CN114175575A - 用于生成、使用和优化蜜罐的设备和方法 - Google Patents
用于生成、使用和优化蜜罐的设备和方法 Download PDFInfo
- Publication number
- CN114175575A CN114175575A CN202080015668.7A CN202080015668A CN114175575A CN 114175575 A CN114175575 A CN 114175575A CN 202080015668 A CN202080015668 A CN 202080015668A CN 114175575 A CN114175575 A CN 114175575A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- software
- attributes
- backup
- honeypots
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Retry When Errors Occur (AREA)
- User Interface Of Digital Computer (AREA)
Abstract
本发明提供了一种用于生成用于吸引勒索软件的蜜罐的设备、一种用于使用用于吸引勒索软件的蜜罐的设备、一种用于优化用于吸引和解密勒索软件的蜜罐的设备以及对应的方法。所述设备用于:在第一时间点获取用户系统的第一备份映像;根据所述第一备份映像创建第一备份系统;在所述第一备份系统上运行一个或多个勒索软件工具包;识别所述第一备份系统中在确定的时间段内被所述一个或多个勒索软件工具包攻击的第一组数据结构;识别所述第一组数据结构的第一组属性;根据所述第一组属性生成所述蜜罐。
Description
技术领域
本发明涉及一类用于保护用户系统免受勒索软件侵害的设备和方法。为此,本发明提供了一种用于生成用于吸引勒索软件的蜜罐的设备、一种用于使用用于吸引勒索软件的蜜罐的设备、一种用于优化用于吸引和解密勒索软件的蜜罐的设备以及对应的方法。
背景技术
勒索恶意软件或勒索软件是各种恶意软件的总称,它会感染系统并加密存储在系统中的数据。勒索软件阻止用户访问其数据(通常通过加密数据),然后要求用户支付赎金,以便重新获得访问权限(解密加密数据)。
近年来,勒索软件变得越来越普遍。勒索软件有多种不同的变体。检测勒索软件感染系统的一种方法是植入蜜罐。蜜罐是一种特殊的文件或文件集,它的创建目的是在系统感染时尽早吸引恶意代理尝试攻击。如今,蜜罐通常用于其它类型的恶意软件,但不适用于勒索软件。
创建一个“理想”蜜罐来吸引勒索软件并不简单。不同类型的勒索软件对被攻击的文件的顺序可能有不同的标准。此外,蜜罐通常在没有针对特定用户系统进行预先设计或定制的情况下植入。因此,在勒索软件感染期间,植入的蜜罐成为第一个被攻击文件的可能性降低,因此蜜罐可能对勒索软件无效。
发明内容
鉴于上述挑战,本发明的实施例旨在提供一类用于保护用户系统免受勒索软件侵害的设备和方法。目标是快速检测勒索软件。具体地,应检测不同类型的勒索软件,以保护用户系统。在需要时优化勒索软件的解密是目标之一。
该目标通过所附独立权利要求中提供的本发明的实施例来实现。本发明的实施例的有利实现方式在从属权利要求中进一步定义。
本发明的第一方面提供一种用于生成用于吸引勒索软件的蜜罐的设备,所述设备用于:在第一时间点获取用户系统的第一备份映像;根据所述第一备份映像创建第一备份系统;在所述第一备份系统上运行一个或多个勒索软件工具包;识别所述第一备份系统中在确定的时间段内被所述一个或多个勒索软件工具包攻击的第一组数据结构;识别所述第一组数据结构的第一组属性;根据所述第一组属性生成所述蜜罐。
因此,提出依赖备份系统来了解不同类型的勒索软件(即不同的勒索软件工具包)在受保护系统上的行为,并根据了解创建蜜罐。具体地,创建用户系统的备份系统,然后用各种类型的勒索软件进行感染。通过监控该受感染的备份系统,可以识别首先受到每种类型的勒索软件攻击的文件或应用程序。在识别这些文件或应用程序的属性之后,可以创建与识别的文件或应用程序相似或相同的一个或多个人工文件或人工应用程序。该人工文件或人工应用程序是“蜜罐”,可以用于诱骗不同类型的勒索软件在攻击其它系统文件之前先攻击蜜罐。
在第一方面的一种实现方式中,所述设备用于:在所述第一备份系统上重新运行所述一个或多个勒索软件工具包;识别所述第一备份系统中在确定的时间段内被所述一个或多个勒索软件攻击的第二组数据结构;识别所述第二组数据结构的第二组属性;根据所述第一组属性和所述第二组属性生成所述蜜罐。
或者,可以对使用勒索软件感染备份系统进行多次迭代,以确保相同的文件/应用程序始终每次首先受到相同类型的勒索软件攻击。
在第一方面的一种实现方式中,所述设备用于:在第二时间点获取所述用户系统的第二备份映像;根据所述第二备份映像创建第二备份系统;在所述第二备份系统上运行一个或多个勒索软件工具包;识别所述第二备份系统中在确定的时间段内被每个勒索软件工具包攻击的第三组数据结构;识别所述第三组数据结构的第三组属性;根据所述第一组属性、所述第二组属性和所述第三组属性生成所述蜜罐。
为了提高蜜罐首先受到勒索软件攻击的置信度,可以重新创建备份系统,可能根据原始用户系统的不同备份重新创建。蜜罐可以根据不同备份的模拟结果生成。
在第一方面的一种实现方式中,所述第一组属性包括所述第一组数据结构中每个数据结构的位置和/或格式。
可选地,识别的属性可以是数据结构的位置,或数据结构的格式。例如,存储在特定位置的文件可能是被特定勒索软件加密的第一个文件。识别的属性还可以包括关于数据结构的其它信息。
