英语原文共 8 页，剩余内容已隐藏，支付完成后下载完整资料

可以在www.sciencedirect.com上找到

ScienceDirect

procedure dia Computer Science 94 (2016) 465 - 472

第二届复杂系统未来信息安全、隐私与取证国际研讨会

(FISP 2016)

Windows和Android平台上勒索软件的实验分析:演变与特征

Monikaordf;*, Pavol Zavarskyordf;, Dale Lindskogordf;

ordf;信息系统安全管理,康科迪亚大学的埃德蒙顿,埃德蒙顿,T5B 4 e4,加拿大

摘要

本文的重点是通过分析Windows和Android环境中现有的勒索软件家族中选定的勒索软件变体的样本，提供关于勒索软件从2016年3月开始如何演变的见解。分析了17个Windows操作系统和8个Android勒索软件家族。对于每个勒索软件家族，至少要比较属于同一家族的三个变体。分析表明，勒索软件变体的行为方式非常相似，但使用不同的有效负载。我们的分析表明，勒索软件使用的加密技术有了显著的改进。Windows环境下的实验结果表明，通过监视异常的文件系统和注册表活动，可以检测到勒索软件。在Android环境中，我们的分析显示，通过密切关注Android应用程序请求的权限，可以减少勒索软件攻击的可能性。

copy;2016 TheAuthors.Published.bybyElsevierB.VB .ThisV。在CC by nc - nd许可下的开放访问文章

同行(http://creativecommons-reviewunderresponsibility.org/licenses/byofthe-ncConference-nd/4.0/)。

由会议项目主席负责的同行评审

关键词:Ransomware;进化;特征;有效载荷;加密;权限;Windows;安卓系统;

• 相应的作者。电话: 1 - 17802327187。电子邮件地址:monikachoudhary24@gmail.com

1877 - 0509年copy;2016年作者。由Elsevier B.V.发布，这是一篇基于CC by nc - nd许可的开放获取文章

(http://creativecommons.org/licenses/by-nc-nd/4.0/)。

由会议项目主席负责的同行评审

doi:10.1016 / j.procs.2016.08.072

466 Monika等/ procedure dia Computer Science 94 (2016) 465 - 472

1. 介绍

勒索软件是一种恶意代码或恶意软件，它会感染计算机并迅速传播以加密数据或锁定计算机。这种恶意软件使得用户无法访问数据，攻击者要求用户支付费用，以使他们的文件未加密和可访问。支付方式通常是比特币¹ 或其他无法追踪的货币。² 目前，全球的企业和个人都受到了勒索软件的攻击。勒索软件的主要目的是最大限度地利用恶意软件赚钱。从第一次感染到现在，勒索软件已经显示出其破坏性和破坏性的一面。它已经开始做的不仅仅是显示广告、屏蔽服务、禁用键盘或监视用户活动。它锁定系统或加密数据，使受害者无力付款，有时它还威胁用户，如果不付款，就向公众公开敏感信息。所有的勒索软件家族的行为方式几乎相同，但使用不同类型的负载。本文通过观察与这些精选的勒索家族相关的一些样本，重点对勒索是如何运作的以及在这一时期它是如何演变的提供了深入的见解。和以前一样，勒索软件使用任何软件过期的许可证作为一种骗取许可证续期付款的手段。现在，攻击者试图锁定系统访问，阻止使用鼠标和键盘，加密文件，现在这些攻击者试图作为执法机构。这篇论文解释了勒索样本是如何运作的，以及我们的发现如何用于识别勒索。

第二节讨论了勒索样本集及其收集和命名方案。第三节给出了Anubis和Andrubis的分析结果³，杜鹃沙箱⁴。本节还描述了在Windows和Android环境下勒索软件的生命周期。第四节阐述了近年来勒索的演变过程。第五节介绍了几种可用于验证勒索存在的检测技术。第六节最后强调了这项工作的结果和调查结果，以及今后在勒索方面可以做的工作。

