不 同 模块 的 功 能 进 行 组 合 , 最终
得到 自 定 义的勒索行为
。
激 活 模块
劫 持 模块
① 麟
-
—
严索 代
—
f 禁 用欣
卜 ? 丨
降 备 镇定 涵 ⑤
;
1
—
t
策路 送 择 模块
正 常代码
, 1
辅 助 功 能
/
丨 I
! ;
 ̄
/ 禁 用 按 纽 ] | [ |
禁 用U S B | | 激活 屏 蓴资 源 劫
,
钮
② 勒 索 亨!
〒可 运
 ̄  ̄  ̄
、
!
|
禁 用 电源键 |
? … "
丨 七, .
L
激 活①
1
_ _ _ I
/ |
+ 苽 密 文 件+ 窃
激活 加载 取信 息
了 令 数 据 劫 持 模 块 今
■
^
y
(
_ —
^
4
/ 、 加S \
f
: 二二士 二 厂 ] 激 活 ② +
屏幕资源
丨 |
… \
I
… … 雙 …
…
\
、
洛
!
丨
士件
中 歐f
e DN S l ^i 錢
丨
丨
…
…
參
勒 索应 用 二二二二二二二二二二二二二二二
'
③ 一
I
正 常应用程 序
申请 〇 \
通 信 劫持 校 块 —
00 勒索 行 为
一
伪装 t \ r 二
1
l
 ̄  ̄  ̄  ̄
u D N 劫持
…
S
嚇 筌用 1 I 1
;
图 6
-
7 K R P R OV E 工 作 流 程 示 意 图
1 .
激活 模块
激活模块 用 于 加 载 能 够 成 功 激 活勒索行 为 的 代 码 。
在本节 中 , 本 文将 介绍 三 种勒
8 9
北 京 邮 电 大 学 工学博 士学 位论 文
1
) 加 载 模式 图 6
-
8 所 示 的 加 载 勒 索 代 码 示 例 演 示 了 激 活 勒 索 应 用 后 如 何在 勒 索
应 用 中 加 载勒 索 代 码 。 加 载 模式 中 的 勒索 应 用 在 激 活勒索 应 用 之 前不 会 加 载勒 索 代
码 或 进行勒 索 。
以图 6
-
8 为例 ,
原 始 应 用 程 序 将其 恶 意 代 码放在服务器 @上 , 用 来逃
避静态勒 索 应 用 检测 当 应 用 程序被激活 了 定的时间 或 者 用 户 按下 应 用 程序 的某
一
。
,
些按钮 ,
例如登录 ,
它将触 发 Dex C l a ss Lo ad er
③ ?从服务器下载勒索代 码-
。
勒索应
用 将勒索 代 码 保存在本地 后 将创 建 个新 实例 ⑦来 重新加 载 或 文件 这时
一
,
.
j
ar . dex 。
,
勒 索 应 用 就被 激 活 了
。
F o *
ben
a
—
i .
t i
g
cla ss {
Press l o
g
m b u no a
”
n g ur
i Tst ^ ls oca wa
w w w ja f com
"
S t ri
/ r e :
,
vo d i 4
-
4 S t m i
f
r a a P aS i
: ! :
< k mT j 3 o a ^V i ? U a o u s P a > 1 〇 i 8 e wl
f ( ) ; l og s
i
?c
t Cl a &s Lo ? df〇 )
: .
.
劣、
Oa 置a c s o u
'
ks s
*
Class r a nC
?
dc t ss Loa dc r k w dC a l
W sx m s i r wa re ! :
)
a fC d oR a a s t
-
raas o at a ea C
- )
;
Q
) 4 4
3 0 pm t e c^ d o aC re 3 t ? 3 ?a d i* s yce d l i ^ s a c e S t st e
)^ t 〇 34 i ¥
^
6 )
3 1 ? '
如£ 麟 £ <5 ^
?
&说 aac 於 t a t? > :
,
1 2 …
…
-
*
^^ v ^) )
- -
J i { < i -
J ss i j < i
g
i . :
M>
v c ?d k ) 2 i n
〇
{
}
j
^
图 扣 载 模式示 例
2
) 代 码恢复模式
e zO e A PM F low b e rd g n ^a l c as
— -
i l r f
i c i
1 c ia s ? f
e i n Ac t l vi S y e x t er d
J .
c Ap p C o s p ^ t A c t iv i ty
{ P r ess fu n c but t o
n
1 St r in
g
e nc ry ped Pa yl oa dP st h ?
/
P?t r of en cry ! tat p3 ! i c* ; J .
、
{
y
*
2 vo i d l o a < 3Sa n s c 3 B wa re ( ) {
A St r i n ^s c &a y l c s d h nc d ec
P
g c e x at h f
=
d e c ry p t P a y l c sd C
e n c r yped P a y load Ps t h ) ;
r/ p z r
ypt (
< s
;
;
D exC l a s s l oa d er l o ad e r ?
n ew De x C Xa s s Lo ad e r
(
< e xP a t h
t J
c a ch e? a t h ,
nul l
, g
&t C i3 s s Load e r
'
{ } ) ; i
,
’
" "
C l a s s ra nC l a s s d e x C l a s s Load e r l G a dC l3 s s x3 xx x x R an s 〇3wa r e
-
. < . . .
< ) ;
7 R an s o t R wa r
'
e r a n s oa w a r e ?
r s nC l a s s . n ew I n s ta n c e O ;
L oa d -
5
-
o
>
ran s on? a r
d oR a r s on
-
8 e .
} ;
i
9 }
I
3 8 prot e ct ed vo i d o ^ re a t e r
(
B und l e sav e d I n s t enc e St a t e
) { d o R sn s o?
:
i i supe r . on C re a t e (
s av e d l n st a n cf
eS t fCe ) ;
i
U
*
f i n dvi ew By l d o On £ l ic k ten e
'
R id l i n set ti s r v
-
> I og i n
g ) ;
. . .
( ) ( ( )
2 4
}
1 5
—
图 6 -
9 代码恢复模式示 例
图 6
-
恢 复 模 式 中 的 勒 索 应 用 通 常 会 分 离勒 索 代 码 , 并 将其 伪 装 成 其 他 文 件 , 以逃避恶 意软
件的检测 , 例如 , 带有 . JP G 后缀的 文件 。 以图 6
-
9 为例 ,
原 始 应 用 程序 将 其在 @ 中 的
恶意 代 码 分离 并 加 密 为
一
90
第 六章 K RP R O VE :
攻击 者 视 角 的 新 型勒 索 技 术
的 文 件将被 解 密@ 并 恢 复 为 . de x 或 .
j
ar 文件 。 之后 ?
勒 索 应 用 将触 发 de xC l as s L oad er
加载 .
j
ar 或 . de x 文件③ ⑥ -
。 这时 , 勒 索 应 用 就被激 活 了
。
3 ) 伪 装 模式
图 6
-
1 0 所示 的勒 索应用 伪 装 示 例 演示 了 勒索应用 如 何将 自 己 伪 装 成正 常 应 用 程
序 , 并欺骗 用 户 获得 RO OT 权限 。
伪 装 模式 中 勒 索 应 用 的 行 为 与 正 常 应 用 程序行 为 在
”
函数 伪装 的应用 程序将 向
“
开始 时是 致的 以图 6 0 为例 当 用 户触发 按钮时
一
-
。 1
, :
⑧ ⑨ 来 判 断用 户 是否 已 授予 所需 的 权 限
-
。 如果有 , 勒 索 应 用 将被 激 活 ,
并将 自 动屏
蔽 设备 或 数据
。
Di s s F low
gui
—
b en
-
s i n
g
i c la ss Ks i n Ac t i v i t
y AppC ?n ps t A ct i v i t
y { C
^e n d i s g
u i seda
pp
e rmi s s i on s s
s 和e t '
巧
p f
r … …
i
;
;
]
*
i prs tsctsd ?o i d o nC reat e {
B u ndl e ¥ a v edln s ta n c e Si a t £ ) {
么 s s pe r . on C r e a t e (
sa v gd l n s t s n c e St a t e
) ; P re s s f i wK B utton
5
i
iy l
f
▼
?
fx n dV ie
?
i d f S . id .
nj n c }
? <
>
〇 ,
,
< Req u e
 ̄
s etOr
*
v Ac t ivit r e £ S t? e m or on t p e n ri io n
/C o x thi s
n e r i s s i pe
L i5 ri ri s s i
l i c > s S 1 s s s
s
-
〇
?
c i
q
. t r ! . ; :
l
( { , j ) ) ;
}
C li c v o d on R e q ues t P e rt i s s i on s S e su l t in t re q a e s tC od s S t rm g [ e rm i s s i on s
z \
i
p
i i
p C
,
]
,
i nt
[ ] g
r 3n t Res u lts J { func doRa n s o e
s
if H
y Ut i l
P e rB i
n
-
r *
ve r f s or s rantR es u lt s be
5
9 t e r
-
s s i
g
. :
i
<
y
. : -
{ ( g )
’
〇 ;
’
d o R 3 n s o ?e
i i
}
2 2
>
1 3
一
图 6 -
1 0 伪 装模式示 例
2 .
设备 劫 持 模块
设 备 劫 持 模块 用 于 禁 用 设 备 或 干 扰 用 户 正 常 使 用 设 备 。 如图 6
-
7 所示 .
设备劫持
模块包 括 禁 用 行为 和 辅助 功 能 。
禁 用 行为 指通 过 对设 备进行 加 密 , 使设备处 于 锁 定 状
态 , 或 通过对屏幕 资 源掠 夺 , 使 用 户 无法 正 常 使 用 设 备 ;
辅助 功 能 是 用 于提 供按 键屏
蔽 、
功 能 禁 用 等 服务 , 防止用 户 自 主 进 行设 备 与 屏 幕 资 源 的 恢 复
。
。
,
锁 定行 为是强 制 删 除 用 户 设置 的 密 码 :
重置新密 码 并 锁 定 设备 。 屏幕 资 源 劫 持是 指勒
索 应 用 将其界面 显 示 为 设 备最 上面 的 界 面 , 使 用 户 无法 正 常 使 用 设备 。
为 了 防止用
户 成功退 出 勒索界面 , 辅助 行为 总 是 与 屏幕 资 源劫 持 同 时 出 现 。 例如 .
当勒索应用 将
其 Ac t i v i t
y 设置到 栈顶 来劫持屏幕 资源 时 , 它总是禁 用 Home 按钮和 B ac k 按钮 来避
免 用 户退 出 当 前界面 。
为 了避免用 户在 AD B 的帮助 下恢复被劫持 的设备 , 勒索应用
3 .