在第一方面的一种实现方式中,所述第一组数据结构包括一个或多个文件和/或一个或多个对象。
本发明不限于特定类型的用户系统。本发明的实施例可以适用于所有类型的文件系统。可选地,本发明的实施例也可以适用于对象存储等其它数据存储架构。
在第一方面的一种实现方式中,所述蜜罐包括一个或多个人工文件,和/或一个或多个人工应用程序。
所生成的蜜罐可能是属性与识别的属性相似的一个或多个文件或应用程序。例如,人工应用程序可以创建Oracle数据库(database,DB)的人工实例,可以模拟该实例对一个或多个勒索软件呈现为“真实”,以便诱骗这些勒索软件首先攻击该人工应用程序。
本发明的第二方面提供了一种用于使用用于吸引勒索软件的蜜罐的设备,所述设备用于:将所述蜜罐插入用户系统;监控所述蜜罐以检测所述蜜罐是否受到影响,特别是受到勒索软件的影响;一旦检测到所述蜜罐受到影响,就采取行动保存所述用户系统的数据。
本发明的实施例还提供了一种用于使用蜜罐吸引勒索软件的设备。具体地,插入用户系统的蜜罐可以是根据本发明的实施例生成的蜜罐。
将蜜罐放置在用户系统中之后,可以监控蜜罐,以识别勒索软件是否正在感染用户系统。由于蜜罐旨在尽早吸引勒索软件感染,因此一旦检测到蜜罐正在被更改,设备可以立即采取行动防止或遏制勒索软件感染。
在第二方面的一种实现方式中,所述行动包括创建所述用户系统的快照。
这种行动的示例可以是立即对整个用户系统拍摄快照,以使系统中尽可能多的文件在被勒索软件加密之前保留。
在第二方面的一种实现方式中,所述设备用于:获取根据一组属性生成的所述蜜罐;根据所述一组属性,将所述蜜罐插入所述用户系统。
需要说明的是,插入用户系统的蜜罐可以是根据本发明的实施例生成的蜜罐。即,蜜罐是根据一些识别的数据结构的属性生成的。在一个示例中,所述属性可以包括数据结构的位置。需要说明的是,这表明存储在该特定位置的数据结构容易受到勒索软件攻击。因此,设备可以将蜜罐插入与属性中所指示位置相同的位置,以诱骗勒索软件首先攻击该蜜罐。
在第二方面的一种实现方式中,所述蜜罐包括一个或多个人工文件,和/或一个或多个人工应用程序。
在第二方面的一种实现方式中,所述设备还用于将所述一个或多个人工文件复制到所述用户系统中;和/或将所述一个或多个人工应用程序安装到所述用户系统上。
可选地,当蜜罐包括一个或多个人工文件时,设备可以通过将文件复制到用户系统中,将蜜罐插入用户系统。可选地,当蜜罐包括一个或多个人工应用程序时,设备可以通过将所述应用程序安装到用户系统上,将蜜罐插入用户系统。
本发明的第三方面提供了一种用于优化用于吸引和解密勒索软件的蜜罐的设备,所述设备用于:研究一个或多个勒索软件工具包的攻击模式;根据所述攻击模式优化所述蜜罐。
本发明的实施例进一步提出特别通过更好地吸引不同类型的勒索软件的方式优化蜜罐。具体地,被优化的蜜罐可以是根据本发明的实施例生成的蜜罐。需要说明的是,在一种或多种类型的勒索软件的学习阶段监控用户系统中的蜜罐。因此,设备可以调整蜜罐,以确保蜜罐一直是用户系统上一种或多种类型的勒索软件的有效蜜罐。
在第三方面的一种实现方式中,所述设备还用于:维护所述蜜罐的一组属性;通过修改所述一组属性中的一个或多个属性来更新所述蜜罐。
需要说明的是,蜜罐可以根据一组属性生成。可选地,可以通过修改所述一组属性中的一个或多个属性来持续调整蜜罐。
在第三方面的一种实现方式中,所述设备还用于修改所述蜜罐的所述一个或多个属性,使得所述更新的蜜罐可用于解密由一个或多个勒索软件工具包加密的一个或多个文件。
通常,解密工具(解密器)可能需要一对文件(即加密之前和之后的文件)来进行解密。可使用这对文件从中推导出加密密钥,然后加密密钥可用于解密其它文件。由于蜜罐旨在尽早吸引勒索软件感染,因此可以在解密过程中使用受感染的蜜罐(即加密蜜罐)和蜜罐(即未加密版本)。
在第三方面的一种实现方式中,所述设备还用于向一个或多个解密器提供所述蜜罐,以解密由所述一个或多个勒索软件工具包加密的所述一个或多个文件。
可以有一种以上解密工具用于解密受勒索软件影响的文件。蜜罐可以由设备提供给这些解密工具。
在第三方面的一种实现方式中,所述设备还用于:获取并分析所述一个或多个解密器的解密结果;修改所述蜜罐的所述一个或多个属性,使得所述一个或多个解密器的所述解密结果得到优化。
通过控制蜜罐的某些属性及其变化,设备可以定制蜜罐,以在相关解密器中实现最佳使用效果。
在第三方面的一种实现方式中,所述设备还用于修改所述蜜罐的所述一个或多个属性,使得所述更新的蜜罐可用于尽可能多地解密由所述一个或多个勒索软件工具包加密的文件。
例如,可以确保蜜罐的文件大小足以在应用解密器时可用,以便可以解密尽可能多的文件。
在第三方面的一种实现方式中,所述蜜罐插入用户系统,所述设备还用于:将所述蜜罐的副本存储在所述用户系统的备份系统的安全位置;或再生所述蜜罐。
需要说明的是,解密器可能需要一对文件(即加密之前和之后的文件)来进行解密。因此,需要不受勒索软件影响的蜜罐的原始版本。为了能够向解密器提供未加密的蜜罐,设备可以将副本保存在备份系统中的安全位置,或者能够复制副本。
本发明的第四方面提供一种用于生成用于吸引勒索软件的蜜罐的方法,所述方法包括:在第一时间点获取用户系统的第一备份映像;根据所述第一备份映像创建第一备份系统;在所述第一备份系统上运行一个或多个勒索软件工具包;识别所述第一备份系统中在确定的时间段内被所述一个或多个勒索软件工具包攻击的第一组数据结构;识别所述第一组数据结构的第一组属性;根据所述第一组属性生成所述蜜罐。