2. Ransomware数据集

收集恶意软件数据集是我们研究的最大一部分。在这一节中，我们描述了我们收集所有勒索样品的来源。我们参考了许多网上来源，从选定的勒索家族搜索特定的样本。我们收集了90%的病毒样本⁵，其中8%是通过自动爬进公共恶意软件库收集的^6,7。我们通过手动浏览安全论坛获取了其余内容。为了确认恶意软件样本是一个勒索软件，我们检查了病毒Total中的MD5哈希值，然后在大多数反病毒引擎从某个特定的家族中识别出它时，将其标记为勒索软件家族。为了给一个样本分配一个家族名，我们使用了杀毒软件供应商的命名方案。因此，命名策略完全基于家族名在反病毒引擎中的流行程度。本文对近几年来发现的勒索家族进行了分析。我们试图涵盖25个重要的勒索家庭的实验分析。为了得到公正的结果，我们对每个家庭进行了至少三个样本的分析。

3.Ransomware分析

一般来说，勒索要经过不同的阶段。每当android设备被勒索软件感染时，首先，它会通过请求或者显示安装补丁更新来欺骗用户，从而获得管理权限。一旦获得管理访问权限，它就会请求应用程序执行必要任务所需的权限。但是，我们已经从分析中看到，一个应用程序请求与该应用程序的性质无关的权限总是出于恶意目的。一旦应用程序获得了许可，它就开始从受害者的设备上收集信息，然后联系命令与控制服务器。它将此信息发送给攻击者，这些消息通常使用传输层安全性进行加密。在使用加密软件时，它从命令和控制服务器获取私钥。使用此密钥，它对Android设备中出现的选定文件进行加密。完成加密后，它会通过显示警告信息来要求受害者支付赎金。但是在locker ransomware的情况下，它会重置Android设备的PIN，然后要求勒索来恢复设备的访问。

在Windows的情况下，我们可以从下面的图1中看到，每个crypto家族都经历了一些主要的阶段。每一个变种通过任何恶意网站，电子邮件附件或任何恶意链接进入受害者的机器，并从中获得进展。一旦受害者的计算机被感染，它就会联系命令和控制服务器。它将受害者的机器信息发送给攻击者，并最终从服务器获得随机生成的对称密钥。一旦收到加密密钥，它就会查找要加密的特定文件和文件夹。一些变体查找所有磁盘驱动器、网络共享和可移动驱动器以及加密它们的数据。同时，恶意软件删除所有的恢复点、备份文件夹和影子卷副本。

在整个加密过程之后，它会在受害者的机器上显示勒索支付信息。在locker ransomware的例子中，恶意软件会经历所有相同的阶段，但是它不会对数据进行加密。一旦受害者的机器感染了locker ransomware，它将获得管理权限并控制键盘。它锁定用户对机器的访问。它会改变桌面墙纸，或者会显示一个窗口，它会通知勒索软件的攻击，并显示恢复访问的步骤。本文使用静态和动态恶意软件分析策略来检测设备中存在的勒索软件，下面的小节将详细描述所有的观察结果。

3.1。Android平台上的勒索软件分析

勒索软件病毒利用包括美国联邦调查局、美国网络犯罪调查机构和ICE网络犯罪中心等当局的名称。这些储物柜类型的勒索软件通过将自己描述成这些机构，然后发出虚假声明，警告设备用户为违法行为支付一定金额的罚款。逆向工程过程已被用于分析Android恶意软件。本文对感染Android应用程序的勒索软件分析主要集中在AndroidManifest上。xml和应用程序的源代码。以下是在分析过程中观察到的恶意负载:

• 权限升级:下载整个应用程序后，在打开应用程序时，它会请求管理权限。现在，如果用户单击activate按钮，那么应用程序将获得设备管理员的权限，这将使恶意应用程序很难从设备中删除。在最新版本的勒索软件攻击中，激活窗口被伪装成更新补丁安装的恶意窗口覆盖。因此，应用程序试图以某种方式获得管理员权限，以便锁定受害者的设备或为设备的锁定屏幕设置新的PIN。
• 远程控制:据观察，早期的勒索软件包通过HTTPS与网站通信以获取加密密钥。试图向可疑目标发出安全HTTP请求的应用程序是恶意目的的明显暗示。现在，新的变体使用XMPP通信来与命令和控制服务器通信。这些通信看起来像普通的即时消息通信，这使得反恶意软件更难检测到勒索软件。XMPP通信通道由新的Simplocker变体使用。它的变体使用外部Android库通过合法的消息传递中继服务器与命令和控制网络通信。这些消息可以使用传输层安全性(Transport Layer Security, TLS)进行加密。该方案的操作员通过Tor从命令和控制网络接收消息。我们发现所有与Camp;C服务器的通信都是通过端口号443、80和123完成的。

468 Monika等/ procedure dia Computer Science 94 (2016) 465 - 472

• 信息收集:我们观察到勒索软件应用程序收集IMEI号码、通话记录、联系人、个人资料、历史书签、SMS、帐户服务中的帐户列表、电话状态、电话的GPS位置和IP地址等信息。一些勒索软件甚至会检查设备上运行的任务。Simplocker家族联系命令和控制服务器，并将在移动设备上找到的信息发送给攻击者。
• 加密使用:加密软件如Simplocker和Pletor使用AES加密方案加密SD卡中的数据。它通常搜索特定类型的文件，然后对其进行加密。
• 使用权限:用户安装的所有应用程序都需要获得一定的权限才能正常运行。但恶意应用程序要求的权限不是为了应用程序的功能，而是为了恶作剧的目的。所有看似不符合app服务的权限请求，均可严肃对待，不予受理。下面的表I提到了所有这些权限^C 通常由良性级别的勒索软件应用程序使用。

表1。用于良性级别勒索的权限。

许可 描述

READ_PHONE_STATE

互联网

ACCESS_NETWORK_STATE

WRITE_EXTERNAL_STORAGE

READ_EXTERNAL_STORAGE

RECEIVE_BOOT_COMPLETED

ACCESS_COARSE_LOCATION

ACCESS_WIFI_STATE

ACCESS_FINE_LOCATION

WAKE_LOCK

INSTALL_SHORTCUT

GET_TASKS

CALL_PHONE

相机

允许只读访问电话状态。

允许应用程序打开网络套接字。

允许应用程序访问有关网络的信息

允许应用程序写入外部存储。

允许应用程序从外部存储器读取数据。

允许应用程序接收ACTION_BOOT_COMPLETED，该操作将在系统完成引导后广播。

允许应用程序访问近似的位置。

允许应用程序访问有关Wi-Fi网络的信息。

允许应用程序访问精确的位置。

允许使用电源管理器唤醒锁来防止处理器休眠。

允许应用程序在启动程序中安装快捷方式。

允许应用程序获取关于当前或最近运行的任务的信息。

允许应用程序在不通过拨号用户的情况下发起电话呼叫

接口，供用户确认调用。

要求能够访问摄像头设备。

高度恶意的应用程序可以要求攻击者使用更多的权限，这样删除这些应用程序就变得更加困难。一个应用程序使用权限，如KILL_ BACKGROUND_PROCESSES，以阻止杀毒进程运行，以防止勒索软件检测。FACTORY _TEST用于使用根用户权限将应用程序作为制造商测试应用程序运行。BIND_DEVICE_ADMIN确保只有系统才能与应用程序交互。这种权限使得勒索软件更加恶意，从Android设备上删除这些勒索软件应用程序变得更加困难。

3.2。Windows平台上的勒索软件分析

所有变异均采用杜鹃沙箱和Anubis进行分析。分析后，深入观察报告和交通文件，记录主要观察结果。我们观察到，ransomware组件试图通过做一些重要的更改来安装到设备中。可以在文件系统活动、注册表活动和网络通信中观察到

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[19862]，资料为PDF文档或Word文档，PDF文档可免费转换为Word