在2016年發(fā)生了許多與勒索軟件有關(guān)的安全事件，而現(xiàn)在越來越多的網(wǎng)絡(luò)犯罪分子會(huì)通過勒索軟件來獲取大量的非法收益。除此之外，“勒索軟件即服務(wù)”在暗網(wǎng)市場(chǎng)中似乎也成了一種新的潮流。更加恐怖的是，2017年將會(huì)成為勒索軟件爆發(fā)的一年。因此，我們?nèi)绾尾拍芨玫乇Ｗo(hù)自己的安全呢？

既然我們已經(jīng)知道了攻擊者可以做什么，那么我們將在這篇文章中討論移動(dòng)端勒索軟件的檢測(cè)和緩解思路。我們希望能夠?qū)⑦@些技術(shù)方面的內(nèi)容與安全研究人員共同分享，并且提升安全行業(yè)對(duì)移動(dòng)端勒索軟件的理解。

檢測(cè)思路

為了設(shè)計(jì)和實(shí)現(xiàn)更加高效的移動(dòng)端勒索軟件檢測(cè)/緩解技術(shù)，我們必須從移動(dòng)端勒索軟件的技術(shù)細(xì)節(jié)入手。毫無疑問的是，勒索軟件的惡意功能肯定會(huì)在其實(shí)現(xiàn)代碼中有所體現(xiàn)。因此，我們準(zhǔn)備利用靜態(tài)分析技術(shù)以及一些其他的小技巧來對(duì)移動(dòng)端勒索軟件進(jìn)行分析和探究。

下圖顯示的就是幾種移動(dòng)端勒索軟件常用的檢測(cè)方法：

典型的“威脅信息”（Threatening text）會(huì)寫得非常明確，用戶一看就會(huì)知道自己正在面對(duì)的是什么，而且這些信息往往都會(huì)告訴目標(biāo)用戶如何去支付贖金。因此，我們可以通過機(jī)器學(xué)習(xí)算法來對(duì)“正常信息”和“威脅信息”進(jìn)行自動(dòng)化分類，并以此來檢測(cè)移動(dòng)設(shè)備是否感染了勒索軟件。我們需要對(duì)分類器進(jìn)行一些簡(jiǎn)單的訓(xùn)練，首先要移除掉勒索信息樣本中的一些類似“the”、“at”和“an”這樣的介詞，然后將類似“locked”這樣的動(dòng)詞過去式／完成時(shí)轉(zhuǎn)換為其動(dòng)詞原形“lock”。我們用一些典型的威脅信息樣本和普通的文本信息來訓(xùn)練分類器，這樣就可以讓分類器學(xué)會(huì)區(qū)分出哪些是不安全的消息了。

勒索軟件目前所使用的信息鎖定技術(shù)都是已知的，所以我們可以通過輕量級(jí)的符號(hào)執(zhí)行技術(shù)來檢測(cè)勒索軟件的惡意活動(dòng)。首先，我們可以搜索App中android.app.Activity的所有子類，并且找出所有重寫了onKeyUp和onkeyDown方法的字節(jié)碼。接下來，我們可以模擬執(zhí)行這些方法中的代碼來查看其代碼路徑是否鎖定了手機(jī)的home鍵或返回鍵（下圖中的藍(lán)色箭頭所示），如果方法的返回值為“true”（如紅色箭頭所示），則表明點(diǎn)擊事件不會(huì)得到進(jìn)一步的處理。這也就意味著，被感染手機(jī)中的其他應(yīng)用將不會(huì)被推送至手機(jī)前臺(tái)，包括手機(jī)原本的主屏launcher在內(nèi)。

下圖顯示的是鎖定手機(jī)虛擬鍵的代碼路徑：

為了利用設(shè)備的管理員API，應(yīng)用程序需要在其manifest文件中聲明相應(yīng)的權(quán)限。但是攻擊者可以單獨(dú)定一個(gè)“策略”文件，惡意App可以直接引用這個(gè)文件來獲取到管理員權(quán)限（root）。因此，我們可以通過檢測(cè)設(shè)備中的一些危險(xiǎn)行為（例如重置密碼、強(qiáng)制鎖定、擦除數(shù)據(jù)和存儲(chǔ)加密等），來識(shí)別出一些不需要用戶交互的惡意方法。

在這里，我們使用了一款自定義版的FlowDroid來對(duì)勒索軟件的字節(jié)碼進(jìn)行靜態(tài)分析。首先我們要了解勒索軟件App中所有方法的控制流程，我們打算先尋找調(diào)用lockNow()的方法以及一些其他的惡意方法。我們找出了所有調(diào)用了Java反射API的方法，但是相應(yīng)的方法代碼都是經(jīng)過混淆處理的。當(dāng)我們識(shí)別出了這些方法名之后，我們就可以將這些方法添加進(jìn)控制流程圖中的節(jié)點(diǎn)了。如果方法名稱經(jīng)過了混淆處理，那么我們要先找到保存有這個(gè)方法名（已混淆）的String對(duì)象，然后利用反射機(jī)制來重新執(zhí)行方法中的所有聲明語句，直到我們運(yùn)行到invoke()方法為止。這樣一來，我們便能夠畫出勒索軟件大致的控制流程圖了。

下圖所示的就是我們?cè)趯ふ覟E用設(shè)備管理員API的方法時(shí)的大致流程：

我們還嘗試?yán)猛瑯拥姆椒▉韺?duì)其他的一些感染實(shí)例進(jìn)行了檢測(cè)。更加確切地說，我們想測(cè)試一下這項(xiàng)技術(shù)能否適用于各種場(chǎng)景。

同樣的，我們還是使用FlowDroid來進(jìn)行流程分析，比如說，我們現(xiàn)在準(zhǔn)備分析listFiles()方法到CipheroutputStream()方法之間的代碼處理流程。我們需要找出那些并非由主屏launcher所啟動(dòng)的代碼路徑，因?yàn)檫@些代碼路徑所指向的功能是不需要任何的用戶交互就可以直接激活的。

不幸的是，整個(gè)檢測(cè)過程需要消耗大量的時(shí)間。如果使用機(jī)器學(xué)習(xí)方法，我們就可以對(duì)App進(jìn)行預(yù)過濾處理，這樣就可以提升我們的檢測(cè)精度，而且也非常的安全。更加重要的是，基于機(jī)器學(xué)習(xí)的檢測(cè)方法可以大大減少我們的檢測(cè)時(shí)間。

趨勢(shì)科技的解決方案

趨勢(shì)科技（TrendMicro）一直都在致力于研發(fā)這種先進(jìn)的研究技術(shù)，這些技術(shù)可以幫助研究人員快速檢測(cè)到新型的勒索軟件變種，并且為終端用戶提供可靠的安全保護(hù)。對(duì)于客戶來說，可以使用趨勢(shì)科技的移動(dòng)端安全解決方案【傳送門】，它可以幫助用戶更好地抵御惡意軟件所帶來的威脅。

企業(yè)用戶也可以考慮使用趨勢(shì)科技的企業(yè)版移動(dòng)端安全解決方案【傳送門】。我們提供了設(shè)備管理、數(shù)據(jù)保護(hù)、應(yīng)用管理和其他的一些功能。