第四方面及其实现方式的方法提供了与上文针对第一方面及其相应实现方式的设备所述的相同的优点和效果。
本发明的第五方面提供了一种用于使用用于吸引勒索软件的蜜罐的方法,所述方法包括:将所述蜜罐插入用户系统;监控所述蜜罐以检测所述蜜罐是否受到影响,特别是受到勒索软件的影响;一旦检测到所述蜜罐受到影响,就采取行动保存所述用户系统的数据。
第五方面及其实现方式的方法提供了与上文针对第二方面及其相应实现方式的设备所述的相同的优点和效果。
本发明的第六方面提供了一种用于优化用于吸引勒索软件的蜜罐的方法,所述方法包括:研究一个或多个勒索软件工具包的攻击模式;根据所述攻击模式优化所述蜜罐。
第六方面及其实现方式的方法提供了与上文针对第三方面及其相应实现方式的设备所述的相同的优点和效果。
本发明的第七方面提供了一种计算机程序工具包,包括用于在处理器中实现时执行第四方面及其实现方式、第五方面及其实现方式、第六方面及其实现方式所述的方法的程序代码。
需要说明的是,本申请中描述的所有设备、元件、单元和模块可以在软件或硬件元件或其任何类型的组合中实现。由本申请中所描述的各种实体执行的所有步骤以及描述成由各种实体执行的功能意欲指相应实体适于或用于执行相应步骤和功能。即使,在以下具体实施例的描述中,待由外部实体执行的特定功能或步骤未反映在执行该特定步骤或功能的该实体的具体详细元件的描述中,技术人员也应该清楚,这些方法和功能可以在相应的软件或硬件元件,或其任何种类的组合中实现。
附图说明
结合所附附图,下面具体实施例的描述阐述上述本发明的各方面及实现方式,其中:
图1示出了本发明的实施例提供的用于生成用于吸引勒索软件的蜜罐的设备;
图2示出了包括本发明的实施例提供的设备的系统;
图3示出了本发明的实施例提供的用户系统和备份系统;
图4示出了本发明的实施例提供的用户系统和备份系统;
图5示出了本发明的实施例提供的用户系统和备份系统;
图6示出了本发明的实施例提供的方法;
图7示出了本发明的实施例提供的方法;
图8示出了本发明的实施例提供的方法。
具体实施方式
本发明的实施例基于依赖备份系统来学习不同勒索软件在受保护系统上的行为,并基于此创建蜜罐的提议。本发明的一部分重点是如何使用这种特定的预先设计的蜜罐来吸引勒索软件。本发明的另一个主要重点是优化蜜罐,以便快速检测勒索软件,并在必要时优化解密操作。
总体而言,本发明的实施例中提出的方案包括三部分:
第1部分-蜜罐的创建
图1示出了本发明的实施例提供的设备100。设备100可以包括处理电路(未示出),该处理电路用于执行、实施或启动本文所述的设备100的各种操作。所述处理电路可以包括硬件和软件。硬件可以包括模拟电路或数字电路,或模拟电路和数字电路两者。数字电路可以包括专用集成电路(application-specific integrated circuit,ASIC)、现场可编程阵列(field-programmable array,FPGA)、数字信号处理器(digital signal processor,DSP)或多用途处理器等组件。在一个实施例中,处理电路包括一个或多个处理器和连接到一个或多个处理器的非瞬时性存储器。非瞬时性存储器可携带可执行程序代码,当所述可执行程序代码由一个或多个处理器执行时,使设备100执行、实施或启动本文所述的操作或方法。
设备100适于生成用于吸引勒索软件的蜜罐。具体地,设备100用于在第一时间点获取用户系统301的第一备份映像101。设备100还用于根据第一备份映像101创建第一备份系统102。然后,设备100用于在第一备份系统102上运行一个或多个勒索软件工具包。因此,设备100用于识别第一备份系统102中在确定的时间段内被一个或多个勒索软件工具包攻击的第一组数据结构103。因此,设备100用于识别第一组数据结构103的第一组属性104。此外,设备100用于根据第一组属性104生成蜜罐200。
图2示出了本发明的实施例提供的系统200。系统200包括设备100。具体地,图2所示的设备100可以是图1所示的设备100。需要说明的是,所有图中的相同元件都用相同的附图标记来标记,功能也相同。通常,系统200包括三种装置,可以如下所述:
-用户系统201:用户可以直接访问,并包括用户数据(在实现方式中也称为生产系统);
-备份系统202:用于对用户系统201中的数据进行备份,并包括用户数据的备份映像;
-计算设备(节点):整个系统的管理员可以访问,用于生成蜜罐300,或使用蜜罐300,
或优化蜜罐300,以吸引勒索软件。
需要说明的是,计算设备是如图1或图2所示的设备100。一般来说,生产系统或生产设备由用户直接访问,用于执行正常操作,因此也可以称为用户系统。一个或多个用户系统201位于生产环境中。备份系统用于对用户系统中的数据进行备份。备份系统202可以是备份服务器。
图3示出了本发明的实施例提供的用户系统201和备份系统202。具体地,在时间T0在用户系统201上进行备份,从而获得第一备份映像101。在备份系统202中,根据时间T0的备份创建第一备份系统102。例如,设备100获取第一备份映像101,并创建第一备份系统102,例如通过根据在时间T0用户系统201中的虚拟机的备份创建一组虚拟机。
然后,根据本发明的实施例,设备100可以用各种类型的勒索软件感染第一备份系统102,如图4所示。需要说明的是,图4示出了与图3所示相同的用户系统201和备份系统202。通过监控该备份系统,即第一备份系统102,设备100可以识别首先受到每个勒索软件攻击的文件或应用程序。需要说明的是,该方案并不限于特定类型的文件系统,它适用于所有类型的文件系统。此外,本发明不限于文件系统,它还可以适用于包括对象存储在内的其它数据存储架构。
