新的R2D2技術可以保護文件免受擦除類惡意軟體的攻擊

普渡大學(Purdue University)的科學家們開發了一種名為「Reactive Redundancy for Data Destruction (R2D2)」的數據保護技術，該技術不但可以保護虛擬機內的數據免受現代數據擦除類惡意軟體的攻擊，而且還可以提供了一些安全的文件刪除方法。

研究人員表示：

在我們的測試實驗中，這項新技術成功地阻止了擦除類惡意軟體如Shamoon (v1和v2)、StoneDrill和Destover對實驗數據的刪除。

近年來，針對文件系統和MBR等以擦除攻擊為主要手段的破壞性攻擊代碼愈來愈多。這類惡意軟體也成為很多APT攻擊組織在攻擊後掩蓋其蹤跡的主要手段。

擦除類攻擊分兩種：單純擦除和多功能擦除。

單純擦除

這些惡意軟體旨在破壞數據或影響目標系統正常啟動，通常通過接收來自攻擊者的命令或預定時間執行。

這類惡意軟體包括：Killdisk，WhiteRose，DarkSeoul，DestFallen，Destover等。

多功能擦除

這類惡意代碼被攻擊者用來執行多種任務，其中包括擦寫被感染系統。這類惡意軟體包括：BlackEnergy 2 DSTR Plugin，Shamoon/Disttrack，Gh0st RAT等。

R2D2如何運作

R2D2在設計時針對的操作環境是虛擬機，也就是說你不能在常規操作系統上運行R2D2，這是因為R2D2需要處於可以觀察整個操作系統的位置。

Purdue研究人員在上個月發表的一篇論文中寫道：

我們的R2D2的原型是在一個虛擬機監控(VMM)中實現的，它可以通過虛擬機自省(VMI)監視用戶虛擬機中的數據損壞情況。

R2D2使用VMI介面來攔截受保護的操作系統（虛擬機上的用戶操作系統）上的文件打開和文件寫入之類的操作。

如果檢測到有文件打開和文件寫入之類的操作時，R2D2就會利用一系列的防護策略來評估這些操作是否屬於已知的攻擊性操作。如果在防禦掃描時觸發了安全警告，VMM將創建一個臨時檢查點，這樣操作員就可以使用它來作為系統恢復點。

通過這樣的設計，R2D2將忽略那些模塊化或標準化的刪除操作，這些操作會取消鏈接文件，並在稍後需要將其他數據保存在磁碟上時將其保留在存儲介質上。

但是，R2D2將查找有意打開和重寫文件的刪除操作，這種攻擊行為已經在所謂的「安全刪除」應用程序和擦除類惡意軟體中被攻擊者應用了。

通過如此的設計，R2D2將查找嘗試用隨機數據或重複的代碼模式重寫文件的操作。目前，R2D2可以適用於13種已知的擦除方法，這些方法已在所謂的「安全刪除」應用程序和惡意軟體中經常出現。

R2D2支持「安全刪除」應用程序和數據擦除類惡意軟體的原因是由於惡意軟體作者可能試圖將這些應用程序合併到未來的擦除類惡意軟體中，而不是使用自定義技術。

此外，通過支持流行應用程序使用的「安全刪除」演算法，R2D2還可以保護計算機免受惡意的內部人員的物理訪問，攻擊者最有可能使用「安全刪除」應用程序而不是數據擦除類惡意軟體。

測試中，研究人員還發現R2D2在識別具有破壞性的擦除行為時，具有非常高的準確性。

雖然R2D2目前只在測試階段，但市面上還沒有哪一個軟體可以由此功能。

研究人員進行的測試表明，雖然R2D2在檢測惡意破壞性操作方面非常準確，但仍需要在一些性能指標上持續改進。例如，測試表明，在989次破壞性操作中，R2D2錯誤地將兩次破壞性重寫確定為良性(假陰性率為0.2%)，而在989次良性寫入中，R2D2將5次操作誤判定為具有破壞性的行為(假陽性率為0.51%)。

但是最大的問題是R2D2當前版本在保護vm上的延遲反應。Purdue研究人員表示：

對於簡單的任務，延遲率從1%到4%不等，而對於複雜的任務來說延遲率從9%到20%不等。

如何改進R2D2性能

研究人員表示，改進R2D2性能並不是一個大問題，因為目前R2D2的原型並沒有對性能進行優化，如果投入實戰，還有很大的改進空間。

例如，由於超過90％的延遲是因為R2D2在主機操作系統的VMI介面內運行，所以提高性能的最簡單方法是讓R2D2在其他位置運行，這樣設備的運行性能就不會出現大幅度下降。

再比如，R2D2可以在操作系統內插入寫入存儲介質，將R2D2放置在操作系統內可以避免與VMI相關的損耗，而這也是研究者所發現的最重要的性能損耗。但是，這種改進方法的主要缺點是對文件版本控制系統和其他R2D2機制的控制都位於受保護的系統中，而不是與潛在的不可信的操作系統隔離。如果對手可可以破壞操作系統，那他們就可以禁用R2D2。

其實，R2D2的另一個合理的運行位置是在硬體附近。在將數據寫入存儲設備之前，存儲設備上的硬體控制器可以檢查寫入緩衝區是否具有破壞性功能。然而，將R2D2放置在硬體控制器中的挑戰是記錄和保存對用戶，系統管理員或取證人員有意義的數據。將底層磁碟操作映射到文件對於磁碟存儲而言是一個眾所周知的語義鴻溝問題。或者，網路文件系統也可以使用R2D2，類似於檢查惡意行為的文件交互過程。

這樣做一個優點是R2D2可以與攻擊者隔離，除非攻擊者能夠覆蓋硬體控制器或獲取網路文件存儲伺服器。

由於一些加密勒索軟體變種有時與某些擦除類惡意軟體相似，因此R2D2也可能會會被用於檢測一些勒索軟體。儘管如此，研究人員並不認為R2D2是一個檢測勒索軟體感染的好系統。不過研究人員表示：

可以通過密切關注R2D2的這個檢測勒索軟體的功能，來判斷它的性能好壞。因為這表明目前R2D2正在執行大量的數據加密程序，而不是關注文件打開和文件寫入之類的操作。

目前，R2D2隻在VM內運行的Windows 7操作系統上進行過測試，不過該研究小組表示:

雖然只在Windows 7操作系統上進行過測試，但我們認為R2D2可以在各種版本的Windows上使用。從理論上講，它也應該能在Linux、Mac OS和其他系統中得到推廣。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！