数据劫持 模块
数据 劫 持模块 通 过劫 持 用 户 的 个 人 数据对 用 户 进 行勒 索 , 迫使 用 户通过交纳 赎
金 的 方式 换取被劫 持 的 数据 。
如图 6
-
7 所示 , 数据 劫 持 模 块 包 含 了 文 件 加 密 和 信 息 窃
9
1
北 京 邮 电 大 学 工 学 博士 学 位 论 文
取 两 种 数 据劫 持 手 段
。
勒 索 应 用 在进 行 文 件 加 密 时 首 先 根 据其 自 定 义 的 规 则 遍 历搜 索设 备 上 所 有 疑
, ,
似 为 用 户 主 动 进 行存 储 的 文 件 ,
并 对这 些 文 件 进行 加 密 操 作 使 用 户 的 文 件 处 于 不 能
,
正 常打开 的 状态 。 用 户 若想 正 常 使 用 这 些 文件 , 需 要 按 照 攻击 者 留 下 的 账 户 信 息 和 联
系 方 式 进行 赎 金 缴 纳 换 取 密 钥
。
为 了 防 止 用 户 通 过 逆 向 等 操 作 获 取 密 钥 并 成 功 恢复 文 件 , 文件加密行为通常会
伴有 信息 窃 取 的 功 能 。 信 息 窃 取 的 实 现 手 段 包 含 基于 DN S 隐 蔽 信道 的 信 息 窃 取 与 基
于 中 间 人 攻击 的 信 息 窃 取 。
攻击 者 将 用 户 的 个 人 数 据 向 攻击 者 的 远 端 服 务 器 进行 传
输后 , 将 用 户 的 本地 数 据进行 加 密 。 即 使用 户 可 能 通过逆 向 等 手 段 获取 密 钥 , 若用 户
的 文 件 中 含有 不 雅 图 片 、
商 业 机 密 文 件 等 攻击 者 依 然 可 以 以 远 端 服 务 器 中 的 数据 向
,
用 户 进 行勒 索
。
4 .
通 信 劫 持 模块
通 信 劫 持 模 块 通 过对 用 户 与 外 界 的 正 常 通 信 进行 劫 持 ,
达到 干扰用 户 与 外界进
行信 息 交 互 的 效 果 , 迫 使 用 户 通 过 交 纳 赎金 的 方式 换 取通 信 的 正 常 。
如图 6
-
1
所示
,
通 信 劫 持模块 包 含 了 以 DN S 劫 持为 代 表 的 通 信劫持 手段 。
以 DNS 劫持为例 , 攻击者
通 过 对 用 户 访 问 的 网 站 的 域 名 进行解析 , 并 进行 修 改 , 使 其 访 问 攻击者 虚 构 的 特 定 域
名 , 即 攻击者将 用 户 的 所 有 的 网 络 访 问 进行 劫 持 , 将其 重 定 向 到 虚 假 的 域名 , 从而使
用 户 无 法 正 常 进行 网 络 访 问
。
5 .
策略 选择 模 块
策 略 选 择 模 块 用 于 策 略 组 合 从 而 得 到 最 终 的 勒 索行 为 ,
。 K R P RO V E 的 激 活模块
、
设 备 劫 持 模 块 数据 劫 持 模 块 和 通 信 劫 持 模 块彼 此 独 立 各模块 内 部 的 子 功 能 相 互 独
、
,
立 。
该 模 块 支 持 用 户 通 过选 择 一
个 或 多 个模 块 及 模块 内 部 的 子 功 能 , 进行 策 略组 合
,
进 行勒 索 行 为 的 生 成
。
6 4 2
. .
防御策略
为 了 更 好 地 测 试 当 前 安 卓 端 应 对勒 索 应 用 的 防 御 策 略 , 本节 将借助 K R P R OV E
模 拟具 有 不 同 行 为 的 勒 索 应 用 , 检 测 各 防 御 策 略面 对对 6 . 3 节 中 提 出 的 新型勒 索 技 术
以 及 部分 常 见 的 勒 索 技 术 的 防护 效 果 。
测 试结 果 如 表 6 7
-
所示
。
R P ac k D r o
-
i d 、 API RD S-
、 H e D ro
l i d 、 R a n s o m Gu ard 与
G re a E a t tl on 的 防护方案 旨 在
对勒索 应 用 在 激 活 前 的 进行检 测 将其 识 别 为 勒 索 的 应 用 进行 卸 载 , , 以 此来 确 保 用 户
的 设 备 与 数据 安 全 ,
上述 方案 不 涉及 到 勒 索 应 用 运 行 时对 文 件加 密 的 阻 断 以 及 加 密
后 对 文 件 资 源 的 恢复 。 上述 5 种 方 案 为基 于 静 态 分析 的 勒 索 应 用 检 测 方 案 。 由于 6 3
.
节提 出 的 3 种 新 型 勒 索 技 术 均 需 要 通 过 勒 索 应 用 被 激 活 后 在 运 行 时 进行 网 络传 输 或
网 络劫持 来 实 现 , 因 此上述 5 种 方案在 面对 3 种 新型勒 索 技 术 时 , 均 不 能 成 功 对勒 索
行 为 进行 识 别 ,
达到 防护 的 目 的
。
92
第 六章 K R PR OV E :
攻击 者 视 角 的 新 型 勒 索 技 术
表 6
-
7 防 御效 果概 览
^
加载 | I
£
代 码 恢复 伪装 加 密文 件
中 间 人 攻击
I I I
DN 信道
S
通 信劫 持 丨
R〇 〇T
丨
检 测 数 据 保护
|
任意 个
Z
‘
一
—
_ _
—
K R D R OI D / — —
x x x
任意 个或 无 任意 个或多 x
一 一
—
|
任 零二 ^Z I任 意 二 无
工
K R P ROT E C T O R
任意
一
巧
个或无
—
^
—
戸
|
—
/
x
—
任意
一
个 或 无 /  ̄
 ̄
任意 一
个 或 无 —
/
KR R E C OV E R 任 意 一
个或无 = 任 惫二个 —
/ x x
任意 个或 无 /
一 一 —
—
— —
/
/
任意 一
个或无
—
x
S DG u a r d 任意 一
个或 无 任意 个 / x
V
一
任意 个 或 无 /
x
一 — —
=
二
—
| / /
[
— — —
/
R PackD ro
-
i d 任意 一
个 —
/
任意
一
个或无
—
x x x
><
 ̄
| —
|
/ / —
| |
—
/
API RD S 任 意
-
一
个 |
/ 任 意 一
^或无 |
一
x x x
意 个 或 无 任 个或 多 x
一 —
—
g —
y 卞
I ^ /
—
I
—
I
—
丨
一
/
H e Dr o
l l d 任意
一
个 —
/
任意 一
个或无
—
x x x
任意
一
个或 无 —
任意 一
个或 多个
x
- — —
^ ^ — — -
^
R a n s om G ua r d 任 意 一
个
/
任意
一
个或无
—
x x x
任意 个 或 无 任 个或多 x
一 —
y |
— —
^ ^ ^
Gr e a t E a on 任意 个 / 任意 个 或无 x x x
一
一 —
tl
任意 个 或无 任意 个或 多 x
一
一
一
 ̄
 ̄
|
任意 -
个 无 任意 个或 无 -
-
x
丄
x
g
I —
"
 ̄  ̄
TT ^ T T ^ Z T 任 完 / 任 意 7 /
11
TT T
一
个或无
一 等人的研究
i ^ \
x
] - ^
卜 丨
:
任意 丽 1
-
I
任意
-
个或多; hn
I
1
另外 , 当 K R P R OV E 的 激 活 模 块 开 启 了 加 载 模 式 或 代 码 恢 复 模 式 时 , 该 勒 索行 为
的 恶 意 代 码 将在 应 用 被 激 活 后 , 釆 用 网 络 加 载 或 动 态恢复 的 方 式 进 行 恶 意 代 码 执 行
。
因此 , 若勒 索 应 用 使 用 了 上 述 2 种 代 码激活模式 ,
无 论 其 釆 用 任 何 勒索 技 术 ,
上述 防
护方 案均 将 失 效
。
S D G u ar d 的 防 护 方 案 旨 在 保 护 用 户 的 文 件 不 被勒 索 应 用 加 密 。
该方案 通过划 定
安卓设备端 应 用 在 外存 能 够访 问 的 范 围 , 来 限 制 文 件不 被勒 索 应 用 加 密 以 此 来 确 保
用 户 设 备 端 数据 的 安 全 , 该 方 案 不 涉 及 对勒 索 应 用 加 密 的 文 件 资 源 的 恢 复 。 由于 6 3
.
节 中 提 出 的 基于 DN S 的 通信劫 持 技 术 并 不 涉及文件 的 访 问 与 传 输 ,
因此 , 若 勒索 应
用 使用 该技术 ,
S D G u ard 的 防 护 方案 将会失 效
。
另外 , 当 K R P ROV E 的 激 活 模 块 开 启 了 伪 装 模 式 时 , 被模 拟 的 勒 索 应 用 会 伪 装
为 具 有遍 历 功 能 的 正 常 应 用 , 欺骗 用 户 打 开 其 能 够 遍 历外 存 的 权 限 。 例 如勒索 应用 若
伪 装 为 音 乐 播放器 应 用 , 由 于 正 常 的 音 乐 播放 器 在 加 载 本 地 音 乐 时 , 需 要 对 设备 存 储
93
北京 邮 电 大学工学博士学位论 文
空 间 进行遍 历 ,
则勒 索 应 用 将很容 易 被 赋予遍 历外 存 的 权 限 。 因此 .
若勒 索 应 用 使 用
了 上述激 活 模 式 , 无论 其 釆 用 任 何勒索 技 术 :
上述 防护方 案 均 会 失 效
。
等 人提 出 的 方 案 中 提 到 的 防护方案 旨 在 以牺牲
24
R a n s o mPr o b e r 与 Mc
1
n to sh
丨 ]
一
部份 文 件 为 代 价 , 在勒 索 应 用 对 文 件加 密 后 .
通 过 分 析 文 件 的 熵值等特征 , 对加 密 文
件 的 应用 进行溯 源 , 从 而 识 别 出 设备上 的勒 索 应 用 并 对其进行卸 载 ,
上述方 案 不 涉
及 到 勒 索 应 用 运行 时对 文 件 加 密 的 阻 断 以 及 加 密 后对文件 资 源 的 恢复 。
由 于 6 3
.