在下文中,设备100可以识别这些文件或应用程序的属性(位置、格式等),并创建具有相似属性的一个或多个人工文件,或人工相同的应用程序,即,如图4所示的蜜罐300。识别的属性还可以包括关于数据结构的其它信息。可选地,根据本发明的实施例,蜜罐300可以包括一个或多个人工文件,和/或一个或多个人工应用程序。
可选地,设备100可以重新运行勒索软件,以确保该勒索软件首先攻击蜜罐300。人工应用程序的示例是创建Oracle DB的人工实例,可以模拟该实例对勒索软件呈现为“真实”,以便诱骗勒索软件首先攻击该人工应用程序。具体地,根据本发明的实施例,设备100可以用于在第一备份系统102上重新运行一个或多个勒索软件工具包;识别第一备份系统102中在确定的时间段内被一个或多个勒索软件攻击的第二组数据结构;识别第二组数据结构的第二组属性。然后,设备100还可以用于根据第一组属性和第二组属性生成蜜罐300。
可选地,可以对上述过程进行多次迭代,以确保相同的文件/应用程序始终每次首先受到相同勒索软件攻击。例如,设备100可以用于在第二时间点获取用户系统201的第二备份映像;根据第二备份映像创建第二备份系统;在第二备份系统上运行一个或多个勒索软件工具包;识别第二备份系统中在确定的时间段内被每个勒索软件工具包攻击的第三组数据结构;识别第三组数据结构的第三组属性。然后,设备100可以根据第一组属性、第二组属性和第三组属性生成蜜罐300。
根据先前的实施例,可以生成蜜罐300。
第2部分-蜜罐的使用
在确信蜜罐300是有效的(即,有很高概率首先受到勒索软件攻击)之后,可以将蜜罐300插入用户系统201中,如图5所示。需要说明的是,图5示出了与图3和图4所示相同的用户系统201和备份系统202。根据本发明的实施例,设备可用于将蜜罐300插入用户系统201。需要说明的是,该设备可以是如图1或图2所示的设备100。即,相同的设备可以生成蜜罐300,并进一步使用该蜜罐来吸引勒索软件。但是,也有可能不同的设备仅获取蜜罐300并使用该蜜罐(而不生成蜜罐300)。
根据本发明的实施例,蜜罐300可以包括一个或多个人工文件,和/或一个或多个人工应用程序。例如,根据本发明的实施例,如果蜜罐300是文件集的文件,设备可以用于将一个或多个人工文件复制到用户系统201中,特别是复制到用户系统201中的相关位置。根据本发明的实施例,如果蜜罐是人工应用程序,设备可以用于将人工应用程序安装在用户系统201上。可能的是,设备可以用在第一备份系统102中完成的蜜罐学习期间使用的相同数据填充蜜罐300。
根据本发明的实施例,在将蜜罐300置于用户系统201中之后,设备可以监控蜜罐300以识别勒索软件是否正在感染用户系统201。由于蜜罐300受设备控制,因此对蜜罐300进行的不是由设备或用户系统201发起的任何更改都是可疑的。此外,由于蜜罐300旨在尽早吸引勒索软件感染,因此一旦检测到蜜罐300正在被更改,设备可以立即采取行动防止或遏制勒索软件感染。此类操作的一个示例可以是立即对整个用户系统201拍摄快照,以在勒索软件加密之前保留尽可能多的快照。
监控蜜罐300的状态可以尽早检测恶意软件攻击,并采取各种响应措施,以阻止攻击并解密加密文件(受勒索软件影响的文件)。
第3部分-蜜罐的优化
根据本发明的实施例,提出了一种用于优化用于吸引和解密勒索软件的蜜罐300的设备。设备用于研究一个或多个勒索软件工具包的攻击模式,并根据攻击模式优化蜜罐300。需要说明的是,该设备可以是如图1或图2所示的设备100。即,相同的设备可以生成蜜罐300,并进一步优化该蜜罐。但是,设备也可以从其它设备获取蜜罐300,并对其进行优化。
还提出特别通过更好地吸引勒索软件的方式优化蜜罐300。可选地,蜜罐300可以是如图1或图5所示的蜜罐300。即,被优化的蜜罐300可以是根据本发明的实施例生成的蜜罐300。需要说明的是,在一种或多种类型的勒索软件的学习阶段监控用户系统201中的蜜罐300。因此,设备可以调整蜜罐300,以确保蜜罐一直是用户系统201上一个或多个勒索软件的有效蜜罐。
需要说明的是,蜜罐300可以根据一组属性生成。根据本发明的实施例,设备还可以用于维护蜜罐300的一组属性,并通过修改所述一组属性中的一个或多个属性来更新蜜罐300。通过这种方式,可以通过修改所述一组属性中的一个或多个属性来持续调整蜜罐300。
具体地,可以通过使更新的蜜罐可用于解密由一个或多个勒索软件工具包加密的一个或多个文件的方式调整蜜罐。
通常,解密工具(解密器)可能需要一对文件(即加密之前和之后的文件)来进行解密。可使用这对文件从中推导出加密密钥,然后加密密钥可用于解密其它文件。由于蜜罐300旨在尽早吸引勒索软件感染,因此可以在解密过程中使用受感染的蜜罐(即加密蜜罐)和蜜罐(即未加密版本)。
需要说明的是,蜜罐300可以发挥额外的重要功能,即通过控制蜜罐文件的某些属性及其变化,可以定制蜜罐300以在相关解密器中实现最佳使用效果。例如,对于一些解密工具,文件越大,可以解密的其它加密文件就越多。在这种情况下,可能需要最大尺寸的蜜罐。因此,设备可以确保蜜罐文件大小足以在应用解密器时可用,以便可以解密尽可能多的用户文件。由于设备可以控制对蜜罐文件的更改,因此该设备也可以更容易地将这些蜜罐文件用作解密器的输入。
根据本发明的实施例,设备还可以用于获取并分析一个或多个解密器的解密结果;修改蜜罐的一个或多个属性,使得一个或多个解密器的解密结果得到优化。
需要说明的是,可以有一种以上解密工具用于解密受勒索软件影响的文件。根据本发明的实施例,该设备还可以用于将蜜罐300提供给一个或多个解密器,用于解密由一个或多个勒索软件工具包加密的一个或多个文件。
