Представлен новый метод защиты данных от вайперов

image

Теги: R2D2, защита данных, вайпер

В ходе тестирования R2D2 показал свою эффективность против таких вредоносов, как Shamoon, StoneDrill и Destover.

Группа исследователей из Университета Пердью (США) разработала новый метод защиты данных от современного вредоносного ПО, предназначенного для уничтожения информации (вайперы). Техника, получившая название Reactive Redundancy for Data Destruction (R2D2), работает на виртуальных машинах и не совместима с обычными операционными системами. В ходе тестирования новый метод показал свою эффективность против таких вредоносов, как Shamoon (версии 1 и 2), StoneDrill и Destover.

Ученые реализовали прототип R2D2 в гипервизоре, который отслеживает уничтожение данных с помощью технологии мониторинга внутреннего состояния виртуальной машины (Virtual machine introspection, VMI). R2D2 использует VMI для перехвата операций, связанных с открытием и записью файла на защищенных ОС (гостевая ОС на виртуальной машине). Обнаружив такие операции, R2D2 проводит их оценку на наличие известных деструктивных схем. В случае выявления угрозы гипервизор создает временную контрольную точку, которую оператор может использовать для восстановления системы.

R2D2 игнорирует стандартные операции удаления и отслеживает операции, которые намеренно открывают и перезаписывают файл. Подобное поведение присуще приложениям для безопасного удаления данных и вайперам. R2D2 проводит мониторинг на предмет операций, перезаписывающих файл случайными данными или повторяющимися строками кода. Технология способна распознавать 13 известных методов «безопасного удаления», используемых приложениями и вредоносным ПО.

Как пояснили исследователи, поддержка приложений для безопасного удаления данных связана с предположением, что вирусописатели могут внедрить подобные программы в новые версии вайперов.

В настоящее время R2D2 находится на стадии прототипа. В ходе испытаний метод продемонстрировал высокую точность при выявлении вредоносных деструктивных операций. В частности, из 989 деструктивных операций только 2 были расценены как безвредные, а из 989 безвредных 5 были идентифицированы как деструктивные.

Тестирование нового метода проводилось на ОС Windows 7, работающей в виртуальной машине. По словам исследователей, R2D2 может использоваться на более современных версиях Windows и потенциально на Linux, macOS и других операционных системах.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.