节中
上述 2 种方案均将失效
。
本 文 第 三 至 五 章提 出 的 KR D RO ID 、 K R P ROT E C TO R 与 KR R E C O V E R 旨 在 通 过
对勒 索 激 活 前 进行 识 别 、
勒 索 进行 中 进行告警 防 御 以 及勒 索 实 施 后对设备 及 文 件 资
源进 行恢 复 , 三方 面 层 层 深 入地 形 成 面 向 设 备 与 数据 的 安 全 防 护 体 系
。
如表 6
-
7 所示 ,
KRD RO D 旨 在 利 用I
静态 检 测 的 手段 ,
通 过 对勒 索 应 用 被激 活 前
的识 别 ,
对恶意 应 用 进行卸 载 等 处置 。
若勒索 应 用 的 恶意 代 码 需 要在运行 中 使 用 动 态
加 载 或 外 部恢 复 的 方 式 进 行 还 原 , 或勒 索 应用 使用 了
6 3 .
节 中提出 的 3
种 基于 网 络数
据传 输 或访 问 劫持 的勒索 技术 ,
则 KRD R O I D 的勒索激活 前 安 全 防护将会 失 效 ;
此
时 ,
KR P R O T E C T O R 将 会 进 行勒 索 进 行 中 的 安 全 防 护
。
KR P ROT E C T O R 旨 在 利 用 兴 趣 文 件 夹 感知 的 方式 .
在勒索 应 用 被激 活 后 ,
加密
第 一
个文 件前 对勒 索 应 用 进 行识 别 ,
并 向 用 户 发 出 告警 阻 断勒 索 应 用 的 加 密 行为 .
以
此 来 对 用 户 设 备上 的 数据进行 保 护 。
由 于勒索 应 用 无论进行 文件加 密 或 利 用 网 络进
行 文 件 数 据 传 输 均 需 要 遍 历设备 存 储 找 到 其 , 目 标文件 ?
因此 : 若勒 索 应 用 使 用 了
6 3
.
节种提 出 的基于 DN S 信 道 的 数据 劫 持 与 基 于 中 间 人 攻 击 的 数 据 劫 持 技 术 ,
KR P R O
?
TE C T O R通 过 兴趣 文件夹部署 的 方式 .
能够在应 用 进行文 件搜 寻 时进行勒索 应 用 识
另
I
J , 并 在 应 用 对 文 件 操 作前 对 用 户 进行预警 , 完 成 防护 。 由 于 基 于 DN S 的 通 信 劫 持
不 涉及 对 文 件 的操 作 , 若勒 索 应 用 使 用 了 该 技 术 ,
可绕过 KR P R OT E C TO R 进行通 信
劫持
。
若勒索 应 用 使 用 某些 技 术成功 逃逸 了
KR D RO ID 与 KR P R OTE C TO R 的检测 .
造
成 了 设备 资源 与 文 件资源 的劫持 。 此时 ,
KR RE C OV E R 将会在勒 索 实 施 后进 行 资源
恢复 , 达 到 对 用 户 设备 与 数据安 全 的 防 护 。 KR R E C O V E R 旨 在 通 过 解 密 被 加 密 的设
备 、 释放被 劫 持 的 屏幕 资 源 以 及 恢复被加 密 的 文 件 , 最大化降低 用 户损 失 。
由 于基于
DN S 的 通 信劫持相 较于设备 资 源劫持 与 数据 资 源劫 持给 用 户带来 的 损 失 较小 ,
且攻
”
击者极 可 能 采 用 的 方式 对 受 害 者进 行勒 索 因 此 KR R E C OV E R 目 前 未
“
薄利 多 销 。
对 网 络 通 信恢 复 功 能 进 行集 成 .
后 续 也将 继 续 探索 应 对该类 型 通 信 劫 持 的 恢 复 方 法
并将其 集 成 进 K R R E C OV E R
。
综 上 在 面 对 技 术 不 断 发 展 变 种 不 断增 多 繁衍速 度 不 断 加 剧 的 勒 索 应 用
,
、 、
,
仅针
对全过程某 阶 段 的 孤 立 的 防 护 无 法 对 勒 索 行 为 的 全 过程 起 到 防 护 的 作 用 本 文 提 出
一
94
第 六章 KR P ROV E :
攻击 者 视 角 的 新 型 勒 索 技 术
勒索 后 资 源 自 恢复 方 案 , 形 成 了 面 向 安卓平 台 的 勒 索 行为 全 生 命 周 期 的 安 全 防 护 体
系 。 使用 K R P R OV E 勒 索 行 为 验 证 框 架 进行 测 试 在 现 有 勒 索 技 术 方 面 , , 该 安全 防 护
体 系 能 够 对现 有 的 勒 索 技 术 的 策 略 组 合 给 出 相 应 的 防 护 方 案 ;
在 新 型 勒 索 技 术方面
,
该安 全 防 护 体 系 能够 抵御 除 基 于 DN S 劫 持 的 通 信 劫 持 外 其他 的 新 型勒 索 技 术 , 对系
统 的 安 全 性起 到 了 重 要 的 作 用
。
6 S
.
本 章 小结
个支
持 多 种 策 略 组 合 的 安卓 端勒 索行 为 验 证 框 架 , 该框 架 内 集 成 了 现有 的 勒 索技 术 与 提
出的 3 种 新型 勒 索 技 术 , 支 持 用 户 对 功 能 模 块提 供 的 行 为 进 行 组 合 得 到 最 终 的 勒 索
,
行为 。 另外 , 本 章 也 针对 各 种 策 略 组 合得 到 的 勒索 行 为 在 设 备 上 的 测 试 结 果 给 出 了 抗
勒 索 应 用 的 安卓 系 统 防 御 建 议
。
95
北京 邮 电 大 学 工 学博士学 位 论 文
96
第 七章 总结 与 展望
第 七章 总结与展望
7 1
.
工 作 总结
随 着 移 动 互联 网 的 快 速 发 展 ,
基于 安卓 平 台 的 移 动 设备 数 量 大 幅 增 加 , 移 动 端勒
索 应 用 也 呈 现 出 了 快 速繁 衍 、
传 播快 、 危害大 的 特点 。
现 有 研 究 主 要 关 注勒 索 应 用 在
激 活 前这 阶段 的 识 别 然而 仅 针 对 全 过程 某 阶 段 的 孤 立 的 防 护 无 法对 勒 索 行 为
一 一
, ,
的 全 过 程起 到 防 护 的 作 用 。
如 何 针 对安 卓 端 勒 索 应 用 建 立 起 较 为 完 备 的 防 护 体 系 仍
是 积蓄 解 决 的 冋 题
。
本 文 致 力 于 构 建 抵 抗 勒 索 应 用 安卓 端 的 全 生 命 周 期 安 全 防 护 体 系 ,
进行 了 勒 索
应 用 行 为 刻 画 与 实 现 方法 研 究 勒 索 激 活 前 的 离 线 检 测 研究 、 、
勒 索 进行 中 防 御 技 术研
究 勒 索 实 施 后 资 源 恢 复 技 术 研 究 以 及 安 卓 端勒 索 应 用 的 下 代 技 术 发 展研究 具体
一
、 。
研究如 下
:
1 .
行为 可 区分 的 勒索应 用 激活 前 离 线检测研究 。
针对 现有 的 勒 索 应 用 检 测 引 擎
很难 区 分带有 锁 定屏幕和 加 密文 件 的 功 能 的 良性 应 用 与真正 的勒索 应 用 的 问 题 ,
本
文提 出 了 K R D RO I D 种 行为 可 区 分 的 勒 索 应 用 激 活 前 离 线 检 测 引 擎 本 文将 现 有
—
。
,
调用 关系 、
攻 击 步 骤 等 方 面 对 不 同 类 型 的 勒 索 应 用 进行 刻 画 , 并总 结 了 代 码层面 的 实
“
”
现 方法 , 为 后续 的 研究奠 定 了 基础 。 K R D RO I D 在特 征 集 构 建 时 提 出 了 联 合 特 征
的 概念 , 利用 K -
me an s 算 法 将关联 性 较 强 、 却 又 彼 此 相 互 独 立 的 多 个特 征 加 入 关 联
关 系 进行 组 合 形成新 维 度包含 关联 关 系 的 联合特征 有 效 地 解 决 模 型 在进 行 勒 索
一
, ,
应用 识 别 时 , 容 易 将 具 有 与 勒 索 应 用 有 相 似 行 为 的 良 性 应 用 误 判 为勒 索 应 用 的 问 题
。
实 验结果 表 明 ,
K R D RO I D 在检 测 未 知 勒 索 应 用 方 面 , 准 确 率达 到 了
98 5 . % ;
在区分
与 勒 索 应 用 具 有 相 似 行 为 的 良 性 应 用 与 勒索 应 用 方 面 ,
K R D RO I D 较 其他勒 索 应 用 检
测 引 擎 准 确 率 提高 了 约 40 % , 解 决 了 现 有勒 索 应 用 检 测 引 擎 无 法 精 确 区 分勒 索 应 用
与 良性应用 的行为 的 问 题
。
2 .
基 于兴 趣 文 件 夹 访 问 感 知 的 勒 索 应 用 实 时 检测 研 究 。 由 于对使 用 了 检测 逃逸
技 术 的 勒 索 应 用 进 行检 测 需 要 在勒 索 应 用 被 激 活 后 进行 检 测 , 这将 使 用 户 的 文件受
到 勒 索 应 用 极大 的 加 密 威 胁 本文提 出 了 K R P ROTE C T O R 个 基 于 兴 趣 文 件夹 访
—
。 ,
问 感知 的 勒 索 应 用 实 时 检 测 引 擎 。 K R P R OT E C T O R 以 空 文 件 夹 为 兴趣 文 件 夹 的 实 体
,
个文件加 密前 1 4 秒 左 右 发 出 警告 ,
实
97
北京 邮 电 大学 工学博士学 位论 文
3 .
勒 索 实施后资 源 自 恢 复技术研 究 。
随 着勒 索 应 用 的 不 断进 化 , 部分勒 索 应用
已
了 KR R E C O V E R 个搭 载 于 安 卓 系 统 的 勒 索 实 施 后 资 源 恢复 工 具 K R R E C OV E R
一
, 自 。
通过 自 动 终 止勒 索 应 用 的 进 程 并 删 除 写 入 密 码 的 文 件进 行被劫 持 设 备 资 源 的 自 恢复
,
通 过对加 密 AP I
的 监控 , 获取其在 动 态运 行 中 ,
进行加 密 时使 用 的 密钥 与 被加 密 文
件列 表 , 实 现被加 密 文 件 的 解 密
。
4 .