此外,设备还可以用于修改蜜罐的一个或多个属性,使得更新的蜜罐可用于尽可能多地解密由一个或多个勒索软件工具包加密的文件。例如,设备可以确保蜜罐的文件大小足以在应用解密器时可用,以便可以解密尽可能多的文件。
需要说明的是,解密器可能需要一对文件(即加密之前和之后的文件)来进行解密。因此,需要不受勒索软件影响的蜜罐的原始版本。为了能够向解密器提供未加密的蜜罐,设备可以将副本保存在备份系统中的安全位置,或者能够复制副本。即,根据本发明的实施例,其中蜜罐300插入用户系统201中,设备还用于将蜜罐300的副本存储在用户系统201的备份系统202的安全位置,或再生蜜罐300。
在具体实现方式中,如上文实施例中讨论的蜜罐300可以是Oracle蜜罐。具体地,用户系统201可以包括Oracle DB的几个实例,每个实例都有自己的数据模式、大小、记录数量、字段名称和附加属性。对用户系统201进行备份,并在备份系统202内重新创建(使用备份)。然后,根据本发明的实施例,设备100用勒索软件感染重新创建的用户系统,并监控其状态(通过直接监控与每个Oracle DB实例关联的文件,以确定文件被加密的时间,或通过尝试访问Oracle DB实例并识别访问失败是勒索软件加密的结果)。需要说明的是,设备100可以是如图1或图2所示的设备100。
通常,勒索软件分阶段加密系统。通过监控,设备100可以识别首先待加密的Oracle DB实例。设备100可以多次重新运行此测试(每次都重新创建用户系统,可能根据原始用户系统的不同备份重新创建),以提高Oracle DB实例首先被加密的置信度。
然后,设备100相应地生成蜜罐300。具体地,设备100创建一个新的人工Oracle DB实例,并将其建模为尽可能类似于首先被攻击的Oracle DB实例(例如,通过为新实例创建类似的模式,用相似数量的记录填充新实例,赋予新实例的字段类似的名称等)。
设备100可以再次重新运行勒索软件,并持续调整蜜罐300,直到该蜜罐是首先(或首批)被加密的DB实例。
然后,可以将该蜜罐300植入用户系统201中(通过在用户系统中创建DB实例,并使用与学习勒索软件时所做的相同的信息填充该DB实例)。
设备100可以如同在学习阶段监控Oracle DB实例一样,监控用户系统201中的该Oracle DB实例。随着用户Oracle DB实例随着时间的推移而变化,设备100可以相应地进一步调整该蜜罐300,以确保该蜜罐持续是该用户系统上该勒索软件的有效蜜罐。
图6示出了本发明的实施例提供的用于生成用于吸引勒索软件的蜜罐300的方法600。具体地,方法600由如图1或图2所示的设备100执行。方法600包括:步骤601,在第一时间点获取用户系统201的第一备份映像101;步骤602,根据第一备份映像101创建第一备份系统102;步骤603,在第一备份系统102上运行一个或多个勒索软件工具包;步骤604,识别第一备份系统102中在确定的时间段内被一个或多个勒索软件工具包攻击的第一组数据结构103;步骤605,识别第一组数据结构103的第一组属性104;步骤606,根据第一组属性104生成蜜罐300。
需要说明的是,方法600还可以包括如设备100的上述实施例中描述的动作。
图7示出了本发明的实施例提供的用于使用用于吸引勒索软件的蜜罐300的方法700。具体地,方法700可以由如图1或图2所示的设备100执行。方法700包括:步骤701,将蜜罐300插入用户系统201;步骤702,监控蜜罐300以检测蜜罐300是否受到影响,特别是受到勒索软件的影响;步骤703,一旦检测到蜜罐300受到影响,就采取行动保存用户系统201的数据。
图8示出了本发明的实施例提供的用于优化用于吸引勒索软件的蜜罐300的方法800。具体地,方法800可以由如图1或图2所示的设备100执行。方法800包括:步骤801,研究一个或多个勒索软件工具包的攻击模式;步骤802,根据攻击模式优化蜜罐300。
本发明还提供了一种计算机程序工具包,包括用于在处理器中实现时执行图6所示的方法600、或图7所示的方法700、或图8所示的方法800的程序代码。计算机程序包括在计算机程序工具包的计算机可读介质中。计算机可读介质基本可以包括任何存储器,如只读存储器(read-only memory,ROM)、可编程只读存储器(programmable read-onlymemory,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、闪存、电可擦除可编程只读存储器(electrically erasable PROM,EEPROM)以及硬盘驱动器。
已经结合作为实例的各种实施例以及实现方式描述了本发明。但是,根据对附图、本发明和所附权利要求书的研究,本领域技术人员在实践所要求保护的发明时,能够理解和实现其它变化。在权利要求书以及说明书中,词语“包括”不排除其它元件或步骤,且不定冠词“一个”不排除多个。单个元件或其它单元可满足权利要求书中所叙述的若干实体或项目的功能。在互不相同的从属权利要求中列举某些措施并不表示这些措施的组合不能用于有益的实现方式。
Claims (22)
1.一种用于生成用于吸引勒索软件的蜜罐的设备(100),其特征在于,所述设备(100)用于:
在第一时间点获取用户系统(201)的第一备份映像(101);
根据所述第一备份映像(101)创建第一备份系统(102);
在所述第一备份系统(102)上运行一个或多个勒索软件工具包;
识别所述第一备份系统(102)中在确定的时间段内被所述一个或多个勒索软件工具包攻击的第一组数据结构(103);
识别所述第一组数据结构(103)的第一组属性(104);
根据所述第一组属性(104)生成所述蜜罐(300)。
2.根据权利要求1所述的设备(100),其特征在于,所述设备还用于:
在所述第一备份系统(102)上重新运行所述一个或多个勒索软件工具包;
识别所述第一备份系统(102)中在确定的时间段内被所述一个或多个勒索软件攻击的第二组数据结构;
识别所述第二组数据结构的第二组属性;
根据所述第一组属性和所述第二组属性生成所述蜜罐(300)。
3.根据权利要求1或2所述的设备(100),其特征在于,所述设备还用于:
在第二时间点获取所述用户系统(201)的第二备份映像;
根据所述第二备份映像创建第二备份系统;
在所述第二备份系统上运行一个或多个勒索软件工具包;
识别所述第二备份系统中在确定的时间段内被每个勒索软件工具包攻击的第三组数据结构;
识别所述第三组数据结构的第三组属性;
根据所述第一组属性、所述第二组属性和所述第三组属性生成所述蜜罐(300)。
4.根据权利要求1至3中任一项所述的设备(100),其特征在于,所述第一组属性(104)包括所述第一组数据结构中每个数据结构的位置和/或格式。
5.根据权利要求1至4中任一项所述的设备(100),其特征在于,所述第一组数据结构包括一个或多个文件和/或一个或多个对象。
6.根据权利要求1至5中任一项所述的设备(100),其特征在于,所述蜜罐(300)包括一个或多个人工文件,和/或一个或多个人工应用程序。
7.一种用于使用用于吸引勒索软件的蜜罐(300)的设备,其特征在于,所述设备用于:
将所述蜜罐(300)插入用户系统(201);
监控所述蜜罐(300)以检测所述蜜罐(300)是否受到影响,特别是受到勒索软件的影响;
一旦检测到所述蜜罐(300)受到影响,就采取行动保存所述用户系统(201)的数据。
8.根据权利要求7所述的设备,其特征在于,所述行动包括创建所述用户系统(201)的快照。
9.根据权利要求7或8所述的设备,其特征在于,所述设备还用于:
获取根据一组属性生成的所述蜜罐(300);
根据所述一组属性,将所述蜜罐(300)插入所述用户系统(201)。
10.根据权利要求7至9中任一项所述的设备,其特征在于,所述蜜罐(300)包括一个或多个人工文件,和/或一个或多个人工应用程序。
11.根据权利要求10所述的设备,其特征在于,所述设备还用于:
将所述一个或多个人工文件复制到所述用户系统(201)中;和/或
将所述一个或多个人工应用程序安装到所述用户系统(201)上。
12.一种用于优化用于吸引和解密勒索软件的蜜罐(300)的设备,其特征在于,所述设备用于:
研究一个或多个勒索软件工具包的攻击模式;
根据所述攻击模式优化所述蜜罐(300)。
13.根据权利要求12所述的设备,其特征在于,所述设备还用于:
维护所述蜜罐(300)的一组属性;
通过修改所述一组属性中的一个或多个属性来更新所述蜜罐(300)。
14.根据权利要求13所述的设备,其特征在于,所述设备还用于:
修改所述蜜罐(300)的所述一个或多个属性,使得所述更新的蜜罐可用于解密由一个或多个勒索软件工具包加密的一个或多个文件。
15.根据权利要求14所述的设备,其特征在于,所述设备还用于:
向一个或多个解密器提供所述蜜罐(300),以解密由所述一个或多个勒索软件工具包加密的所述一个或多个文件。
16.根据权利要求15所述的设备,其特征在于,所述设备还用于:
获取并分析所述一个或多个解密器的解密结果;
修改所述蜜罐(300)的所述一个或多个属性,使得所述一个或多个解密器的所述解密结果得到优化。
17.根据权利要求14至16中任一项所述的设备,其特征在于,所述设备还用于:
修改所述蜜罐(300)的所述一个或多个属性,使得所述更新的蜜罐可用于尽可能多地解密由所述一个或多个勒索软件工具包加密的文件。
18.根据权利要求12至17中任一项所述的设备,其特征在于,所述蜜罐(300)插入用户系统(201),所述设备还用于:
将所述蜜罐(300)的副本存储在所述用户系统(201)的备份系统(202)的安全位置;或
再生所述蜜罐(300)。
19.一种用于生成用于吸引勒索软件的蜜罐(300)的方法(600),其特征在于,所述方法(600)包括:
在第一时间点获取(601)用户系统(201)的第一备份映像(101);
根据所述第一备份映像(101)创建(602)第一备份系统(102);
在所述第一备份系统(102)上运行(603)一个或多个勒索软件工具包;
识别(604)所述第一备份系统(102)中在确定的时间段内被所述一个或多个勒索软件工具包攻击的第一组数据结构(103);
识别(605)所述第一组数据结构(103)的第一组属性(104);
根据所述第一组属性(104)生成(606)所述蜜罐(300)。
20.一种用于使用用于吸引勒索软件的蜜罐(300)的方法(700),其特征在于,所述方法(700)包括:
将所述蜜罐(300)插入(701)用户系统(201);
监控(702)所述蜜罐(300)以检测所述蜜罐(300)是否受到影响,特别是受到勒索软件的影响;
一旦检测到所述蜜罐(300)受到影响,就采取行动(703)保存所述用户系统(201)的数据。
21.一种用于优化用于吸引勒索软件的蜜罐(300)的方法(800),其特征在于,所述方法(800)包括:
研究(801)一个或多个勒索软件工具包的攻击模式;
根据所述攻击模式优化(802)所述蜜罐(300)。