并 针 对 不 同 的 勒 索 行为 进行安 全 防 护 的 问 题 , 本 文提 出 了 基于 DNS
信
道 的 数据劫持 、 基 于 中 间 人攻击 的 数据劫 持 以 及基于 DNS 劫 持 的 通 信劫 持 3
种 新型
勒索技术 。 另外 .
为 了 对勒 索 应 用 进 化 中 可 能 出 现 的 不 同 的 勒 索 行 为 进行安 全 防 护
,
本 文提 出 了
KR P RO V E ,
一
7 2
.
未来展望
安卓端的勒索 应用 研究 是 个 需 要 研究 人 员 不 断 深 耕 的 研 究 领 域 虽 然 本 文在
一
安 卓 端 的 勒 索 研 究 领域 取 得 了 部 分 成 果 , 然而 , 随着安卓 系 统 的 不 断升级 与 勒 索 应 用
的 不 断进化 : 新 兴 的 检 测 逃 逸手 段 与 勒 索 防 护 方 案 也将 不 断更新 。
在未来的工作 中
,
作 者 也 将在 以 下 几 方 面 继 续 进 行 研 究 深 耕
。
1 .
自 动 化 勒 索 行 为 阻断技 术研究 。
本文 KRP ROT E C TO R 在勒 索进行 中 进行 防 御
阻 断 的方式 为 在勒 索 应 用 加 密 用 户 第 个 文 件 前 对用 户 进行预警 使用 户有足够的
一
时 间 对勒 索 应 用 进行 处 置 。 然而 .
考 虑 到 用 户 处置勒 索 应 用 的 便捷性与 用 户 处置 的 及
时性 .
2 .
多 场 景 下 的 勒 索 实 施 后 资 源恢 复技 术研 究 。 K R R E C OV E R 在 进行勒 索 后 资 源
恢复 时需要 使 用 RO OT 权限 ,
且 要 求 在 KR R E C OV E R 安 装 前 , 设备 终 端 已 安 装 的 应
用 均为 良性应 用 。 考 虑 到 用 户 对于 R O OT 权 限 赋予 的 谨 慎性 以 及 KR R E C O V E R 安装
前 确 保设 备 不 含有 恶 意 应 用 的 难 度 , 在今后的工作 中 , 作者也将考 虑 如 何在 更 多 的
场 景 下 实 现勒 索 实 施 后 资 源 的 自 恢复 技 术 。 例如 .
可 以 在 系 统 层 面 对 系 统 键盘 的 按
键 功 能 进行 重 写 , 支 持 用 户 通 过特定 的 输 入进行 资 源恢复 , 形 成系 统级 的 资 源恢复
,
适 应应用 更多 场景
。
3 .
面 向 鸿蒙 系 统的 勒索 应 用 研究 。
鸿蒙 系统 自 问 世以来 , 越来 越多 的 移动设备
98
第七章 总结与 展望
开 始 进行鸿 蒙 系 统 的 搭 载 。 然而 , 鸿 蒙 系 统 问 世 时 间 相 对较 短 , 技 术 防 御层 面 相 对于
其他较 为 成熟 的 系 统 略有 不 足 , 勒 索 应 用 的 开 发 者 们 也 将 会 针 对鸿 蒙 系 统 的 特 点 进
行针对 性 的 勒 索 应 用 的 开 发 。 因此 , 在今后的工作 中 , 作者 也将更 多 关 注 于 基 于 鸿 蒙
系 统 的 勒 索 应 用 研究
。
99
北 京 邮 电 大学 工 学 博 士 学 位论 文
1 00
参考 文 献
参考 文 献
[
1
] 2 02 1
年 勒 索 软 件 攻击 增 加 了 1 48% [
E B / O L ] h tp s . : / /b ai i
j
a h a o b a i du x o m / s ? i d =
. 1
7
1 1 2 1 733 7 1 09 6 9 27 6 1 &w h f =
s
p i d er & fo r
=
pc .
(
202 2 2 - -
l
)
.
[
2] 超 6 02 .
亿美 元 ! 20 2 1 年 勒 索 软件 获 得 赎 金 创 新 高 [
EB /O L ]
. h tt
ps : // b a i
j
i ah ao b a i d
.
u c o m/ s ? i d = 1 7 2 4 7 9 0 5 4 9 5 9 3 2 6 6 2 2 & w fr p i d e r & fo r 20 2 2
= =
s
pc 9)
- -
. 1 . l 1
.
(
[
3] F a ke s i o r u n app s te a l s c re d i t c a r d i n fo r m a t i on [ E B / O L ]
u p e r mar . http s : // b l o
g . tre
nd
m i cr o . c o m / t r e nd l ab s
-
s ec ur i t y -
i n t e l l i g e n c e / fa k e
-
s up er m ar
io - -
ru n
-
ap p
-
s te al s
-
c re d i t
-
c
ard n fo r m at i o n / 20 2 1 2 2)
- - -
i . 1 1
.
[
4] M c a fe e l a b s t h r e at s r e
p o rt .
[
E B /O L ]
. h t tp s : // w w w m c a fe e . . c o m / e n t er
pr
i s e/e n
-
u s /a s s e
t s /r e
p o r t s /r p m o b i l e
- -
t hre at -
re
p or t 2 0 1 9 p d f
-
. .
(
202 1
-
1 2 -
1 2)
.
[
5] Av a s t hi
g h l i g h t s t h e t h re a t l a nd s c a p e fo r 2 0 1 9 .
[
EB / O L ] ht t p s . : // w w w m c a fe e e om / e
. .
pr
i s e / e n u s / a s s e t s /r e p o r t s /r p q u a r terl y
nter hr e at s dec 20 1 8 2
pdf 20 2 2)
- - - - -
- -
t . . 1 1 1
.
(
[
6] WU P LIU D
, , WA NG J , et a
l . D e t e c t i on o f fa ke i o t a
pp b a s e d o n m u l t i d i m e n s i o n a l
si m i l ari t y [ J] . I E EE I n te r n e t o f Th i n g s J o u rn al
,
2 02 0 ,
7 ( 8 ) 7 02 : 1
-
703 1
.
F a ke E B /O L
?
7] al ex a s e tu
p ap p i s t o p p i n g ap p l e
s ap p s t o r e c h a r t s htt // w w w eng a
ps
. . : .
[ [ ]
d 2 1
ge x o m/ 0 8 /
1 2 / 2 7 / fa k e ch art s / 2 02 0 23 )
al ex a a o
pp i n g ap p l e app s to re
- -
t
- - - - - -
-
t 1 1
pp
.
.
(
[
8] S c am i o s ap p s p r o m i s e f
i tnes s , s t e al m o n ey i n s t e a d .
[
EB / O L ht tp s ]
. : // w w w w e l i ve s e
.
oi r
i ty . c o m/ 2 0 1 8 / 1 2 /0 3 / s c a m -
i os -
a pp s
p o mi s e
r i tne s s
f - -
s t e al
-
m o n ey -
i n s te a d/ .
(
202 1
-
l
0 -
1 7)
.
“ ”
[
9] Ga rtn e r s a
y s 8 4 b i l l i o n c o nn e c t e d
. t hing s w i ll b e i n u s e i n 20 1 7 up 3,
1
p
er c e n t
ro m
f 20 1 6 .
[
E B / O L ht p s ]
_ : // w w w g a r t n e r c o m / e n / n e w s r o o m /p r e s s
. .
-
re le a s e s /2 0 1 7 -
02
07 b i l l i o n c o nn e c t e d hi n g s w ill be n us e n 20 up
g ar n er ay s 8 7 3
p er c e nt
- - - - - -
- - - - - - -
- - -
t s t i i 1 1
fr o m 20 6 202 0 7)
-
-
1 1
- -
1 . 1
.
(
[
1 0] 常莽 .
勒 索软 件 激増 凸 显 对 良 好 备 份 的 迫 切 需 求 m .
计算 机 与 网 络 ,
202 1
,
47
(
08) 4 8 :
.
[
1 1
] FE NG C , Y U K A L O Q A I LY M
,
, e t al . A r
i bu
tt te
-
b a s ed encr
y p t i o n w i th p ar al l e l o ut
?
so u rc e d d e c r y p t i o n fo r e d g e n t e l l i g e n t i i ov [
J] I . E E E Tr a n s ac t i o n s o n Ve h i c u l a r Te c h
?
n ol o gy 20 20 69 ( 3 7 84 3 79 5
-
1 1 : 1 1
.
, , )
1 0
1
北 京 邮 电 大学 工学 博 士学 位论 文
[
1 2] E B E N U WA S H , S H A R IF M S , ALAZAB M , e t al . Va r
i a nc e r a nk i n g att r
i bu t e s
s el e c t i on t e c h n i i c at
q u e s fo r b i n a r y c l a s s i f i o n p r o b l e m i n i mb a l a n c e da t a [ J ] . I EE E
Ac ce s s ,
20 1 9 ,
7 2 4 64 9 24 6 6 6
:
-
.
[
1 3] WAN G W XU H A L A Z A B M
,
, , et al . B l o c k c h a i n b a s e d r e l i a b l e an d e
-
ic
f i e n t c er
-
ti i c a t e l e s s s i g n a t u re fo r i i o t d e v i ce s [ J ]
f . 正 EE t r i o n s o n i n d u s tr
an s ac t ia li n for m a t i c s
,
202 1
.
[
1 4] 沈 阿娜 .
基于诱饵 的 A nd r o i d 加 密 型 勒 索 软 件 的 早 期 检 测 技 术 研究 与 实 现 [
D ]
.
北 京 邮 电 大学 ,
2020
.
5] A Z MO O D E H A D E H G HAN TA NH A A C O N T I M e t a l De t ec t i n g cr
yp o
-
1 . t
[ , , ,
r a n s o mw a r e i n i o t n e t w o r k s b a s e d o n e n e r g y c o n s u m p t o n fo o tp r
i n t fJ ] i . J o urn a l of
1 1 52
.
[
1 6] C O NT I N E LL A A GUAGN EL L I A Z NGA RO G ,
,
I , et al . Sh i e l d fs a s e l f h e a l i n g
:
-
,
r a n s o m w ar e
-
aw ar e f
i l e s y s te m [
C ]
// P r o c e e d n g s o f t h e 3 2 n d a n n u a c o n fe r e n c e o n
i
l
c o m p u t e r s e c u r i t y app l i c a t i o n s 2 0 1 6 3 3 6 3 47 -
. :
.
[
1 7] S ONG S , K IM B , LE E S T h e e f fe c t , i v e r a n s o m w a re pre v e n t
i o n te chni q u e u s i n g
p r o c e s s m o n i t o r i n g o n a n d r o i d p a fo r m [ J ]
l t
. M ob il e I n fo r m a t i o n S
y s tem s ,
20 1 6 ,
20 1 6
.
[
1 8] S GA ND U RR A D
,
M U N O Z GON Z A L EZ L M O H S E N R -
,
,
e t al
. Au t om ated d y n a m i c
a n a l y s i s o f r a n s o mw a r e : B en e f
its ,
li m i t a t o n s a n d u s e fo r d e te c t o n [ J ]
i i . ar X i v p re
p
i n t
r
ar X i v : 1 6 09 0 3 0 20 .
, 2 016
.
[
1 9] C HEN J , WA NG C Z HAO Z ,
, e t al . U n c o v er
i n g t h e fac e o f a n d r o i d r a n s o m w a re
:
C h ar ac t e r
i z at i o n a nd re a l
-
ti m e de tec t i o n [J ]
. I EEE Tr a n s a c t o n s
i on I n fo r m a t i on F o re n
?
s i c s an d S ec u r
i t
y ,
20 1 7 ,
1 3 (5 ) : 1 286 -
1 3 00
.
[
20] A ND RO N I O N Z ANERO
, S ,
MA GG I F H e . l d ro i d : D i s s e c ti n
g a n d d e t e c t i n g m ob i l e
ran s o mw a re [ C ] // i n t e m a t
i o n a I s y mp o s i u m o n re c e n t a d v a n c e s i n i n t r u s i o n d e te c t i o n
.
S 20 5 3 8 2 4 04
p ri n g er
-
1 :
.
,
2 F ow dro i d ta i n t a n a l y s i s [ E B /O L ] h t t p s b l o g s u n i p a d e rb om d e / s s e/ t o o l s / f l o w d r o
-
1 l . : // . .
[ ]
i d/ .
(
2〇 2 2 -
l
-
3)
.
[
22] ZHEN G C , D E LL A RO C C A N AND R O N I O N
, , eta
l . G re a t e a t l on Fast
:
, s t at i c d e
?
t ec i o n o f m o b i l e r a n s o m w a re [ C ] // I n t em a t i o n a l C o n fere n c e o n S e c u r i t y a nd Pr
t i v ac y
i n C o mm un i ca t i o n S y s t e m s S pr i n g e r .
,
20 1 6 : 6 1 7 63 6
-
.
1 02
参考 文献
[
23 ] S C A LA S M M A J O R C A ,
D M ER C A L D O F
,
, e t al . R -
p a c k dr o i d :
pr a c t i c al o n d ev i c e
-
d e te c t i o n o f a n d r o i d r a n s omw a re [
J] C o. RR , a b s / 1 8 0 5 09 5 6 3 .
,
20 1 8
.
[
24 ] 洪 双喜 . A n dr o i d 平 台 隐 私 保护方法 研究 [
D ]
.
北 京 邮 电 大学 ,
20 1 7
.
[
25 ] Y UA N S ,
WA N G Y WA N G
,
P ,
e t al . How t o b lock
t h e m a l i c i o u s ac c e s s t o an d r o i d e x
?
t er n a l s t o r a g e [ C ] // I n t e m a t i o n a l C o n fe r e n ce o n I n fo r m a t
i o n S e c uri t y a n d C r yp t o l o g y
.
S pr
i n ger 20 8 287 3 03
-
, 1 :
.
[
26] M E H NA Z S , MU D G ER I KA R A , B E RT I N O E R w g u a r d A r e a . : l
-
ti m e de t e c t i o n
s
y s te m a g a i n s t c r y p t o g r a p h i c
r an s o m w ar e [
C ]
// I n t e m a t i o n a l S y mp o s i u m o n R e s e a r c h
i n A tt ack s ,
I n tru s i o n s , an d D e fe n s e s . S
pr
i ng e r ,
20 1 8 1 : 1 4 -
1 36
.
[
27] GOME Z H E R NA N D EZ -
J A A LVA R E Z G O N Z A L E Z L GA R C I A T E O D O R O P
,
-
,
-
.
R -
l o c k er : T h w ar ti n g r a n s o mw a r e a c t i o n t h r o u g h a h o n e y f
i e b a s e d a p p r o a ch [ J ] l
-
.
C om p u t er s & S e c u ri t y ,
20 1 8 ,
73 3 89 398 :
-
.
[
28] MO O RE C . D et ec t i ng
r a n s o mw a re w i t h h o n e
yp
ot te c h ni q u e s [ J] , 20 1 6
.
[
29 ] S O NG S , KI MB , LE E S . Thee f fe c t i v e r a n s o m w a re p r e v e n t i on te c h n i q u e u s i n g
p ro c e s s mo n i to r
i n g o n a n d r o i d p l a t fo r m [ J ]
. M ob il e I nfo r m a t i o n S
y s tem s ,
20 1 6 ,
20 1 6
.
[
3 0] FE R R A N T E A M A L E K M M A RT I N E LL I F e
,
, ,
t al . Ex ti n g u i s hi n g ran s o m w are a
-
h
y
i d app r o a c h t o a n d r o i d r a n s o mw a r e d et e c t i o n [ C ] // I n te r n a t i o n a l S y mp o s i u m o n
br
F o u n d a t i on s a n d P r a c t i c e o f S e c u r it
y S pr
i n g er
.
,
20 1 7 : 24 2
-
25 8
.
[
3 1
] And ro i d 调试桥 (
a db ) [
E B / O L h tp s ]
. : // d e v e l o p er a n d r o i d g o o g l e c n/ s tu di o / c o m m a
.
. .
nd ne/a db 2 02 0 24 )
-
- -
li . 1 1
.
[
3 2] Fa st b o o t [EB /O L ] . h tt
ps
: // s o u r c e a n d r o i d e o m / s o u r c e/r u n n i n g # u n I o c k i n g
. .
-
t h e b oo t I o a
-
d er .
(
20 2 0 -
1 2 -
24
.
[
33] J I A NG X L I U M YA N G K
,
,
,
e tal . A s ec ur
i t y s a n d b o x app r o a c h o f a n d r o i d b a s e d o n
h o o k m e c h a n i s m [ J ] S e c u r i t y a nd C o mm u n i c a t i o n
. Ne t w o rk s ,
20 1 8 ,
20 1 8
.
[
3 4] B E A MAN C , B AR KW O RT H A , AKA ND E T D , e t al . R a n s o mw a re R e c e n : ta d
?
v an c e s , a n al
ys
i s , c h a l l e n g e s a n d f u t u r e r e s e a rc h d i r e c t i o n s [ J ] C o m p u t e r s
. & S e c ur i t
y
,
202 1
, 1 1 1 : 1 0 24 9 0
.
[
35] S HAU KAT SK ,
R I B E I RO V J . R an s om w a ll : A l a y e r e d d e fe n s e s
y s te m ag
ain s t c r
yp
-
t o g r a p h i c r a n s o m w a re a t a c k s u s i n g m a c h i n e l e a m i n g [ C ] // 2 0 1 8 1 0 t h I n te rn at i o n a l
1 03
北 京 邮 电 大学 工 学 博 士 学位 论 文
C o n fe re n c e o n C o m mun i c at
i on S y s t e m s & Ne t w o rk s ( C O M S N E T S ) . I EEE , 20 1 8
:
356 363
-
.
3 6] KHA R A Z A AR S H AD S M U L LI N ER C e t al { UN V E I L } A { L a rg e S c ale
-
. :
[ , , ,
}
,
a u t o m at e d app ro a c h t o de t e c t i n g
r an s o m w are [ C ] // 2 5 h U S EN I X t s ec u ri t
y s y m p o s i um
(
U SE NIX s e c uri t
y 1 6) 2 0 1 6 . : 7 5 7
-
772
.
[
37] WA NG Z H UANG D Z H U Y
,
,
, e t al . Ef f i c i e n t at t r
i b u te b a s e d c o m
-
p a r a b l e d at a a c c e s s
c o n t r o l [ J ] I EE E Tr a n s ac t
ion s o n c o m p u te r s 20 1 5 64 ( 2 ) 3 4 3 0 3 44 3 -
1 :
.
,
, ,
[
3 8] AL S HA I K H H R AMAD A N N H E F N Y H A
,
, . R a n s o m w a re p r e v e n t i o n a n d m i t i g a
?
ti o n t e c h n i qu e s [ J ] . I n t e r n a t i o n a l J o ur
nal of C o m p u t e r A pp l i c a t i on s ,
2 020 ,
97 5 8 8 87 :
.
[
3 9] Ae s t h et i c [
EB /O L ] . ht t
ps : //
g
it hu b c om / k r e g g 3 4 /A E S t h e t i c
. .
(
20 2 2 -
1
-
4)
.
[
40] B R I E R LE Y C P O N T
,
J ,
ARIEF B
, e t al . P a pe r w 8 : an i o t b r i c ki n
g
r a n s o m w a re
p ro o
f
o f c o n c e p t [ C ] // P r o c e e d i n g s o f
t h e 1 5 t h I n t e r n at i o n a l C o n fe re n c e o n Av a i l ab i l i t y ,
Re
?
ab i l i t
y a n d S e c u r i ty 2 020 1 0
1
-
li . :
.
[
41 ] WE I F LI
,
Y R OY ,
S 5
et al . D eep g r ou n d tr u t h a n a l s i s o f c u r r e n t a n d r o i d m a l w a re [ C ] //
y
I nt er n a i on a
t l c o n fer e n c e o n de t e c t i o n o f i n t r u s i o n s a n d m a l w a r e a n d v u l n e r ab i l i t y
,
a s s e s s m e nt S p r in g er 20 7 25 2 27 6 -
.
,
1 :
.
42] V a s total [ E B / O L ]
r ht t // v i a s to t a l c o m /
r 20 20 2 2)
- -
1
[
l .
ps : . .
(
1
.
[
43 ] M c a fe e l ab s 2 0 1 7 t h r e a t s p re d i c t
i ons .
[
EB /OL ]
. h tp s : // w w w m c afe e c om / e n t erp r
. i s e / .
en
-
u s / a s s e t s / r e p o r t s /r p
-
t h r e a t s p re d i c t
i o n s 2 0 1 7 p df
- -
. .
(
2 020 -
1 2 -
1
)
.
[
44 ] R an so mw a r e a t t a c k s f r ac t u re b e t w ee n e n te r p r
i s e a nd r a n s o m w a r e a s a - - -
s erv i c e i n
q2
a s d em an d s i nc r
e as e .
[
E B /O L ]
. h tp s : //w w w . c o v c w a r c c o m / b l o g /q 2 .
-
2 0 20 -
ran s o mw 狂
m a rk e tp l a c e 202 2
re re
p ort
- - - -
. 1 1 1
.
( )
[
45] A H MA D I AN M M
, S H AHRIARI H R 2e n . tf o x A fr a m ew o rk fo r h i g h s u r v i v ab l e
:
r a n s o m w a r e s d e t e c t i on [ C ]
// 2 0 1 6 1 3 th i n te r n a t
i on a l i r an i an s o c i e t
y o f c ry p t o l o gy c o n
?
y a nd c r y p t o l o g y ( S C S C )
fe r e n c e o n i n fo r m a t i o n s e c u r i t I I . I EE E ,
20 1 6 : 79
-
84
.
[
46 ] PA L IS SEA ?
B O UD E R H L ,
LA N E T JL , e t al . R a n s o m w a re a nd t h e l e g a c
y c r yp
t
o
f r e n c e o n R i s k s a nd S e c u r i t
a
p i [ C ] // I n t e m at i o n a l C on e y o f I n t e r n e t a nd S y s t e m s
.
S pr
i ng e r ,
20 1 6 1 : 1
-
28
.
[
47 ] C AB AJ K M A Z U R C Z YK W U s
,
. i n g s o ft w a r e d e f i n e d n e t w o rk i n g fo r r a n s o m w a r e
-
m i t i g a t i on : th e c as e o f cr
yp t o w a l l
[
J ] Iee e
. Ne t w o rk ,
20 1 6 ,
3 0 (6) : 1 4 20-
.
1 04
参考 文 献
[
4 8] H I R AN O M , K O B AYA S H I R M ac h . i ne l e a r ni ng b a s e d r a n s o m w a r e de t e c t i o n u s
?
i n g s t o r a g e ac c e s s p a t t e r n s o b t a i n e d fr o m l i v e fo re n s i c h y p e r v i s o r [ C ] // 2 0 -
1 9 s i x th
i n t e r n at i o n a l c o n fe r e n c e o n i n t e r n e t o f t h i n g s : S y s te m s , M an ag e m e n t an d s e c uri t y
(
I OT S M S )
. IE EE , 2 0 1 9 1 :
-
6
.
[
49] GH A R I B A ,
G H OR B A N I A . D na d ro i d A re al -
:
-
ti m e an dro i d r a n s o mw a r e d e t e c t i on
fr a m e w o rk [ C ] // I n t e m a t i o n a l C o n fe re n c e o n Ne t w o rk a n d S y s t e m S e c u r i t y S p r
i n g er .
,
2 0 1 7 1 84 :
-
1 98
.
[
5 0] Ko o dou s
[
E B /O L ]
. ht
^ ) s : // k o o d o u s c om / . .
(
2 02 1
-
3
-
1 5)
.
[
5 1
] A n dr o g u a rd
[
E B / OL ]
, htt
ps : //
g i t h u b c o m / a n d r o g u a r d / a n d r o g u a rd
. .
(
2 0 20 -
9
-
1 5)
.
[
5 2] D ex fi l e [ E B /O L ] . htt p s : // d e v e l o p e r a ndr o i d g o o g l e c n / r e fe r e n c e/ d a l v i k / s y s t e m / D e x F
.
. .
il e .
(
20 2 1
-
1 0 5)-
.
[
53] H e l D ro i d 数据 集 [
E B /O L ]
. ht
ps : //
g i t h ub c o m / n e c s t / h e l dr o i d
. .
(
20 2 1
-
9
-
5)
.
[
5 4] R -
Pa c k D r o d i
数据 集 [
EB /O L ]
. htt
p : //
p r ag d i e e un i c a i t /i t / R P a c k D ro i d
. . .
(
2 02 1
-
9 -
1 6)
.
[
55] R i s kw are : an dr o i d/ s m sre g [E B / OL ]
. htt
ps : // www f .
-
s ec u r e c om / s w
.
-
d e s c /r
i s kw are _
a nd
ro i d ms re g s html 202 1 9 1 1
- -
s . _
)
.
—
(
[
56] Wh a ti s ad w a re ?
-
def i o n a n d e xp l a n a t i o n E B / O L ] h t t p s
i ni t [
. : // w ww k a s .
p ers
ky c om/
.
re s o u r c e
-
c e n t e r / t h r e a t s / a dw a re .
(
20 20 -
1 1
-
20 )
.
[
5 7] C o mp r eh e n si v e a n a l y s i s r e p o r t o n t r oj a n / a n d r o i d e m i a l [ E B / O L ] . . h tt
ps : // w w w a n t i .
y n e t /p/ c o m p re h e n s i v e a n a y s s re
p or t o n o a n an dro i d e m i a l a s r mtp r v e x p p h o to a
- - - - -
tr
-
l
- _
. i
j
l b u m/ .
(
2 0 20 5 - -
1 2)
.
[
5 8] An d ro i d /t r o a n a e n t [ EB /O L ]
j g . . htt
ps : // b lo
g m a l w ar e b y t e s c o m / d e t e c t i o n s / a n d ro i d
. .
-
tr
o
an a g e nt / 202 3 4)
- - -
. 1 1
.
j (
F a ke k o r ea n b a n k p ar t 2 [ E B / 0 L ] h tt b l o g av a st e om / 2
p p l i c at on s o r a n d r o i d
59] a f
ps
-
i . : // . .
[
0 1 4 / 0 3 /0 3 /fa k e k o re a n b a n k a p l i c a t i o n s - -
-
-
fo r
-
a n dro i d
-
p art 2/
-
2 02 2 -
l
-
3)
p .
(
.
[
60] T ro
j
a n a nd r o i do s b o o g r [ E B /
. . OL ]
. h tt
ps : //t h re a t s k a s e r s k y c om / e n / t h re a t / Tr oj a n
p
. . . A nd
ro i d O S B o o g r/ . .
(
20 2 1
-
1 1
-
1 2)
.
[
6 1
] S ecu ri t
y
al er t : New d r o i d k un g f u v a r
i an t s n a t i ve C hi n e s e a n dr o i d m ar ke t s
fo u n d i n a l t e r
[
E B /O L ]
. ht
^ > s : // w w w c s c 2 n c s u e d u / fac u l t y / xj i a n g 4 / D r o i d K u n g F u 2 /
. . . .
(
202 2 2 -
-
1 2)
.
1 05
北京 邮 电 大 学工学博 士学 位论 文
[
62] AN VA 反 病 毒 联 盟 [
E B /O L ] h t tp s . : // mp w e i x i n q q e o m / s /A R k M c 3 0U o KKM p v 4
. .
.
7 mO 8bn 2 02 2 4 2 ) - -
g .
(
.
[
63 ] WA N G S , QW S ,
HE N
, et a l . K r r ec o ver A n : aut o
-
r e c ov e r
y t o o l fo r h ij a c ke d d e v i c e s
an d e n cr dr o d [ J ] S y m m e t r y 20 2
y r a n s o m w are s o n a n
i e sb
f
yp ed
t l i .
, 1
, 1 3 (
5 ) 86 : 1
.
[
64 ] 盘点 :
20 1 9 年 勒 索病毒 灾 难 事件 [
E B /O L ]
. ht
p : // w ww 3 60 . . e n /n / 1 1 22 2 h t m .
U 2020
1 0 23 )
-
.
[
65 ] G A D E KA L L U T R , R A J P U T D S RE D DY M e t a l 5 ,
. A n ove l
pe a
-
w hal e
o p t i m i z a t i o n b a s e d d ee p n e u r a l n et w o rk m o d e l fo r c l a s s i f i c a t i o n o f o m a to p l an t d i s
-
?
t
e a s e s u s i n g gp u [ J ] J o urn al o f . Re a l
-
T i m e Im a g e Pro c e s s i n g
,
202 1 , 1 8 (4) : 1 3 83
-
1 396
.
[
66 ] ALAZ AB M B ROA DHU R S T R
,
. S p am an d cr
i m i n a l act
iv i t
y [ J ] Tre nd s a nd i s s u e s
.
i m e a nd c r
n cr i mi n al u s ti c e 20 1 6 ( 5 26 ) 20
-
i : 1
.
j ,
[
67 ] 2 00 ,
00 0 + m i k r o t k i r o u t e r s w o rl d w i d e h a v e b ee n c o m
promi s ed t o i nj e c t c r yp t oj a c k i n g
m a l w a re [ E B / O L ] . htt
ps : // b ad
p ac ke t s n e t / 2 0 0 0 0 0 m i k r o t i k r o u t e r s w o rl d w i d e h a v e b
.
- - - -
ee n
-
c om
pro mi s e d
-
t o
-
i nj e c t c r yp t oj ac k i n g m a l w a r e /
-
(
2020 -
1 0 5) -
.
[
68] 全 球 安卓 用 户
R o ot手 机 占比 .
[
E B /O L ] h tp s . : // w w w a n d r o i d h e a d l i n e s c o m /20
. . 1 4/
l l /5 0 u s er s
- -
ro o t
-
p h o n e s o r de r
- -
re m o ve
-
b u i l t ap p s on e h t m l #
- -
. : : te xt = A c c o r d i n g % 2 0 t
o % 2 0 Te n c e n t s % 2 0 s t u d y % 2 C % 202 7 4 4 m a n y .
,
% 2 0p e op l e % 2 0 ac t u al l y % 2 0 u s e % 2 0 A
n d ro i d .
(
20 20 -
1 2 -
1 2)
.
[
69 ] G o o g l e s tore [ E B / OL ]
. ht
q > s : // d e v e l o p e r a n dr o i d g o o g l e c n / . . . .
(
2 02 1 -
4 6) -
.
[
7 0] A L S O G HY ER S ,
A L M O M AN I I . R a n s o m w ar e de t e c t
i o n s y s t e m fo r a n d r o i d a pp l i
-
c at i o n s [ J] E l e c t r o ni c s
.
,
20 1 9 , 8 ( 8) 8 6 8 :
.
[
7 1
] S HA R M A S , K R I S HNA C R , K U MA R R A n d r o . i d r a n s o m w a re d e t ec t i o n u s i n g
m a c h i n e l e a r n i n g t e c h n i q u e s A c om p a r a t i v e a n a l y s i s o n gp n a n d c p u [ C ] //2 0 2 0 2 : 1 st
n t e r n a t i o n a l A r a b C on fe r e nc e o n I n fo r m a t i o n Te c h n o o g y ( AC I T ) I EE E 2020 1 6
-
I l .
,
:
.
[
72] New a n d ro i d t r o
j
a n xb o t
p h i s h e s c re d i t c a r d s a n d b a n k ac c o u n t s e n c r y p t s d e v i c e s
,
fo r r a n s o m [ E B / OL ]
. h t t p s : // u m t4 2 p a l o a l t o n e t w o rk s c om /n e w a nd r o i d t roj a n x b o t p h i s
.
.
h e s c re d i tc a rd s a n d b a n k ac c o un t s e n c r y p t s d e v i c e s fo r r a n s o m / 202 0 2 8)
-
-
. 1
.
(
[
73] C HEW C J W
,
K U MA R V
,
PAT R O S P
,
e t al . E s c ap a d e : E n c r yp t i on
-
t
yp e
-
r a n s o m w a re
:
S y s te m c all b a s e d
p
a tt er n d e t e c t i on [ C ] // I n t e m ati o n a l C o n fe re n c e o n Ne t w o r k a nd
S y s t e m S e c u r i ty S p r
i n g er .
,
202 0 : 3 8 8
-
40 7
.
1 06
参 考 文献
[
74] AL -
R I MY B A S , MAA R O F M A , S H A I D S Z M R a n s o m w a re . t h re a t s u c c e s s
fa c t o r s , ta x o n o my , a nd c o u nt e r m e a s u re s : A s urv e y an d re s e a rc h d i r e c t i on s [
J] C om.
?
p u t er s & S e c u r i t y 20 8 74 44 66
-
1 : 1 1
.
, ,
[
75] 姜维 . A n dro i d 应 用 安 全 防 护 和 逆 向 分析 [
M ]
,
机械工业 出 版社 ,
20 1 7 : 404
-
4 1 4
.
[
7 6] S l o c k er m ob i l e ran s o m w a re s t a r t s m i m i c k i n g w a m a c r y [ EB / O L ]
i . h t tp s : // b l o
g . tre n d m i
c ro c o m /tre n d l ab s s e c u r
it
.
y i n t e l l i g e n c e/ s l o c ke n no b i l e r an s o ni w are s t art s m i m i c ki n g w 設
nn a c ry/ .
(
20 1 9 -
7 5)-
.
)]
re fd o u b I e Andr o i d 新 型 勒 索病 毒 :
加 密文件 内 容 , 锁 定 手 机屏 幕 [
E B /O L ] . htt
p
s : // w w w w e U v e s e c ur
i t y c o r o/ 2 0
. _ 1 7 / 1 0/ 1 3 /d o u b l e l o c k e r -
i nn o v a t
i v e a nd r o i d m a l w a re /
- -
.
(
20 1 9
-
1 0 27 )
-
.
[
77] D o ub l e l o c k e r I n n o v at i v e a n d r o i d r a n s o mw a r e [ E B / O L ] ht t p s
: . : // w w w w e l i v e s e c uri ty
.
c o m/2 0 7 / 1 0/ 1 3 / d o ub l e l o c k e r nn o v a t i v e a n d r o i d m a l w a r e/ 2 0 22 2 4 )
- - - - -
. 1 i
(
.
.
[
7 8] Mob il e t hr e a t r e s
p o n s e e a m a n r o i d m o b i e a n s o mw are
t d l r B i g g e r b a dd e r b e t t e r ?
,
:
, ,
[
E B / O L h t tp s ]
. : // blo
g
. tr e nd m i c r o c o m / t r e nd l a b s s e c u r i t y i n t e l l i
.
g en c e/ an
d r o i dm ob i l e r
a n s o mw a r e e v o l u t i o n / 20 9 8 28)
-
-
. 1
.
(
[
7 9] GE NQ
Z A LE NZINI G
, , S GAN D U RR A D _ O n d e c e p ti o n b a s e d p r o t e c t
i on a g a i n s t -
cr
y p t o g r ap h i c r a n s o mw a r e [ C ] // I n tem a t i o n a l c o n fe r e n c e o n d e te c t i o n o f i n t r u s i o n s
a n d m a l w a re e n t S p r i n g er
ya s s e s s m 9 23 9
, a n d v u l n e r a b i li t .
,
20 1 9 : 2 1
-
.
[
8 0] WA N G S ,
Q IN S , Q IN J , e
t al . K r d r o d R a n s o m w ar e o r i e n t e d d e t e c t o r fo r m o b i l e
i :
-
d e v i c e s b a s e d o n b eh a v i o r s [ J ]
. App li e dS cienc e s ,
2 02 1 ,
1 1
(
1 4) 6557 :
.
[
8 1
] 揭秘小米 Io T 生 态 链 投 资机遇 :
企业超 3 00 家 , 连 接 设备 近 4 亿 [
E B /O L ]
. http s
:
// m .
j
i e m i a n c o r n / a r ti c l e / 6 5 8 9 0 7 9
. . ht r n I .
(
20 2 1
-
8
-
l
)
.
8 2] 年卖出 亿 台 打 败 美 国 巨 头 成 全 球第 却 被误 以 为 是 国 外 品 牌 E B /O L
— 一
1 . 1
.
[ , , [ ]
htt
ps : // n e w qq c o m / o m n / 2 0 2
. . 1 04 1 8 / 2 02 1 04 1 8 A 0 A 3 U 1 00 h t m l . .
(
202 1
-
8
-
l
)
.
[
83] 网 速 管家排 行 榜 :
202 1
年 3 月 路 由 器 市 场 占 有 率排 行 [
E B /O L ] h t t p s . : // www . s
p
e e dt e s t c n / a rt i c l e/
. KW Q r O b B 9 4 V L V L w E z 2 J g Y .
(
20 2 1 -
8
-
l
)
.
84] 外媒 佳 能 位 居 相 机 品 牌 市场 占 有 率 第 名 E B /O L ht // w ww 6 3 e o m /d y/ a
一
[
:
[ ]
.
ps : . 1
.
r t i c l e/ GH 5 G S C L 0 5 1 1 1 8 9 P5 . htm l .
(
202 1
-
8
-
1
)
.
[
85] 小 米 室 外 摄 像 机 销 量超 1 00 0 0 台 荣 登 京 东 监 控摄 像 品 类 热 销 榜
,
TO P 2 [E B /O L ]
.
ht tp s : // n e w s we s t c n / 8 6 7 6 3 h t m l
. . . .
(
202 1 -
8
-
l
)
.
1 07
北 京 邮 电 大学 工 学 博 士 学 位 论 文
[
8 6] p ac ka g e : i no t i f y w a i t [ E B / O L ] h tp s . : // o p e n w r t o r g / p a c k a g e s /p k g d a t a /i n o t i f y w a i t
. .
(
20
2 1
-
1 0 23)
-
.
[
87] i n o ti fy w ai t( l
)
-
li n ux m a n p a g e [ EB / O L ] . h t tp s : // l i nu x d i e n e t / m a n / l /i n o t i fy w a i t
. . .
(
20
2 1
-
1 0 23 )
-
.
[
8 8] li nu x 在
DV R 系 统 中 的 应用 和 发展 [
EB /O L h tp ]
. t : // w w w e m b e d d e d I i n u x or g
. . . e n/h
t m l /j i s h u fa n g a n / 2 0 1 1 0 8 /0 3 -
1 4 3 5 ht ml . .
(
2 02 1
-
1 0 23 ) -
.
[
89] S HAO Y LU O X Q IAN C
,
,
. Ro ot
g u a rd r o t e c t i n g r o o t e d a nd ro i d p h o n e s [ J ] C o m
P : .
?
p u te r ,
20 1 4 ,
47 ( 6 ) 3 2 40 :
-
.
[
90] C O S TA M AGNA V Z H E NG C
,
. A rt dro i d A v irt u al m e th o d h o o ki n g f
: r a m e w o rk o n
-
an d r oi d ar t r u n t i m e .
[
C ]
// I MP S @ E S S o S . 2 0 1 6 : 20
-
28
.
[
9 1
] 分发信息 中 心 [
E B /O L ]
. h tp s : // d e v el o d
p er an ro
i d c o m / a b o u t /d a s h b o a r d s / i n d e x
. htm
. .
1 .
(
2 020 4 6 ) - -
.
[
92] LEE K Y IM K
,
, S E O J T R a n s o m w ar e p r e v e n t
. i o n t e c h n i q u e u s i n g k e y b a c k u p [J ]
.
C on c u r r e nc y a n d C o mp u t i o n P r a c t i c e a n d E x p er
at : i en c e , 20 1 8 ,
3 0 ( 3 ) e43 3 7 :
.
[
93 ] KO L O D E N K E R E , KO C H W S T R I N G H I N I G
, , et a l . P a y b re a k : D e fe n s e a g a i n s t
cr
y p t o g ap h c
r i r an s o m w a r e [ C ] // P r o c e e d i n g s o f t he 2 0 1 7 AC M on As i a C on fe re n c e on
C o m p u ter a n d C o m m u n i c a t i o n s S e c ur i t y 2 0 7 5 99 6
-
. 1 : 1 1
.
[
94 ] AR P D , S P R E I T Z EN B A RT H M HU B N E R M
,
, e t a l D re b i n . : E f fe c t i v e a n d exp l ai n
?
a b l e d e t e c t i o n o f a nd r o i d m a l w a r e i n
y our p o c
ke t .
[
C ]
// Nds s : vo l u me 1 4 . 2 014 : 23
-
26
.
[
95 ] Xpo se d [E B /O L ] . h tt
p s "r e p o x p o s e d i n fo /m o du l e / d e
: . . ro b v . an dro i d x .
pose
d . i n s ta l l e r
(
2 020 4 6 ) - -
.
[
96] 《 20 20 年 中 国 互联 网 网 络 安 全 报 告 》 全 文 [
E B / O L h tp s ]
. : // w w wjohu . e om / a /4 7 8
8 7067 2 2 24 3 65 20 2 2 3 5)
- -
1 1 1 .
.
. (
[
97 ] 王蕊 ? 20 1 6 年第
一
季 度 勒 索软 件 变 种 数量 增 加 1 4% [
J] .
计算机与 网 络 ,
20 1 6 ,
42
(
1 0) 56 5 6
:
-
.
[
98] 202 年 勒 索 软 件 演 变 新 趋 势
1
[
E B /O L ]
. ht t
ps : // www . s o hu e o m / a /4 7 4 . 1 2 9 940 _
1 2 1 1
2
43 5 9 .
(
202 2 -
3
-
1
)
.
[
99 ] 勒索 软 件 攻 击 在
2 020 年 第 三 季 度 激增 [
E B /O L ] . h tp s : // b a i
j
i ah ao b ai d u c o m/ s ? i d =
.
.
6 8 6 9 2 0 2 9 2 5 4 4 2 3 0 8 9 3 & w £ r = s p i d e r & fo r = p c 2022 3 9)
- -
1 .
.
(
1 08
参考文献
[
1 〇〇 ] 科技 云报道 :
八 大 数据 趋 势 , 看 清 企业 数字 化 挑 战 [
E B / O L] . ht
ps
: // b a i
j
i a h aa b a
i du c o m / s . ? i d= 1 7 2 6 2 8 7 2 7 3 4 3 5 2 3 5 2 9 2 & w fr = s p i der & fo r = p c .
(
2 02 2 -
3
-
3 )
.
[
1 0 1
] L o c ke r p i n [ E B / O L ] . ht t
ps : // t h e h ac ke m e w s c o m / 2 0 . 1 5 / 0 9 / a n dr o i d -
l ock
-
r an s o m w are
.
ht ml .
(
20 2 2 4 - -
l
)
.
1 0 2 ] D o ub l e l o c ker I n n o v at i v e a n d r o i d r a n s o m w a re [ E B / O L ] h t t s // w w w w el i v e s e c u ri ty
p
: . : .
[
. c o m /2 0 1 7 / 1 0/ 1 3 /d o u b l e l o c k e r
-
i nno v a t i v e a nd r o i d m a l w a r e / - -
(
20 2 2 4 - -
l
)
.
[
1 0 3 ] A n dro i d N 如 何 限 制 重置 密 码 以 遏制 勒 索软件 [
E B /O L ]
. h tp : // s e c c hi n a b yt e/
. .
(
20
20 -
1 0 23 ) -
.
[
1 i s e o f a n d r o i d r a n s o m w a re [ EB / O L ] h t tp s
04 ] T h e r . : // w w w . w e l i v e s e c u ri ty . c o m/w
p
-
c o nt
e nt/up I o ad s/ 2 0 1 6 /0 2 / R i s e _
of _
A nd r o i d _
R a n s o mw a r e .
p df .
(
20 2 2 -
3
-
3 0)
.
[
1 0 5 ] Ko l e r [ E B / O L ] . h t tp s : // w w w . v
p nm e n t o r c o m / b l o g/ hi s t o r y .
-
ra n s o m w are
-
t hre a t p a s t p r
-
-
e s e nt
-
and
-
fu t u re/ .
(
2 0 22 -
3
-
9)
.
[
1 0 6 ] Ko l e r r a n s o m w a re u s i n
g
fa k e a d u l t
-
ht t p s : // w ww . t ip w
r i re c o m / s t at e
.
-
of
-
sec uri y / l at e s t
t
-
s e c ur i t
y new s / ko l er
-
-
r an s o m w a re -
u
si n g fa k e - -
ad u l t
-
t he m e d ap p s - -
i n fe c t a n d r o i d u s e r s /
- -
.
(
2 02 2 -
3
-
6)
.
[
1 0 7 ] K o l er r a n s o m w a r e c a m p a i g n t a r g e t s u . s . an dro i d u s er s [ E B / O L ] , ht t
ps : // www . s
e
m ag a z n e i . c o m/n ew
-
k o l er -
ran s o m w are
-
c am p a i g n
-
t ar
g e t i ng u s u s e r s / ar t c l e /6 7
i
- -
1 24 1 /
.
(
20 2 2 -
3
-
6)
.
0 8 ] Ko l e r OL
5
mob e r an s o m w a re [E B /
5
ht t u s a k a s p e r s ky c om / re s o u r c e c
p ol ce
-
1 //
ps
i il . : . .
[ ]
e n t e r/t h r e at s / ko l e r r an s o mw a r e v i ru s 2022
p ol i c e 3 5)
- - - -
-
.
.
0 9 ] Troj a n a n d r o i d / k o l er [ E B / O L ] ht w ww f s e c ur e c o m/v d e s c s/ t r oj a n a n d r o i d k o l e
-
-
[
1 : . t
ps : // . .
r s ht
. ml .
(
2 02 2
-
3 -
5)
.
0 ] Ko l er h e p o l i c e r a n s o m w a r e fo r a n d r o i d [ E B / O L ]
5 !
[
1 1
-
t . ht t
ps : // k a s p e r s k y c o n te n t hub
.
c o m / s e c ure l i s t / f
i l e s /2 0 4 /07 / 2 0 1 4 0 7 K o l e r 20 2 2 0)
p df 3
- -
1 . . 1
.
(
New r a n s omw a re t a r
g e ts mob i l e [E B /O L ] ht w w w b a n k i n fo s e c u r
i t y c om / a 6 8 6 7
- -
1 1 1 //
^p
. : . .
[ ]
.
(
202 2 -
1
-
1 7)
.
[
1 1 2 ] S v
p e n g b e h i n d a s p i ke i n m o b i l e r a n s o m w a r e [ E B / O L ] h tp s . : //t h r e at p o s t . c o m/ s v
p en
g b ehi n d a ke n m ob i l e r an s o mw a r e /
- - -
s i
-
i
-
-
1 265 3 3/ 2022 -
3
-
1 6)
p
.
.
(
[
1 1 3 ] A n dro i d . l o c k dro i d e [ E B / O L ] . . h tt
ps : // www . s
y m an t e c c o m / s e c u r
i ty .
_
re s
p o n s e/ w ri t e u
p ?do c i d 20
s = 1 4 -
1 0 3 005 -
2 209 -
99 2022 -
2 -
1 9)
p
.
. .
j (
1 09
北 京 邮 电 大 学 工 学 博 士 学 位论 文
4 ] H o c ke r r a n s o mw a r e T he at t a c k e r s a r e u s i n ock s m art tv s E B /O L
g hi s m al w a r e o
1 1 : t t l
.
[ [ ]
ps
- -
: // . . i
wa re -
A t a ck -
S o l u t i on / .
(
2 02 2 -
1
-
4)
.
[
1 1 5 ] A n dro i d . l o c k d ro i d e [ E B / O L ] . . h tp s : // w w w s .
y m an t ec c o m / s e c ur
ity .
_
re s
p o n s e/w r
i t eu
p .
j
s
p ? doci d
=2
0 1 4 -
1 0 3 0 0 5 22 0 9 9 9 & t ab i d = 2
- -
.
(
20 2 2 3 - -
l
)
.
[
1 1 6 ] R o c k er m ob i l e r an s o m w a r e c r o s s e s t o s m ar t t v [
EB / O L ]
. ht t
p : // b l o
g
. tr e nd m i c r o c o m /
.
t l
y i l .
.
(
7 ] Tr e n d s i n a n d r o i d m a l w a r e [ E B / O L ] h t t w w w w el i v e s e c uri ty c o m / w p c o n t ent/ up -
1 1
ps //
. . .
[
:
l o ads / 2 0 1 7 /0 2 / E S E T _
T re n d s _
20 1 7 _
i n _
A n dr o i d _
R an s o m w a re .
pdf .
(
2 02 2 -
2 -
1 0)
.
[
1 1 8] A nd ro i d m a l w are u s e s c o r o n av i r u s fo r s e x t o r t i on a n d r a n s o mw a re c o mb o [ E B / O L ]
.
ht t p s : // n a ke d s e c u r i t y . s op h o s c o m / 20 20/ 0 3 / 1 8 / a n d r o i d m a l w a r e u s e s
.
- - -
c o r o n av i r u s
-
fo r
s ex t or t i o n
-
ran s o m w are
-
c o m b o/ .
(
202 2 -
2 -
1 0)
.
[
1 1 9 ] T h e e v o l u t i o n o f r a n s o mw a r e [ E B / O L ] . h tp : // www . s
ym a n t e c c o m / c onn e c t / s y m a n t e
.
c
-
blo /s r 2 020 -
8
-
6)
gs
.
.
(
20 ] IC s n r a n s o mw a r e i n 2 0 4 20 1 6 [ EB / O L ] h t t e c n r e l i s t c o m / a n a l y s i s /p ub l
re
p ort
1 1 // s
-
ps
. : .
1
- - - -
i l i . 1
.
N e w a n d r o i d t r oj a n x b o t p h i s h e s c r e d i t c a r d s a n d b a n k a c c o u n t s
’ ’
1 2 1 e n c ry pt s d e
-
[ ] ,
v i c e s fo r r a n s o m [ E B / O L ] . htp s : //r e s e a r c h c e n t e r p a l o al t on e t w o rk s . . c o m/ 2 0 1 6/ 0 2/ n e
i s
r r ans o m/
-
.
(
202 2 -
2 -
1 4)
.
2 2 ] A n d r o i d w a n n a l o c ke r [ E B / O L ]
y m a n t ec c om / s e c u r
i ty
ht t ww w
ps s re s
p o n s e / wr eu
1 . . : // . i t
[
.
p
.
j
s
p ? do c i d
= 20 1 7 06 1 3-
1 4 4 8 3 9 9 9 & t ab i d = 2
- -
(
202 2 -
3
-
2)
.
2 3 ] M i x n e w a nd r o i d ex p o s e y o ur
7 ,
r a n s o m w a r e t h re a t e n s t o
[
1
p o m e s c ap a d e s t o t h e fb i
[
E B / O L h t tp s ]
. : // t h e n e x t w e b . c o m/ s e c ur
it y / 2 0 2 0/ 04/ 2 8 / a n dr o i d
-
r an s o m w are
-
fb i
-
po
m/ .
(
2 0 22 -
l
-
1 8)
.
[
1 24 ] M C I N T O S H T ,
J ANG -
AC C A R D
J J ,
WATT E R S P et ,
a l T h e i n ad e q u a c y o f e n t r o p y
.
-
b a s e d r a n s o m w a r e d e t e c t i o n [ C ] // I n tem a t i o n a l C o n fer e n c e on N e u r a l I n fo r m a t i o n
Pro c e s s i ng . S
p r i n g e r 20 ,
1 9 1 8 : 1
-
1 89
.
1 1
0