22.一种计算机程序工具包,其特征在于,包括用于在处理器中实现时执行根据权利要求19至21中任一项所述的方法的程序代码。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2020/068659 WO2022002405A1 (en) | 2020-07-02 | 2020-07-02 | Device and method for generating, using and optimizing a honeypot |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114175575A true CN114175575A (zh) | 2022-03-11 |
| CN114175575B CN114175575B (zh) | 2023-04-18 |
Family
ID=71409429
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080015668.7A Active CN114175575B (zh) | 2020-07-02 | 2020-07-02 | 用于生成、使用和优化蜜罐的设备和方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114175575B (zh) |
| WO (1) | WO2022002405A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11537713B2 (en) | 2017-08-02 | 2022-12-27 | Crashplan Group Llc | Ransomware attack onset detection |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170034212A1 (en) * | 2013-12-17 | 2017-02-02 | Verisign, Inc. | Systems and methods for incubating malware in a virtual organization |
| US20180248896A1 (en) * | 2017-02-24 | 2018-08-30 | Zitovault Software, Inc. | System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning |
| CN108616510A (zh) * | 2018-03-24 | 2018-10-02 | 张瑜 | 一种基于数字免疫的隐遁勒索病毒检测技术 |
| KR20190080446A (ko) * | 2017-12-28 | 2019-07-08 | 숭실대학교산학협력단 | 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템 |
| CN110941822A (zh) * | 2018-09-21 | 2020-03-31 | 武汉安天信息技术有限责任公司 | 勒索病毒的检测方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9009829B2 (en) * | 2007-06-12 | 2015-04-14 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for baiting inside attackers |
| US9992225B2 (en) * | 2014-09-12 | 2018-06-05 | Topspin Security Ltd. | System and a method for identifying malware network activity using a decoy environment |
| GB201603118D0 (en) * | 2016-02-23 | 2016-04-06 | Eitc Holdings Ltd | Reactive and pre-emptive security system based on choice theory |
| US10938854B2 (en) * | 2017-09-22 | 2021-03-02 | Acronis International Gmbh | Systems and methods for preventive ransomware detection using file honeypots |
-
2020
- 2020-07-02 CN CN202080015668.7A patent/CN114175575B/zh active Active
- 2020-07-02 WO PCT/EP2020/068659 patent/WO2022002405A1/en active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170034212A1 (en) * | 2013-12-17 | 2017-02-02 | Verisign, Inc. | Systems and methods for incubating malware in a virtual organization |
| US20180248896A1 (en) * | 2017-02-24 | 2018-08-30 | Zitovault Software, Inc. | System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning |
| KR20190080446A (ko) * | 2017-12-28 | 2019-07-08 | 숭실대학교산학협력단 | 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템 |
| CN108616510A (zh) * | 2018-03-24 | 2018-10-02 | 张瑜 | 一种基于数字免疫的隐遁勒索病毒检测技术 |
| CN110941822A (zh) * | 2018-09-21 | 2020-03-31 | 武汉安天信息技术有限责任公司 | 勒索病毒的检测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| SHAGUFTA MEHNAZ: ""RWGuard: A Real-Time Detection System Against Cryptographic Ransomware"", 《ICIAP》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022002405A1 (en) | 2022-01-06 |
| CN114175575B (zh) | 2023-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106687971B (zh) | 用来减少软件的攻击面的自动代码锁定 | |
| AU2005320910B9 (en) | Method and system for securely identifying computer storage devices | |
| US10402179B1 (en) | Application randomization mechanism | |
| AU2002333625B2 (en) | Virus detection system | |
| Tan et al. | A root privilege management scheme with revocable authorization for Android devices | |
| CN107851155B (zh) | 用于跨越多个软件实体跟踪恶意行为的系统及方法 | |
| AU2009200459B2 (en) | Systems and Methods for the Prevention Of Unauthorized Use and Manipulation of Digital Content Related Applications | |
| Kovah et al. | New results for timing-based attestation | |
| CN107078904B (zh) | 混合密码密钥导出 | |
| AU2002333625A1 (en) | Virus detection system | |
| US11349855B1 (en) | System and method for detecting encrypted ransom-type attacks | |
| Fowler | SQL server forenisc analysis | |
| KR20210045326A (ko) | 암호화폐 지갑을 위한 키 관리 메커니즘 | |
| Banescu et al. | Software-based protection against changeware | |
| Tychalas et al. | Stealthy information leakage through peripheral exploitation in modern embedded systems | |
| CN114175575B (zh) | 用于生成、使用和优化蜜罐的设备和方法 | |
| US7562214B2 (en) | Data processing systems | |
| US8336107B2 (en) | System and methods for defending against root | |
| CN111316250A (zh) | 保护非易失性存储器中所存储的密码密钥 | |
| WO2021098968A1 (en) | Device and method for ransomware decryption | |
| CN108021792B (zh) | 镜像软件的生成方法、装置及相应终端 | |
| Li | An Analysis of the Recent Ransomware Families | |
| Zlatkovski et al. | A new real-time file integrity monitoring system for windows-based environments | |
| WO2020185416A1 (en) | Device state driven encryption key management | |
| Mishra et al. | How to Enhance Data Privacy on Android: A Proposal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |