Scribd Logo
Upload

Welcome to Scribd!

  • 安卓平台的勒索应用研究_王森淼

    Uploaded by

    17778221637user
    0 views125 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    Download as pdf or txt
    0 views125 pages

    安卓平台的勒索应用研究_王森淼

    Uploaded by

    17778221637user

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    Download as pdf or txt
    of 125



    雜  yo ^ f

    iH Eg 

    綱辑


    ^  j /
     / 0  NJ
    / 


    1 1 I 

    又广

    . .




    卜 專


    厂 叫 y  LJ



     J 、 J


    /  J
      ̄

    ^ y y^ T V

     * 
      '



     * v

    ^   v 
     - ?


     '
    * ' *

     
     '  ' * 
    v 

     k 

    ^  '

    X j

    >sv  ^ 
    u 



    y >v
    = >


     


    , :

     >


    ^ >

    ; 


    , > ;
    v : i




     -
    i x i

      .
     i i

    ; ; { ; j :
      :

    a
    *  . .
     .
     . 

    '

     "

    Vf d


    ^ ^


    V  

     

    ? ' -

     - '

       

    V v :

    ^ r


    : .

    , ? ^ 



     〔 丨 '

    、


    VW  -
    : ; :





      ■ ? ? ' 


     v

        

    题 目 广 安 卓 平 台 的 勒 索应 用 研 究

    学号 : 20 1 8 0 1 03 3 

    姓 名  王赫

     :

    . 
    . .
     




    师 隸^

    … 导 :
    _ . … ― 

    ^ 院 :
     纖識学[




    ::


    邊 


    密级 :
    保密 期限 

    分嚎 仰 索 大摩

    博 士 学位论文



    题目 :
    安 卓平 台 的 勒索 应 用 研究

    学 号 :
     20 1 80 1 033 1

    姓 名 王:
    森 

    专 业 计 算 机 科 学 与 技 术


    导 师 秦:

    素 

    学 院 网 络空 间 安 全学 院


    2 0 22 年 5 月 31 


    Be i

    i n g U n i v e r s i t y o f

    P o s t s  a n d  Te l e c o m m un i c a t i o n s

    T h e s i s  fo r  D o c t o r  D e g r e e




    R e s e a r c h o nR a n s o m w a r e o f A n d r o  i 

    P l a t fo r m

    S tu d ent  No . :


    20 1 80 1 03 3 1


    C an d i d at e :  Wa n g 
    S e n mi ao

    S ub e c t

    :  C ompu t e rS c i e n c e

    Su
    p e rv i s o r :

    Q i n  S uj u a n

    I n s ti tute :  S choo l of  C y b e r s p a c eS e c u r it




    Apr i l .  7 th  2 0 2 2




    摘 

    安卓平台的勒索应用研究

    摘 

    勒 索 应 用 是通 过更改 用 户 的 设备密 码 、 强 制 占 用 用 户 的屏幕资源 、 主动加密或




    盗取 用 户 设 备 中 的 个 人 文 件 等 操 作 ,
    使 用 户 无法 正 常 使用 个 人设备 、 无法正 常打开


    文件 , 从 而 向 其勒 索 赎 金 的 恶 意 应 用 。 该 类 应 用 生 产 成 本 低廉 且对 用 户 的 威 胁较 高 

    近年 来 , 随 着 安卓 系 统 占 有 的 市 场 份额 越 来 越 高 , 勒 索 应 用 的 数量也 急 剧 上 升 

    当 前对于 安 卓平 台 勒 索 应 用 的 研究 和 防 护 仍 以 被动 检 测 为 主 , 即集 中在如何准


    确 高 效地 识 别 勒 索 应 用 ,
    通 过 在勒 索 应 用 被 激 活 前 定 位 该 应 用 并 进 行 处 置 , 从而达 到


    对安卓设 备 的 防 护 。 然而 , 勒 索行 为 的 全 过 程 还 包 含 应 用 被 激 活 后 对 屏 幕 、 文件等资


    源的劫持 以 及 勒索 应 用 为 抗 逃 逸 检 测 进 行 的 主动 进 化 仅 针 对 全 过程 某 阶段 的 孤



    立 防 护 无 法 对勒 索 行 为 完 全 防 护 。
    为 了 更 加 全 面地 保 护 安 卓 设 备 及 用 户 文 件 免 受 勒


    索 应 用 的 危 害 本 文 开 展 了 安 卓 平 台 的 勒 索 应 用 研究 提 出 了 面 向 安卓 平 台 勒 索行 为
    , 
     ,

    全生 命周 期 的 安 全 防护 体 系 。 本 文 主 要 研究 如 下 

    1 .
    行为 可 区 分 的 勒 索 应 用 激 活 前离 线 检 测 研 究 。
    现有 的 检 测 引 擎 很 难 区 分带有


    锁 定 屏 幕 和 加 密 文 件 功 能 的 良 性 应 用 与 勒索 应 用 本文 提 出 了 K R D RO ED  种行为



     ,

    在 特征集 构建 时提 出 了 联 合特



    可 区 分 的勒索 应 用 激活 前离线 检测 引 擎 。 KR D RO I D

    算 法 将 关 联 性较 强 却 又 彼 此相 互 独 立 的 多 个 特 征 加 入 关

    征 的 概念 , 利用 K -

    me a n s 、


    联 关 系 进行组 合 形 成 新 维 度 包 含 关 联 关 系 的 联 合 特征 有 效 地 解决 模 型 在 进 行 勒


    , ,

    索 应 用 识 别 时 容 易 将 具 有 相 似行 为 的

    良 性 应 用 误判 为 勒 索 应 用 的 问 题 。
    实 验结 果 表


    明 ,
    K R D RO I D 在检 测 未 知 勒 索 应 用 方 面 , 准 确 率达 到 了 
    98 5 . % ;
    在 区 分 具 有 相 似行


    为 的 良 性 应 用 与 勒 索 应 用 方面 ,
    K R D RO I D 较 其 他 检 测 引 擎 准 确 率提 高 了 约 40 % , 


    决 了 现 有勒 索 应 用 检 测 引 擎 无 法 精 确 区 分勒 索 应 用 与 良 性 应 用 相 似行 为 的 问 题 

    2 .
    基 于 兴 趣 文 件 夹 访 问 感 知 的 勒 索 应 用 实 时检 测 研 究 。
    使用 了 检测 逃逸 技术 的


    勒索应用 通常会 釆 用 加 固 、 隐写 、 动 态 加 载 等 方式 隐 藏 自 己 的 恶 意 行为 , 即 在被激活


    后动 态 还 原 恶 意 代 码 。 因此 , 对 于 此 类勒 索 应 用 的 检 测 需 要 在 它 们 被 激 活 后 实 施 。 


    将 对 用 户 的 文 件 带 来 极大 的 加 密 威 胁 本文提 出 了 K R P ROTE C T O R  个 基于 兴 趣


    。  ,

    文 件 夹访 问 感 知 的 勒 索 应 用 实 时检 测 引 擎 。 K R P R OT E C T O R 以 空 文 件 夹 为 兴 趣 文 件


    夹 的 实体 , 搭载在未被 R O OT 的 终 端 进 行勒 索 应 用 检 测 , 能够有效识 别 使用 了 动 静


    态检 测 逃逸 策 略 的 勒 索 应 用 。 实 验表 明 ,
    K R P RO TE C T O R 对勒 索 应 用 识 别 的 准 确 率


    较 其他检测 引 擎高 20 % 以上 , 并 能 够在第

    个文件加 密前 1 4 秒左 右 发 出 警告 ,
    实现


    了 在 设 备 未被 RO O T 的情况 下 , 对勒 索 应 用 加 密 文 件进行 防 御 




    北 京 邮 电 大学 工 学 博 士 学 位 论 文 

    3 .

    勒 索 实 施后 资 湄 自 恢 复 技 术 研究 随 着 勒 索 应 用 的 不 断 进化 部 分 勒 索 应 用 已
    。 
     ,

    经 出 现 了 利 用 U S B 屏 蔽功 能 防 止 用 户 连 接 AD B 进 行 资 源 恢复 的 功 能 另 外 。
    , 现 有对


    勒 索 后 资 源 恢 复 的 技 术 存 在 着 程 序 复杂 、
    需要 用 户 专 业背 景 知 识 门 槛 髙 的 问 题 本 文

     。

    提出 了  K RRE C O V ER  ,

    个安卓 系 统 的 勒 索 实 施 后 资源 自 恢复工具 。 KR R EC OV E R

    通过 自 动 终 止 勒 索 应 用 的 进 程 并 删 除 写 入 密 码 的 文 件 进行 被 劫 持 设 备 资 源 的 自 恢复 

    通 过对 加 密 API 的 监控 , 获取其在动 态运行 中 ,


    进 行加 密 时 使 用 的 密 钥 与 被 加 密 文


    件列 表 , 实 现被加 密 文 件 的 解密 

    4 .
    攻击 者视 角 的新型勒索技术研究 。
    针 对 如 何 主 动 发 现勒 索 应 用 在 进 化 中 更 多


    的 潜 在 威胁 ,
    并 针 对 不 同 的 勒 索 行 为 进行安 全 防 护 的 问 题 ,
    本 文提 出 了 基于 DN S 


    道 的 数据 劫 持 、 基 于 中 间 人 攻 击 的 数 据 劫 持 以 及基 于 DN S 劫持 的通信劫持 3 种新型


    勒索技术 。 另外 , 为 了 对 勒 索 应 用 进 化 中 可 能 出 现 的 不 同 的 勒 索 行 为 进 行安 全 防 护 

    本文提 出 了 
    K R P RO V E  ,

    个支 持 多 种 策 略 组 合 的 安 卓 端勒 索 行 为 验 证 框 架 ,
    并 针对


    各 种 策 略 组 合 得 到 的 勒 索行 为 在设备 上 的 测 试结 果 给 出 了 防 御 建 议 

    关键 词 :
    安 卓勒 索 行 为 可 区 分 兴 趣 文 件 夹 访 问 感 知 资 源 自 恢复 新 型 勒 索


    A B S T R AC T


    R e s e a rch  o n  R an s o m w a re  o f  A n d ro i d  Pl a tfo r m

    A B S T RA C T

    R a n s o mw a r e  i sa m a l i c i o u s  app l i c a t i o n  t h a t  e x t o r t s  r a n s o m  f
    r o m  u s e r s  b y  r e p l ac i n g

    h e k  d ev i c e y  oc c u p y i ng  th e i r  s c r e e n  r e s o u r c e s  an d  e n c r y p t i n g  t h e r  pr

    p a s s w o rd s fo rc i b l


    _

    t i

    v ate  fi l es , s o  t h a t u s e r s  c a nn o t u s e  dev i c e s a n d a c c e s s  f
     i l e s  n or m a l l y
       .  Th i st
    y p e o f ap p l i c a t i o n
     

    h a s  l o w  p r o d u c t i o n  c o s t  a n d  h i g h  th re a t  t o  u s e r s .  T he  n umb e r  o f r an so m w are  h a s  r
    i s en

    y e ar s  a s  A n dro i d
    s h arp l y  i n  re c e n t  h a s  g a i n e d  m a rk e t  s h a r e 

    A t
     p re s e n t , 
    t he  re s e arc h  o n  An dr o i d r a n s o mw ar e a nd
       t h e p r o t e c t on a g a i n s t

    i   r an s o m w are

    h at  i s he r e s e a r c h  fo c u s e s  o n  h ow  t o
    ar e  s t i l l  i n  t h e  s i t u at i o n  o f
     p a s s v e  d e t e c t on
    i i
    , t ,  m o s tof  t  

    ac c u r a te l y  a n d  e ic
    f i e n t l y  i d e n t i fy  t h e  r a n s o m w a r e ,  a n d  t o  a c hi e v e  th e
     pro tec
    ti on o f  An dr o i 

    d e v i c e s  b y  l o c a t i n g  a n d h a n d l i n g  t he   r a n s o mw a r e  b e fo re  i t  i s  a c t i v a t e d  . H o w ev e r , 
    t h e  w ho le

    p r o c es s  o f ex o r o n  a s o  i n c l u de s
    t ti l   th e  hi a cki n
    j go
    f  i l e  an d  o th e r  re s
    s c r ee n ,  f o ur c e s  a f
    ter  t h e

    r a n s o m w ar e  i s  a c t i v a t e d ,  a s  w e ll  a s  t h e  a c t i v e  e v o l u t i o n  o f  t h e  r a n s o m w a r e  a an t i
    g ai n s
    t


    esc a
    pe d etec t
    ion .  T he  i sol a te d
     p r o te c t i o n o n l y 

    fo r a c er t a i n  s t a
     
    g e o f t h e w h o l e p r o c e s s c a n no t
       


     

    d e al  w i th  t h e w h o l e p ro c e s s  o f ex t o r
     ti o n 
     .  I n  o r d e r  t o  m o re  c o m
    p re h e n s i v e l y p r o t e c t 
     A nd r o i 

    i i l e s  fr o m  t h e  h arm  o f
    d ev c e s  an d  u s e r  f  r an s o m w are ,  t h i s  p a p e r  c ar i e d  o u t  t h e  r e s e a rc h  o f
    r 

    r a n s o mw a r e  o n  A nd r o i d  p l a t fo r m ,  a nd  p u t  fo r w a r d  t h e  s e c u r i t y  p r o t e c t i o n  s y s t e m  fo r  t h e

    w h o l e  l i fe  c y c l e  o f  r a n s o m w a re  b e h a v i o r s  o n  An dr o i d
     p a t fo r m  T h e  m a i n  c o n t r
    l .i b uti o n s  o f

    t h i s  p ap e r  a r e  a s  fo l l o w s 

    1 .  R e s e a r ch  l i n e  d e t e c t i on  o f b e h av i o r  d i s t i n g u b h a b l e  r a n s om w a r e  a p p l i c a
    o n  of f 


    t i o n  b e fo re  a c t i v a t i o n  I n  o r d e r  t o  s . o lve  t h e p ro b l e m

     t h at  t h e ex  i s ing
    t 
    r a n s o m w a re  d e t e c t i o n

    h e  b eni
    en
    g i n e  c an  h ar y  d i s t i n gu i s h  o n  w i t h  t h e  fu n c t i o n  o f  l o c ki n cre e n


    dl
    g n  a p p l i c at gs
    t i

    an den cr
    y p ti n g 
    fi l e  f r o m  t h e  r e a l  r a n s o mw a r e  t h i ,

    p
    a p er  p r o p o s e s  KR D RO E D ,  an  o l
    f i ne

    de te c ti o n  e n

    i iv at
    n e  w i t h  b e h a v i o r  di s ti n c t i o n  b e fo r e  a c t i on o f  r an s o m w are .  I n  fe at u re  s e t

    " "
    c o n s tru c t i o n , 
    K R D RO I D  prop o s ed  t he c o n c e t o f

    p  

    o i nt  fe at u r e . It u s e d  K m e a n s  a l g o r i t hm


    t o c o mb i n e m u l t i p l e fe a t
     oe s w i    t h  s t ro n

    i o n bu t
    g c o rre l a t
      i n de p e n d e n t o f e a c h o t h e r     i n t o a n ew

     

    d i m en s i o n of oi nt fe a t u re c o n t a i n i n
    g c o r re l a t i o n re l at i o n s w h i c h e fe c t i v e l y o l ve d h e p ro b 

       

     s  t
    j 

     

    l e m  o f r a n s o m w are  i d e nt
     ifi c at i o n  i n  t h e  m o d e l  E xp e r
    i m e n t al  r e s u l ts  s h o w  t h a t  . K R D RO I D

    a c hi e ve s  9 8 5 . % acc u r a c y  i n  d e t e c t i n g  u n k n o w n  r a n s o m w a re .  In  te rm s  o f  d i s ti n
    gui shi n g b e 


    n i g n ap p l i c at i o n s a n d
       rans o m w are w i t h   si m i l ar b e h av i o r s

    , 
    K R D RO I D  i m pr o v e s  t h e ac c u ra c y


    b y  a b o u t  4 0 %  c o m p a re d  w i t h  o t h e r  r a n s o m w a r e  d e t e c t o n  e n g i n e s i
    , w hi chs ol v e s  th e
     p ro b


    ii i


    北京 邮 电 大学 工学博士学 位论 文 

    e m t h at exi s t i n r n m w ared ete c t o ne n n n o tac c u r ate l yd i s t n g u s hra n s o m w ai e


    g a s o g n e sc a 

    l i i i i

    fr o m  b e n i
    g n app l i c ati o n s 

    2 .  R e s e a rcho n rea l

    ti m e  d e t e c t o n  o f  r a n s o m w a r e  a p p l c a t i o n  b a s e d  o n  i n t e re s t
    i 
     i

    fo l d e r  a c c e s s
    p
    e rc e
    p ti o n . S i n c e t h ede t e c t i o n  o f  t h e  r a n s o m w a r e  u s n g  d e t e c t o n  e s c ap e

     i i

    t e chn ol o
    g yc a no n y
    l b e  d e t e c t e d  a ft e r  t h e  r a n s o m w a r e  i s a c ti v a t e d t h e  f i e s  o f  th e  u s e r


     l

    w b e re atl hre a t e n e db h e  e n c r y p t o n  o f  t h e  r a n s o m w ar e Th a


    p e r  p r o p o s e s  KR


    i l l t s
    yt p

    g

    y

    P R OT E C T O R , are a l

    t i m e  d e t e c t o n  e n g n e  f o r  r a n s o m w a r e  b a s e d  o n  n t e r e s t  fo d e r  a c c e s
    i i i l 

    aw are n e s s .  K R P R O TE C T O R  u s e s  a n  e m p t y  fo l d e ra sa ne n t i t


    yo
    f  i n t e r e s t  fo l d e r  t o  d e t e c 

    ran s o m w areo nte r m i n a l st h a tar en o tR O O T ,  a n d  c a n  e ffe c t i vel


    y
    i den t i f
    y  r a n s o m w a re  t
    h a t

    u s e sad
    yna
    m i ca n ds t at i cd e t e c t i o ne s ca
    p es tr at e g y .  E x p e r m e nt a i lr e s u l t ss h owth at  KR PR O 

    TEC TO R i s2 0 %m o r ea c c u r at e ni d e n t i i f i h h


    y n gr a n s o m w aret a no t e r  ran s o m w ar e  d e t e c t o n

     i

    en ne s an dc a ni s s ni n g  7 0 6


    u e  a  w ar 1 3  s e c o n d s  b e fo r e  t h e  f i r s t  f
    i ei se n c ryp te d r e a zin

    i l i



    . l
    , ,

    h e  d e fe n s e  a n s t  e n c ryp t n g  e s b n s o m w ar e  w h e n  t h e  d e v c e  i sn o tR O OT


    ga yr a
    t i i fi l i 

    3 .  R e s e a r c h  o n  r e s o u r c e  s e l f  r e c o v e r y  t e c h n o l o g y  a ft e r  r a n s o m w a r e  i m p l e m e n t a 

    ti on . W i t h  t h e  e v o l u t o n  o f  r a n s o m w ar e

    , s o m er an s o m w ar e  h a v e  c o m e  u p  w i t h  th e  a b i l i t


    t o
    p
    re v e n t  u s e r s  fr o m  c o n n e c t i n g  t o  A D B  fo r  r e s o ur c e  r e c o v e ry  u s i n g  U S Bs h i el di n

    .  I 

    a d d i t i o n  t o  r e c o v e r  r e s o u r c e  a ft e r  e n c r ti on
     t h e r e  ar e  p r o b l e m ss u c ha sc o mp l c a te d
    p ro


    yp



    c e d ure sa n d h gh  i t h r e s h o l d o f u s e r p r o fe s 


    s i ona l  b ac k g r o u n d kn o w e d g e  l .  Th i s
     p ap e r p rop o s e s


    K R R E C OV E R ,  a  r e s o u r c e  s e l f r e c o v e ry  t o o l  b a s e d  o n 

    A n dr o i d s
    y s t em  . KR R E C O V E R  a u 

    o m ati c a l l  th e  r e s o u r c e s  o f  t h e  h i a c k e d  d e v i c e  b rm i n a t i n th e r o c e s so fth e


    yre c o e r s
    v 

    yt e

    j g p

    w o r d B ym o n or
    in

    i e sw r
    o m w ar e  a n d  d e l e t n g  th e  f n  n t o  th e h e e n c
    yp t o n


    ran s tte
    pas s
    gt
    i l i i . i t i i

    AP I
    ,  K R R E C OV E R  o b t ai n sth eke
    y su s e
    di nd

    n a m i co
    pera
    t i o na n dt h el i s t ofe n c r
    ypte


    y p t e d
    f l e st od e cr h een c r f e s
    y p tt
    i i l 

    4  R e s e a r c h  o n  t h e  n e x t  g e n e r a t i o n  r a n s o m w a r e  t e c h n o o g y  fr o m  t h e  p e r s e c t v e


    p l i

    o fa t ta c k e rs . A m i i n
    g
    att h e
    p
    ro b l e m o f h ow t oa c t i v e l
    y
    i n dm o rep o te n t
    f i al  t h r e a t s  i n  t h e

    ev o l ut o n  o f  r a n s o m w a r e  a n d  d e fe n d  a g a i n s t  d i f fe r e n t  e x t o r t i o n  b e h a v i o r s  t h i a
    p e rp r o



    p

    pose sth re en e x t


    gene
    rati o n  e x t o rt o n  t e c h n o l o g e s i i : d at ah i

    ac k i n
    g
    b a s e do nD N Sc h an n e l


    d a t ah ac k ng b a s e do nm a n n he m d d ea tt a c kan dc o m m u n c a t i o nh i ac ki n b a s e do n




    - - -

    i i t i l
    g
    i i
    j  j

    DN S  h i

    ac k n i

    . I na d d i t o n i
    , i n o r d e r  t o  d e fe n d  a
    ga
    i n s t  d i fe r e n t  e x t o r t o n  b e h a v o r s  t h a t  m a i i


    PROV E n  A n d r o i d  e x t o rt o n
    p a p e r p ro p o s e s  KR
    oc cur i nt h e e v o u ti o no f l  rans om w are , t h i s , a 
     i
     

    b e h av o rv e r
    ifi c a t o n  fr a m e w o r k  t h a t  s u p p o r t s  m u b n at on s d

    p e  s tr a t e g y  c o m a n
    pr o v de s


    i i l i l i i ,

    d e fe n s e  s u  b a s e d  o n  t h e  t e s t  r e s u l t s  o f  e x t o r t o n  b e h a v o r s  o b t a n e d  fr o m  v a r
    ious
    ggest ons 

    i i i i

    s t r a te
    g y  c o mb i n a t i o n s  o n  d e v i ces 

    K E Y W O RD S  A n dr o : i d  R a n s o m w ar e  B e h a v i o r  D i st i n g u i s h ab l eI n te re s tFo l d e rA c c e s s



    P e rc e v e dR e s o u rc e s S e l f re c o v e ry
    N e x t G e ner a o n  R a n s o m w ar e


    i  t i

    i 


    目 

    第 章 绪论

     

    1 . 1 研宄背景 .  

    1 . 2 国 内 外研究现状  

    1 . 2 . 1 勒 索激活 前 检测 技术研 究现状  



    1 . 2 2 .
    勒 索 进行 中 防 御技术研 究 现状  

    1 . 2 3 .
    勒 索 实施 后 资 源 恢 复 技 术 研 宄 现 状  

    1 . 2 4 .
    勒 索 技术 发 展趋 势 研 究 现状  

    1 . 3 研究 内 容  

    1 . 4 _节鋪 _  

    第二 章 勒 索 应用 行为刻 画 与 实现方法 分析  1 1

    2 . 1 雛   1 1

    2 2 .

    设备 劫 持 型勒 索应用  1 1

    2 2 . . 1 设 备劫 持 型 勒 索 应 用 的 行为 表 现  1 1

    2 2 2

    设备劫 持 型 勒 索 应 用 的 设计 实现
    .  1 

    2 3 .

    屏 幕 资 源 劫 持 型勒 索应 用  1 

    2 3 . . 1 屏 幕 资源劫 持 型 勒 索 应 用 的 行为表现  1 

    2 3 2

    屏 幕资 源劫 持型勒 索 应 用 的 设计 实现

     1 

    2 4 .
    文件加密 型勒索应用  1 

    2 4 . . 1 文件加 密 型 勒 索 应 用 的 行为 表现  1 

    2 4 2
    . .
    文件加 密 型 勒 索 应 用 的 设计 实 现  1 

    2 . 5 本章小结  1 

    第 三 章 K RD R O I D :

    行为 可 区 分 的 勒 索 应 用 激活前检测 研 究  1 

    3 . 1 弓 丨 胃  1 

    3 . 2 勒索应用 与 良 性应 用 的 区 别  2 

    3 .
    2 . 1 设备屏幕 资 源劫 持类勒 索 应 用 与 良 性应 用  2 

    3 .
    2 2 .
    文件加 密 类 勒 索 应 用 与 良 性 应 用  23

    3 . 3 方案 设计  25

    3 .
    3 . 1 工 作流 程  25

    3 . 3 特征提取
    . 2  26

    3 . 3 勒索应用 识 别
    . 3  29

    3 . 4 实验 评 估  3 0

    3 . 4 实 验数 据
    . 1  3 

    3 . 4 2 评价指 标
    .  32

    3 .
    4 实验 分 析
    . 3  3 3


    3 . 5 本章小结  3 6

    第 四 章 KRP R O T E C T OR 基 乎 兴 趣 文 件 夹 访 问 感 知 的 勒 索 应 用 实 时



    检测研 究  3 7

    4 . 1 弓 丨 胃  3 7

    4 2 .
    加 密手段 分析  40

    4 3 .

    方案设计  45

    4 3 . . 1 工 作 流程  45

    4 3 2
    . .
    兴趣文件 夹 部署  46

    4 3 3
    . .
    加 密 勒 索 应 用 检 测 与 文件 保护  48

    4 4 .

    实验 评 佔  5 

    4 4 . . 1 实验数据  5 

    4 4 2
    . .
    评 价指 标  52

    4 4 3
    . .
    实验分 析  52

    4 5 .

    本削 结 、
     60

    第五章 KRR E C O V E R :
    勒 索 实施 后 资 源 自 恢 复 技术研 宄  6 

    5 . 1 弓 W [
     6 

    5 . 2 恢 复 策 略 设计  63

    5 . 2 前提假 设
    . 1  63

    5 . 2 2 恢 复策 略
    .  63

    5 . 3 方案设计  64

    5 . 3 设 备恢复 算 法
    . 1  65

    5 . 3 2 文件恢 复 算 法
    .   65

    5 . 3 监控算法
    . 3  66

    5 . 4 实验评 估  67

    5 . 4 实 验数据
    . 1  68

    5 . 4 2 .
    实验 分 析  68

    5 . 5 本章小结  73

    第六章 K RP R O V E :
    攻击者视角 的 新型 勒 索 技 术  75

    6 . 1 弓 丨 胃  75

    6 2 .

    勒 素 技 术 发 展 技 术 分析  76

    6 . 2 设 备 劫 持技 术
    _ 1  76

    6 2 2
    . .
    屏 幕 资 源 劫 持技术  77

    6 2 .

    文件加 密 技 术
    . 3  79

    6 . 2 4 其他技术
    .  8 

    6 3 .

    新 型 勒 索 技 术 发 展趋 势  83

    6 3 .

    新 型勒 索 技 术模式 分析
    . 1  83

    6 3 . 2 新 型勒 索 技 术 实验验证
    .  85

    6 4 .

    勒 索 行为 验证 框 架  89


    6 4 . . 1 工 作流程  89

    6 4 2
    . .
    防御策 略  92

    6 5 .

    木章小结  95

    第七章 总 结 与 展望  97

    7 . 1 工作总结  97

    7 2 .
    未 来展望 "  98

    参考 文献  1 0 



    图 目 

    图目录



    本文 主 要工 作  

    2 -


    设 备劫 持 示 意 图  1 1

    2 -

    2 屏幕 资源 劫持 示 意 图   1 

    2 -

    3 安卓 2 3

    版本 以下重写 O n A t ac h W i nd o w 的例子  1 

    24 安卓 4 0

    版本 以上重写 O n A t ac h W i n dow 的例 子  1 


    5 安卓 4 0

    版本 以 上重 写 O n Ke y D o w n 的例子  1 


    6 文 件 加 密示 意 图    :  :  1 



    具有 设 备锁 定 功 能 的 良 性应 用  2 


    2 设备 劫 持 锁 定 勒 索 应 用 和 良 性 应 用 之 间 的 区 别  23


    3 文 件 加 密勒 索 应 用 与 良 性 应 用 的 区 别  23


    _

    4 行 为 可 区 分 的 勒 索 应 用 检 测 引 擎 的 工 作 流程 示 意 图  25


    5 联合特征 构 建 流程示 意 图  28


    6 网 格 搜 索算 法 参 数 调 优 示 意 图  3 


    7 数据 集 构 成  32

    4 -

    1  KR P R OT E C T O R 工 作 流 程 示 意 图  46

    4 -

    2 文 件 加 密 与 预警 时 间 线 示 意 图   58


    1 K R RE C O V E R 工 作 流 程 示 意 图  64


    2 设 备 劫 持恢 复 实 验 效 果  69


    3 原始 文件  70


    4 文 件_  70


    5  文件 _  70


    6 设 备 劫 持恢 复  7 


    7 被加 密 的 文件  7 


    8 文 件解 密  72


    9 解密 时 间 与 文 件大小 关 系  73


    1 0  K R REC OV E R 资源消耗示意 图  73

    6 -

    1 D N S 劫 持模 式 示 意 图  83

    i 


    北 京 邮 电 大学 工 学 博 士 学 位 论 文 

    6 -

    2 基 于 中 间 人 攻 击 的 数据 劫 持模 式 示 意 图  84

    6 -

    3 基于 DN S 信道 的 数 据 劫持 模 式 示 意 图  85

    64 基于 DN S 劫 持 的 通 信 劫 持验证 结果  86

    6 -

    5 基 于 中 间 人 攻 击 的 数 据劫持验 证 结 果  87

    6  ̄

    6 基于 DN S 信 道 的 数 据劫 持 验 证 结 果  88

    6 -

    7  KR P ROV E 工 作 流程示 意 图  89

    6 -

    8 加 载 模式 示 例  90

    6 -

    9 代 码恢复模式示 例  90

    6 -

    1 0 伪装 模式示 例  9 





    表目录

    表目录

    2 -


    设 备劫 持型勒 索 应 用 的 典 型 特征   1 


    2 屏幕 资 源 控 制 勒 索 应 用 的 典 型 功 能  1 

    2 -

    3 文 件 加 密勒 索 应 用 的 典 型 功 能  1 



    设备 劫 持型 和 屏幕 资 源控 制 勒 索 应 用 与 良 性 应 用 之 间 的 区 别  22


    2 文件 加 密勒索 应 用 与 良 性应用 的 区 别  24


    3 聚 类 结 果 评 价 变 量 详情  28


    4 模 型 参 数 选择 详情  3 


    5  K R D RO I D 勒 索 应 用 识 别 结果  34


    6  K R D RO I D 、 R Pa c k D r o

    i d 和 
    H EL D O R I D  的 比 较结果  35

    仁1 勒索 进 行 中 防 御 技 术 概 览  39

    4 -
    2 加 密 型 勒 索 应 用 的 攻击 时 间 特 征  40

    4 -

    3 加 密 型勒 索 应 用 的 攻 击 目 标 文 件 夹 特 征  41

    4  ̄

    4 加 密 型 勒 索 应 用 加 密 时 遍历 方 法 特 征  41

    4 -
    5 加 密型勒 索 应 用 加 密 时 文 件获 取 顺 序 特 征  4 

    4  ̄

    6 加 密 型勒 索 应 用 加 密 时 加 密 顺 序 特征  42

    4 -

    7 加 密型勒 索 应 用 加 密 时加 密 方 法 特 征  42

    4 -

    8 加 密 型 勒 索 应 用 加 密 时 加 密模 式 特 征  43

    4 -

    9 加 密 型 勒索 应 用 加 密 时 加 密 策 略 特 征  44

    4 -

    1 0 加 密 型 勒 索 应 用 加 密 时 目 标 文 件 选择 特 征  44

    4 -

    1 1
    加 密 型 勒 索 应 用 加 密 时加 密 文 件 名 变 化 特 征  45

    4 -

    1 2  K R P R O TE C T O R 良 性应 用 过 滤 规 则  48

    4 -

    1 3 K R P RO T E C T O R 与 其 他 加 密勒 索 应 用 检 测 引 擎 的 实 验 对 比结果 . . . . 54

    4 -

    1 4  K R P RO T E C T O R 文 件 防 护 测 试结 果  56

    4 -

    1 5 六 种 测 试 设备 的 结 果 展 示  59



    测 试数 据集 组 成表  68

    6 -


    安卓 版 本 与 设 备 劫 持 ( 加密 ) 实 现 方法  77

    6 -

    2 安 卓 版 本 与 屏 幕 资 源 劫 持 实 现方法   79

    6 -

    3 安 卓 版 本 与 文 件 加 密 实 现方 法  80

    x i
    北 京 邮 电 大 学 工 学 博 士学 位 论 文 

    6  ̄

    4 安卓 版 本 与 按 键 屏 蔽 实 现 方 法  8 


    5 安 卓版 本 与 信 息 窃 取实 现方法  82

    6  ̄

    6 新 型 勒 索 应 用 攻 击 技 术在 安 卓 不 同 版本 上 的 验 证  85

    6 -

    7 防御效果概览  93

    x i i

    符号 歹 表

     !

    符号列表

    R 勒索应用 集合


    Rl d 设备 劫 持 型 勒 索 应 用


    R s rc  屏 幕 资 源 劫 持 型勒 索 应 用


    R fe 文 件加 密 型 勒 索 应 用


    Bl d  设备 劫 持 型 勒 索 应 用 运 行 时 行 为 表 现


    B S rc  屏 幕 资 源 劫 持 型 勒 索 应运 行 时 行 为 表 现


    B f e 文 件 加 密 型 勒 索 应 用 运 行 时行 为 表 现


    Ml d  设 备劫 持 型 勒 索 应 用 勒 索行为 实 现方 法


    M s hc  屏 幕 资 源 劫 持 型 勒 索 应 勒 索 行为 实 现 方 法


    Mf e  文 件 加 密 型 勒 索 应 用 勒索行为 实 现 方法


    <Asu b , 
    R r >  A PI 调用 序列


    ? ^ ord er   〇
    文件加 密 索应用 攻 击 方 式

    ot ti me j 
    O ^^ t ar et  j 
    〇 tt

     e nm e t h od  

    ^^ fe a  } 萄 J [




    ( g i i

    Em o de  勒 索 应 用 加 密 模式


    EL  相 加 求 和



    AD B  A n d r o i d D e b u g B r
    i dge

     

    x i i i
    第 章 绪论


    第 一

    章 绪论

    本章 将 介 绍 四 部 分 内 容 ,
    包 括 研 究背 景 与 意 义 部 分 、
    国 内 外 研究现 状 部分 、 研究


    内 容 部 分 以 及 章 节安排部 分 。 研究 背 景 与 意 义将 阐 述 勒 索 应 用 特 点 以 及 安 卓 平 台 勒


    索 应 用 防 护 体 系 中 存在 的 威 胁 , 研 究 现 状 将 阐 述 当 前 安 卓 平 台 勒 索 应 用 研 究 中 存在


    的问题 , 研 究 内 容 将 阐 述本 文 解 决 的 问 题 及 研 究 成 果 

    1 1

    研 究背 景

    勒 索 应 用 是 通 过 更 改 用 户 的 设备密 码 强 制 、
    占 用 用 户 的 屏幕 资 源 、 主动 加 密 或盗


    取用 户设 备 中 的个人文件等 操 作 , 使 用 户 无 法 正 常 使 用 个 人设 备 、 无 法 正 常打 开 文


    件 , 从 而 向 其 勒 索 赎金 的 恶 意 应 用 。
    该 类 应 用 生 产 成 本 低 廉 且 对 用 户 的 威胁 较 高 。 


    年来 , 随着 A n dr o i d 系 统 占 有 的 市 场 份额 越 来 越 高 , 勒 索 应 用 的 数量 也 急 剧 上 升 。


    20 4 年第 个在 A n dr o d 平 台 实现 的勒索 应 用 的 出 现 至 今 勒 索 应 用 的 数量 不 断 增


    1 i


    长 据统 计 2 02 年 全 年 发 生 的 勒 索事件 较 上 年 度 增 长 了 48 % 根据 F re e B u f


    。 1 1 。

    发 布 的 统 计数据 可 知 , 勒 索 应 用 对 用 户 造成 的 经 济损 失 逐年上涨 ,
    20 1 9 年用 户支付


    赎金 的 平 均 金 额 为 2 5 .
    万美元 ,
    2020 年 用 户 支 付 的 赎 金是 20 1 9 年的的 3 52

    倍 , 高达



    8 8

    万美元 , 到 2 02 1
    年 , 该金 额 已 经 超 过 了  1 1 . 8 万 美元 


    近年来 基 于 安卓 平 台 的 移 动 设 备 大 幅 增 加 值得注 意 的 是 年底

    到 20 2 0
    [ ]


    , , 

    安 卓 的 数 量将 达到 6 1
    亿左右 。 目 前 ,
    A n dro i d 上运 行 的 勒 索 应 用 仍 然 是 移 动 设 备


    面 临 的 主 要 威胁 。
    据 C h e c k Po nt  i
    发 布 的 报 告显示 , 在 2 02 1
    年 的 最 后 六个月 , 加 密勒


    索 攻击 增 加 了 
    57 % 。
    报 告 中 还提到 , 平均 每 1 0 秒 就会 有 一

    个新 组 织 受 到 加 密 勒 索 应


    用 的 攻击 由 于 网 络 犯 罪 的 风 险 低于 现 实 犯 罪 所 以将 吸引 更多 的 罪 犯 实施



    _

    1 ( ) 1 1 1
    [ ] [ ]


    和 传 播勒 索 应 用 ,
    这 将 对 安 卓 平 台 构 成 更大 的 威 胁 

    当 前 对 于 安 卓 平 台 勒 索 应 用 的 研 究 和 对勒 索 行 为 的 防 护 仍 处 在 以 被 动 检 测 为 主


    的局面 , 即 绝 大 多 数 研 究 集 中 在 如 何 准 确 髙 效地 识 别 勒 索 应 用 ,
    通 过在 勒索 应 用 被激


    活 前 定位 到 该 应 用 并进 行 处 置 , 从 而 达 到 对安 卓 设备 的 防 护 。 然而 , 勒 索行 为 的 全 过


    程 还 包 含 着 应 用 被 激 活 后 对屏幕 、 文 件 等 资源 的 劫 持 , 以 及 应 用 为 抗逃逸检测 进行 的


    主动进化 仅 针 对 全 过程 某 阶 段 的 孤 立 的 防 护 无 法 对勒 索行 为 的 全 过 程 起 到 防 护


    的 作用 

    为 了 更 加 全 面地 保 护 安 卓 设备及 用 户 文 件 免 受 勒 索 应 用 的 危 害 ,
    本文开展 了 安


    卓 平 台 的 勒索 应 用 研 究 , 提 出 了 面 向 安卓 平 台 的 勒 索 行 为 全 生 命 周 期 的 安 全 防 护 体


    系 ,
    包 含 在 勒 索 应 用 攻 击 实 施 前在 服 务 器 端 对勒 索 应 用 的 识 别 ;
    攻击 实 施 中 在设备 端


    对 勒 索 应 用 的 识 别 与 对勒 索 行 为 的 阻 断 ;
    攻击 实 施 后 在 设 备端 进 行 被 劫 持 资 源 的 恢




    北京 邮 电 大 学 工学 博士学 位 论 文 

    复 , 以 及 通 过 对勒 索 应 用 攻 击 行 为 进 化 方 向 的 研 究 , 进行 潜 在 威 胁 的 主 动 发 现 。 本文


    研 究 将对 勒 索 应 用 的 被 动 检 测 与 主 动 防 御 相 结 合 , 在勒 索 行 为 的 全 生 命 周 期 形 成 了

    面 向 设 备 与 数据 的 安 全 防 护 体 系 ,
    对 系 统 的 安 全 性起 到 了 重 要 的 作 用 

    1 2 .
    国 内 外 研 究现状

    本 节 将 围 绕 着勒 索 应 用 从 安 装 到 成 功 实 施 后 的 整 个 生 命 周 期 , 对其 涉 及 到 的 检


    测技术 、
    防御技术 、
    资 源 恢 复 技 术 以 及 勒 索 应 用 开 发 的 技术 发展 趋 势 现 状 进 行 介 绍 与


    分析 

    1 . 2 . 1 勒 索 激 活前 检测 技术 研 究现 状

    当 前 对 于 勒 索 激 活 前 检 测 技 术 的 研究 , 可 主 要 分为 基于 I/ O 的勒索应 用 检测 、



    于 动 态 分 析 的 勒索 应 用 检 测 与 基 于 静 态 分 析 的 勒 索 应 用 检 测 [
    1 4]


    1 .
    基于 I/ O 的 勒 索应 用 检 测


    S S on g 等人 m 提 出 了 种通过 O 读写 C PU 使 用 率 和 内 存 使 用 率 进 行勒 索 应


    .  I/

    用 检 测 的 方法 。
    该方 法 通 过 监 视 文 件 事 件 和 计 算 资 源 来 区 分 正 常 进 程 和 勒 索 应 用 。



    方 法 不 需 要 任 何 关 于 勒 索 代 码 的 信 息 可 以 保 护 用 户 免 受勒 索造成 的 损 害 ,
    。 C o nt n e U a
    i 

    等人 提出 种 感知勒 索 应 用 的 文件 系 统 通过 使用 情
    6]
    A O 


    S hi e l dF S S hi el dF S
    [ 一

    。 I /

    况和 I RP 记 录器 (
    I/ O 请 求 包 记 录器 ) 的 更改来检测勒 索 。
    该方法 主 要 检 测 文 件 加 密


    勒索应用 ,
    也 可 以 恢 复 已 经 被 勒 索 应 用 加 密 的 文件 


    Fe n g Y 等 提出 了 种 基 于 欺骗 和 行 为 监控 的 文 件 加 密勒 索 应 用 检 测 方法 



    们 开 始 就在 设 备 中 创 建 了 诱饵 文 件 以 引 入 加 密诱 饵 文 件 的 勒 索 应 用 通 过这 种 方



    式 ,
    可 以 检测 异常过程 

    总 而 言之 , 基于 I/ O 使 用 情 况 的 勒 索 应 用 检 测 引 擎对 文 件 加 密 非 常 敏 感 , 因 为勒


    索 应 用 加 密需要大量 的 输 入 和 输 出 文件流 。 设备劫 持型勒 索 应 用 与 控制 资源 劫持型


    勒 索 应 用 资 源 可 能 不 适 用 于 使 用 基于 I/ O 的 勒 索 应 用 检 测 手段 进行 检 测 

    2 .
    基 于动 态分析的 勒索 应 用 检测


    S g an du rr a  D 等人 间 提 出 的 E de R an  种 基于 动 态 分 析和 机 器学 习 分 类 的 面 向



    勒索 应用 的 检测 引 擎 。 E de R an

    侧 重于 检查 应 用 程 序 的 安装 ,
    通 过 通 过监控选 定 的


    A PI 来 检 查勒 索 应 用 的 特 征 和 迹 象


    考 虑 到 某 些 勒 索 应 用 可 能 使 用 复杂 的 包 装 技 术 ,
    C hen  J 等 提出

    种 具有 动 态


    分析 的 实 时 勒 索 应 用 检 测 系 统 ,
    R a n s om P ro b e r 。 R an s o m Pro b er 不 是监 视 API ,
    而是使


    用 信 息 摘来 衡量敏 感 录 中 的 数 据 转换程 度 在某种程度上 它 可 以 检测 具有定
    9]




    目 。

    制 密 码 系 统 的 文 件 加 密勒 索 应 用 

    具有 动 态 分析功 能 的 检 测 引 擎可 以 实 时检 测 勒 索 应 用 。 应 用 程序 中 检 测 引 擎 的




    第 章 绪论



    分析 时 间 大 约 需 要 秒钟 在 检 测 到 大规 模 样本 时 处 理 将非 常耗 时

    5 。



    3 .
    基于 静态 分 析 的 勒 索 应 用 检 测



    H e D ro d

    是 种 面 向 勒索 应 用 的 检 测 引 擎 它 通 过 基于 N LP 的 敏感 文本 


    l i 、


    于 Fl o w D r o d i
    的 锁 定 设备功 能 和 文 件加 密 的 的 功 能 来 识 别 勒索 应 用 。 根 据检 测 引

    擎 的 判 断 逻 辑 勒 索 应 用 必 须 具 备勒 索文本 ,
    。 它 需 要 训 练 的 语 料 库 应 该 是 涵 盖 大概 的


    勒 索 关 键词 , 以 及 语言 。 面 对 未 知 的 应 用 程序 时 语 言 , 即 使 有勒 索 行 为 , 检测 引 擎也


    无 法识 别 勒 索 应 用 平均 每 个 样本 的 执 行 时 间 接 近 秒 [
    2() ]
    。 


    大约 一

    年后 ,

    些研究 人 员 改进 了  H e l D ro d i
    , 并提 出 了

    种 新的面 向 勒索应


    M M
    用 的检测 引 擎 ,
    Gre a E a t tl on 。 它扩展了 
    F l ow D ro i d 来 跟 踪与 加 密有 关 的 信息 流 

    以 改 进 加 密检 测 引 擎 它 还添 加 了 个 轻 量 级 预 过滤 器 来 过 滤 分 析 队 列 中 的 元 素 



    缩 短执 行 时 间 当 面 对 使 用 了 不 在 语言 库 中 的 国 家 的 语言 的 勒 索 应 用 检测 引 擎



    22 ]

    无 法识 别勒索 应 用 




    为 了 检 测 带有 混 淆 的 勒 索 应 用 年提 出 了
    23

    20 1 8 
    R P ac k D r o

    i d

    L 与 H e D ro l i d


    和 G re a E a t tl on 不同 , 它 被 设 计 为 可 以 安装 在 手 机 上 的 应 用 程 序 。 此检测 引 擎使用


    静 态 检 测 并 提取 A PI 包 来 表 示 应 用 程序 , 并 使 用 随机 森林进 行 分 类 。 R P ac k D r o

    i d 



    有 防 止混淆 的 相 关 信息

    由于 R 的 检 测 模式 为 安装 检测 所 以在


    23] 23]


    P a c k D ro i d [

    处 理 大 规 模样 本 的 时 候 会 非 常 耗 时 

    1 2
    . . 2 勒 索 进行 中 防 御 技术 研 究现状

    当 前 移 动 端 勒 索 进 行 中 的 防 御 技 术 研 究 主 要 集 中 在 勒 索 应 用 被激 活 后 , 实施加


    密 前 对 用 户 进 行 预警 与 在勒 索 应 用 实 施 加 密 时 对 用 户 进行 预 警 两 个方 面 

    1 .
    勒 索 应 用 被激 活 后 , 实 施 加 密 前 的 防御 技 术


    勒 索 应 用 被 激活 后 , 实 施 加 密 前 的 防 御 技 术 旨 在 通 过 感知 勒 索 应 用 的 加 密 行 为 

    在 勒 索 应 用 加 密 用 户 文 件前 向 用 户 进行 预 警 , 从 而实 现对用 户 文 件 的 保护 

    设 计 的 检 测 引 擎 是搭 载 在 安 卓 移 动 设 备 上 具 有 文 件
    2 4]

    等人 

    25]
    S D G u ard 和 Yu an
    [ [

    加 密 防 御功 能 的 勒索应 用 检测 引 擎 ,
    它 们 可 以 通 过 动 态 分 析在勒 索 应 用 被激 活 后 , 


    施加 密前检测 加 密勒索 应 用 。 Yu a n 等 人 ? 在安卓上激活 L i nu x 的 访 问 控 制 列 表机 制 

    S D G u ard 通过 修 改 安 卓 源 代 码 , 提供 了

    个基 于 自 主访 问 控制 的 文 件访 问 控制 框 架 

    它 们 通 过 控 制 外 部存储 文 件 操 作 来 防 止 加 密 勒 索 应 用 加 密 文 件 

    前面 提 到 的 两 个 勒 索 应 用 检 测 引 擎 应 安装 在 已 经 RO OT 的 安 卓 设 备上 ,
    也就是


    说 安 卓 设备 应 重 新 打 开 超级管 理 权 限和 超级 管 理 员 状 态 它 们 无 法 在 没 有
    , ,
    RO O T 


    安卓设备 上 检 测 加 密 勒 索 应 用 。
    目 前 , 目 前 对勒 索 应 用 在 被激 活 后 对 文 件 进 行 加 密 之


    前 进行实 时检测 的 方法研究较少 。 研 究 人 员 通 常 通 过 修 改 文 件访 问 控 制 来 防 止 加 密


    勒 索 应 用 对 文 件进 行 加 密 , 所 有 这 些 都需 要 安卓 设 备提 前 RO O T 

    些 研 究提 出 了 在 PC 端检测 密 码勒索 应 用 的 不 同 方法 , 例 如 基 于 诱饵 的 加 密勒




    北 京 邮 电 大 学工 学 博 士 学 位 论 文 

    索应用 检测 。
    据我 们 所知 , 这 种 方法 还 没有 成功 地 应 用 于 没有 RO O T 的 安卓设备上


    的 加 密勒 索 应 用 检测 

    RW G u a r d 岡 基于 W i ndow s 上 的 诱饵 检测 加 密勒索 应 用 。 RW G u a r d 监视进程 的




    I/ O 请求 , 以 及访 问 文件 后 对 文件 的 更 改 。
    为 了 识 别 哪 个 进程 对 文 件 进 行 了 重 大 更 改 

    RW G u a r d 设置 了 两个监 控模 块 来 相 互通 信 如 果 发 现 可 疑 进程 则 根 据相 关 。

    日 志判断


    加 密是否 是 用 户 的 意 图 。
    如果不是 ,
    则 RW G u a r d 判 断该进程 属 于加 密勒索应用 。
    作为


    个 独 立 的 模块 如 果 诱饵 监 控模块 监 控到 某 个 进 程 对诱 饵 有 写请 求 则 监 控模 块 判



    定 某 些 文 件正在被勒索 应 用 进行加 密 。 RW G u a r d 是基于 监控对诱 饵 文件 的 写请求进




    若勒 索 应 用 在进行 文 件 加 密 时 釆 用 了 移动 读取 加

    行加 密勒索 应 用 的 识 别 。
    然而 , 
     -

    密 写 入 移动 的 模式 即 勒 索 应 用 不 对其 原 始 文 件 夹 中 的 文件进行 加 密

    - -


    RW G u a r d 


    能 无法 感知 勒 索 应 用 ,
    会 将勒 索 应 用 误判 为 正 常 应 用 程 序 。 此外 ,
    RW G u ar d 在 HOOK

    的 帮 助下记录 日 志 中调用 的相关 API .

    并且 HO OK 必须应 用 在有 RO OT 的 设备上 

    也就是说 ,
    RW G u a r d 使 用 的 方法不 能 在 没有 RO OT 的 情 况 下 直接 移植 到 安卓 设备上 

    R Loc ker p 7

    在 L nux

    设 备上 部 署 大 量 诱 馆 , 并 监 视 对 诱 馆 的 读 取请求 。 R L o c ke r


    产 生 的 诱饵实 体是命名 管道 F IF O 和 大量 逻辑 链路 两者 的 存 储 消 耗 非 常小 ' 普



    通 用 户 可 以在 L nux

    设备上操作命名 管道 FI F O 和 逻辑链接 。 虽 然安卓操 作系 统基


    于 L n ux

    内核 , 但普 通 用 户 无 法 在 没 有 RO O T 的 安卓 设备上 操 作命 名 管道 FI F O 和逻

    辑 链接 。 也就是说 ,
    R L o c ke r

    使 用 的 方法 不 能直接 移植 到 没有 RO OT 的 安卓 设备上 

    提出 了 种 基于 上 诱 饵 的 加 密勒 索 应 用 的 检 测 方 法 它 根据与安


    2 8
    M 〇〇r

    [ ] 一

    W i ndow s 。

    全相关的 日 志 监控 W i ndow s 上 的 诱饵 。 此方 法 依赖 W i ndow s 文 件 服务浏 览 器 功 能 的




    文 件 扫 描 服 务 和 事件 监 视 服 务 。 但是 , 安 卓 操 作 系 统 没 有提供这 样 的 功 能 和 服务 

    根 据上 述 研 究 , 我 们 可 以 发现 :
    基于 W i n dow s 上 的 诱 饵 的 加 密勒 索 应 用 检测 方


    法 无法直接 移植到 没 有 RO O T 的 安卓设备上 。 具有大 量 额外 资 源 的 加 密勒 索 应 用 检


    测 方法也不适 用 于安 卓 设备 。 现有 的 加 密 勒 索 应 用 检 测 方法 存在 很 多 局 限性 .
    包括权


    限要求 、 延迟检测 、
    有 限 的 加 密 策 略和模式检 测 、
    以及 易 受干扰等 

    因 此 ,
    对于没有 RO OT 的安卓设备 .

    加 密勒索 应 用 检 测 是迫切 需要 的 

    2 .
    勒索 应 用 实施加密时的检 测防御技 术


    S an 等人 提出 了 种基于 动 态 分 析 的 实 时 检 测 加 密勒 索 的 方法 监控文


    un
    gge 。

    件修改事件 、 文件删 除事件 、


    输入 输 出 / I/ O 请求等 流程 信息 .

    以判断应 用 程序 流程是


    否 对文 件进 行加 密 。
    为 了 监视每 个进程 的 I/ O 请求 .

    此方法 需要 修 改安卓 源 代 码 。



    就是说 .

    如果 .
    它 无法检 测 没有 RO OT 的 安 卓设备 上 的 加 密勒索 应 用 

    F e rr a n 等人? 提出 了 种 混 合加 密勒 索 应 用 检 测 方法 他 们 通 过静态 分析得




    t e 。

    到 操 作码 的 频率 , 并 通 过动 态 分 析监控 C PU 利用率 、
    内 存利 用 率 、 网 络使用 率和 系

    统调 用 的 统 计数据 该方法 对产 生 大量加 密请求 的 勒索 应用 敏感 。


    , 对加 密频率 低 的 勒


    索应用 不敏感 




    第 章 绪论


    1 . 2 3



    勒 索 实 施 后 资 源恢 复 技术 研 究现状


    Chen  J 等人 使 用 了 诱 饵 技 术 来 保 护 安 卓 设 备 上 的 隐 私 文件 。 通 过将 文 件索 引


    设计为 诱饵 文 件 , 诱导 文 件 加 密 类勒 索 应 用 在 被 激 活 后 , 对 诱 饵 文 件进 行 加 密 , 从而


    保护 用 户 的 隐 私 文 件 。 并 没 有对 设备 的 自 动 恢复 提 出 解 决 方 案 

    A n dr o i d g e  ( AD B )
    d  D e bu g  B r 是 个 通 过 计 算 机 与 模 拟 器 或 真 机 交互 的 工 具 


    i 。

    工 具 提供 了 多 种 对 设 备 进行 操 作 的 命 令 并 提供 对 Un 的访问 权限 当设


    3 1

    x  S he ll
    t ]
    i 。

    备被 锁 定 后 ,
    已 开 启 U S B 系 统调 试 的 设 备 , 能够通 过 US B 连 接 外 部设 备 的 方 式 ,



    设 备 进行恢复 。 当 设备 未 启 动 US B 系 统 调 试 时 ,
    则 不 能 使用 该方法 ,
    另外 , 该方 法


    无 法对 加 密 文 件进行 解密 

    种 引 导 加 载 程 序 的 模式 使用 可 以在 没有 连接 的
    32]
    F a s tB o ot 是 Fa s t B o o t US B 

    一 [

    设 备上 重 写 系 统 。
    当 设 备被 锁 定 后 , 利用 Fa s tB o o t 对系 统进行 重 写 , 能 够 恢复 设 备 的


    使用 。 但是 由 于重写 系 统 , 用 户 在设 备 上 的 部 分 数 据 有着 丢 失 的 风 险 。 设备 不 同 的 机


    型 通 过 物理 键 进入 到 Fa s tB o o t 模式 的 方 式 各 不 相 同 , 并 不 是统

    的 另外 ; , 由 于不 同


    的 安 卓 设 备 的 系 统 在设计 上 的 差 异 , 在利 用 F a s tB o o t 进人 第 三 方 re c ov e r
    y 之后 的操


    作 也各 不 相 同 , 若 设 备搭 载 的 系 统 进 行 了 强 制 前 台 那 么 用 户 需 要 通 过 操 作 数 据 库 进

     ,

    行 设 备恢 复 这种 方式 要 求 操 作者具有 定 的 专业性

    3 2] 一

    。 

    目 前 对 于 移动 端 的 加 密 文 件 恢 复 大 多 使 用 逆 向 的 方 法 ,
    通 过在 勒索 应 用 中 找 到


    源码 从 而 利 用 加 密 密 钥 对 文 件 进行 解密 当然 如果用 户 具有 定 的 安卓背景知



    , ,

    识 , 用 户 也 可 以 通 过 对 勒索 应 用 进行 逆 向 操 作 , 从 而直 接在源 码 中 找 到 勒索 应 用 的 设


    备解 锁 密 码 从 而 进行进 步 的 设备恢复




    对 于 加 密 文 件 的 恢复 ,
    PC 端大 多 采 用 s a n db ox

    通 过 对其 底 层 的 fi mc t
    i on 进行


    HO O K 操作 , 从 而 获取到 密 钥 Xf 加 密 文 件 进行解密 。
    据我 们 所 知 , 目 前仍没有


    针 对 移 动 端 被 勒 索 应 用 加 密 过 的 文 件 进行 恢 复 的 工 具 

    安 卓 端 也 有 许 多 研 究 已 经 涉 及 到 在 应 用 运 行 时获 取 目 标 数 据 ,
    M ob il e

    s an d b o x


    通 过对 其 底 层 的 f un c ion
    t 进行 HOOK 操作 , 从 而 获取到 目 标 数据 

    1 2 . . 4 勒 索 技 术发 展趋 势 研 究 现 状

    Cr a i
    g  B e am a n 等人 M 从检测 和 预 防两个角 度总结 了 现有 的勒索 应用 的 技术 发


    展 。 他们提出 , 大 多 数 研 究 更 倾 向 于 使 用 动 态 分 析 而 不 是 静 态 分析来 研 究 勒 索 应 用 

    虽 然静态分析 可 以 通 过 代 码 混 淆 或 变 形攻击 来逃 避 但 些 研究 发 现某些动 态分





    35] 一


    析 方 法 也 可 以 被 逃避 。 KH ARAZ A 
    等人 提 出 的 方法 中 的 虚 拟 环 境 有 可 能 被 攻击 者


    发 现 和 规避 。 这两 种 分 析 的 一

    个 局 限 性是 其 结 果 通 常 不 能 推 广 到 所 有 的 勒 索 应 用 变
    , 

    体 而 诸如 访 问 控 制
    。 、
    密 钥 或 数据 备份 等 预 防 性 技 术 虽 然 可 以 减 少 勒 索 应 用 对 系 统 造


    成的损 害 , 但 不 能 阻 止 未 来 的 攻击 。 这 些 以 预 防 为 基 础 的 方法 也 有 缺 点 , 他们 的开销




    北 京 邮 电 大学 工 学 博 士 学 位 论 文 

    可能很大 访 问 控 制 或 数 据备 份 需 要 较 大 的 计 算 成 本 创 建 数 据 备份 可 能 会 极 大



    37]

    影 响 系 统性 能 尤其 是 在 高 工 作 负 载 情 况 下 [
    3 8]




    B a r kw o r h 等人 开发了 款釆 用 了 动 态 加 密 与 混 合加 密相 结合 的 勒 索 应 用


    AE S t h e ti c 来测试 目 前 的勒 索 应 用 检测 引 擎 的 有效性 。
    结果 表 明 , 当 前的勒索


    应 用 检测 引 擎可 能过于依赖 简 单 的 基于 签名 的 静 态 分 析检 测 。 当 检测 引 擎对使用 了

    动 态 加 密 方式 或 者 自 定 义 加 密 方 式 进行 文 件 加 密 的 勒 索 应 用 进行 检 测 时 , 

    当 前 勒索
    应 用 检 测 引 擎 出 现 了 很 大 的 误报 。 从而 得 出 了 勒索 应 用 在 未 来进行 文件加 密 时 可 能


    会 更 多 地 应 用 动 态 加 密 或 混 合 加 密 等 技 术 的 发 展预 测 

    Ca l v i nB r
    i erley 等 人 刚 研究 了 勒索 技 术在 Io T 设 备 上 实 施 的 可 行性 。 针 对基于


    L hm x 系统的 I oT 设备 , 他 们 开 发 的勒 索应 用 P ap e r W 8 成 功 感染 了 六 种 不 同 品 牌 的


    I 〇T 设备 , 其 中 包括 了 一

    些 目 前 使用 广 泛 的 Io T 设备 。 C al v n B r
    i er
    i  l ey 等 人 的 研究表


    明 针对 Io T 领 域 的 勒 索 攻击 完 全 可 行 , 随着 Io T 的 快速 发 展 , 需 要研 究 针 对 这种 威 胁


    的 应 对措 施 

    1 3 .
    研究内 容

    通 过 对勒 索激 活 前 检 测 技 术 、
    勒 索进 行 中 防 御 技 术 勒 索 实 施 后 资 源 恢 复 技 术 以

     、

    及勒 索 技术 发展趋 势 的 研究 ,
    本 文 总 结 出 了 在 安 卓 平 台 的 勒 索 应 用 研 究 中 存在 的 下


    述问题 

    1 .
    如 何在 勒索 激 活 前 进行大 规 模离 线 检 测 ,
    且 该 检 测 能 够 正 确 区 分勒 索 应 用 、 


    勒 索 应 用 具 有 相 似行 为 的 良 性 应 用 。 现 有勒 索 应 用 检 测 引 擎 大 多 通 过 是 否 存 在 勒 索


    文 本 与 是否 存在 与 锁 定 设 备 、 加 密 文 件相 关 的 敏 感 API 进行勒 索 应 用 检测 。 这 使得


    “ ”
    等 与 设 备 劫持 类 勒 索 应 用 具 有 相 似 设 备 锁 定 类 行 为 的 良 性 应 用

    如 主题锁屏 、




    私 文 件 管 理 等 与 文 件 加 密 类 勒 索 应 用 具 有 相 似 文 件 加 密行 为 的 良 性 应 用 , 易 被误判


    为勒索 应用 , 现 有 勒 索 应 用 检 测 引 擎 无 法 精 确 区 分 勒索 应 用 与 良 性 应 用 的 行 为 

    2 .
    如 何 在 保 护 用 户 文 件 不 被 加 密 的 前 提下 , 能 够成功 识 别 使用 了 逃逸 技 术 的勒


    索应 用 。 现有 的 基 于 静 态 检 测 的 勒 索 应 用 检 测 技 术 在 应 用 被 激 活 前 进 行 检 测 , 能够保


    护 用 户 文件不被加 密 , 然 而 该 技 术 无法识 别 使 用 加 固 、 混 淆 等 检 测 逃逸 技 术 进 行 代 码


    隐藏 的勒 索 应 用 ;
    现有 的基于动 态检 测 的勒索 应 用 检测 技 术主要 分为 两类 :

    基于 诱


    饵 技 术 的 设 备 端实 时 检 测 与 基 于 底 层 AP I HO O K

    技 术 的 动 态分析 , 这 两类 技 术 均 在


    勒 索 应 用 被激 活 后 进 行 检 测 。
    若 勒 索 应 用 在 选择 目 标 文 件 加 密 时 使 用 了 空 文 件 过滤 

    隐 藏 文 件 过滤 、
    用 户 偏 好文 件选择 等 诱 饵 文 件 逃逸 策 略 ,
    利 用 诱饵技术 的检 测 方法将


    无法 识 别 该 类 型 的 勒 索 应 用 ;
    若 勒 索 应 用 在使 用 了 自 定 义 的 加 密 方 法进 行 文 件 加 密 

    由 于 无 法 识 别 加 密 方法 , 很 可 能 导致 HO O K 技 术无法提取加 密 特征 , 从而 无法识 别


    该 类 型 的 勒索 应 用 




    第 章 绪论


    3 .

    如 何在设备未 被 RO OT 的情况下 , 实 现对勒 索 应 用 加 密 文 件 的 防 御 。


    现有 的


    勒 索 应用 防御工具主要通过控 制 a
    pk 对 内 存外存不 同 路径 的 读写权 限 , 实 现 对勒 索


    应用 加密文件的 防御 。
    控制 内 外 存读 写 权 限 需 要在 已 被 RO OT 的 设备上进行 ,
    然而


    据调 查 显 示 移 动 端 被 的设备 占 比 仅为 左右 绝大部分用 户 的设备 依 然
    3]
    R O OT 22% 

    处于未被 R O OT 的状态 

    4 .

    如 何在 不 连 接 其 他设 备 的 前提下 , 使 被勒 索 应 用 劫 持 的 资 源 进行 自 恢复 。
    当前


    对 被勒 索 应 用 劫 持 后 的 资 源恢 复 , 通 常 先要将被感染 设 备 连接 到 其 他设备 上 , 之后的


    利 用 人工逆 向 或 ADB 调 试 等 方法 进 行 资 源 恢 复 。 然 而 随着勒索 应 用 的 不 断进化 , 

    前 已 经 出 现 了 能够 自 动 屏 蔽设备 USB 接 口 的勒索应 用 , 勒 索 应 用 被激活 后直接将设




    备的 US B 调试开 关 关 闭 , 也就是说 , 若该类型 的 勒索 应 用 感染 了 设备 , 用 户在被感


    染 后 无法 通 过 USB 连 接 其 他 设 备 进 行 资 源 恢复 

    5 .

    如 何 主动 发 现勒 索 应 用 在进 化 中 的 潜在威 胁 ,
    并针 对 不 同 的勒索行为 进行安


    全 防护 。 当前 , 对 于 勒 索 应 用 技 术 的 进 化 研究 仍 处 于 被 动 防 御 模式 , 即检测 、
    防御等


    防 护手段滞 后于勒 索 技 术 的 发 展 , 当 新 的 勒 索 应 用 出 现之 后 , 对应 的 防护措施才 会 陆


    续出现 。 无法通 过勒索行为 自 主生 成 的 方法 , 对 勒 索 应 用 在 进 化 中 的 潜在 威 胁进 行 主


    动 防御研究 

    图 1


    展示 了 上述 问 题与 本 文 研究 成果之 间 的 关 系 , 本文 的 研究 成果 如 下 

    mm 

     安 卓 平 台 的 勒 索ES 用 研 究


     1 

     部署 在跟 努 器 端  觸 在 设 觸 

    研究 角 度
    j [
    安 卓 应 用 程序

    



     ̄  ̄

     ̄  ̄

     

    
    I -

        \




    抝何 在勒 索 激活 前 逬行 大  抝 何 在保 护 用 户 文  翅 何 在设 备 未  妬何主动 发 現勒察 


     规模离^ 且 该检 激 件 不 被 加 密的 前 徨  被 R 〇 〇 T 的情

    |   应 困 在进 化 中 的 潜


    存 在 问 题  能 移 正 截 区 分勒累应 甩  下 能 够成功 识 別  况 下 实现対 、 , ,
    在 截 胁 并针对不 
     ,

    与勒累应 用 具 有栢似行为 使 用 了 进逸 技 术 韵 勒累 应 用 加 密 同 的勒 累 行 为 进 行



    的 良 性应 用  _察应 用 。 文 件 的 防御 。 。 安 全 訪护 


    "


    提 出 了 种 基 于兴 件夹 访 问 感 知 押 屮 7 :宕 雜
    、 握 出 了 新型 5素 应 用 W 能进 化


     & -

     

    艦 成里 )
    提出 了 种^ 为 可 区分的  的 适 用 于 未 R 〇 〇 了 设 备 的 勒 案 应 用 检

    f 的方 向 并进行验 证分析 , 

    附九 城未 源 曰 炒友

     勒 察应 用 检 _方 法  瀏 方 法 且 该方 法 能 _ 特 所应 用 捆 6
    漂  2  揋 出 了 个 支 持 多 种 策 鉻钽合
    , 
     .

    件进 碰 鶴  S ^ A n d o ^ l 累 行 为 验证框架 陣 。
    ^ 
    r i c {



    第 第眶 第 SS  第 鴻

    勒 索 激 活 前  勒 麵 行 中  勒 链 施 后  新 型 勒 索 技 术 发展

    图 1


    本 文 主要 工 作

    1 .

    针 对上 述 问 题 1
    , 本 文 从运 行 时 的 行 为 与 代 码 实 现 等 多 维 度 分 析 了 与 勒 索 应 用


    具有相 似行为 的 良 性应 用 与 勒索 应 用 之 间 的 区 别 。 基 于 对勒 索 应 用 与 良 性 应 用 的 分




    北 京 邮 电 大学工 学 博 士学 位 论 文 

    析 , 从 AP I 调用 、
    权限 、
    意图 、
    敏 感 字 符 串 和 其 他 敏 感 信息 维 度提 取特征 , 构 建不 同

    类型 的勒索行为模式特征 形成 个保 留 了 勒 索 行为 信息 的 表达式 集 合 同时 提出



    : ,

    了 个行为 可 区分的 面 向 勒索应 用 的 检 测 引 擎 KR D RO I D 用 于 识 别安卓勒索应




    用 。 实 验结果 表 明 ,
    KR D R O D I
    在检 测 未 知勒索应 用 方面 , 准 确 率达 到 了 9 7 . 8 % :




    区 分 与勒索 应 用 具有相 似行为 的 良性 应 用 与 勒索 应 用 方面 ,
    KR D R O D I
    较 其 他勒索 应


    用 检 测 引 擎 准 确 率提高 了 约 40%
    , 解 决 了 现 有勒 索 应 用 检 测 引 擎 无 法精 确 区 分勒 索


    应用 与 良性应 用 的行为 的 问题 

    2 .

    针对上述 问 题 2 和 问题 3 , 本 文 从 攻击 时 间 、
    目 标 文 件夹 、 遍 历方式 、 文件排


    列 、
    加密范围 、
    加 密方法 、
    加 密 模式 、 加密策略 、
    目 标 文 件 和 加 密 文 件 等 方面 总 结 了


    6 大主 流勒 索 家族 的 675 个 文 件 加 密 型 勒 索 应 用 的 加 密 行 为 的 攻击 特 征 。 基于 上述 分


    析 .

    提 出 了 基于 兴趣 文 件夹 监控 、
    搭 载在 未 被 R O OT 过 的 安卓设备端 的 加 密勒 索 应


    用 检测策略 。
    该 策 略 以 空文 件夹为 兴趣文 件夹 的 实 体 , 搭载在未被 RO O T 的 终 端进


    行勒 索 应 用 检 测 , 能够有效识 别 使 用 了 动 静态检测 逃逸策 略 的勒索 应 用 。 本 文还证 明

    了 该策略除适 用 于 安卓 系 统 外 ,
    也可 以 在未 获 得管理 员 权 限 的 前提下 , 在更多 种 类 的


    其 他 设备 上 实 现 。
    为 了 更好地保护 文 件 免受勒 索 应 用 的 攻击 ,
    本 文 基于 上述 策 略 实 现


    它 对勒 索 应 用 识 另 的 准 确 率较




    23 20

    了 ^ 1 〇 丁丑 〇 11 ^ 3〇 ^ 〇记 ^ 〇 记
    ' '

    :1
    ] [ ]


    1 1 ( .

    1 1 1 、
    1 1 1

    引 擎高 20 % 以上 并 能够在第 个文 件加 密前 4 秒左 右 发 出 警告 实 现 了 在设 备 未



    , ,

    被 RO O T 的情况下 , 对勒 索 应 用 加 密 文 件 进 行 防 御 

    3 .

    针 对上述 问 题 4 , 本 文 从 服 务运 行层面 与 代 码实 现层 面对设备劫 持 型勒 索 应 用



    与 文 件加 密型勒索 应 用 的 勒 索 原理进行 了 分 析 ,
    并 基 于 该 原 理提 出 了 在 安 卓 终 端 

    动恢复被劫持 的 设备 资源 与 被加 密 的 文件 资 源 的恢复 策 略 :

    通过 自 动 终 止勒 索 应 用

    的 进程 并 删 除写 入密 码 的 文 件 的 方法 , 实 现 了 在安卓 端对被勒索 应用 劫持 的 设备 的


    自 动 恢复 :

    通过对加 密 AP I
    的 监控 , 获取其 在动 态运 行 中 ,
    进行加 密 时使 用 的 密钥 与

    被加 密 文 件列 表 , 对加 密 文 件进行解 密 的 方法 , 实 现 了 在 安卓 端对被勒索 应 用 进行加



    密 的 文件 恢复 。 解决 了 在 不 连接其 他终端 的 情 况 下 .

    使被勒 索 应 用 劫 持 的 资 源 进行 

    恢复 的 问 题 

    4 .

    针 对上述 问 题 5 , 本 文对 目 前主流的 3 种勒索 技 术与 2 种 较 为 常见 的 勒 索辅




    助 技 术在勒索 应 用 中 的 应 用 以 及上述 技 术 随 时 间 变 化而进行 的 进化进 行 了 分 析 。 


    于上述 分析 .

    本 文提 出 了 新 型勒 索 应 用 可 能 进 化 的 方 向 , 即 攻击者 视 角 下三 种 在安


    卓端可 以实 现 的 新型勒索技 术 .

    并验证 了 其实 现 的 可 能 性 。 为 了 方 便安 全分 析 人 员


    针 对 不 同 行为 表 现 的 勒 索 应 用 进行 防 护 策 略 的 研究 本文提 出 了 个 支 持多 种 策 略


    组 合 的 安卓 端勒 索 行为验证框 架 .
    框 架 内 依据现有勒索技 术与 提 出 的 新型勒索技 术 

    集 成 了 四 个功 能 模 块 与 个 策 略选择模块 方 便安全分析 人 员 通 过策 略组合 得到 不




    同 的 勒索 行为 进行 防 护 研究 。 实 现 了 主动 发 现勒索 应 用 在进 化 中 的 潜在 威胁 , 并针对


    不 同 的勒 索行为 进行安 全 防护 的 目 标 




    第 章 绪论


    1 4

    章节安排

    本 文 共 有 七 个章 节 , 安排 如 下 

    第 章 为 绪 论 部 分 首 先 对 安卓 平 台 的 勒 索 应 用 研 究 背 景 与 意 义进 行 了 介 绍 之



    后 对勒 索 激 活 前 检 测 技 术研 究 、
    勒 索 进行 中 防 御 技 术 研 究 勒 索 实 施 后 资 源 恢 复 技 术

     、

    研 究 以 及 勒 索 技 术 发 展 趋 势 研 究 的 国 内 外 现 状 进行 介 绍 

    第二 章为勒索行 为 刻 画 与 设计实 现介绍 部 分 。


    介绍 了 移 动 端 勒 索 应 用 按 照 勒 索


    行 为 可 划 分 为 设 备 劫 持型勒 索 应 用 、 屏幕 资 源 劫 持型勒 索 应用 以 及 文 件加 密 型勒索


    应用 , 并 分 别 对 这 三 种 勒 索 应 用 在 行 为 表 现 方面 与 设 计 实 现 方 面 进 行 了 介 绍 

    第 三 章为 勒 索 应 用 激活 前 检 测 的 研究 。 该 章节 首 先对 锁 屏 主 题 美 化 应 用 与 设 备


    劫 持 型 勒 索 应 用 屏幕 资 源 劫 持 型 勒 索 应 用
    / 、
    隐 私 文件管 理 应 用 与 文 件 加 密 型 勒 索 应


    用 这 两 组 运 行行为 具 有 相 似 性 的 良 性 应 用 与 勒 索 应 用 进行 了 运 行行 为 与 设 计 实 现 上


    的 对 比分析 基于 分 析 结 果 提 出 了 种 行 为 可 区 分 的 勒 索 应 用 激活 前离线 检测 方法




    该 方法 可 以 辨 别 未 知 的 勒 索 应 用 , 并 且准 确 率高 达到 了 9
    7 8%.

    同时 ,
    它 也可 以 区分


    勒索应用 与具有类似勒 索行为 的 良性应用 

    第 四 章 为 勒 索 进行 中 防 御 技 术 研 究 。
    该章 节 首 先 对 收 集 的 675 个分 属 于 6 大家


    族 的 文 件 加 密 型 勒 索 应 用 的 加 密 手 段 进行 分 析 。 并 基 于 该 项 分 析提 出 了 基 于 兴 趣 文


    件 夹访 问 感 知 的 勒 索 应 用 实 时 检 测 技 术 该 技 术 利 用 兴 趣 文 件 夹 的 访 问 状 态 对勒 索


    , ,

    应 用 的 加 密 行 为 进行 感 知 ,
    能 够在勒 索 应 用 加 密 用 户 文 件之 前 识 别 设 备上 的 勒 索 应


    用 , 同 时 对 用 户 进 行预 警 , 对设 备 上 的 文 件起 到 了 保 护 作 用 

    第 五 章 为 勒 索 实 施后 资 源 恢 复 技 术 研 究 。 该 章 节 阐 明 了 设 备 的 资 源 恢复 所 需 要


    的 前 提条 件 。 基 于 该 前 提 条 件 提 出 了 针对设 备 劫 持 型 勒索 应 用 、
    屏 幕 资 源 劫 持 型勒 索


    应 用 与 文 件 加 密 型 勒 索 应 用 的 资 源 恢复 策 略 最 后 基 于 资 源 恢复 策 略 设 计 实 现 了 。



    款搭 载 于 安卓 设备上 的 资源恢复 工 具 。
    实 验表 明 , 该 工 具 能 够 自 动 恢复 被 勒 索 应 用 劫


    持 的 设备 、
    自 动 释 放被 勒 索 应 用 劫 持 的 屏 幕 资 源 、 自 动 恢复 被 勒 索 应 用 加 密 的 文 件 

    第 六章 为 攻 击 者 视 角 的 新 型 勒 索 发 展 技 术 分 析 。
    该 章 节 提 出 了 安卓 系 统 上 新 型


    勒 索 技 术 的 可 能 发 展趋 势 , 并 通 过 实 验验 证 了 上 述 技 术 应 用 到 勒 索 应 用 中 的 可 能 性 

    第 七章为 总 结与 展望 。
    该 章节 总 结 了 本 文 的 研 究 工 作 , 简 要 总 结 了 各 项 研 究取 得


    的 成 果 与 研究 的 不 足 之 处 。 同时 , 对未 来 的 研究 方 向 进行 了 展望 




    北 京 邮 电 大学 工 学 博 士 学 位 论 文 

    1 



    第二章 勒 索 应 用 行 为 刻 画 与 实 现 方法 分 析

    第二章 勒 索应用 行为 刻 画 与 实现方法分析



    本章将对设 备 劫 持 型勒 索 应 用 、
    屏幕 资 源 劫 持 型勒 索 应 用 与 文 件加 密 型 勒 索 三

    类 应 用 勒 索 应 用 的 行为表现进行刻 画 , 并 对 其 勒 索 行 为 的 底 层 代 码 实 现 进行 分 析 

    2 1 .
    概述

    根据勒 索 应 用 的 行 为 表 现 , 勒索 应 用 可 以 分为 三类 , 设备劫 持型勒索应 用 、


    屏幕


    资源劫 持型勒 索 应 用 与 文件加 密 型勒索 应 用 

    如 公式 2


    所示 ,
    i?
    代 表勒 索 应 用 的 集 合 ,
    i? 包 含三 种勒 索 应 用 


    表示 设 备 劫 持 型勒 索 应 用 ,
    它通 过 自 动 修改设备 密 码 来勒索 用 户 

    表示 屏幕 资源劫 持型勒索 应 用 ,
    它 通 过持续持有 屏幕 资 源来 勒索 用 户 。
    表示 文


    件加 密型勒 索 应 用 , 它 通 过加 密 私 人 文 件来 勒 索 用 户 

    R 

    {
    R L D R S RC R
    - -  -

    ; 

    Fe }  (
    2 -




    2 2 .
    设备劫持型勒 索应用

    设备劫持 型勒索 应 用 是最 常见 最容 易 开 发 的 勒索 应 用 我 们 在 、 。 AM D ?l

    与 v i ru s 


    t o ta l  开 源 数据集 中 收集 了 
    46 1
     个设 备 劫 持 锁 定 类勒 索 应 用 , 并 总 结 了 1 8 6 个设备


    劫 持型勒 索 应 用 的 特征 

    2 2 . . 1 设备劫持型 勒 索 应 用 的行为 表现

    如图 2


    所示 :
    它 通过重置 用 户 的 密码 来 阻止用 户 正 常使 用 他 们 的 设备 。 激活它


    们后 , 它们 可以 自 动 修改密码 、 PIN 或手势密码 

    ¥  d B r 3 

    M n -

    J



    S 蠢 i S 翻f 

    m ll 


    设 备 劫 持前 设备锁 定

    图 2

    1 设备 劫持示 意 图

    1 


    北 京 邮 电 大 学 工 学 博 士 学 位论 文 

    典型 的设备加 密 如 公 式 2

    2 中的 所示 ,
    可被表示 为 


    构 成 的 三 元组 & d 包 含 数 据 库 和 带 有 密 码 的 文 件 的 绝 对 路径 如 公 式 。 。 2 3

    所示 ,
    5^

    表示 按 键 禁 用 、 US B 禁用 、
    设备锁 定 等典型行为 。
    表示 的 代码实现 。
    设备


    加 密 的 详 细 实 现 将在 算 法 2 . 1
    中 描述 。 l oc k s e t t n g db i .
    表示 包含 s al t 值信息 的 数据 库 

    s av e _
    p a th 表示 保存 新 密 码 的 绝 对路径 。
    p a s s w o rd 为 书面声 明 的 密码 。
    设备 加 密 的 实


    现包 含三个步骤 


    ) 新密 码初始化 。
    攻 击 者 通 过 分 析 相 关 数 据 库 或 利 用 安 卓 反 射 机 制 获 取设 备 的

    值 得到 值 后 攻击 者将 密 码 和 值拼接 成 个新 的 结果 分 别计算其 MD5


    s al t 。 s al t s al t 

    , ,

    和 SHA 值 然 后 攻击 者 将 MD 5 和 S HA 拼接成 个新 的 密码

    1 。 1 

    2 ) 密码替换 。
    新密 码初 始 化 后 , 写入 p a s s w o r d k ey .
    文件 。
    攻击 者 删 除 带 有 原 始


    密码的 文件 , 并 使 用 新 的 密码替换 原始 密 码 


    ) 设备锁定 。
    密码被替换后 , 攻 击 者 通 过调 用 l 〇 c kN 〇 w ( ) 的 方 式 使勒 索 应 用 锁


    定设备 

    Rl d —

    {
    < > \ 
    ^ l d  ̄

    { Pa t h } }  (
    2 -

    2)

    Bl D ^  { 
    d i s  b u t on   d i s  U S B  l o c k  d e u c e s 
    ? :
    '  *  *

    }  (
    2 —

    3 

    A l
    g o r i t hm  2 . 1 : I m p l e m e n t at o n  o f i  D ev i c e s  L o c ki n g

    i npu t : l o ck s ett
    i n g db .
    , s av e —
    p at
    h ,
     pa s s w or


    1  i n i ti al i z a t i o n 

    2 D ev i ce _
    salt
     ge t _
    S Bl t

    l oc k i ng s e t t i n g d b .




    3 P a s s M D 5  MD 5 _

    ( p a s s w o r d +  de v i c e _
    sal t



    4 P a s s S H A l  SHA l
    _

    ( pa s s w o r d  d e v i c e _
    salt



    5 K e y ^r

     h ex (
    Pas s MD 5 _

    ) 
    + hex

    Pas s S HA l _




    De

    6 l e te or i gi nal key 


    ( )
    _

    7i fs ave 一


    pa t ht h e n

    8 Wr i te

    /c e
    y , 
    s av e _

    pa t h ) 

    9 e l s e

    1 0 Wr i te

    key / /
    dat a / s y s t e m ^ 

    11 e nd

    12 L oc k  D ev i ce

    2 2 2
    . .
    设备动持型勒索应 用 的 设计实现

    如 2 中 提到 的 个典型 的 设 备 劫 持 型 勒 索 应 用 的 设 计实 现 可 以 用 集 合 4 〇

    . 1 . 1


     71

    表示 如 公式 ,
    2 4 -

    所示 ,
    ? 包含 B IN D _
    D E V I C E AD M IN _
    的 权 限 典 型 的 AP 调 用 和 敏

     ,

    感字符 串 。
    ; ^ 表示 恶 意 应 用 的 权 限 比 如 像 ,
    a n dr o i d .

    p erm
    i ss i on . B I ND _
    D E V I C E AD M I N
    _


    1 



    第二章 勒 索 应 用 行为 刻 画 与 实 现 方 法 分 析

    申 请 此权 限 后 , 勒 索 应 用 可 以 获 取 超级 管 理 员 权 限 , 以防 自 身被用 户卸 载 。
    表示


    敏 感 或 威 胁字 符 串 。 勒 索 应 用 通 常 使 用 威胁 字 符 串 要 求 付款 

    元组  < 儿 ?6 ,
    尾 〉 表示 API 调用 序列 。
    如 公式 2 5 -

    所示 , 凡 是 { % & ,
     |
    | } 的 子集


    合 。
    P 代 表每 个 API 之 间 没有 关系 ,
    & 表示 每 个 AP 关 系 是 I an d 、
    | |
    表示每 个 AP I 之间


    的关系是 or 。
    如 公式 2 6 -

    所示 儿 , ?b 是 4 的 子集 也 表 示 , 办 的集 合 為 代表相 关 的进


    行 设备 锁 定 的 AP I 。
    如表 2 -


    所示 ,
    re s e tP a s s w ord ( ) 可 用 于 重 置设 备 的 密 码 ,
    re s e t V i ew ( )

    “ ”

    用 于 重置手 势 的 手 势 视 图 ,
    set P a r a m e t e r ( S p e e c h C o n s t a n t S AM P LE R AT E .

    8 00 0 ) 


    于 设 置 设 备 的 语音 密 码 , 并且 l 〇 ck N ow () 用 于 锁 定 设备 。 & 表示 每 个 AP I 关系 是 and 

    例如 , 设 备 劫 持 型勒 索 应 用 在 运 行 时 可 能 首 先调 用 re s e t P a s s w o rd O 来修改密码 ,
    然后


    调用 l o c k N ow O 锁 定 设备 。 这两 个 A PI 调 用 都是必 不 可 少 的 

    ML d  =
    {
    r i d

    ( P i d , 
    <A s u b ,
    R r > ,
    s t
    )  \
    l

    1

    . . .

    ,  | |
    s ;
    | |
    }  (
    2 -

    4 

    { ¥


    & ,
     | | }  (
    2 -

    5)

    ■ ^ s ub^ ^

    k

     ?

    } 
    ■  ?  ?

    ;  | 
    ^ —

    I
    ; 
    ?  ?  ?

     

    | |
    lf
    f c | | }  (
    2 —

    6)

    表 2 -

    1 设 备 劫持型 勒 索 应 用 的 典 型 特 怔

    特 征 含 义

    re s e t P a s s w o r d ( )  重设密 码

    re s et V i ew ( )  重置视 图

    AM PLE RATE  设 置 语音 密 码


    e t P a ra m e t e r ( S p e e c h C on s t a n t S
    1 4 !

    s .

    _

    8 0 00 )

    l o ckN ow O  锁 定设备

    an dr oi d p er m i s s i o n
    . . B I N D D E V I CE ADM I N  申
    _ _

    请 并 获 得超级 管理 员 权 限

    L a dr t / R /AD RT L o g C a R e a d e r  A I D E (A n d r
    to i d 中 的 DE 功 能




    2 3

    屏 幕资 源 劫 持 型 勒 索 应 用

    屏幕 资 源 劫 持型 勒 索 应 用 不 是 常见 的 勒 索 应 用 。 收 集 到 的 数据 中 只 有 70 个屏幕


    资源控制 勒索 应用 。 他 们 被激 活 后 , 有 25 个勒 索 应 用 将 它 们 的 界 面 设 置 为 顶 级 界 面


    在 设 备置 顶 显 示 , 并 禁用 H ome 和 B ac k 按钮 。 也就 是 说 , 用 户 不 能 使用 其他应用 程


    序 或其他系统功 能 。 虽 然还有 45 种 勒 索 应 用 将 其 界 面 作 为 顶 级界 面 , 但用 户可 以按


    H ome 和 B ac k 按钮退 出 。 但是这 种 退 出 是 暂 时 的 , 勒索 应 用 的 界面将会在 很短的 时


    间 内 继续挂起 , 使 用 户 不 能 正 常 使 用 设备 。 通过对这 些 应 用 的 分析 ,
    本节总 结 了 屏幕


    资 源 劫 持型勒 索 应 用 的 378 个特征 

    1 


    北 京 邮 电 大学 工学 博 士学 位 论文 

    2 3
    . . 1 屏幕资源劫持型 勒 索应 用 的 行为 表现

    如图 2 2

    所示 ,

    个典型 的 屏幕 资 源 劫 持 型勒 索 应 用 被触 发后 ,
    迅速将 自 己的窗


    口 置顶 通常状态下 用 户 无法通 过点 击 B ac k 键与 H o me 键回到上 级界面 或 主界


    , ,

    面 ;
    部 分屏 幕 资 源 抢夺型勒 索 应 用 虽 然 可 以 通 过 点 击 B ack 或 Home 键 回 到 主界面 

    但是勒索 应 用 会在极短 的 时 间 内 再次置顶它 的 界 面 , 干扰用 户 正 常使用 设备 。


    典型 的

    屏幕 资 源抢夺如 公 式 2 -

    7 中的 可 以表示 为 历 和 构 成 的 元组 。
    如公


    式 2 -

    8 所示 , 是 屏幕 资 源 抢 夺行 为 的 子 集 ,
    包括 禁 用 Home 键 、
    禁用 B ac k 键等


    等 。 ^ 知 紐 是 历^ 的 代 码 实 现 子 集 ,
    可 使 用 公式 2 9 -

    表示 

    R h sr =
    {
    < B h sr , 
    Mh s r  > }  (
    2 -

    7)

    Bh s r Q { b t n ^ di s H om e ■  bt n di s Ba ck ,
    USB ^ d i s ,
    . . .

    }  (
    2 -

    8)

    Mh s r  Q  {  s e tF a
    g s(
    1 0 24
    ) ,  s e t C an c e l a b l e  ,
    . . .

    }  (
    2 -

    9)

    屏 幕 资 源劫  屏 蓽 资


    持前 源 劫 持 

    图 2 2 屏 幕资 源 劫持示 意 图

    2 3 2
    . .
    屏幕资源 劫持 型勒 索 应 用 的 设计 实现

    如 2 2 中 提到 的 个典型 的 屏幕 资 源 劫 持型勒索 应 用 的 设计实 现 可 以 用 集 合




    . . 1

    表示 。 如 公式 2

    1 0 所示 ,

    ^% 包含相 关 的 权 限 ,
    意图 , 典型 的 AP I
    调 用 和 敏感


    字符串 。
    Psrc , 代 表相 关 的 权 限 和 意 图 。
    ? 表所 应 用 程序 中 敏感或 威 胁 的 字符 串 

    丑S R > 

    = =
    句 1 2 0 )
    C ^
    Psrc ’

    _


    r
    ?  ?  ?

    sr c (

    iJ {  } (

    , ,
    ) |
    , , I
    I I

    兀 组  <  i? r  > 表本 A PI 调 用 子序列 。 i ?T 是 {




    & ,
     | | } 的 子集 。 儿 ub 是 A fc 

    子集 ,

    表示 元 素 办 的集合 。 办 代 表与 设备锁 定相 关 的 API 



    如表 2

    2 所示 ,
    L a y o u P ar a m s > FL A G

    _ 
    FULL S C RE E N 用 于设置窗 口 为 全 屏 显示


    窗 口 。 set C anc e l ab l e 〇 和 s e t Fl a
    gs ( ) 用 于将窗 口 挂起 , 设置不 同 的 参数 ,
    上述 方法将

    1 



    第 二章 勒索 应 用 行为 刻 画 与 实 现方法 分 析

    表 2 -

    2 屏 幕资 源控制 勒 索 应 用 的 典型 功 能

    特征  含 义

    L a y ou t P a r a m s > F LAG F ULL S CR EE N  -

    _
    挂起 窗 口

    W i n d ow > s et Fl a g s ( I



    ) ,
    v 2 v4 v 4
    , ,  通 过 修 改 参 数设 置 顶 级 窗 口

    “ ”
    监视 HO M E 按钮并禁用


    a n d ro i d . i n t e n t c ate g or y . . H O ME


    “ ”
    HOME 按钮


    , o n W i n d ow F o c u s C h a n g e d ( ) .
    send B ro ad c a s t
    ()

    设置 当 前 窗 口 不 能 被 取 消 或


    D i al o g

    > s e t C a n c e l ab l e( )

    使其不 断 出 现

    起 到 不 同 的 效果 。 将 s et C an c e l ab l e ( ) 中 的 默认 参 数 从 Tr u e 修改为 F al s e 时 , 用 户 无法


    按 下 对话 框 的 外 部 区 域 ; 将 set FI a g s O 中 的 参数设置 为 1 024 时 , 该 窗 口 将被设 置 为


    全屏 窗 口 。 〇 n ke y D ow n () 和 O nA t ac hW i n d ow O 用 于 禁 用 H o me 和 B ack 按钮 , 由 


    Ho me 按 钮 是 系 统按 钮 ,
    K ey E ve n t
    几 乎 无法 捕 获 cli c k 事件 , 因 此开 发 人员 需要 重 写


    O nA tt ac h W i nd ow O 。
    如 果 安卓 的 版 本 是 2 3 .
    及 以下版本 , 该方法 可 以 利 用 以 下 方式 进


    行重写 , 如图 2 3 -

    所示 

    pub l i cv o d  o n At t a c h e d To W n d ow 〇 {


     i

    th i s g e tW n < 5 o w

    ()
    s et T
    y pe( i . W m dowMana g e r . L ay ou t P a r a m s . TY P E KEY GU AR Dy
    _



    su p e r o n A t a c h £ ? T oW n d o w 〇

    l t




    图 2 -

    3 安卓 2 3 _
    版 本 以 下 重 写 O nA t t ach W i n d ow 的例子

    如 果 安卓 系 统 版本 为 4 0 .
    及更 高 的 版 本 , 该方 法 可 以 利 用 以 下 方 式 进行 重 写 , 


    图 2 4

    所示 。 且 O n Ke y D o w n O 将 被 重写 , 如图 2 5 -

    所示 

    pu b l i c st at c f n a
     i  i l  i n t  F LAG .
    H O M EKEY D _
    I S P A TC H E D  =  0 x 8 0 0 0 00 0 0 ;  t h eU 


    pu b l i c  vo d on C re ate ( Bu nd e
    i  }  sa ve d l n s t a n c e S t a t e K


    su
    p e r o n C r e a t e { S 3 V e c H n s t a n c e S t a te

    ) ;

    E h i s .

    g et W n d o w 〇^ e t F a g s ( F L A 6 H O M
    i i
    _
    E KEY _
    D SP A T C H E D


    FL AG H O M E K EY D _
    I S PAT C H E D ) ; 
    //t h &  k ey  c o d e

    s etCo n t e n tV ew( R i . i ayo ut m a n ) i






    图 2 -

    4 安卓 4 0 .
    版 本 以 上 重 写 O nA tt a c h Wi n d o w 的例子

    表 2 2 -

    中 显 示 的 A PI 调 用 序 列 用 于 禁 用 H o m e 按键 。 an dr oi d . i nt e nt . c ateg or
    y . H o me

    “ ”

    是 用 于注册 Ho me 按 钮 的 监 视器 。 L an d r o d i /a
    pp 
    /  Ac ti v i t y 〉 o n Wi n d o w F o c u s C h a n g e d 〇


    用 于 发送伪造的 广播
    “ ”
    用 于 监 视是 否 单 击 H ome 按钮 。 se n d B ro a d c a s t O 。 可 以 通过 调


    用 这 些 AP 序 列 禁 用 该 按 钮 I 

    1 


    北 京 邮 电 大 学 工 学 博 士 学 位 论文 


    u b c b oo
     e a n  o n K e y D o wn ( n :

    t  k e
    yC o d e Ke Event  eve n t ) {
     y
    l i l




     (
    ke

    Co d e  = =  e ve n t . K EY C O D E HO ME ) 

    r etu r ntru e 



    r etu r ns u pe r .
    o O n Key D ow n ke y C o d e eve n t )

    ( 





    图 2 -

    5 安卓 4 0 .
    版 本 以 上 重 写 O n Ke y D ow n 的 例 子

    2 4

    文 件 加 密 型 勒 索应 用

    文 件 加 密勒 索 应 用 也是 种常见 的 勒索 应 用 激活它 们 后 勒索 应 用 会 动加密





    , 自

    设备上 的 隐私文件 ,
    包括照 片 ,
    t xt 文 件等 。
    收 集 到 的 数据有 22 3 个文 件加 密勒 索 应


    用 , 我们 总结 了 
    4 1 1
    个 文 件加 密勒 索 应 用 的 功 能 

    2 4
    . . 1 文 件加 密 型 勒 索应 用 的 行为 表现

    文 件加 密行 为 , 在 运行 时 的 表现如 图 2

    6 所示 ,
    应用 被触 发后 , 在用 户不知情的


    情况下 , 自 动将 用 户 的 隐 私 文 件进行加 密 。
    部分具有 文件加 密行 为 的 勒 索类 应用 还 会


    在加 密 后 , 对 设备 再 次 进行 加 密 , 或 结合 屏幕 资 源抢夺 的 方式 , 完 成对用 户 的勒索 







    加密A P 

    文 件加 文 件加


    密前 

    密后

    图 2

    6 文件加 密示 意 图

    典型 的 文 件加 密 如 公 式 2

    1 1


    1 2 2

    1 3 中的 , 可表示 为 和 


    成 的 三元组 。 表 示 隐 私 文 件 的 绝 对路 径 。 S EF 表示勒索 应用 具有 的 寻 找 目 标文


    件 、 加 密文 件 等典型行为 。 表示 的 代码实现 。
    典型 的 文 件加 密行 为 步骤如


    下 


    ) 获取 B 标文件 。
    攻击者 通 常 针对最 常 用 的 文 件 或 后 缀 为 . t xt 、 .

    j pg 、 . doc 等的


    文件 。
    攻击 者 获 取 到 符 合 条 件 的 文 件 , 并将它 们 的路径添加 到 类 别 中 

    2 ) 加密文件 。
    为 了 加 密 文件 , 攻击者 必 须 申 请与 读取或 写人 文 件相 关 的 权 限 并

     ,

    调用 AE S 或 DES 等 加 密方法 来加 密 目 标文件 




    ) 替代文 件 。
    在对 目 标 文件进行加 密 后 , 攻击 者 通 常 采 用 直 接 覆 盖 原 始 文 件 或


    删 除 原始文 件 并将加 密 后 的 文 件复 制 到 原 始路径 的 方式 替换 原始文 件 

    1 



    第 二章 勒索应 用 行为 刻 画 与 实 现方法分析

    Ref =
    {
    <Bef ,
    Mef A e f  > ,

    \ 

    A b f —

    { pat h } }  (
    2 -

    1 1


    B e f  Q  {  de l e te _
    iles
    f , 
    e c r yp t _
    fi l es , 
    ind
    f _
    t ar
    ge t  . . .

    }  (
    2 -

    1 2)

    Mef  Q  { A E S 〇 D E S , 
    ( ) ,
    E n de c ode Ut i l s .
    d e C r ypt o  …

    }  (
    2 -

    1 3)

    2 4 2
    . .
    文 件 加 密 型 勒 索应 用 的 设 计实现

    种 典 型 文 件 加 密勒 索 应 用 可 以 被 表 示 为 如公式 2 4 所示 包含 与



    。 1

    /e

    权 限相 关 的读取或 写 入 、 典 型 的 攻击 模 式 和 敏 感 字 符 串 。
    ? ^ 表示 相 关 的 权 限 , 


    a n d r o i d p er m i s s i o n
    . . W R I T E E X T E R NA L _ _
    S T O R AG E  , 申 请该权 限 后勒索应 用 能够在


    存储上写 人文 件 。 & 表示 应用 程 序 中 的 敏感或 威胁字符串 

    表 2

    3 文 件 加 密 勒 索 应 用 的 典型 功 能

    特 征 含 义

    an dr o i d .

    p erm i s s i o n . W R I T E E X TE R NA L_ _
    S T O R AG E  申 请读 写 对 
    S D Card  的访 问 权 限

    set C an c e l ab l e ()  申 请在 S D C a rd 中 创 建 和 删 除文件权 限

    L an dro d  /  c o n t e nt /I n te n t > a d d C a t e g o r y ( )

    i 

    L a n d ro i d  /  c o n te n t  /  I n t e n t

    > c r eat e C l io o s e r ( )

    Lj a v a x  /c r
    yp t o  / C i
    p he r > g e t l n s t an c e ( )


    遍历和 加 密指 定 的 文件


    Lj a v a x  /  cr
    yp t o  / C i

    he r > <ini t>


    Lj a v a x  / cr
    yp t o  / C i d Fin al 〇
    ph er > o 

    Lj av a x  / cr
    yp to  /s
    pec  /S e c re t Ke y S p ec -

    x ni t >
    i 

    说奴 表 7 K 文件 加 密 勒 索 应 用 的 攻 击 方 式 。
    如公式 2 -

    1 5 所示 , 攻击 模 式 包 含攻 击


    时间 、
    攻击 目 标 、 加 密方法 、
    攻 击 顺 序 和 攻 击 流程 。 at f
    c 的 子集 包 含 典 型 的 AP 调 用

     I

    序列 。 a 知 m 代 表攻击 时 间 e 。 它 包 括 立 即 加 密 文 件 并 等 待 命令 代 表加 密 文


    件夹 。

    代 表 勒 索 应 用 的 加 密 攻击 顺 序 , 勒 索 应 用 可 以 在 获取 到 所有 目 标 文 件


    路 径 后 进行 集 中 加 密 , 或 在 发 现 某 目 标 文 件 时 对 其 进行 实 时 加 密 。 代 表加


    密方法 , 包括调 用 AE S ( )  D E S 〇 , 或 其他方法 。 at t
    / ea 代 表 攻击 勒 索 应 用 的 攻 击 流 

    如表 2 -

    3 所示 , 勒索 应用 通过 a d d C a t e fo r y O 和 c re at e C h o o s e r ( ) 循 环设 备 的 存 储 结


    构查找 文件 标类型 旦 找 到 合格 的 文 件 它 通 过调 用 e ad ( )
    r 或 F i l e l n p u t S t re a m O

    目 ; , 

    获得 数 据 , 然 后调 用 加 密 API , 例如 Lj a v a / c r y p t o / s p e c/ I v P a r a m e t er S p e c 对 数 据 进行 加


    密 ;
    在最 后 , 它使用 wr
    i te ( ) 或 F i l e O u tp u t S t re a m O 写入加 密 文 件 

    1 


    北 京 邮 电 大学 工 学 博 士 学 位论 文 

    R fe 

    rS e
    \

     o^ k i
    s i
    ) 

    A =1


    . . .


     | |
    c it t

    f | |
    , 
    Z
    =1

    . , .


    H
    s i
    H }  (
    2 —

    1 4 )

    Cit t
    }^ 
    — 

    C , 
    ti^ t ar

    et5
    ^^ en me t h od i 
    ^ ^ o rd e r  1 
    O '
    ^ fe a ^  (

    1 5)

    2 5

    本 章小 结

    本 章 依据 勒 索 应 用 的 勒 索行 为 表 现 将 勒索 应 用 划 分 为 设 备 劫 持 型 勒 索 应 用 ,
    、 


    幕 资 源 劫 持型勒 索 应 用 以 及 文件 加 密 型勒 索 应 用 。
    本章 从 行 为 表 现 以 及 设计 实 现 两


    个 方 面 对 上 述 三 种 勒 索 应 用 进 行 了 详 细 分析 , 为 后 续 的 研究 奠定 了 基 础 

    1 



    第 三章 K R D RO I D :

    行 为 可 区 分 的 勒 索 应 用 激 活 前 检 测 研究

    第三章 KRD RO I D :

    行为 可 区 分 的 勒 索 应 用 激活 前检测研 究

    随 着勒 索 应 用 的 数 量 的 不 断 增 长 , 勒 索 应 用 已 对 安卓 设 备 产 生 了 严 重 威胁 大 多

     。

    数现 有 的 勒 索应 用 检 测 引 擎 使用 敏感 文本或 API 来检测勒索应用 。


    些带有锁定屏


    幕和加密文件的功 能 的 良性应用 与勒索应用 有 些 相 似 的 行为 现有 的勒索应 用 检


    测 引 擎很难 区分这些 良 性 应 用 与 真正 的 勒索 应 用 。 在本章 中 , 本 文 在 安 卓 上提 出 了



    种 基于 行为 的 勒 索 应 用 检 测 引 擎 K R D RO I D 实 验表 明 在 207 个勒索应用 的数


    。 1
    , ,

    据集上 , 提 出 的面 向 勒索应 用 的检测 引 擎可 以辨别未知 的 恶意软件 ,


    并且准确 率达


    到了  97 8 . % 。 它 也 可 以 区 分 与 勒 索 应 用 具 有类 似 勒 索行 为 的 良 性应 用 ,
    实验表 明 , 


    1 00 个 良 性应 用 的 测 试数 据集 上 ,
    K R D RO I D 未 出 现误报 , 准确 率为 1 00 % 

    3 1 .
    引言

    随 着 近 年 来各 种 勒 索 应 用 的 空 前 爆 发 , 给 各行 各 业 都 带 来 了 威 胁 ,
    并 对个 人 和


    企业 造 成 了 巨 大 的 经 济 损 失 。
    勒 索 应 用 的 数量 自 20 1 7 年 至 今 在持 续增 长 ,
    已 经成为


    名 用 户 遭受 到 了
    43]
    了 移动 设备 的 个 重 大威 胁 至 少有 50 个国家 地区的 3 0 00 00 

    一 [

    。 1 /

    Wa n n a C y r

    种 恶 意软 件 的 攻击 ) , 损 失高达 80 亿美元 。 根据 Pr e c i s e  S e cu r
    i ty 发布的


    最新报告 Wa nn a C r y 在 20 9 年 仍 然 是最有影 响力 的 勒索应 用 之 在 20 9 年 


    1 。

    , ,

    究 人员 发 现 了 种 新 型勒 索 应 用 S i l ex 此 类 勒索 应 用 的 传 播 很 快 S i l ex 首先 影 响 了



    350 台 设备 , 然 后 迅 速扩 展 到 1 5 00 多 台 设备 。 根据 C o v ew ar e 发 布 的 统 计数 据 ,
    20 20


    年 第 二 季 度 的 勒 索 应 用 赎金要 求 是 20 1 9 年的四倍 

    据悉 , 基 于 安卓 平 台 的 移 动 设 备 大 幅 度 增 加 關 。
    到 2 0 20 年底 , 安卓设备 的 数量


    约有 亿 ?
    前 在安 卓 上 运 行 的 勒 索 应 用 仍 然 威 胁 着 移 动 设 备 有鉴于 此 



    _

    6 1 。 目 ,

    章 将 主 要 研 究 基 于 安 卓 平 台 的 勒索 应 用 检 测 

    W i n dow s 上 的勒 索 应用 检测 已 相 对成 熟 。 2 e n t F OX 可 以 检 测 到 高 生 存率 的 勒 索


    应用
    45 ]

    且 具 有高 检 测 精 度 和 低 错 误 率 [

    。 UNVE IL 使 用 文 件 系 统 监 视器 和 OCR 来检


    ^ m
    测 锁 定设备和 加 密 文件 的 勒 索 应用 等人 提 出 的方法 可


    3 6]
    S h i e l dF S 和 S ONG S

    以通过 I/ 〇 识 别 勒 索 应 用 请 求数 据 包 。 E d e R an

    使 用 动 态 分析 来 从 良 性 应 用 中 区 分


    #4 8
    出 勒索应用 还有 些其他 人 的 工 作 致 力 于 通 过使 用 流 量特 征 或 敏 感
    28
    8]
    A P I

    [ 一 [ ]

    来 检 测 加 密勒 索 应 用 在其 他 平 台 上 检 测 勒 索 应 用 的 方 法 无 法 直 接 应 用 在安 卓 上


    。 。

    M8
    方面 利 用 流量识 别勒索 应用 这意 味 着 检 测 到 勒 索 应 用 应 具 有 网
    28 4
    检测 引 擎 

    [ ,


    络 访 问 权 限 而 大 多 数 安 卓 上 的 勒 索 应 用 可 以 在 没 有 网 络 的 情 况 下 进行 勒 索 另 



    面 , 安卓 有 自 己 的 安 全性机 制 ,
    也 就 是说 , 有 很 多 不 同 的 文 件 和 功 能 可 用 于 安 卓 勒索


    应用 检测 

    1 


    北 京 邮 电 大 学 工 学 博诗 位 论 文 

    针对 安卓 系 统 的 勒 索 应 用 的 检 测 方 法 目 前还 有 很 大 的 研究 空 间 。 20 1 6 年 ,
    M er 

    c al d o 等人 首 先提 出 了 种 基于 机 器学 习 的 勒 索 检 测 引 擎 据 作者 所 知 H e Dro 


    。 l i


    和 G r e a t E at l o n 是 最 早 的 基 于 机 器学 习 静 态 分析 的 面 向 勒 索 应 用 的 检 测 引 擎 。 它们


    基 于 威 胁文 本检 测 引 擎 、
    锁 定检测 引 擎和 加 密 检测 引 擎检 测勒 索 应 用 。 但 如 果勒索


    应 用 使 用 未 在 语言 库 中 出 现 的 其 他 国 家 的 语 言 , 就 可 能 会 导 致许 多 误 判 。 这两种 检



    测 引 擎 对 平 均 每 个样 本 的 检 测 耗 时均 为 秒 级 1

    还有 些检测 引 擎使用 动态分析来





    识 别勒索 应 用 结 合静 态 和 动 态 分 析 来 检 测 勒 索 应 用
    23]
    。 D NA D ro -

    i d 。 R P a c k D ro

    i d
    [ 

    是 款 实 用 的 安卓 勒 索 应 用 检 测 引 擎 Az m o o d e h 等 人 M 提 出 了 在 物 联 网 设备 上 基


    于 设备能耗 的 文 件加 密勒索 应 用 检 测 方法 。 但如 果 用 户 需 要 通 过 使 用 具 有 动 态 分 析


    功 能 的 检 测 引 擎 来 检 测 大 规 模 样本 , 则 可 能 非常耗 时 

    许 多 勒 索 应 用 检 测 引 擎 基于 敏 感 的 A PI 识 别勒索 应 用 。 但是 , 有

    些勒 索 应 用


    使用 不敏感 的 AP I 调 用 来勒索 。 例如 , 勒 索 应用 可 以 通过 用 户按下 H ome ( 桌面 按钮

     )

    或 B ac k ( 返 回 ) 按钮 , 使 其界 面 成 为 挂 在 屏 幕 上 的 顶 级 界 面 。
    检测 引 擎可 能 会将它 们


    误认 为 是 良 性 应 用 。

    些 具 有 设备 锁 定 功 能 和 加 密 文 件 的 行 为 的 良 性 应 用 与 勒 索 应


    用 有相 似 的 行为 例如 些 时 间 管 理 应 用 程 序 之 类 的 良 性 应 用 会 根 据 用 户 设置 的 时



    间 锁 定 设备 , 使勒 索 应 用 检 测 引 擎 很 难 区 别 出 它 们 

    本 章详 细 分 析 了 三 种 勒 索 应 用 在 运 行 时 行 为 、
    勒索 代 码 实 现 的 特点 , 以 及勒 索


    应 用 和 与 其具有 类 似 行 为 的 良 性 应 用 之 间 的 差异 , 例 如 屏幕 美 化 应 用 与 文 件 加 密 管


    理应用 。 之后 , 本节 从 多 维 角 度 构 建 了 基于 勒 索 行 为 的 行 为 模 式 。
    最后 ,
    本 节提 出


    个行 为 可 区 分 的 勒 索 应 用 检 测 引 擎 ,
    KR D RO I D , 它 保 留 了 勒 索 应 用 的 关 系 行为模式 

    能 够 更 加 精 确 地 识 别 勒索 应 用 。 本章主要 的 贡献如下 

    1 .
    分 析 与 勒 索 应 用 具 有 相 似 行 为 的 良 性 应 用 与 勒索 应 用 的 区 别 。 本文 从 V ir u s To


    42 ] 刈
    开 源 数据 库 收 集 了 三 种 最为 活 跃 的 安卓 勒索 应 用
    41
    t al

    、 AMD [ ]

    和 Ko o d o u s [

    , 


    在谷歌 应 用 商店 、
    华 为 应用 商店 收集 了 
    2 00 个与 勒 索 应 用 具有 相 似行为 的 良性 应 用 

    从运 行 时 的 行 为 与 代 码 实 现 等 多 维 度对 这 些 应 用 进 行分析 

    2 .
    构 建 基于 勒索 行 为 模 式 的 多 维特征 集 。 本 文从 AP I 调用 、
    权限 、
    意 图 和其他


    维 度 提取 特 征 ,

    构 建 不 同 类 型 的 勒 索行为 模 式 。 通 过这 种 方 法 构 建 的 特 征 集 , 可 以被


    看作 一

    个 保 留 了 勒 索行为 信 息 的 表 达式 的 集 合 

    3 .
    行为可 区 分的勒索 应 用 检测 引 擎 。 本章 提 出 了

    个 行 为 可 区 分 的 针 对勒 索 应


    用 的检测 引 擎 KR D RO ID 用 于 识 别 安卓 勒 索 应 用 实验结 果 表 明 K R D RO I D 



    , ,

    检测 未 知勒索 应 用 方面 ,
    准 确 率达到 了 
    98 5 . % ;
    在 区 分与勒 索 应 用 具有相 似行为 的 良

    性 应 用 与 勒索 应 用 方 面 ,
    K R D RO I D 较 其 他勒 索 应 用 检 测 引 擎 准 确 率提 高 了 约 40 % 

    20



    第 三章 KRD R O I D :

    行为可 区 分的勒索应 用激活前检测 研究



    3 2 .
    勒 索 应 用 与 良性应 用 的 区 别

    在勒 索 应 用 的 研究 分 析 中 本章 发 现 些勒索应用 和 良性 应 用 具有 些类似的


    一 一

    运 行 时行 为 。

    些 设备 劫 持 型 和 文 件加 密 等典型行 为 也存在于 良 性 应 用 中 。 例如 , 


    图 3


    中 , 屏幕美化应 用 程序 和 时 间 管理应 用 程 序 具有 锁 定设备功 能 。 并 且 文 件管理


    应用 程序具有 文件加 密功 能 

    本 文 随 机 选 择 了 1 00 个屏幕美化应 用 程序 、
    时 间 管理 应 用 程序 和 1 00 个文件管


    _ M
    理 应用 程序 ,
    并 将它 们 上 传 到 V i ru s To t a l 。
    结果 显示 。 1 0% 的 屏幕 美 化 和 时 间 管


    理 应 用 程 序被误判 为勒 索 应 用 。 1 9 % 的 文 件管理应 用 程 序 被误判 为勒 索 应 用 。 也就


    是说 , 类似 的 行为 可 能 会 使检 测 引 擎将 良性应 用 识 别 为 勒 索 应 用 

    为 了 更 好地 了 解 勒 索 应 用 和 良 性 应 用 之 间 的 差 异 ,
    本文分析 了 设备劫持 ( 锁定 

    勒索 应用 、
    文 件加 密勒 索 应 用 以 及 良性 应 用 间 的 区 别 

    图 3


    具有设备锁 定 功 能 的 良性 应 用

    3 2 1
    . .
    设备 屏幕资源劫持类勒索应 用 与 良性应用
    / 

    如图 3

    2 所示 , 尽 管勒 索 应 用 和 良性应 用 都通 过 B IN D _
    D EV CE A D M N

    _

    获得超


    级管理 员 权 限 ,
    并使用 l 〇 c kN 〇 w ( ) 锁 定设备 :
    但是它 们 在运 行 时行 为 方面 和 源 代 码 方


    面 存在

    些不 同 

    如 公式 3


    和公式 3

    2 所示 ,
    与 勒索 应 用 具有类 似行为 的 良 性应 用 可 以 表示 为


    G _
    D&S , ^D & S ,
    这 些 良性 应 用 含有 相 关 的 权 限 可 以 被表亦 为 PO& S , 这些 良 性 应 用 使


    用 的 典 型 的 AP I
    调 用 可 以 被表示 为 % 。 良性应 用 与 设备劫持型勒索 应 用 共 同 具有 的


    特征包含 
    a n dr o i d .

    p e rm i s s i on . B IN D _
    Dev i ce _
    AD M I N 、 l ock N o w 〇等 。
    对于 这 些 良性应


    用 .

    它 们 的 功 能 仅 仅 为 更换 手 机 的 锁 屏 壁 纸 或 者 根据 用 户 的 需 求 设置 设 备 休 眠 的 时

    2 


    北 京 邮 电 大 学 工学 博士学 位论 文 

    间 。 尽 管这 些 功 能 会 涉 及 到 监 控 电 源 键 的 关 闭 与 设 备 的 锁 定 但 是 良 性 应 用 不 会 重 置

     ,

    设备 的 PI N 码 、 手 势密 码 或 声 纹 。 也就是说 , 用 户 可 以 使用 自 己 的 密 码 解锁 他 们 的 设


    备 , 并 正 常使用 设备 

    表 3

    1 设 备 妨 持型 和 屏 幕 资 源 控 制 勒 索 应 用 与 良 性 应 用 之 间 的 区 別

    勒索应用 


     

    设 备 劫 持 屏 幕 资 源劫 持 性

    锁 定 屏 幕 / x 

    重 置 密 码 / X X

    全 屏 窗 口  X ?


     

    持 续 弹 窗 X -

     x

    禁用 H ome 按 钮 /  -

     X

    禁用 B ac k 按 钮 /  -

     x

    禁用 USB 接 口 -  -

     x

    l o c kN o w ( )  / x /

    re s et P a s s w o rd Q  / x x

    s et Can c e l ab l e Q  x -

     x

    W i n d ow > s e t F l a g s ( I



    ) ,
    v 2 v4 v4 /
    , ,
     / x

    O n key D o w n ()
    / O n ke y U p ()   / x

     -

    o n A t t a c h e d To W i n d ow 〇  / 

    设备 劫 持 型 勒 索 应 用 不 仅 可 以 锁 定 设备 还 可 以 修 改 原 始 密 码 ,
    。 用 户 无 法 通 过单


    击 H o me 或 B ack 按 钮 退 出 勒 索 界面返 回 到 桌 面 。 当 用 户 按下 电 源按钮 时 , 设备 能 够


    正 常休眠 。 但是 ,
    当 用 户 尝试 再次 重 置 设备 时 , 该 设 备 仍 被勒索 应 用 锁 定 。
    在这 种 情


    况下 , 用 户 必 须 支 付赎 金 才 能 获 得 正 确 的 密 码 

    屏 幕 资 源 控 制 勒 索 应 用 通 过在 字 节 码 中 设置特 定 的 参数 , 将自 己的 Ac t
    iv it
    y 设置



    勒索 应用 不 仅 禁用

    为 顶级 Ac ti v i ty 。 H o me 和 B ack 按钮 , 还能够禁用 关机 按钮 

    通 过这种 方 式 , 勒索 应 用 强 制 设 备在 不 休 眠 的 情 况 下 持续 工 作 并 强 制 用 户 为 能 够 正

     ,

    常 使 用 设 备 而 支 付赎金 即 使 用 户 单 击 H o me 和 B ack 按钮 些 勒 索 应 用 仍在继续





    挂起界 面 。 而且 ,

    些 研究 人 员 还 发 现 一

    些勒 索 应 用 会 禁 用 设备 的 US B , 以防止用


    户 通过 AD B 命令来卸 载应 用 程序 。
    设 备 劫 持 型 和 屏幕 资 源 控 制 恶 意 应 用 和 良 性 应 用

    22



    第三章 KR D RO D I

    行为 可 区 分的勒索 应 用 激活 前 检测 研究

    的 详细 区 别 如 表 3


    所示 

    Gd ^z S

    { d D &c S 

     { p D Sz S

    i 
    ak
    )  |
    ^= ?  ?  ?

      ?
    | |
    a /c
     }  (




    Gd &l S
    ^ {
    Rd l U R src 

    ) 

    {
    L o c k N o w  O p e r m . i s s i on . B IND _
    A D M IN D E V C E _
    I . .
    . .



    3 2)

    ( 


    勒索软件 
        


    CemeMC ms U K
     sa n n c ut nt
    f ?rsr
      J Lf 4

    . l i ,



    l  ? >

      民 13E紅 汗





    | 
    > i i
    r n
    ? w 

    * ? ?

    ? ? t e4 K?
    s a3 1 4 t ;

    ?  it nat ^ o te f V mi M
    pr L

     W 

    p0 .


    * t Mana p? i
    ^U
    ?  y6 3〇 A K em Y
     




    —
    " " — " " -

     二;  

    t Sr ? M?a?f
    f ^
     owes ? ? .5 a n a
     t

    ? i r
    sS .
    ^ *
    ? r l
    pl !

    , i




    ! == = T  ::


    ■ ■ ;
    峰——— w 贫 -

    i  ; r

    遍 


    ndr
    却一 K L :




    福聽  1  : : ,



    f .
    N D D6V C E AD 
    . 
     ■ ■ 關  二 二二二二二二 
       T . . ^ Jk  l  -





     臟始 令 

     ■H H  

     时 菅 理

    pn <? ? vox! ? ^O st u?f B? R em


    f ? :


    ; 
     { 


      BM h l 
      … m  I _ _


    ^  

    SB OireU i e i c W aw& r
    ou p ^ r ef r wr
    f t
    oSw o nin
    毚

     ̄ j

    BW W p 
    g
    *t&? af *4 Wnenfi ?S? t

    ; i f a s won J
    ( 

    〇CkN 〇 ?V
    l ?
    ^)  ?
     ge s ? u f eL oc c
    f V i * wr &f au |
    ife* i rwf



     wSm  Ll B a 

      声

    应 用 程存 r w^mr 3 ^^


    " " "
    : :: 

     r t

     

    ,   p ;


    l _

    i 


    i e tPa r am et eH S{ j ?? h C £ mstan t . SAM PlE  RAT E  , ! 



     游幕要
    ^ 化  L i


     ̄  ̄

    x  

     良 性 软件



     !

     

    < — ■


    嘗 :  ;


    L:
     ■


    . — 

    图 3

    2 设 备劫持 锁 定 勒 索 应 用 和 良 性 应 用 之 间 的 区 别

    3 2 2
    . .
    文件加 密类 勒 索应 用 与 良性应 用

    如图 3

    3 所示 : 文 件加 密 勒 索 应 用 和 文 件 管理 应 用 程 序 可 以 加 密 隐 私 设备 文 件 

    但在 加 密 解 密 模 式 下 它 们 仍 然 存在 -

    些差异 

    文 件管理应 用 程序 是 种 隐私保护 应 用 程序 它 们 为 用 户 提供加 密选项 并 等 待




    对 自 定义 文 件进行加 密 。
    这些 良性应 用 显示进度指 示器 , 提醒 用 户 当 前 的 加密进 度 

    并在加 密操作 完 成 后给 出 相 应 的提示 。 用 户 可 以 根 据 设 置 的 密 码 对 文 件 进行 解 密 






     |
    a*软件

        




     R E N^W R E ^ R >E N W 
    - - - - - -


    ;    _


    涵 藤
     :wi —
    — 




    r
    i is # 〇 s



    



     卜, 卜 3   繼舰
    円


     1  aS ST 

     2 ? *? g ? 
    i 土
    ; | 

     
    - - 

    二 : t = :二 : 二=v: z : 二 二二 二二 二 二 二 二 r 二 m


    . . : :


    = SC fr I j

    ^^

    卜 十    imn

    — —
    — ?


     


    R e r


    r

    i 

    J  —



     "

    Cy  路径
     w  } 加 密模 式 S 「 路 径   ^ s    


     ̄  ̄


    agi

    / i

    / /
    \ :

    / i l

    文件

     i

    g ^ S SS  夕 -


     








    _ _

    □ E E I ZEM S j     
    1   


    i  :



    i i
    l e i


    N W4) 

     R 



    ? -
    * 

    件
     

     *




    - -

    , ?

    !   1

    4 i  l

     m



     !







    图 3

    3 文件加 密勒 索 应 用 与 良性应 用 的 区 别

    23


    北 京 邮 电 大学 工 学 博 士 学 位 论 文 

    ^m o d e 

    {
    ^1 , 
    62 , 
    e3 , 
    e4 , 
    e5
    }  (

    3 




     R  E W NDM  RE
    ei     0  0  0  0
    1 1 1

    ?  e 1 1 1 1 1 0 1 2
    … 、

    五m o d e 

     (
    3 -

    4)

    e     0 0

     3
    1 1 1 1 1

    e4       0  0
    1 1 1 1 1

    _ 
    e5     0  0   0
    1 1 1 1

    勒索 应 用 首 先遍 历寻 找 目 标 文 件 并 在 没 有 任 何 信 息 的 情 况 下 在 设 备 中 , , 自 动加


    密 这 些 文件 。
    如 公式 3 -

    3 和 公式 3 4

    所示 代 表勒 索 应 用 的 加 密 模 式 ,
    ei 代表


    加 密过程 。 丑 代 表读取 操 作 ,
    五 代 表加 密操作 ,
    W 代 表 写操作 ,
    i V 代 表创 建 新 文 件


    操作 ,
    D 代 表删 除操作 , 表 示 重 命名 操 作 ,
    尨 表 示 移动 操 作 

    表 3

    2 文件 加 密 勒 索 应 用 与 良性应 用 的 区 别

    文 件加 密 勒 索 应 用 良 性应 用

    加 密 文 件 / /

    用 户 可 以 选择 哪 个 文 件 被 加 密  x  /

    后台 自 动 加 密 文 件 x /

    具 有 文件 的 目 标 默 认 加 密 类 型 /  X

    End e c o d e U ti l e s d e Cr y p t o O

     x /

    La n d r o i d /c o n t e n t / I n t e n t

    > a dd C a t e g o r y

    L a n d ro i d /c o n t e n t / I n t e n t -

    > c r e a t e Cho o s er

    Lj a v a x /c r y p t o /C i p h e r > g e t I n s t a n c e


    x /

    Lj av a x /c r y p t o /C i p h e r x i n i t >

     -

    Lj a v a x /c r yp t o / C p h e r > d o F i

    i n a l

    Lj av ax /c r y p t o / s p e c / S e c r e t Ke y S p a c x -

    i ni t >

    在本 文 中 , 主 要 介 绍 五 种 加 密模 式 。 文 件 加 密勒 索 应 用 和 文 件管 理 应 用 程 序 之 间


    的 详细 区 别 如 表 3

    2 所示 

    幻 表示 读取 文件 、 加 密 数据 然 后将其 写 回 原 始 文件 的 加 密模式 

    e2 表 示 读 取文 件 加 密 数据 、 、
    创 建 新 文件 、 将加 密 数 据 写 入 新 文 件 以 及 删 除 原 始


    文 件 的 加 密模 式 

    24



    第 三章 KR D R O I D :

    行为 可 区 分 的勒索 应 用 激活 前 检测 研究

    e3 表 示 读取 文 件 、
    加 密 数据 、
    创 建新 文 件 、
    将 加 密数据 写 入 新 文 件 、 重命名 新 文


    件和 删 除 原始 文 件 的 加 密模式 

    e4 表 示 读取 文 件 、
    删 除 原始文件 、 加 密 数据 、
    创 建 新 文 件 以 及 将 加 密 数据 写 人 新


    文件 的 加 密模式 

    e5 表示 将 原 始 文 件移动 到 其 他 文件夹 、
    读取 文 件 、
    加 密数据 、
    将 加 密 数据 写 回 原


    始 文件 以 及将文 件移 回 原 始 位置 的 加 密模式 

    3 3 .
    方 案设计

    本节将介绍 种 行为 可 区 分 的安卓勒 索 应 用 检测 方法 它 使 用 静态 分析 来 分 析


    源代码 , 并 根 据行 为模 式 提取特征 ;
    釆用 one

    b i n ar
    y 的 形式表示 样本 的 特征 信息 :



    使
    用 XG B o o st 对样 本 进行 分 类 

    3 3 1
    . .
    工作流程

    行为 可 区 分 的 勒 索 应 用 的 检 测 引 擎 的 详细 工 作流程 如 图 3

    4 所示 

    二 :: : T _ —
    i rr rr r二 : t i t :;:二: :t i t t 一  —

    二二 二
    ;  

    | |  Y o u m u st p a y . . . H   : :




     分翔    向 量生 成
     a t he

     
    a n so m
    pay

      to u n o ck

     
    … … l



    : !

    j . “

      数 5 向妥


    广
    r a ns om
    i Sw i
    peu p 
    tou n ock


    _ 

    _

      供
    ” ’

    . . .
     i

     1
     j

    n e ed / I

    r :
    ?? :
     描>  

    ^   T f

     ,

    二二



    . . .




    l [  l l l
    i j 


    「 ] ;

     !



    ?
    — 

    删除
    

    一 
    J l



    、 r w 、 


    ? p ay



    如
    _

    , r 

    丨 !


     5   r 卜 I

     : h


    」 I 


    二 : : : : : : : 二 : : : 二 : : : 二 : : : : : 二 : : 二 二 : : : : = = : :

    ^^ '

    L 
    幽: 士 此 旧

     i 

    调 用  \ 


     

    q 权艰
    'AP i

    、 |


    卜紅 縱 择舰 设 i ^K i ro i
    dt
    o 您2 /
    l s a£ t

    > ai c 鄉t y

    ^A P l J
     、
    、 /

    Am + A P J 2 \ 



    j  :

      ^ ^ 





    二



    = 獅 c  树 2 树 n
    X  %y \ M

     口
    Cl 
     :

    ' 、


    ^

    y i77 7 ^

    否 r 晏 : 否 i  

    〈 二 論 !
    Bmm -


    捽用 程私
     丨
    应 j g e^ 3 |



    /  \ 心4 , i  a .
    %

    u/

    \ 
    * i  c -

    i  a 

    应用 辦 i
     丨
    挎 用 g序 i
     

    图 3 4 行为 可 区 分的 勒 索 应 用 检测 引 擎的 工 作 流程 示 意 图

    当 需要测 试应 用 程序 时 首先从 ,


    k 文件 中 提取 A n d ro i d M an i fe s t .
    xm l
    和 c l as s e s . dex

    25


    北京 邮 电 大学 工学博士学 位论 文 

    文件 。 之后 , 利 用 静 态分 析工 具 A n dro g u ar d W l

    进行特征提取 。 然 后特征分为 两个部




    分 , 由 于 特 征 不 需 要 计算 它 们 的 频 率 , 本章用 1
    来 表 示 其存在 ,
    〇 表示 相 反 的 含义 

    接下来 , 将 所有 特征 合 并 以 形 成 特 征 向 量 ,
    并使用 X GB oo st 进行分类 。 最后 , 检测


    引 擎输 出 检测结果 

    3 3 2
    . .
    特 征 提取

    借助 工 具 研究 人 员 可 以 读 取 安 卓 XM L 文 件 的 二 进 制 格 式 A XM L

    A n d ro g u ard

    [ ]

    , ( 

    和 反编译 本 文从 An dr o d M an 和 中 提取特征 特征


    5 2
    D EX f
    i l es
    【 ]


    i i fe s L x m l cl as se s dex . 。

    集 包含敏感字符 串 集 、
    其 他 特 征 集 和 联 合特 征 集 

    1 .
    敏感字符 串 集 。 本 文 中 提到 的 敏 感字 符 串 是 指 Da l v ik 字节码 中 声 明 的 常量字


    符串 。
    为 了 更 好 的 区 分勒 索 应 用 和 其 他 应 用 程 序 , 本 文基于 NL P 的 分词 方法对 常量


    字 符 串 进行 了 分 割 。
    如算法 3 . 1
    所示 , 构 建 敏感字 符 串 集 的 步 骤如 下 

    A l
    g o r i th m  3 . 1 :
    敏 感 字 符 串 集 构 建算 法
    In
    put : a
    pks , 
    l a b e l

    O ut p u t : 5

    1  fo r  e a c h  ap k  E  ap k s  d o

    2 T r


     S e g m e n t ( ap k ,
    l a be l r



    3  T〇  S e g m e n t

    ap f
    c , l a be l
    〇 )


    4 e nd


    5 Tr  D e l eti on

    Tr , 
    m e a n i ng l e s s _
    w ord



    T De T0

    eti on m e a n i ng l e s s w or d )

    6 < l
     


    0
    _

    ( ,

    7  fo r  t  £  T; U T: 
    do

    ^r +
    8  w e i o ht <
     ^ 

    l 〇 a(
    J2 i

    ^ l abel oj \


    9  i f  w e i g h t>  t h r e s h o l d th e n

    10 S  ^S U t 

    1 1 

     e nd

    12e nd

    13  re t u r n  5 

    代表文本


    “ ”

    ) 分割文本 。
    本文使用 了 如 的 特 殊 字 符 作为 分 割 的 基 准 。 该 rr

    分割后从勒索 应 用 中 提取的 文本集 ,


    r。 表 示 文 本 分 割 后 从 其 他 应 用 中 提取 的 文 本集 

    2) 停用 词删 除 。 本 文 删 除 了r 和 r
    7; 中

    些毫无意义 的 词 。 无意义 的 词包括




    本 文 用 K 表示 删 除 后 的 勒 索 文 本 集
    ” ”

    等停用 词 和 些 明 显 的 常用 词
    “ “
    a 、 t he


    , 


    使 用 K 表示 其 他 文 本 集 

    3 ) 关 键词提取 。 本文使用 tf

    i df 计算 K 和 I
    : 中 每个 单词 的 权 重 。 f
    t -

    i df 的 结果 表

    26



    第 三章 K R D RO I D :

    行 为 可 区 分 的勒 索 应 用 激活 前 检测 研 究

    示 是 否 该 词 能 区 分勒 索 应 用 与 其 他 应 用 程 序 。
    权重可 以 表示为公式 3 -

    5 。 代 表单 词



    出 现在 g 和 2
    : 中 的 数量 。
    EA  
    +  &4 
    代表 C 和 的 总 单词数 。
    E 
    l ab e l 代


    表勒 索 应 用 的 数 量 ,
    I s ab e l  代 表其 他 应 用 程 序 的 数 量 。 代 表包 含 单


    词 f
    的 应 用 程序 的 数量 

    參 (

    5)

    2 .

    其 他 特 征集 其 他 特 征 集 构 建如 算 法 。 3 2 .

    所示 。 其他特 征 集 可 以 表示 为 集 合 F 

    如 图 所示在公式 3

    6 中 , 仏 包 含权 限 、 意图 、 AP I 调 用 和 敏 感宇 符 串 。
    内 代 表权 限 

    这 是安卓 的 一

    种 安 全 模式 。 在 调 用 敏感 权 限 API 之前 需要 声 明 权 限 。 把> 表示 意 图 

    是 种 安 卓 运 行 时绑 定 机 制 负责 内部沟通 表示 本 文 根 据 f
    t df 算法获得 的 与 赎



    。 i

    金 有 关 的 敏 感字 符 串 

    如公式 3

    7 所示 , 私 是 { # &
    , ,
     | | } 的 子集 。
    是 戊 的 子集 ,
    A, 表示 办 的集


    合 。 办 代 表相 关 的 AP I
    调用 , 开 发 人员 可 以 使 用 不 同 的 AP I 调 用 序列来实现不 同 的


    功能 

    A l
    g o r i th m 3 2  . :
    特 征 集 构 建算法 

    In
    p ut :  ap k s

    O u tpu t  

     :

    1  S  =  S e n s i t i v e  S t r i n g s  S e t  A gg r e g a t i o n ( ap f
    c5 ) 
    l a be l



    2  fo r  e a c h  ap k  d o

    3  F E x t r a c t ^ , 
    i ri
    j ,
    ak , 
    5/



    4  <A sub , 
    Rr > *


     E x t r ac t (
    a^  . . .
    , 

    j , 



    , 
    & ;


     | | ) 

    5  S
    i F 
    = i

    p ,
    <A 8U^ 
    R r> =

    p  th e n


    6  c on t i n u e 

    7  e ls e

    8 A s u }) , 
    U p,

    9  en 

    10  e nd

    11  re t u r n  F 

    F 

    { /m 

    ( 與 加j <  R r 〉 和
    , ,


    ) | 
    i

    1

    ?  ?  ?


    | |
    P i | |
    , j

    1

    *  ?  ?


    I K %

    | |

    1=1

    ■  .  ?




    s,
    | |




    6 )

    ^ S ub^ 
     ^ = I
     7)

     ^ 3

    ■ ?  ■  *  ■  ?  *

     (



    ?  i | |
    /c | |
    } 

    27


    北京 邮 电 大学 工学博士学 位论文 

    3 .
    联合特征 集 。
    联合特征 的 构 建是为 了 将关联性较 强 、
    却 又 彼 此相 互独 立 的 多


    个 特 征 加 入 关 联 关 系 进行 组 合 形 成新 维 度 包 含 关 联 关 系 的 联 合特 征 联 合特 征 的



    引入 , 能 够 有 效地 解 决模 型在进行勒 索 应 用 识 别 时 , 容易 将具有与勒索应用 有相 似行


    为 的 良性应用 误判 为勒索应用 的 问 题 

    v al u e=  DBI + s + J c  + W R C K 3 8)

     i 
    ( ) ( , ( 

    D av i e s



    u d l i
    n ^ j ^(DB I



    如為

    ,




     *
      1

      

    输 入 向 M Km ea n 遺 法  十

     ?

     ^?
     




      ^
    S i l h o u ett e  C o eff i ci en 鄉鹿 系数 )


    雲
    , 1

    X I
     v2


    vn


    > 3

    b a

      1  
    1   1 ) (

    ) {



      

    m
      一^  ^


    EEEEB  1  丨


    _ K值 




    Q >
    y3

     y4
    > . . . >
    y2


     b



    2 糞  … …

      |

    二 二

    父亿
     f 
    v i
     1
    v2
    1 
    v 3
     j 

    j 
    vn  i

     ? # m ax

    a b ,



     
    + 

    Ca l i ns k i Ha ra b a s z (C H ) 

     r B k k


     
    t l


    ( )
    / ( 

    C Hl K} 

    tr W( k ) /(



    k )


    yl Y2
     L .
    l i \ !
    ^J
       

    |  — 
    … …

    X2  T^ VI V2
     vs

    vt
    an d
     
    : -
    f i ; >

      
    : i


     
    I ] ;




    1 .
    : : :

    ^^ ^ ! : : :: 二 : :: : :


     j U  

    ^T  劃e K值

     y
    ?i



    . . .

    p r

    j j 丨  V3  M dV 2
     i

    : K= 

    |  ^
    X r

     | 


    r 
    ? S
     | 

     

    vn
     j  

    图 3

    5 联 合特 怔构 建流程示 意 图

    表 3

    3 聚 类 结 果评 价 变 量详 情

    i 名 称 计 算 方 式 变 量 说 明
    变f 

    Dav i es

    Bou l d nI n d e x


     戴维森堡丁指数

    S i l h o u e t teC o e ic
    f i e nt
    則 =

    仏 ) }
    轮廓 系 数



    义⑴
    S u mo f
    qua
    re so fi n t rac u e r  e rr o r s
     c =

     Mc w 代价函数



     s l t

    " )   丨


    Ca nsk H ar a b a z  = x
    S 方差 比 准 则


    li
     §§^r 

    k
     \k

    联 合特征 集 构 建 过程 如 图 3

    5 所示 , 利 用 Kme an 算 法 对 携 带 勒 索 应 用 信 息 的 输

     s

    入 向 量进行 次聚类 每 次 聚类 的 簇数为 L 每 次 聚 类 结束 后 依据公式


    一 一

    l 3 


    - -



    定义的 val u e 值对 聚 类 效 果 进 行评 价 公式 3 8 中 涉及 到 的 其 他变量如 表 3 3 所示


    - -




    28



    第 三章 K R D RO D I :

    行 为 可 区 分 的 勒 索 应 用 激 活 前 检 测 研究

    选取 v al u e 值最 大 的 聚 类 簇 数 k 所对 应 的 聚 类 结 果 作 为最 终 结 果 查看同 簇内


    各样本重要 度 t op 2 0 的特征 , 结 合 样 本 运 行特 点 ,
    人 工 挑 选 具有 强 关 联 关 系 的 特 征 

    构 建为 联合特征 

    3 3 3
    . .
    勒索应 用 识别

    1 .
    输入 向 量构建


    在本文 中 , 本 文 将 提 取 的 特 征 转换 为 向 量 。
    如 公式 3 -

    8 和 3

    9 所示 , 代表 向

    表数值 向 量 集 即 将 两 组特征 组
    “ ”
    量集 ,
    包含 0 -


    向 量 集 和 数值 向 量 集 。



    合为 个整 体 向 量 表 示 应 用 程序 的 信息 向 量 每个 维 度 的 值 是 l o at
    f 类型

    。 


    类型

    向 量每 个 维 度 的 值 是 存在 于 特 征 集 中

    表示 0 -


    向 量集 。 i nt 。 如果 〃 e Ci ,
    则无


    论 它 在应 用 程序 中 出 现多 少 次 , 其 值为 1 。
    否则 , 值为 0 

    " "

    C C
    — 
    ^ e Cb i n ar

    U V^ Cv a
    l ue  (

    9)


    f
    0 , 
    v e Q  i s  n o t  i n  fe a t u r e  s e t
     

    VG C j  =  <
       3 0)


      
    . . ( 


    .  . .

     1 vec
    i i

    s  i n  t h e  fe a t u r e  s e t vec

    z 1
    i

      J
    . . .


    , |
    , ,
     \ \

     | |

    2 .
    模型构建



    ) 模 型 选取


    本章 利 用 XG B oo s t
    算 法 进行勒 索 应 用 检 测 模 型 的 构 建 , 依据 k 棵树 的 预 测 结 果


    得 出 模型 最 终 的 预 测 结果 , 如 公式 3

    1 1
    所示 , 该 预 测 函 数 可 被 定 义为 



    Vi 

     (>
    t {
    X i ) 

    / i t(
    X i ) ,  fk ^ F  (
    3 -

    1 1



    f =


    其中 , 足 代 表训 练 集 中 的 第 i
    个样本 , 本 章 训 练 釆 用 的 正 负 样 本 个数 均 为 1 5 00 

    因此 ,
    i e [


    30 00


    y 表 示 模 型 的 分类标 签 , y e{ 0 ,

    } , 其中 ,

    表 示 该样本 为 勒 索


    应用 ,
    〇 表示 该样 本 为 良 性 应 用 , & 代 表 足 对应 的 真实 标签 ,

    f 代 表使用 的 决策树


    的 数量 , 该模型训 练 中 ,
    &=1 〇 〇 ,
    尸 代表 C ART 树的输入空 间 , 如公式 3

    1 2 所示 

    可被 定义为 




    F =
    { f (X ) 

    w
    q {
    x )
    , q : R ^ T ,
    w eR
    } (

    1 2)

    其中 ,
    m 代 表着 输 入 特 征 向 量 的 维 度 , 在 本 模型 中 m= 5 79 r ; 代 表着 决策 树 拥


    有 的 叶子 节 点 的 数 量 代 表着决策树 对于 每 个 样 本在 其对 应 的 节 点 所 获 得



    的 分数 ;
    叫 代 表着 对于 任 意

    棵决 策 树 , 其第 i
    个 叶 子 结 点 所 获 得 的 分数 ,



    代 表着决 策 树 9 将 它 的 每个 叶 子 结 点 所 获 得 的 分 数 进行 加 和 所 得 到 的 最 终 分 数 


    ) 模型 构 建

    29


    北 京 邮 电 大 学 工 学 博 士学 位论 文 

    当 XB o o st
    算 法 中 的 正 则 化项 与 损 失 函 数 的 加 和 取 得 最 小 值 时 , 模型 的 效果 为最


    优 , 如公式 3

    1 3 所示 , 模型调 优 的 目 标 函 数可表示 为 

    E“ 

    咐 )


    Pr ed i
    , 讲 )

     5Z  ( ^ +

    刈忉 丨 |




    1 3 

    其中 , I: J ( p re
    d 4 y i
    ) 代 表着真 实值 与 预测 值 的 误差 , 为模型 的 损 失 函 数项 

    代 表 着模型给 出 的 对于第 i
    个样 本 的 预 测 值 , % 代表着第 i
    个样本 的 实 际 标 签 

    模型 的 正 则 化项 为 与 为 待求解 的 系 数

    ( 7了  + 0卜 |


    , 7 A 

    为 了 求 解 上述 公 式 中 的 目 标 函 数 的 最小值 , 将在 X GB oos t
    进行模 型预 测 f 轮迭


    代 时 加 人 正 则 化项 ,
    上述 公式 3

    1 3 的 目 标 函 数可 定义为 公式 3

    1 4 

    抄 E ”

    吨 + + 卜 4 )






    口 "  丨 丨 丨


    ( )

    由 于 XG B o o s t
    为 非 回 归模型 ,
    因 此 将 上 述 公 式 可 利 用 泰 勒 展 开 式 进行 高 阶 无 穷


    小和 常数 项 的 移 除 , 利 用 对 决 策 树 的 叶 子 结 点 的 迭 代 来 代 替对 决 策 树 模 型 的 迭 代 , 


    公式 所示 利用 代 表决策树 中每 个 叶 子结 点 的 实 例 可将 函 数转 化为

    3 5





    , ,

    豆 ⑴ = -





    4 1

    pr ed /


    tJ  V i
    ’ j

    Hj
    ( ) 

      ^ 
    3 5
    _


    ( 


    \ d



    _

    t 1
    a ,

    r ed
    i y
    ( )

    i 

     W
    = '

     2^ e lj  d y ^


    V . i 

    3 ) 参数调 优


    网 格 搜索算法是

    种 基 于 贪 心 原 理 的 参 数调 优 算 法 , 如图 3

    6 所示 , 在 本 章模 型


    调优 中 ,
    网 格 搜 索 算 法 将 输 人 数据集 随 机 分 为 1 〇 份 ,
    通过 1 〇 折 交叉验证 , 选取 能 够


    使模型预 测 结果 准 确 率最高 的 参数组 合 。
    在 本章 的 模型 构 建 中 , 将利 用 对 X G B oo s 

    的 参 数 进 行调 优 , 模 型 的 参 数选择 结果 如 表 3

    4 所示 

    3 4

    实验评估

    本节进行 了 三个 实 验来 评 估 其 检 测 能 力 和 效率 。
    为了测试 KRD RO D I
    的检测 性


    能 , 本文 首 先 评 估带有 勒 索 应 用 和 其 他 样 本 的 数据集 , 然 后 本 文将勒索 应 用 的 检



    测 能力 与 勒索应用 检测 引 擎 He Dro
    l i d

    和 搭载 于 安 卓设备 的 勒 索 应 用 检 测 引 擎 R 

    P a c kD r o i d 进行 比较

    23 ]



    30



    第 三章 KR D RO D I :

    行为 可 区 分 的勒索应 用 激活 前检测 研究

    -  ̄

    r T 7n Tr n


    准 确 ¥A




     ̄  ̄  ̄  ̄
     ̄  ̄
     ̄ —  ̄  ̄  ̄  ̄

    _」 」
    | |

    情况 
    K = 2
    J



    1 l

    _ .

    . .
    . .
    . I I I

    明 i
    丨 丨
    m _  i



    _
    _


    _



    — 卜  ss





     _     M 
    K = 1
    I I I I I

    歡 _
    . . . . . .

    K = 2
     丨 _  T | 1  1  1 1






    K = 1 (

    ^  I I   I I

    图 3 6 网 格搜 索 算 法 参数调 优 示 意 图

    表 3 4 模型 参 数 选 择 详 情

    参 数 名 称 参 数 描 述  参 数 值

    m ax _
    de
    pt
    h  决 策 树 的 最 大 深 度 

    k  决 策 树 数 量 1 〇〇

    m n i
    _
    c hi ld _
    we gh t

    馬 叶 子节 点 中 权 重 和 的 最 小 值 : 

    re
    g _
    l am b d a 乃2 :
    正 则 化 参 数 

    g a m m a 7 :
    决 策 树 分 裂 损 失 减 少 基 值  〇

    l e am i ng _
    rat e
     学 习 权 重 缩 减 系 数 0 . 

    3 4 1
    . .
    实 验数据

    本 文 建 立 了 三个数 据 集 和 〇3 。
    如 公式 3

    1 6 中 所示 , 包含 四 个勒索


    应用 集 和 丑即 。 丑伽少 ― 和 包含 20 1 4 20 -

    1 5 年期 间与


    的 训 练 和 测 试数据 集 相 同 的勒索应用 包含本文在 年期


    53]
    He Dro
    l i d

    。 20 1 7

    20 1 8

    间从 V i ru s To t a M l
    收集 的 2 40 个勒索 应 用 。 如图 3

    7 所示 , 在 中 的勒索应用


    被标记为 Ko l er ,
    L o c ke r ,
    Pr o n D ro d i
    , S i m k
    p oc er

    , S vp e n g 和 未 标记 的勒索应用 。 


    据 的判 定结果 勒 索 应 用 被 标 记 为
    25

    V i ru s To t a l [ ]

    : 
    C o n g ur  F u s o b J
    , ,
    i s ut ,
    P g e tr
    i l


    Rk o r  S v p e n g
    , ,
    P i om 和 未标记 的勒索应 用 。 包含 从 参 考 文 献 中 收 集 的 767 个未


    标记 的 勒 索 应 用 1
    5 4]


    如 公式 3

    1 7 所不 ,
    1? 2 包含六个恶意软 件集

    3 


    北 京 邮 电 大学工学博士学 位论 文 

    包含 个标 记为 的 恶意软 件 是 个 恶 意扣 费 家族 


    5 5]
    25 7 S m s re S msreg


    g , ,

    应 用 能 够 静默 进行 多 种 收 费 服 务 的 申 请注册 。 包含 1 36 个标记为 W i n d a d w ar e 



    应 用 程序 ,
    W i n d ad w ar e 是 一

    个 向 设 备 提 供 广 告 软 件 的 广 告 软件 系 列 。 ^ 包含


    2640 个标记为 Em 的 恶意软件 E mi a % 是 个监视 SM S 的 恶意软 件 家族

    i al ,
    l 


    包含 个标记为 的 恶意软件 是 个在设备上 窃 取 隐 私 信


    5 8
    77 A ge n t s
    py ,
    Agen ts
    py
    [ ]


    息 的 恶意软件 家族 。 包含 297 8 个标记为 B o o gr 恶意软件 ,
    B o ogr l


    种恶


    意扣 费 木马 包含 个标记为 的 恶意软件





    64 0 Dro d Ku n g Fu Dro d Kun Fu t



    。 i

    种 远程命令 和 控 制 类 恶 意 应 用



    包含 50 种 良性应用 ,
    包括 屏幕 美 化 应 用 程序 和 文 件管理 应 用 程序 

    {
    Ry f ^ H , 

    el _
    t rai n5
    - ^H e l t es t  

    R rp }  (

    _

    1 6 )

    D2 —

    {
    O sms i
    O ad O Em i i al i
    O s
    py ^
    O B oag r O D K F } i (

    _

    1 7)

    D 3
    35 00
     
     

    !  2 97 8  l
    !  

    30 00  1


     I

     



    卜 了  ;



     

    来 自 He 的数据  来 自 v o
    t W 数据



    l D ro i d i ru s t a I


     

    腿 :


    : ; ; ;

    . 〇〇 :   :



     :




    i i
     " I

    1 ,

     

     
    1 0 00

     f

    a , i





     

    … J ?  : i
    i 

    图 3

    7 数据 集 构 成

    3 4 2
    . .
    评 价指标

    为 了 更 好地 评 估 实 验结 果 ,
    本节计算 了 安卓 勒 索 应用 的 检测 引 擎 的 准 确 度 。 如公


    式 3

    1 8 、
    3 -

    1 9 、 3

    20 、

    2 1
    所示 , 准 确 度 表示 正 确 识 别 应 用 的 数量 与 应 用 总 数 量 的 比

    值 。
    精 度 代 表 检 测 引 擎在 部 分 数据 中 的 精 度 。 召 回 率 代 表检测 引 擎 的灵敏度 。 F 1



    数代 表精确 性和 召 回 率 的组合 在公式 3 8 3 9 3 20 与 3 2 中

    - - -

    。 1 、 1 、 1




    TP :

    真 阳 性 的 数量 , 代 表着检测 引 擎识 别 出 样 本是勒 索 应用 ,
    其真实 标签也 为


    勒 索 应 用 的 数量 

    32



    第 三章 KRD RO D I :

    行为 可 区分的勒索 应用 激活 前 检测 研究

    2 ) FP :

    假 阳 性 的 数量 , 代 表 着 检 测 引 擎 识 别 出 样 本 是勒 索 应 用 , 其真实 标 签 并 非


    为 勒索 应 用 

    3 )
    FN :

    假 阴 性 的 数量 , 代 表着 检 测 引 擎 识 别 出 样 本 并 非 为 勒 索 应 用 , 其真实 标签


    为勒索应 用 

    4 ) TN :

    真 阴 性 的 数量 , 代 表 着检 测 弓 擎 识 别 出 样 本 为 非勒 索 应 用 丨 , 其真实 标签


    为 非勒 索 应 用 

    TP + T N

      

    A C G Ur a C y 
     8)



    ( 

    T P  + T N + F P+ F N
       

    TP


    Pre c o n =
     3 9)

    i s i



     Tp + Fp  

    TP


    Rec a 
     3 20 )
    = -

    11

    tp T fn
    ( 

    , ^  Pr e c is i o n  x  R e c all

    ^
    FI  s c or e  =  2  x 
    —  ̄  ̄


    3 -

    2 1


    Pr e c i s o n + R e c a l l

    3 . 43 实 验分析

    在 这项 工 作 中 , 本 文将 回 答 以 下 四 个 问 题 来 评 估 k r d ro e d 的检测性能的 。
    对于


    每 个 问 题 本 文 将 首 先描 述 个实 验并 给 出 相 应 的 结果 然 后 本 节 将给 出 个简短 的


    一 一

    , ,

    总结 

    问题 1 :
     KR D RO I D 的 检 测 效 果 如 何 ?
    问题 2 :
     KR D RO I D 是 否 会 将其 他 恶 意软 件误 判 为 勒 索 应 用 ?
    问题 3 :

    与 其 他 勒 索 应 用 检 测 引 擎相 比 ,
    KR D RO I D 会 更 准 确 吗 ?
    问题 4 :
     KRD RO I D 的 效 率 可 以 接 受 吗 ?

    3 4 3 1
    . . .
    回答 问题 1 :
     KR D R O I D 的 检 测 效果 如 何 

    为了测试 K R D RO I D 发现未知勒索 应 用 的 能力 本 节 使 用 了 的 个子集




    拓 来训练 K R D RO I D ,
    使用 来 自 认 的 和 作 为 测 试 数据 集 

    如 前 所述 样 本 中 的 数 据 集 都 是 勒 索 应 用 ,

    同时 , 本 文 在 测 试集 中 还 加 入 了 
    20 1 9 

    公布 的 个勒 索 应 用 凡 中 的 勒索 应 用 是 年期


    62]
    20 2 1 年度 C N C E RT 2 00

    。 t
    20 1 7

    20 1 8

    间的 ,
    丑 i? p 中 的 数据 集 为 20 1 5

    20 1 7 年间的 , 训 练集 中 的 勒 索 应 用 是 20 1 4 20-

    1 5 年期


    间的 。
    如果 K RD R O ID 在数 据 集 上 具 有 良 好 的 性 能 ,
    这 意 味 着尽管勒 索 应 用 在 不 断 进


    化 , 但是 K R D RO I D 仍然可 以识别 出 未知 的勒索应用 。
    为 了 确 保 测 试集 中 的 样 本 是 与


    训 练 数据 集 完 全 不 同 , 本文 比较 了 他 们 之 间 的 MD 5 , 并 从测 试集 中 删 除 了 重复 的 样


    本 。 实 验 结果 如 表 3

    5 所示 ,
    K R D RO I D 可 以检测 到 1 2 07 个 测 试样本 中 1 1 80 种未知


    的勒索 应 用 , 准 确 率为 97 8 . % 

    33


    北 京 邮 电 大学 工 学 博 士 学 位 论 文 

    表 3

    5 K RD RO I D 勒 索 应 用 识别 结 果

    样 本 开 发时 间  样 本数 量 准 确率



    20 1 5 -

    20 1 6  3 5 2 9 9 . 1 

    20 1 6 20 1 7 4 1 5 9 7

    . 1 

    20 1 7

    20 1 8  24 0  9 5 %

    20 1 9 202

    1  2 00  1 00 %

    总 计 1 2 07  97 . 8 

    综上 ,
    KR D o i d 具 有 良好的 泛化 能力 。 KR D RO I D 不 仅 能够识 别 未在训 练集 中 见


    过 的 勒索 应 用 , 还 能 够 识 别 进 化演 变 后 的 勒 索 应 用 。 这 在某 种 程 度 上 也 表 明 了 本 文对


    于 勒 索 应 用 的 分 析 与 刻 画 与 基 于 行 为 模式 的 特 征 提 取 是 有 价 值 的 

    3 4 3 2
    . . .
    回答 问題 2 :  KRDRO I D 是否 会将 其 他 恶 意 软 件 误 判 为 勒 索 应 用 

    由 于勒索应用 是 种 恶 意 软件 因 此 本 文 仍 然 需 要 测 试 K R D RO D 的 准 确 度 是



    否 与 恶 意 软件分 类 无 关 。 本 文 用 了 作为 测 试数据集 。
    如 上 所述 , 所有 乃2 中 的 应


    用 程序都是不 同 于勒 索应 用 的 恶意软件 。 该实验 的 结果 是 ,
    r >

    2 中 的 应 用 程序 都 未被


    识 别为勒索应用 。 K R D RO I D 的 假 阳率为 0% 

    K R D RO I D 是 种 安卓 勒索 应 用 的 检 测 引 擎 而 不 是 恶意软件检 测 引 擎 它不会



    将 其 他 恶 意 软 件误判 为 勒 索 应 用 , 因 为 其 他 恶 意 软 件 没 有 典 型 的 勒 索行 为 

    3 4 3 3
    . . .
    回答问题 3 :

    与 其 他 勒 索 应 用 检 测 引 擎相 比 ,
    K R D RO ID 会 更 准确 吗 


    在本 实 验 中 本 文 将 ,
    K R D RO I D 与 He l Dro i d 进行 了 比 较 ,
    H e D ro
    l i d 是

    种 比较


    主 流 的 安卓勒 索 应 用 检 测 引 擎 本 文 从 其 作 者 公 布 的 开 源 网 站 中 复 现 了 H e D ro
    53]

    。 l i 


    本文用 了 来 自 乃i 和 D 的 3 作 为 测 试数 据 集 。 结果 该 实验 的 结果 如 表 3

    6 


    7TC 

    H e D rol i d 正确识别了在 的 359 个勒 索 应 用 和 20 个 良性应用 , 并识别




    了在 込 的 42 个 良性应用 ,
    H e D ro l i d 的 准确度是 88 6 . % 。 R P ac k D r o

    i d 正确识别 了


    3 99 个勒 索 应 用 , 并 识 别 了 i^  e L te st 中 1 7 个 良性应用 和 认 中 的 44 种 良性应用 ,
    R 

    Pac kD r o i d 的准确度是 96 8 . % 。 K R D RO I D 正 确 识 别 了  R ll e l jt e s t  中的 40 5 个勒 索 应 用


    和 1 3 个 良性应用 , 并识 别 了在 D3 的 42 个 良性应用 , 所述 K R D RO I D 的 准确度是


    98 5 . % 

    本文 进 一

    步 分析 了  H e D ro
    l i d 的 结果 ,
    经 过 真 实 的 机 器 测 试 和 反 编 译分 析 , 本文

    34



    第三章 KR D RO I D :

    行 为 可 区 分 的 勒 索 应 用 激 活 前 检 测 研究

    表 

    6  K R D RO I D 、 R Pa c k D r o

    i d 和 H ELD O R I D 的 比 较 结 果
     
     

    阳性 (
    T P + T N )

    模 型 阴性 F P + FN 准确率 精 度 召 回 率 F1 


    ( )

    勒索应用 良 性 应用

    H e D ro l i d 3 5 9  62 5 4 88 . 6% 8 8 . 6% 9 7 . 8 %93 . 0%

    R P ac k D r o

    i d 3 99 6  1 1 5  96 . 8 % 9 8 . 5 % 97 .
    8 %9 8 . 1 

    KR D RO I D  40 5  6 3  7  98 5 . % 1 00 %  9 8 5 %  9 9 . . 1 

    发现在 46 个真 阴 样本 中 有 28 个 样本 由 于 未 知 的 语言 而 无 法 检 测 到 。 由 于 H e Dro l i 

    设备 锁 定 行 为 的 检 测 失 败 ;
    其余真 阴 样本 中 的 9 个 勒 索 应 用 在 已 经 被 检 测 出 有 敏感


    文本 的 前 提下 依 然 无法 被成 功 识 别 为 勒 索 应 用 。 此外 , 本文 发 现在这 9 种勒索应用 中

    有 4 个样本 属 于 屏 幕 资 源 控 制 勒 索 应 用 。 正 如 本 文之 前提到 的 , 这种勒索 应 用 不需要




    像 l o c kN ow O 这样 的 真 正 的 设 备 锁 定 A PI 来达到 目 标 。 最后 被误 判 的 9 个样本 是未 被


    检 测 出 的 勒索 应 用 

    R -

    P ac k D r
    ci d 的 目 标是 使 用 轻 量 级 的 特 征 来 进 行大规 模 的 样 本 测 试 M 。 构 建检 测


    引擎时 , 它 使用 系 统 API 软 件包 列 表 来 表 示 应 用 程 序 ,
    而 不 是 基 于 多 维 特 征 构 建攻


    击 模式 在 某 种 程度 上 该引 擎 由 于 些 信息 的 不 全面性 可 能 会 导致 无法 识 别 一





    , ,

    类型 的勒索应 用 

    综上 , 由 于 K R D RO I D 在 进 行特 征 集 构 建 时 , 对 勒 索 应 用 的 特 征 进行 全 面 的 分


    析 ,
    并 基于 勒 索 行为 构 建 了 行 为 模 式 特 征 , 使得 KRD R O I D 可 以 通 过 检 测 勒 索行 为 模


    式识 别勒索应 用 , 在 检 测 时不 需 要 考 虑 应 用 中 所 含敏 感 信 息 使 用 的 语言 能 够 更 方 便

     ,

    地 进行 多 个 国 家勒 索 应 用 的 检 测 

    3A3 4 .
    回答问题 4 :
     K RDRO I D 的 效率可 以接受 吗 

    本文从 中 釆集的 个 样本 上 测 量 了 的效率 




    42]
    V ir u s t o t aI

    45 0 
    K RD RO ID 。
    同时 ,

    文 使 用 相 同 的 测 试数 据 集 来 测 试 He D ro l i d 。 由于 R

    Pa ck D ro d i
    是搭 载 于 安 卓 设 备 上 的


    检测引 擎 , 并 非在 服 务 器 端 进行 的 检 测 , 检测 时 间 与 K R D R O ID 、 H e D rol i d 不在 一




    量级 , 所 以 在进行 效 率 测 试 时 KRD RO I D 未 与 其 进行对 比 。 本 节 通 过在英特 尔 酷 睿 i 

    C PU  . 6 GH z  处 理器 的 
    M a c B o ok  Pr o  l ap t a
    p 的 六 核 上 运 行 He 
    l D ro i d 和 
    K R D RO I D , 来测


    试 其 运 行 效率 

    H E L D ROI D 的 执 行 时 间 将 近 4 h 3 0m i n ,
    它 的 主 要 瓶 颈 是 锁 定 策 略检 测 He l


    dr o i d 的 平均 C PU 使 用 率是 将近 90 % > 内 存使 用 率是 1 8 % a  K RD RO I D 的 执行 时 间 将


    近 5 s 。 K R D RO I D 的 CPU 使 用 率是 1 . 6% , 内 存使用 率 低 于 1 % 

    综上 ,
    KR D R O I D 的 效 率 可 以 用 于 大 规模 应 用 检 测 。 它 能 够 以 较 少 的 资 源 消 耗进

    35


    北 京 邮 电 大学 工 学 博 士 学 位 论 文 

     行大 量 的 应 用 检 测



    3 5 .
    本 章 小结

    本 章详 细 分 析 了 三 种 用 于 移 动 设 备 的 最 为 活 跃 的 勒 索 应 用 , 包括不 同 的运行时


    行为 和勒索代码 。
    为 了 确 保提 取 的 特 征 具 有 鉴 别 能 力 , 本 章 利 用 对 比 分析 总 结 了 勒 索


    应 用 与 具 有类 似 行 为 的 良 性 应 用 间 的 差 异 。 然后 ,
    本 章 利 用 多 维 特 征 集提 出 了 一

    个行


    为 可 区 分 的 安卓勒 索 应 用 检 测 引 擎 。
    该 引 擎 不 仅 能 够 更 加 准 确 地 对勒 索 应 用 进 行识


    另 1
    1 ,
    而 且还 可 以 区 分 勒 索 应 用 和 有 类 似 行 为 的 良 性 应 用 。 该方 法误 报 率 低 ,
    并 且检 测


    时间短 

    36



    第 四章 TE CT
    K RPRO OR :

    基 于 兴 趣 文 件 夹 访 问 感知 的 勒 索 应 用 实 时检 测 研究

    第四章 KRP ROTE C T O R :


    基 于兴趣文件 夹 访 问 感知 的 勒 索


    应 用 实 时检测研 究

    目 前 安卓 上 的 加 密 勒 索 应 用 已 成 为 最 严 重 的 威 胁 之 他 们 通 过 加 密 用 户 设备



    上 的 私 人 数据 来 勒 索 用 户 。 然而 , 在没有 R OO T 的 安卓 设 备 上 几 乎 没 有 文 件 保 护 解


    决方案 。
    因此 , 迫切 需要在 未 被 R O OT 的 安 卓 设 备 上 提 出 能 够 应 对勒 索 应 用 加 密 文


    件 的 防 护 方 案 本 章 分 析 了 加 密 勒 索 应 用 的 特点 。
    , 提出 了

    种 基 于 空 文 件夹 感 知 的 勒


    索 应 用 文 件保护 策 略 。
    为 了满足无 RO O T 设 备上 文 件 保护 的 需 要 , 本 章基 于 空 文 件


    夹 监 控设 计 并 实 现 了 
    K R P RO TE C T O R 来 检 测 勒 索应 用 并 保护 文 件 

    4 1

    引言

    近 年 来 加 密勒 索 应 用 以 其 破坏 性 强 获 利 快 的 特 点 吸 引 了 众多 犯 罪 分 子 



    63 ]
    、 。


    据 C N C E RT 于 202 1
    年 发布的 《 2 02 0 年 中 国 互 联 网 网 络 安 全 形 势 概述 》 ,
    可以看


    出 加 密勒 索 应 用 发展迅速 。
    加 密 勒 索 应 用 仍 然 是 网 络 安 全 的 最 大威 胁 。 这种恶意软


    ?6 6
    件 也 为 欺 诈 和 数据 盗 窃 创 造 了 机 会 [ ]

    。 加 密 勒 索 应 用 仍 然 是移 动 设 备 的 最 大 威胁 

    加 密勒索应 用 通过文件加 密 的 方式 , 使 用 户 不 能 正 常打 开其 个人 文件 , 从 而对用 户




    进 行勒 索 。
    加 密勒索 应用 在

    年内给 1 50 多 个 国 家 和 地 区 造成 了 高 达 80 亿美 元 的 损


    尽 管攻 击 者 尚 未 大 规模 在 所 有 系 统 类 型 的 设 备 上 实 现 勒 索 攻击 ' 但 研 究
    64 ] 6 40 ]
    失 [


    [ [

    证明 , 加 密勒 索 应 用 可 以 很 容 易 的 在 不 同 系 统类 型 的 设 备 上 实 现 , 并 将 在 这 些 设备 上


    迅速 传播 

    据报 道 , 截至 202 0 年 , 安 卓 设备 的 数 量 将 达 到 6 1 亿左右 目 前 , 安 卓 上运


    行 的 勒 索 应 用 仍 然 是物 联 网 设备 的 威胁 。 自 20 1 4 年 , 安卓 系 统 上 的 第 一

    个加 密勒索


    应用 S i m p l e L o c ke r 出 现至今 , 加 密勒 索 应 用 的 数 量 仍在增 长 。 根据 C h e ck p o nt i
    发布


    的报告 , 在 202 1
    年 的 最 后 六个 月 ,
    加 密 勒 索 攻击 增 加 了 
    57 % 。 报告 中 还指 出 , 平均


    每 秒就会有 个 新 组 织 受 到 加 密勒索 应 用 的 攻击 由 于 网 络犯 罪 的 风 险 低于 现
    D]




    1 。

    实犯 罪 将 吸 引 更 多 的 攻 击者 开 发 与 传 播 加 密 勒 索 应 用 安 卓 系 统 上 的 设 备将



    _

    1 1 1
    [ ]

    , ,

    面 临 更大 的 威 胁 

    些研 究 者提 出 了 一

    些 基 于 静 态 分 析 和 动 态 分析 的 加 密 勒 索 应 用 检 测 方 法 。 



    如 ,
    H e Dro l i d 通过监视 API 调 用 和 提 取勒 索 或 威 胁 消 息 来 检 测 勒 索 应 用 。 H e Dr o l i 

    无 法 检 测 通 过 视 频 或 音频 显 示 勒 索 信息 的 勒 索 应 用 。 加 密勒 索 应 用 可 以 通 过 加 固 和


    混 淆 来 逃避 静态 分 析 。 他 们 还可 以 通 过 延 迟 勒 索 行 为 来 逃避 动 态 分 析 , 也就是 说 , 


    们 在激 活 文 件 后 不 会 立 即 加 密 文 件 。
    据 本 文 所 知 这 些 加 密 勒 索 应 用 检 测 方法 无 法 阻
    , 

    37


    北京 邮 电 大学 工学博 士学 位 论 文 

    止勒索应 用 加 密 文 件 , 或 在勒 索 应 用 加 密 文 件 时警告 用 户 

    些 研究 人 员 提 出 了

    些 实 时检 测 加 密 勒 索 应 用 的 方 法 。 S an
    g g ei
    m 等人 关注


    了 文件 系 统和 I/ O 请求 的 变化 。 也就是说 ,
    只 有在加 密勒索 应 用 完 成加 密 后 才 能 得到


    检测 结果 , 这可能 会给 用 户造成 巨 大损 失 。 R a n s o m Pr o b e r M 通 过对 比 文 件 的 香 农熵


    在 文 件被访 问 前 后 的 变 化是否 超过 阈 值 .

    进行加 密勒索 的识 别 。
    如 果 加 密勒索 应 用

    只加密 了文件的 小部分 或 者没有 重命名 文 件 勒 索检 测 者 可 能 会 将 加 密勒 索 应




    , ,


    用 误判 为 正 常应 用 程序 。 R a n s o m G u ar d i

    使 用 静态 分 析检 测 加 密勒 索 应 用 ,
    它 提取


    API 调用 作为特征 , 并 借助 机器学 习 检测 勒索 应 用 。
    如果加 密勒索 应 用 使 用 隐 写 、



    淆 、
    加 固 或 反射 ,
    R a n s o m G u ar d 可 能 会将加 密勒索 应用 误判 为 正 常应用 程序 

    此外 , 现有 的 大 多 数 实 时检 测 方法都需 要 RO OT 权限 , 因 为它 们 需要 是安卓 智


    能 手 机 的 超级 管理 员 来 激 活

    些隐藏的 L i nux 机制 , 从 而 修 改 安卓 上 的 文 件访 问 控


    制模式或 I/ O 响 应 模式 

    考 虑 到 信 息 安 全 大 多 数安 卓 用 户 不 会 选择 :
    RO OT 设备 。 根 据调 查 ,
    只有 22 % 



    用 户 选择 使 用 RO O T 他 们 的 安 卓 设备 1


    现 有 的 检 测 方 法 依 赖 于 超级 管 理 权 限 ,



    加 密 勒 索 应 用 可 以 在 没有 管理员 权 限 的 情 况 下 加 密 文件 

    另外 ,
    RO OT 的 成本越 来 越高 。
    随着安卓 系 统 的 不 断升级 , 许 多 制 造商 试 图 阻 止


    用 户 在 其 设 备 上 进行 RO OT , 以 抑 制 用 户 对设备 的 独 立控 制 。 R O OT 安卓设备越来 越


    难 , 有 些 设备甚 至 可 以 采 用 物 理 短路 的 方式 来 阻 止 设备被 RO OT 。
    安卓 系 统整 体安全


    性 的提升和 权 限管理 的 升级也使得新 版安卓 系统 的 RO O T 变得困难 

    由 于 RO O T 设备 的 困 难 .
    越 来越 多 的 安全 测 试 人 员 开始使 用 系 统版本高 但没有


    RO OT 的 设备 进行 应 用 程 序 测 试 。
    如 果在 测 试设备上安 装 并 激活勒 索 应 用 ,
    则勒索应


    用 加 密 文 件 后 会 大 大 降 低安全 测 试人员 的 效率 

    如上所述 ,
    现有 的 实 时检 测 方法 只 能 保护 已 经 RO O T 的 安卓设备 ,
    而不能保护


    没有 RO O T 的 安卓设备 , 这 不 能 完 全 解 决安 全 测 试 人 员 在 进行 应 用 程 序 测 试 时遭遇


    设备 、
    文 件资 源被劫持 时所带来 的 不 便 

    当 前 对 于 勒 索进 行 中 的 防 御 技 术 研究 概 览 如 表 4 -


    所示 。
    为 了 检测 加 密勒 索 应 用

    并保护没有 R O OT 的 安 卓设备上 的 文 件 ,
    本章分析 了 各 种 加 密勒索应 用 , 提出 了基


    于 空 文 件 夹 监控 的 文 件保护 策略 。
    本 章 设 计 并 实 现 了KR P R OT E C TO R ,
    这是 一

    个基


    于 空 文 件夹监控 的 、 具有 文件保护机制 的勒索 应 用 检测 引 擎 .

    本章 的 主 要 贡 献 如 下 

    1 .

    详 细 分析 了 加密 勒索应 用 不 同 家 族 的攻击特征 。 本章从 AM D 数据集 m i



    Ko o d o u s 开 源数据集 _ 和 V i m s To t a l
    _
    中 收 集 了6 7 5 个 加 密 勒 索 应 用 。
    本 章对这


    些勒 索 应 用 进行 了 反 编译 :
    从 攻击 时 间 、
    目 标文件夹 、 遍 历方式 、
    文件排 列 、
    加 密范


    围 、
    加 密 方法 、 加 密模式 、
    加 密策略 、
    目 标 文 件和 加 密 文件等方面总结 了 加 密行 为 的


    特点 

    2 .

    应用于未 RO O T 设备的 基 于 兴趣文件夹监控的 加密勒索应 用 检测策略 。 本章



    3 8



    第 四章 KRPRO
    T E C T OR :

    基 于 兴 趣 文件 夹 访 问 感 知 的 勒 索 应 用 实 时 检 测 研究

    提 出 了 基于 兴 趣 文件夹监控 、 搭载在未被 RO OT 过 的 安 卓 设备 端 的 加 密勒 索 应 用 检


    测策略 。
    该策 略 以 空 文 件夹 为 兴趣 文 件夹 的 实 体 , 搭 载 在 未被 RO O T 的 终 端进行勒


    索应 用 检 测 ,
    能 够 有 效 识 别 使 用 了 动 静 态 检 测 逃逸 策 略 的 勒 索 应 用 。 本章还证 明 了 该


    策 略 除适 用 于 安卓 系 统外 ,
    也可 以 在 未 获 得 管理员 权 限 的 前提下 在更 多 种 类 的 其 他

     ,

    设备上实 现 

    3 .
    对 勒 索 应 用 加 密 文 件进行 防 御 为 了 更 好 地 保 护 文 件免 受 勒 索 应 用 的 攻击 本

     。

    章 基于 上 述 策 略 实 现 了 
    K R P R O TE C T O R , 它 对勒 索 应 用 识 别 的 准 确 率 较 R -

    P a c kD r o d M
    i 


    He D r o
    l i d 等 引 擎高 20 % 以上 , 并 能 够在 第

    个 文件加 密前 1 4 秒 左 右 发 出 警告 ,



    现 了 在 设备 未 被 RO O T 的 情况下 , 对勒索 应 用 加 密 文 件进 行 防 御 

    表 4 -

    1 勒 索 进 行 中 昉 御技 术 概 览

    需要


    搭载 在  部 署 兴 趣 

    RO O T  文 件


    检测 的 时 间  移 动 设 乎 台 文 件 文 
     /

    或 管理 员 保护

    备上 件夹


     

    应用 激活 后 

    S D G ua r d

    32 1
     /  安 卓 /  /  x

    实 施加 密 前

    应 用 激活 后 

    等 人 的 研 究 /  安 卓  /  /  x
    2 51
    Yu a n 1

    实 施加 密 前

    ,  安卓
    22]
    S ong

    等人 的 研究 加密时 , x x

    34 ]
    Fe rr a n t e [

    等人 的 研究 加密时 , 安卓 , x x

    应 用 激活 后 

    RW G u a r d [
    37]
     W -

    i n d ow s  / / /

    实施加密前

    应 用 激活 后 

    R L oc ke r


    38]
     W -

    i nd ow s / / /


    实施加密前

    应 用 激活 后 

    K R P RO TE C T O R  Z  安 卓  x  ,  /

    实施加 密 前

    39


    北 京 邮 电 大 学 工学 博士学 位 论 文 

    4 2

    加 密手段 分析

    部分 研 究 人 员 提 出 了

    些 加 密 勒 索 应 用 的 攻击特 征 。 研究 人员 在 分析 了 不 同 家


    2 a 4 9 5 3 69 ]
    族 的 加 密勒索 应 用 后 证 明 了 并 非 所 有勒 索 应 用 的 攻击 时 间 都 相 同 在部 分


    _

    [ ,


    文献 中 , 研究 人 员 提 出 勒 索 应 用 不 会 加 密 设 备 上 的 所 有 文 件 , 但 会加 密照 片 、 文档等



    主 保存 的 文件 等人 提出 并 非 所 有勒 索 应 用 都 对 整 个


    23 7 0 721
    C H EW C
    73]
    用户


    , ,


    文 件 进行 加 密 有 些勒 索 应 用 只对 文 件 的 部 分进 行 加 密 部分研究 人员 分析 了 勒



    索应 用 的 加 密 方法 部 分 研究 人 员 介 绍 了 勒 索 应 用 的 不 同 加 密 模 式 以 及 如 何


    2Q 23 70 72 ]

    [ , ,

    实 现这些 加 密模式 研 究 人 员 讨论 了 勒 索 应 用 对 其加 密 的 文 件 的 些 命名 规


    23 5 3 5 9 ]

    , 一


    则 

    为 了 更 好地 了 解 加 密勒 索 应 用 的 加 密 手 段 , 本节分 析 了 6 7 5 个勒 索 应 用 , 并总


    结 了 1 0 项 典 型 的 勒 索 应 用 加 密 特征 ,
    这 些 特 征 有 助 于 本节 制 定 兴 趣 文 件 夹 的 部署 策


    略 , 例如 , 勒 索 应 用 进 行 加 密 目 标 文 件 搜 索 时 的 文件遍 历 方 式 、
    勒 索 应 用 获取 目 标文


    件列 表 时 文件 列 表 的 有 序方式 等 卜 


    攻击 时 间 包 括 立 即 等 待 和 定 时 立即

    攻 击时 间 是 指 加 密勒 索 应 用 在 第


    1 .
    。 、 。

    次 激 活后 立 即 对文 件进 行 加 密


    并 且 大 多 数 加 密 软 件 的 攻击 时 间 是 立 即 的 方 式 。



    次 激 活 加 密 勒 索 应 用 后 它 在 收 到 加 密 命令 之 前 不 会 加 密 文 件

    待 意 味 着 在第 



    意 味 着 首 次 激 活 加 密勒 索 应 用 时

    时 , 它 会设 置 时 间 触 发器 , 并 使其 能 够 在 指 定 时 间


    加 密文件 。 基于 沙 箱动 态分 析 的 文 件 加 密 型 勒 索 应 用 检 测 通 常 会 在 勒索 应 用 被 激 活


    后 立 即 进行 , 因此 , 勸 索 应 用 可 以 利 用 恶 意 代 码 定 时加 载 等逃逸 方 式 来 规避 该类 型 的


    检测 

    表 4 -

    2 加 密型 勒 索 应 用 的 攻击时 间 特 征

    S i m p l e L o c k er  C on g u r Wa n n a l ok er  X B o t  D o u b l e L o c ke r P l et or

    攻 击 时 间 立 即 立 即 立 即 立 即 立 即 等待

    综上 , 攻 击 时 间 是 加 密勒 索 应 用 的 一

    种 攻 击特 征 。
    如表 4 2 -

    所示 , 大 多 数加 密 的


    攻击 时 间 是 立 即 的 。
    如 果 本 节在 设 备 中 部署 兴趣 文 件 夹 并 监控 到 应 用 访 问 兴趣 文 件


    夹 那 么 刚 刚 开 始运 行 的 应 用 程 序 比 已 经 运 行 段 时 间 的 应 用 程序 更 加 可 疑




    2 .
    目 标文 件 夹 。 加 密 型 勒 索 应 用 的 攻击 目 标 文 件 夹 特 征 如 表 4 -

    3 所示 , 目 标 文件


    夹 是加 密 文 件 的 父 目 录集 

    在 没有 R O OT 的 设备上 , 目 标 文 件 夹 的 值通 常 为 /s d c a rd / 或 /s d c a r d/ 文件 夹 的 子 文


    件夹 第 个原 因 是普通 用 户 只 能 访 问 加密勒 索 应 用 只 要 申 请写 人外 部存


    。 /s d c ar d/

    储器 的权 限 , 就 可 以 读取 或 写 入 /s d c ard/ 中 的 所有 文 件 。 第 二 个 原 因 是该 文 件 夹 包 含


    用 户 最 关 心 的 文件 , 如照片 、 视频等 

    综上 , 目 标 文 件 夹 是 加 密 勒索 应 用 的 一

    种 攻击 特 征 。
    如 果 本 节在 加 密勒 索 应 用 的

    40



    第 四章 TE C TO R
    KR P RO :

    基 于 兴 趣 文 件 夹 访 问 感知 的 勒 索 应 用 实 时 检 测 研 究

    表 4 -

    3 加 密型 勒 索 应 用 的 攻击 目 标 文件 夹特 征

    S i m p l e L o c k e r  C o n g u r Wa n n a l o ke r  X B o t  D o u b l e L o c k e r  P l e t o r

    目 标 /s d c ar d/ 和 它 /s d c a rd /  / s d c a rd / 下 /s d c a r d /  / s d c ar d / 和 它 /s d c ar d / 下 , 除路



    文 件 所有子文件 和它所 的 B a du n et

    和它所 所有子文件 径 中含有 A n dr o i d 



    夹 夹 有 子 文 di s t 下载和 有子文 夹 t mp ,
    l og ,
    t est >
    c ac h e 

    M 件 夹 的 其 他路 径

    件 夹 D C I t h u mb 

    下 的 所 有 子 文 件夹

    偏 好 目 标 文 件 访 问 位 置 处 部署 兴 趣 文 件 夹 可 以 增 加 兴 趣 文 件 夹 被 访 问 的 概率 从 而 , ,


    保护 文件 

    3 .
    遍历方法 。 加 密 型 勒 索 应 用 的 攻击 目 标 文 件 夹 特 征 如 表 4 4 -

    所示 ,
    遍 历 方法 包


    含 深 度 优 先遍 历和 广 度 优 先遍历 。 这 意 味 着 大 多 数加 密勒 索 应 用 釆 用 深 度 优 先遍历


    的 方 式 遍历 文 件 夹 , 以 获取 文 件夹 及 其子 文 件 夹 中 的 文 件列 表 

    表 44 加 密 型 勒 索 应 用 加 密 时 遍 历 方 法特 征

    S i m p l e L o c k e r  C o n g u r  Wa nn a l o k e r X B o t  D o ub l e L o c k e r  P l e t o r

    遍 历 方 法 深度 优 先 深 度 优 先 深度优先 深 度 优 先 深 度 优 先  深 度 优 先

    遍 历 方 式 是 加 密勒 索 应 用 的 种 攻击 特 征 它 有 助 于 研 究 如 何部 署 兴 趣 文 件 夹




    安 卓 设 备 的 目 录 是 树 状 结 构 如 果 加 密 勒 索 应 用 的 遍历 方式 是 深 度 优 先 搜 索 本节 可

     。

    以 在 树结 构 的 叶节点 附近部 署 兴趣文 件夹 。 如 果 加 密勒 索 应 用 的 遍 历 方 式 是广 度 优




    先搜 索 , 那 么 本 节 可 以 在 更 靠 近 树结 构 根 的 地 方 进 行部 署 

    4 .

    文 件获取颇 序 。 加 密 型勒 索 应 用 的 文 件获取 顺 序特 征 如 表 4 5-

    所示 ,
    文件


    获 取 顺 序 包 含有 序 和 无 序 。 它 是 指 加 密 勒 索 应 用 获 取文 件 列 表 时 列 表 内 目 标文件 的


    4]
    排序 方法 如 按文 件 名 的 升 序 或 降序 排序 按 文 件 大 小 的 升 序 或 降 序 排序 等 



    、 。

    没有 RO O T 的设备上 , 文 件 的 排列 通 常 是 无 序 的 。 原 因 是 安 卓 上 的 加 密勒 索 应 用 在



    aV a . i a Fi l e > -

    Ii St Fi l e S ( ) 的 帮助下获得 了 文件列 表 ,
    此 方法返 回 的 文 件 列 表 将 不 会 按 照


    特 定 的 方 式 排序 

    表 4 -

    5 加 密 型 勒 索 应 用 加 密 时 文 件 获取顺 序 特 征

    S i m p l e L o c k e r  C o n g u r Wa n n a l o k e r  X B o t  D o ub l e L o c ke r  Pl e t o r

    文 件 获取方 式 无 序  无 序  无 序  无 序  无 序  无 序

    41


    北 京 邮 电 大 学 工 学 博 士 学 位 论文 

    综上 , 文件 获取 顺 序 是加 密勒索应 用 的

    种 攻击 特 征 ,
    它 有 助 于 本节 确 定 兴趣 文


    件夹 的 实 体 

    5 .
    加密覼序 。
    加 密 型勒 索 应 用 的 加 密 顺 序 特 征 如 表 4 6 -

    所示 , 加 密 顺 序 包 含集 中


    加 密 和 逐个加 密 。 这 意 味 着 加 密 软 件是将所 有 目 标 文 件 一

    起 加 密 或 逐个 加 密 。 集中


    加密 是 指 加 密 勒 索 应 用 将 文 件 列 表 中 的 所有 文 件

    起加 密 。 大 多 数加 密勒 索 应 用 将


    要加 密 的 目 标 文 件 的 路 径 利 用 列 表进行存 储 ,
    之 后 通 过对 列 表 中 文 件路径 的 遍 历进


    是指如 果 加 密勒索应用 找 到 要加 密 的 标文件
    “ ”

    行文件加 密 。
    逐个加 密 目 , 它 会立 即

    对 其 进行 加 密 然 后继续查 找下 个要 加 密 的 文 件




    表 K 加 密型 勒 索 应 用 加 密时加 密顺 序特怔

    S i m p l e L o c k e r  C o n g u r Wa nn a l o k e r  X B o t D ou b l e L oc ke r  P l e t o r

    加 密 顯 序 集 中 逐个 逐 个 集 中  集 中  集 中

    综 上 加 密 顺 序 是 加 密 勒 索应 用 的

    种 攻击 特 征 , 它 有 助 于 本 节确 定 兴 趣 文件 夹


    的 分布 情 况 

    6 .
    加 密 方法 。 加 密 型勒 索 应 用 的 加 密 方法特 征 如 表 4 7

    所示 , 加 密方法包含


    cr
    y p tA P I s 和 自 定义 。 c ry

    t API s 表 示 该 加 密勒 索 应 用 在 加 密 文 件 时 釆 用 了  J av a 

    官方
    定 义 的 加 密 方 法进 行 加 密 , 例如 ,
    开 发者 可 以调 用 j
    av a x c r y p t o
    . . C i

    h er 等 官 方类 中 的


    AE S 或 DE S 方法 完 成 文 件加 密 。
    若攻击者 使 用 J av a 官 方 定 义 的 加 密 方法 进行 加 密 

    则 在 进行 文 件 解 密 时 , 能 否 成 功 获取加 密 的 密 钥 就 成 了 解密 能 否 成 功 的 关 键 。 而在


    HO O K 的帮助下 , 安 全 分 析 人 员 能 够 通 过对 加 密 方 法 日 志 的 监 控 对 密 钥 进行 获 取 大

     。

    多 数 加 密 勒 索 应 用 的 加 密方法 应 用 了 
    Ja v a 官方 加 密 方 法 , 并 使 用 随 机数生 成 加 密 密


    表 示 加 密 勒索 应 用 进行 文 件 加 密 的 方 法 是 攻击 者 自 行 定 义 的 加 密 方 法

    钥 。
    自 定义 

    例如 , 加 密 方 法 使 用 逻 辑 和 算 术 运 算 相 结 合 对 文 件 进行 加 密 。
    加 密勒 索 应 用 使 用 自 


    义 的 加 密 方 法 对 文 件进行加 密 ,
    可 以 增 大勒 索 应 用 成 功 逃逸 安 全 引 擎检 测 的 成功 率 

    但安 全 人 员 通 过 逆 向 分 析 也 可 以 获取解 密密 钥 

    表 4 -

    7 加 密 型 勒 索 应 用 加 密 时 加 密 方 法特 征

    S i m p l e L o c k er  C o n g u r Wa nn a l o k e r  X B o t  D ou b l e L o c ker  Pl e t o r

    加密 顯 序 A E S  A E S  A E S  自 定 义 加 密 方 法 A E S  A E S

    7 .
    加密 模 式 。 加 密 型勒 索 应 用 的 加 密 模 式 特征 如 表 4 -

    8 所示 , 加 密 模 式 是指 加 密


    勒 索 应用 从访 问 文件 到 加 密 的 过程 。 大 多 数加 密 勒 索 应 用 的 加 密模 式 可 以 分 为 五 种


    模式 

    42


     ;

    第 四章 K R P RO TE CT O R :

    基于 兴 趣 文 件 夹 访 问 感知 的 勒 索 应 用 实 时 检 测 研究

    “ ”
    数 据读取 数 据 加 密 数 据 重 写- -

    是 指 加 密勒 索 应 用 的 加 密 过 程 是 读 取 文 件 、



    密 读取 的 数 据 并 用 加 密 数据 重 写 原 始 文 件 。 也就是说 , 原 始 文 件 被加 密 文 件 覆盖 

    “ ”
    数据读 取 数据 加 密 创 建 数据 重 写 原 数 据 删 除
    - - -

    是指加 密勒 索 应 用 的 加 密 过程


    是读取 文件 、
    加 密 读取 数 据 、
    在 原 始 文 件 位 置 创 建新 文 件 、
    将 加 密 数据 重 新 写 入 新 文


    件 , 并 将 原 始 文 件 进行 删 除 。 也就是说 , 勒索 应用 删 除 了 原始文件 , 同 时在 外 部 新 建


    了 对原始 文 件 加 密 后 的 文件 。
    目 前 , 大多 数加 密勒 索 应 用 , 如 S im
    p l e L o c ke r 、 C o ngur 

    Doub l e L o c k er 和 P l e to r , 均 使 用 该 加 密 模 式 进行 文 件 加 密 


    数 据 读取 数 据 加 密 创 建 数 据 重 写 重 命 名 原 数 据 删 除

    - -
    - - -

    是指 加 密勒 索 应 用 的


    加 密 过程是读 取 文 件 、
    加 密 读取数据 、
    在 原 始 文 件 位 置 创 建新 文 件 、
    将 加 密数 据 重 新


    写 入 新 文件 、 重 命 名 文件 并 删 除 原 始 文件 。

    些 加 密 勒 索 应 用 开 发 人员 添加 了 重命 名


    步骤 , 以 使 加 密勒 索 应 用 检 测 引 擎 将 加 密勒 索 应 用 误 判 为 正 常 应 用 程 序 。
    如果加 密勒


    索 应 用 检 测 引 擎对 原 始 文 件 的 识 别 标 准 为 使 用 F i l e l np u t 方 法打 开 的 文 件 ,
    Xt 加 密文


    件的识 别标准为 使 用 F i l e O u tp u t 方法 打开 的 文 件 那 么 检 测 引 擎 无法 找 到 已 经被重 命

     ,

    名 的 加 密文件 

    “ ”

    数据读 取 原 数据 删 除 数 据 加 密 创 建 数 据 重 写
    - ? - -

    是 指加 密勒 索应 用 的 加 密过 程


    是读取文件 、
    将 原 始 文件 进 行 删 除 、 加 密 读 取 数据 、
    在 原 始 文件 位 置 创 建 新 文 件 并 将


    加 密 数据 重 新 写 入 新 文 件 

    数据转 移 数据 读取 数据 加 密 数 据 重 写 数 据 转 移



    - -

    是指加 密勒索应 用 的 加 密过


    程 是 将原 始 文 件 移动 到 另 个文件夹 读取 原 始 文件 加 密读 取 数 据 将 加 密数 据 重


    、 、 、

    新 写 人 原 始 文 件 以 及 将 原 始 文件 转移 到 原 始 文 件 夹 。 也 就 是说 , 原 始 文 件被 加 密 文 件


    覆盖 , 加 密勒 索 应 用 不 会 加 密 原 始 文 件 夹 中 的 文 件 

    表 4 -

    8 加 密塑 勒 索 应 用 加 密 时 加 密 模式特 怔

    S i m p l e L o c ke r  C o n g u r  Wa nn a L o k e r  X B o t  D o ub l e L o c ke r  P l e t o r

    数 据读取 数 据读 取 数 据读取  数据 读 取 数据 读 取 数据 读 取

    创 建  创 建  数 据 加 密  原 数 据删 除 创 建 创 建

    加 密 数 据 加 密  数据 加 密 创 建 数据 加 密 数据 加 密  数 据 加 密

    模 式 数据 重 写 数据 重 写 数 据 重 写  创 建 数据 重 写  数据 重 写

    原 数 据 删 除  原 数 据删 除 重 命 名  数据 重 写 原 数据 删 除原 数据 删 除

    原 数据 删 除
     

    综上 加 密 模 式 是 加 密 勒 索 应 用 攻击 的 种 特征 它 有 助 于 本 节从访 问 兴 趣文 件


    , ,

    夹 的 事 件 中 发 现 加 密事 件 , 及 时感 知 勒 索 应 用 进行 文件加 密 

    8 .
    加 密 策略 《 加 密 型 勒 索 应 用 的 加 密 策 略特 征 如 表 4 9 -

    所示 , 加 密 策 略包括全

    43


    北 京 邮 电 大学工学博士学 位 论 文 

    文 、
    头部和 尾 部 。 这 意 味 着 加 密 勒 索 应 用 是否 对 目 标 文件进行 全 文 加 密 。 全文意 味着


    当 加 密勒索 应 用 加 密 文 件 时 , 将全 文 数据 进 行 加 密 大 多 数 加 密 勒 索 应 用 的 加 密 策 略

     。

    是全 文加 密 。
    头部表 示 仅 对 文件头 中 的 部 分 数 据进 行 加 密 。 例如 ,
    D o ub l e L o c ke r 中包


    含 的 加 密勒 索 应 用 仅 加 密 每 个 文 件 的 前 1 0 24 个字节 。 尾 部表示 仅对文 件 尾部 的 部分


    数据进行 加 密 

    表 4 -

    9 加 密 型 勒 索 应 用 加 密 时 加 密 策略特 征

    S i m p l e L o c k e r  C o n g u r Wa nn a o ke r  X B o t  D ou b l e L o c k e r  P l e t o r

     l

    加 密 策 略 全 文  全 文 全 文  全 文 前 1 024 个字 节 全文

    加 密勒 索 应 用 为 了 快 速实 现 对 文 件 的 加 密 ,
    可 能 会 存 在较 高 的 C PU 负 载 的 现象 

    其恶意行为 容易 被 发现 。 因此 , 有 些 勒 索 应 用 只 对 文 件 中 的 少 量 数据 进行 加 密 ,
    可以


    降 低被发现的 风 险 

    综 上 加 密 策 略是 加 密勒索 应 用 的 种 攻击 特征 它 有 助 于 本 节 研究 需 要 部署 的


    , ,

    兴 趣 文 件 夹 数量 

    9 ?
    目 标文 件 。
    加 密 型勒 索 应 用 的 目 标 文 件特征 如 表 4 -

    1 0 所示 , 它 表示 加 密勒 索


    应 用 在进 行 目 标 加 密 文件 选 取 时 釆 用 的 过 滤 准 则 。 例如 , 文 件 的 大 小 是否 符合用 户 常


    用 文件 大 小 的 范 围 、
    文 件 的 后 缀 是 否 为 常 见 文件 后 缀 等 。 但是 , 并 非 所有 加 密 勒 索 应


    用 都 需 要 过滤 条件 ,
    例如 ,
    Xb o t
    加 密 指定文件夹 中 的 所有 文件 。
    某 些 加 密勒 索 应 用


    具 有 多 种 过滤 标 准 。 例如 ,
    D o ub l e L o c ke r 对大小 大 于 或 等 于 1 0 24 字 节 的 文 件进行 加


    ” “

    对 文 件 名 后 缀 包 含在 用 户 主 动 存 储



    密 , 并 且 文 件名 不 包 含 . cr
    y ee 和 ap k ;  P l e to r


    4 d oc ,  docx , 
    d oc m ,  av i ,
     j pg ,
     j peg , 
    m p4 , 
    t xt , 

    gp ,
     pp t ,
     p d f  pp t m , ,
     pp t x ,  xl s ,  xl s b ,  xl s m 

    xls x ,  zi p , 
    7z , 
    vcf ,  3 £r ,  ac c db ,  ai ,  ar w , 
    b ay ,  c dr ,  c e r,  c r 2 ,  c rt , cr w , 
    db f ,  d cr , 
    de r , 
    dn g ,  dw g , e ps 

    e rf ,  i nd d ,  j pe , 
    k dc ,  m db ,  m d f,  m e f,  m r w ,  m kv  n e f  nrw
    , , ,  odb ,  o d m ,  od p ,  o d s ,  o d t ,  o rf,  p i 2 

    p7b ,
     p 7c ,
    p dd ,
    pef pe m ,


     p fx ,
    psd ,
     p s t p tx ?


    r3 d , 
    ra f , 
    ra r, r a w , 
    rt f , 
    rw 2 , 
    rw l , s

    r , s
    rw ,  wb 2 , 
    wp d 

    中 的 文 件进行 加 密
    1 4]
    wp s x lk





    表4 -

    1 0 加 密型勒索应 用 加 密时 目 标 文 件 选择特 征

    S i m p l e L o c k e r  C o n g u r  Wa nn a l o ke r  X B o t  D ou b l e L o c ke r  P l e t o r

    目 标 后 缀 为 七6^ ? & ?哗 , 文件大小 文 件 大 所 有 文件大小不小 后缀为 用



    文 件 b mp ,
    gi f ,
    p df ,
    doc , 不 超 过 小 大 于 文 件 于 1 0 24B ,
    且 户主动存

    docx , 
    t xt , 
    avi , 
    m kv , 

    gp ,  1 0 M B  1 0 KB , 小 文 件 后 缀 不 为 储列 表的

    “ “

    的 文 件 于 文 件



    mp4  
    5 0MB  c ry ey e ,

    ap k 

    44



    第四章 K R PR O
    TE C
    TOR :

    基 于 兴 趣 文 件 夹 访 问 感 知 的 勒 索 应 用 实 时检 测 研究

    综上 目 标文 件是加 密勒索应用 的 种 攻击特征 它 有 助 于 本 节 确 定 兴 趣 文件 夹




    , ,

    的 实体 , 使 兴 趣 文 件夹 最 大 条 件 的 满 足 勒 索 应 用 的 访 问 标 准 

    1 0 .
    加密文件名 变化 。 加 密 型勒 索 应 用 的 加 密 文 件名 变 化特征 如 表 4 -

    1 1
    所示 , 


    意 味 着 文件加 密 后 的 更 改 。 本节 将 侧 重 于 文 件 名 的 变化 而 不 关 注 香 农 熵 和 文 件相 似

     ,

    性 的 变 化 加 密 勒 索 应 用 通 常 为 被 加 密 文 件 添 加 攻击 者 自 定 义 的 后 缀
    。 。
    自 定义后缀 的


    添加 , 不 仅 能够 向 受 害者显 示缴 纳 赎金 的 方 法 ,
    而 且还 能 方 便 攻击 者对 被 勒 索对 象 以


    及 使用 的 加 密 密钥 进行标记 , 防 止 重复 

    表 4 -

    1 1 加 密 型 勒 索 应 用 加 密 时 加 密 文 件 名 变 化特 怔

    S i m p I e L o c k e r  C o n g u r  Wa nn a l o k er  X B o t  D o u b l e L o c k e r  P l e t o r

    加密文 文 件 文 件 名 添加 社 文 件名 添加 社 不 改 变 文件名 添 文件名 添



    件名变 名 添 加  交 软 件联 系 方 交软 件 联 系 方 文 件名 加 后缀如 加 后缀如






    化  后 缀 如  式 至 文件 后 缀 式至文件后缀 称
    “ ” “
    . c iy ey e . l ock

    “ 


    . en c

    综 上 加 密 文 件 名 变 化 是 加 密勒 索 应 用 的

    种 攻击 特 征 ,
    它 有 助 于 本 节定 位 目 标


    文 件 和 部署 兴 趣 文 件 夹 

    4 3



    方 案 设计

    本节将介绍 K R P RO T E C TO R 的实现 。 K R P RO
    T E C TO R 是 一

    个基 于 兴 趣 文 件 夹


    访 问 感知 的 勒 索 应 用 实 时检 测 引 擎 ,
    它 搭载 于 未被 RO OT 的 安卓 系 统 , 能 够 在勒 索


    应 用 对 用 户 文 件进行 加 密 前 感 知 加 密 行 为 , 并 对 用 户 进行预警 , 具 有 文 件保 护 功 能 

    4 3 1
    . .
    工 作流 程

    KR P RO TE C TO R 的 工作流程如 图 4 -


    所示 。 K R P RO TE C T O R 中 主 要 有 两 个 模 块 

    兴 趣 文 件 夹 部 署 模 块 和 加 密勒 索 应 用 检 测 模 块 旦激 活 兴 趣 文 件 夹 部 署 模 块 将根



    据 文 件 的 分 布 生 成 并 部 署 兴 趣文 件 夹 ,
    包 括 同 级 目 录 兴 趣文 件 夹 和 子 目 录 兴 趣 文 件


    夹 。 这些 兴 趣文件夹 的 实 体 是 空文件夹 , 这些 文 件 夹 由 K R P RO T E C TO R 监控 。 如果


    KR P R OT E C T O R 发现

    些 兴 趣 文 件 夹 被访 问 ,
    K R P R OT E CT O R 将 使 用 过 滤条 件对 活


    动的 Ac ti vit
    y 进 行 过滤 ,
    然 后 触 发 加 密 勒索 应 用 检 测 模 块 。 加 密勒 索 应 用 检 测 模 块 根


    据 可 信值识 别 加 密勒索应 用 , 并 向 用 户 发 出 警报 

    45


    北 京 邮 电 大学 工 学博 士学 位论 文 

    诱馆 觸


    難


       

    \ mm ^ m  I  *S 

    ^ /  
    s d c ? r d /* l w s / ki F l ?h


    ^

    / s dc ?r d/AI ?r? s/ ft 


     [/ ^r ^ r VT T i
    j 

    A Jc ?  n 2K
     / s d c a r d ^ A l a x W  / s dc ax d/ KHj 

    ic - i 2D §: 2


    < l
    /A l ?r? s e s /

    ) :
    _

    ^  久

    避- ⑶




    过通


    / S f
    c ar d / / dc T d/W o ^a/


    s '


     / s d a r d ^ o m l o a d /  ^ / s d c a r d ^ I v i e ^


    A L J d^ ownl o ad/ 
    c  


    }  / sdc a
    ^ ^
    vie s/



    J  |  A 

    ?
    / s dc ar dAo r i e s / .

      |
    / l

    t a 

     



    一 

     ^ 

    /s dc d /

    ar or i e s e s

    - i
    > v

    Z

    、 — ? ?


    
    - —
    _      


    加 密勒寮關


    ' 


    n ;

     可 信 值 计巷
    … 产  

     骇巧?
    " "

    r 子1 录 i m   種?
    t  /s dc ar 4 / Mm / C ?? e r a/l .

     pn g /

     CI*/C
    /s dc ?r d /l /    安^  模 聖 结 果

    ) ? er ? i l
     p a
    g ( i hi a  i s  a  Az a± tr y ) 
     j
    SO


     / s d c #r d /D C 3I/t
     ^7? ^  5 ^^


    B? ? a t
     pag  /s r
    icar4 <

    4 ^ ea / t t i o r
    t i l ?i ? W ? L
    vif
    i st> 4 :

    / ■ = E a L ^? < * i =nd e *i cAB ? ML  h
     / s dc ar d/Kor i e s /A c t i oi i loT i e /B o v i e l   i
    BS ^8? S  i
    ? — ?

    
    ? ■

    ap4/  ( t Li s  i s  a  di r ec t or
    y) 一  — 了  一 … — 一
    ——_  训… ’  一


     ^

    i  3




    臟 再 狯 供 和 计H




    1 

     ̄  ̄ -  ̄ - - —

    r ifi r =: ^ ^ ^

     T: . . . rr . . - . .
    z: zz . - . r .   . : . .
    r : . .
    r :

    .  . . 7= , - . . :
    - - - . , 


    oam  t
    f ? a? r ?a y t  ^mrr :  获笔 疾
     , £ -

     U 


     [/ 畑 伤拓 阳职 面s r S^^钱 为 兵 色 拍 d f ?




    / s dc ar d/BCI MEI/  
    ]Z 

    获 贿 分 笛 鍾 威 纖淨




    / s dc ^ a / D oiJL o adad/

    ^ ** *^ *^
     t ** *^* ** 


    **
    /s dc ar dy ior i e s es/ L -

    * ok  Rc au l  :
    ** *

    ^ S 7I 6 Z5 M7 ^ S ^r <?
    /s de ar d/BC H / C *e r a / l .

     pa c/  J s w j e n  t mc : t t i  De c  20  2 2 : : 4 1

    /■ o r x el
    ^4 / _ 丨
    ^工 脚娜 

    OT ? 2D
    ^ B

    t : I 9)

    E/ l
    ? KS t

     !

    j 

     i; 一 : '    ! 




    」 L
    事件  

    f 

    c o. btt ccc  c ou nt 0 v




    .  =
     

     c o. tt  a c cc
     








    可撕 十? 

    L   -

    」 _ 1

    没 有 运行应 用 程 序 的 g 台 殿努 

     cm .
    c c .
    bh b ^ .

     ,  c ou n t  >  1
    、 ?

    見 —



    醒 窗 口 运行 应 兩程淳 

    一 ?

    SA M a n f
    es 明的  程 琢 

    pS

    Jon

    、 

    i t 」

    图 4 -

    1  KR P R0 T EC T 0 R 工 作 流程示 意 图

    4 3 2
    . .
    兴趣 文件 夹 部署

    本节将 介绍 如 何 部署 兴趣文 件 夹 , 包括兴趣文件夹 的 实 体 、 兴趣文 件 夹 的 分 布 以



    及 兴趣文件夹 的 部署策略 。 对于每个部分 ,


    本 节将 在 开 始 时 进 行 简 要 描 述 , 然 后本节


    将 解 释选 择 此 策 略 的 原 因 

    1 .
    兴趣文件夹的实体


    兴趣 文 件夹 的 实 体 是 空 文 件夹 。 选择 空 文 件夹 作 为 实 体 的 原 因 如 下 

    兴趣 文 件夹 占 用 了 较少 的 设备 存储空 间 。 在安卓 7 . 1
    的 P xe i l
    手 机上 , 每 个空文


    件 夹 需要 占 用 存 储 空 间 8 KB 。 生成 1 000 个兴趣文 件夹 只 需要 占 用 4MB -

    8 MB 的存储


    空间 。 如 果 兴趣文件夹 的 实 体是普通文 件 ,
    则 每 个兴趣 文件夹 的 大小 应与 设备上 的 普


    通 文 件大 小相 近 ,
    可 以 防止加 密勒 索 应用 在 文件夹访 问 时 利 用 文 件大 小过滤 的 逃逸


    策 略绕过兴趣文 件夹 。 另外 , 普通文件 比 空文件夹需要更多 的存储空 间 

    空 文 件 夹 难 以 被逃 逸策略绕 过 。
    加 密勒 索 应 用 通 常加 密 具有 指定 名 称 的 文件 , 

    46



    第四章 KR P RO T E C T O R :

    基于 兴 趣 文 件 夹访 问 感知 的勒 索 应 用 实 时检 测 研究

    加 密 除某 些 具有指 定名 称 的 文件外 的 所有 文 件 。
    如 果 兴趣 文 件夹 的 实 体是普通 文 件 

    为 了 确 保加 密勒 索 应 用 能 够访 问 到 该文 件 , 该 文 件 的 后缀 需要尽量多 地 满 足勒 索 应


    用 加 密文 件 后缀 的 偏好 ,
    这将使 KR P RO T E C TO R 在设 备 中 部署 的 文 件数量大 幅 度增


    空 文件夹也是 种 普通 文 件 夹 加 密勒索应用 在访 问 它 们之 前 无法 根据名 称或 大


    力D 。 ,

    小 来 区 分 兴 趣 文件 夹和 普通 文 件 夹 

    更快对用 户进行警告 。
    如果加 密勒索应用 在获取所有 目 标 文 件 的 路 径 后 再对 

    标 文件进行集 中 加 密 ,
    则勒索 应 用 的 整 个加 密过程为 :

    遍 历 文 件路径获取 目 标 文件路


    径列表 、
    文 件访 问 和 文 件加 密 。
    若将空 文 件夹作 为 兴趣文 件夹 ,
    KR P R O T E C T O R 

    以在加 密勒 索 应 用 遍历 文 件夹 时 向 用 户 发 出 警 报 。 但是 , 若 K R P R OT E C T O R 部署 的


    兴趣 文 件实 体 为普通 文 件 , 那 么 只 有 当 勒 索 应 用 在进行 文 件访 问 时 , 勒索应 用 检测 才


    能被触 发 , 进而 向 用 户 发 出 预警 。 也就 是说 .

    使 用 空 文件夹 可 以让 KR P R OT E C T O R

    更早地 向 用 户 发 出 警报 

    2 .
    兴 趣 文 件夹 的 分 布


    KR P R OT E C T O R 仅 在 /s d c ar d 上部署 兴趣 文 件夹 。
    安卓 设备上 的 文 件 可 以 分 为 系


    统文件和 用 户文件 。
    用 户 文 件 由 用 户生成 : 并 保存在 /s d c ar d 中 。 系 统 文 件 通 常对用 户


    不 可见 ,
    它 们 保存在 除 /s d c ar d 以外 的 文 件夹 中 。
    由 于 加 密 系 统 文 件 存在 着 使 设 备


    崩 溃 而 终 止 程 序 运 行地 风 险 ,
    加 密勒索 应 用 的 开 发者 们 通常不 会将系 统 文 件列 入应


    用加密的 目 标文件范 畴 .
    更偏 向 于对 /s d c ar d 目 录下 的 用 户个人文 件进行加 密 。 因此 

    K R P ROT E C T O R 将 仅 会在 / s d c ar d 目 录下 进行兴趣文 件夹 的 部署 

    在本节 中 , 使用 u ser
    fo l d e r 表示 / s d c ar d 中 除了 /s d c ar d/ 安卓 文 件夹 外 的 索 引 文 件


    “ ”

    夹及 其子 文件夹 :
    这 些 文件夹 的 名 称包 含 应 用 程序 的 文件名 ,
    文 件 夹 的 前缀为 .


    本节使用 l e a f fo l d e r 来 表 示 仅包含文件 的 用 户 文件 夹 。 本节 使 用 兄 弟 兴趣文件夹表




    示 与 用 户 文件夹位于 同

    父路径 中 的 兴趣 文件夹 ,
    并 使 用 子 兴趣 文 件夹表示 叶 文 件


    夹 中 的 兴趣 文 件 夹 。 在 / s d c ar d 中 ,
    KR P ROT E C T O R 为 每 个 用 户 文 件 夹 生 成兄弟 兴趣


    文件夹 这些 兴趣文件夹与 原始文 件夹位于 同 目 录中 兴趣文 件夹 的 名 称与 用 户



    文件夹对应 , 例如 .

    为 /s d c ar d/ D C IM 文 件 夹生 成 的 兴 趣 文 件 夹名 为 /s d c ar d/ D C I M S 

    同时 ,
    KRP R OT E C T O R 为每 个 叶文 件夹生 成子兄弟 兴趣文 件夹 ,
    子兄弟 兴趣文件夹


    的 数量 不 超过叶文 件夹 中 文 件 的 半 兴趣文件夹 的 名 称与 叶文 件夹相 关 例如


    , 

    为 / s d c ar d/D C I M /p i c t u re s 文 件夹 生 成 的 兴趣 文 件 夹名 为 /s d c a r d/ D C I M S /

    i c t u re s s 

    在 安卓 系 统 内 pro c n o t i fy / m a x 对 个 进程 同 时监 控 的 文 件 数 目 不 得 多 于


    / /s s / fs / i

    8 1 92 个做 出 了 规 定 。
    受 兴趣 文 件 夹 保护 的 文 件都在 /s d c ard 中 。 /s d c ar d 中有 9 个原始


    文件夹 ,
    包括告警 、 DC M I 、
    下载 、 电影 、
    通知 、
    图片 、
    播客 、 铃声和 音 乐 。 通常 .




    个 原 始 文 件 夹 最 多 三 个 子 文件 夹 ,
    这表 明 兄 弟 兴趣 文 件 夹 的 数量最 多 为 36 个 .

    兄弟


    兴趣文件夹最 多 占 用 1 44 KB -

    2 8 8 KB 的空间 。
    由 于受 限于安卓设备 外部存 储容量 : 


    在很少的 用 户文件 。 例如 ,
    P xe i l
    设备有 32 GB 的外部存储容量 .

    能够存储 1 1 034 

    47


    北 京 邮 电 大学 工 学 博 士 学 位 论 文 

    2 9 MB

    的照片 。 如果 K R P R O T E CT O R 在设 备上 部署 兴 趣 文 件 夹 , 

    子 兄 弟 兴 趣 文 件夹
    的 数 量不 超 过 55 1 7 ,
    这 远 远 低 于 最大 用 户 监 视 数 量 限 制 。 子 兄 弟 兴 趣 文 件 夹最 多 占

    用 22 MB -

    44M B 存储 空 间 。 36 个 用 户 文件夹 和 55 1 7 个 子 兄弟 兴趣 文件夹 的 最多 占 用




    22 . 1 4 M B 44 2 9 M B


    的空间 , 与 8 1 6 张 2 9 MB

    照 片 的 大小相 近 

    4 3 3
    . .
    加 密 勒 索 应 用 检 测 与 文 件保护

    如果 K R P ROT E C T O R 监视 个 已 被 访 问 的 兴 趣 文 件 夹 那 么 它 将根据表 4 2 




    四 条规则 过滤所有 活 动 的 应用 程序 

    表 4 -

    1 2  KR PRO TE C T O R 良 性应 用 过滤规 则

    规则 内容


     ̄  ̄  ̄

     ̄ ̄ " "
    应 用 程 序 是 否 为 系 统 应 用 程序 。
    本 文将 系 统 应 用 程 序 视 为 正 常 应 用 程序 


    应 用 程序 是 否 具 有 写 入 外 部 存 储 的 权 限 。 加 密 勒索应 用 在 没有此权 限 的 情


     ̄  ̄
    况 下 无法更 改或 加 密 /s d c a rd 中 的 文件 。


    应 用 程序 是 否运 行后 台 服 务 , 或其 接 口 是 否 为 设 备 的 当 前接 口 。 加密行为


     ̄  ̄  ̄  ̄
    必须来 自 活动 进 程 


    应 用 程 序 应 用 的 M ME 类 型 是 否 与 被 访 问 兴 趣 文 件 夹 保 护 的 文 件 夹 下 的 文
    I 

    件类型 致




    为 了 在无 R O OT 设 备 上识 别 加 密 勒 索 应 用 提出 了 种 基于 可 信值 的 加 密 勒 索


    应 用 检 测 方法 。
    使 用 最 小 正 数 过滤 后 的 应 用 程 序 将 被 视 为 加 密 勒 索 应 用 , 它 是访 问 兴


    趣 文 件夹 的 评 估 启 动 器 可 信值受 应 用 程 序 首 次 安 装 的 时 间 。 、 应 用 程序 最 后 更 新 的 时


    间 、 应 用 程序 首 次 激 活 的 时 间 、 应 用 程序最后激活 的 时 间 、 应用 程序显示 的 时间 、



    务 运 行 的 时 间 和 应 用 程 序 的 大小 这 七 个 因 素 影 响 。 本 节 可 以 从第 4 2

    节 中 了解到 , 


    密 勒 索 应 用 通 常 在 激 活 后 立 即 对 文 件进 行 加 密 , 只 有 少 数加 密勒 索 应 用 将 自 己 视为


    普 通 应 用 程序 并 隐 藏起 来 。 它 在 收 到 命 令之 前 不 会 加 密 文件 

    应用 程序 首次安装 的 时 间 、 应 用 程序最 后更 新 的 时 间 、 应 用 程序 首次激活 的 时 间




    和 应 用 程 序 最 后 激 活 的 时 间 与 被访 间 兴 趣 文 件夹 的 时 间 接 近 , 这对 于 找 到 立 即 加 密


    文件 的 加 密勒索 应 用 至 关 重 要 。 应 用 程 序 显 示 和 服 务运 行 所 花 费 的 时 间 对于 找 到 在


    收 到 命令之 前 不加 密 文 件 的 加 密勒索 应 用 至 关重要 ,
    因 为这些勒索应用 前 台 显示 的


    总 时 间 通 常 很 短 但这些勒索应 用 服 务 的 总 运行 时 间 很 长 ,
    。 它 对于 非 系 统 应 用 程 序 是


    可疑 的 

    如算法 4 . 1
    所示 ,
    s u s Ap p L i s t 表 示 可 疑 应 用 程序 的 列 表 。 K 表示 sus App L i st 中的


    应 用 程 序 数量 

    i n s t a l l Ti m e s u s A pp L i s t 表示 应 用 程 序 首 次 安 装 的 时 间 。 up d at e Ti m e 表示 应 用 程 序


    最 后更新 的 时 间 。 ir s t A ct
    f i v at e Ti m e 表示 应 用 程序 首 次激活 的 时 间 。 l a s tA c t
    i v at e T i m e

    表示 应 用 程序最 后激活 的 时 间 。 D I S PL AY T i me 表 示 应 用 程序 显 示 所 花 费 的 时 间 。 s er


    48



    第 四章 KR P R O T E C T O R :

    基于 兴趣文 件 夹访 问 感 知 的 勒 索 应 用 实 时 检 测 研究

    A l
    g o r i thm  4 1 . :
    可 信值计 算 算 法 

    In
    put :  s u s a pp l i st

    1 K = l e n ( s u s App L i s t ) 

    2 s u s Ap pL i st 0 

    3  fo r  i ^ O t o K  do

    4  i f  i T i S i^ dl lTi 7 Ti e s u s A
    pp IA s t i
    〈 K 只 P EdOR s us App L i s t i
    [ ] [ 

    5 s u s Va l u eL i st


    ]  s u s Va l u e L i s t


    ]
    +K 

    6 e l s e

    7  s u s Va u e L l i st


    ]  su s Va l u eL i s t


    ]

     K 

    8  e nd

    9  i f lo ca ltim e

    u
    p da t e T m e [ i i
    ]< 2 4 hth e n

    1 0  s u s Va u e L l i st


    ]  s u s Va l u e L i st


    ]
    +K 

    1 1 else

    12  s u s Va l u e L i s t [ i ]  s u s Va l u e L i s t [ i
    ]

     K 

    13 end

    14  n de x u  a s c en d n
    g or de r  of s u sA L i st i i n u p d at eTi m e
    i i
    pp

    pdat e [ ] 

    is  s u s Va l u e L i st


    ]
    ^  s u s Va l u e L i s t f i
    ]
    +  n d e x up d a

    t e 

    1 6  i n de x
    fi r s t a ct 

    as c en d n g  o r de r  o f
    i  sus A ppL i st


    ] 
    i n  fi r s t Ac ti vat e T m e i


    17  s u s Va l u e L i st


    ]  su s Va l u eL i s t [ i
    ]
    + n d e x


    i T S t a ct 

    18  i n de x i a s t act  a s c en d n g i

    or der  o f  s u s A p p L i s t [ i ]  i n  l a s t A c t i v a t e Ti m e 

    19  s u s Va u e L l i st


    ]  sus Va l u eL i s t [ i ]+i n d e x i as t act 

    2〇  i n de x d i s
    p ayi
    d e s c e n d i n g  o r d er  o f  s u s A pp L i st


    ]
    i nd i s
    p l a

    T me i


    21 s u s Va l u eL i st i
     s u s Va l u e L i s t f i + i n d e x d
    [ ] ] s
    p ay



    i i

    22  i ndex serv i ce de s c e nd i n


    g  o d er  o f
    r  sus App L i st


    ]
    i n  s e r v i c e Ti m e 

    23  s u s Va u e L u s Va l u e L i s t [ i ]  +  i n d e x s e r v
    ■ —

    l i st i
    ]
    < s ce
    f i 

    24  i nde x s i ze  de s c e n d i n g  o rd e r  o f  s u s Ap p L i st


    ]
    i ns i ze 

    25 s u s Va l ueL i st


    ]  s u s Va l u e L i s t f i ]  +  i n d e x s i ze 

    26en 

    27  i n d e X ra i n , 
    s u s  m i n ( s u s Va l u e L i s t ) 

    28  i f  < 0  t hen

    2 9  re tu rn  s u s AppL i s t

    m de x m ? ;
    n ] 

    3〇en 

    49


    北 京 邮 电 大学 工 学 博 士 学 位 论 文 

    v i c e Ti m e 表 示 服 务 运 行 所 花费 的 时 间 。 可 信值 的 具 体 计算 如 下 

    步骤 为 每 个 可 疑 软件 设 置 〇 为 初 始 可 信值




    步骤二 :

    对于 s u s A pp L i s t 中 的每个可 疑 应 用 程序 , 如 果该 应 用 程 序 的 安装 时 间

    早于 K R P RO T E C T O R , 则 该 应 用 程 序 的 可 信值 会 增 加 k , 否则 会减少 k 

    步骤 三 :

    对于 su s A p pL i st 中 的每个可疑 应用 程 序 , 如 果该 应 用 程 序在 24 小时内

    没 有 更新 ,
    则 该 应 用 程序 的 可 信 值 将增 加 k , 否 则 将减 少 k 

    步骤 四 :

    对于 s u s A pp L i s t 中 的 应 用 程序 , 根 据安 装 时 间 按 升 序 排 序 。 i
    将添 加 到

    排序 列 表 中 的 第 个 应 用 程 序 中 例如 点 将 添加 到 排序 列 表 中 的 第 个应用 程序

    i 。 1
    , 

    K 将添加 到 排序 列 表 中 的 最 后

    个 应 用 程序 

    步骤五 :

    对于 su s Ap p L i st
    中 的 应用 程序 , 根 据 更 新 时 间 按 升序 排 序 。 i
    将添 加 到


    排序 列 表 中 的 第 个 应 用 程 序 中 i 。 例如 ,

    将 添 加 到 排序 列 表 中 的 第 一

    个应用 程序 ,


    将添 加 到 排 序 列 表 中 的 最后 个应用 程序



    步骤六 :
    Xf 于 s u s A p p Li s t 中 的 应 用 程序 ,
    根据 首 次 激 活 时 间 按 升 序 排 序 。 i
    将添


    加 到 排序 列 表 中 的 第 i
    个应用 程序 中 。 例如 ,

    将添 加 到 排序列 表 中 的 第 一

    个应用 程


    序 K 将添 加 到 排 序 列 表 中 的 最 后 个 应用 程序




    步骤七 :

    对于 su s App L i st 中 的应 用 程序 , 根据最 后 激 活 时 间 按 升 序 排 序 。 i
    将添


    加 到 排序 列 表 中 的 第 个 应 用 程序 中 例如 将添 加 到 排 序 列 表 中 的 第 个应用 程


    i 。 1

    序 K 将添加 到 排序 列 表 中 的 最 后 个应 用 程 序




    步骤八 :

    对于 sus A pp L i st 中 的 应 用 程序 , 根据 显示 时 间 按 降 序 排序 。 i
    将添 加 到


    排 序 列 表 中 的 第 个 应 用 程序 中 例如 将 添 加 到 排序 列 表 中 的 第 个应用 程序 


    i 。 1
    , ,

    将添 加 到 排序 列 表 中 的 最 后 个应用 程序



    步骤九 :

    对于 s u s A pp L i s t 中 的 应 用 程序 , 根 据 服务 时 间 按 降 序 排 序 。 i
    将添加 到

    排序 列 表 中 的 第 个 应 用 程序 中 例如 将添 加 到 排 序 列 表 中 的 第 个应 用 程序 


    i 。 1
    , ,

    将添加 到 排序列 表 中 的 最 后 个应用 程序




    步骤 十 :

    对于 S uA p p U s t 中 的 应 用 程序 ,
    根 据 大 小按 降 序排序 。 i
    将添加 到 排序 列


    表 中 的 第 个应用 程序 中 例如 将添加 到 排序列 表 中 的 第 个应用 程序 K 个将


    i 。 1
    , ,

    添加 到 排 序 列 表 中 的 最 后

    个 应 用 程序 

    步骤十 如 果 可 信值 中 的 最 小 值 小于 0 则 相 应 的 应 用 程 序 将 被视 为 加 密 勒 索


    应用 

    可 信值 计 算算 法 的 时 间 复 杂 度 为 o (
    n l
    ) 。 nl 表示 S uA
    pp l i s t 的 长度 。 通常 ,
    sus Ap 

    pLi s

    中 的项 目 不 超过 5 项 ,
    n l
    的 值通 常不 超过 5 项 。 兴 趣 文 件 夹 部署 的 时 间 复 杂 度


    为 0 (
    n2) ,
    因 为它可 以看 作是

    个 简 单 的 树 遍历 。 ii 2 表示 /s dc ard 中 的 文 件 夹数 。 也就


    是说 ,
    兴 趣 文 件 夹 部署 在九 个 文 件 夹 中 ,
    包括 / A l ar ms 、 / D C IM 、 / D ow n l oad 、 / Mus i c 

    Mov No / P o dc a s t Pi c t u r e  和 R 通常 在 dc a rd  中 个 文件夹不


    / i es 、 / ti f 、 、 / / i n gt o n e 。

    /s

    超过 3 个 叶文 件夹 。 也 就是 说 ,
    n2 的 值 通 常 不 超过 27 。 K R P ROTEC T O R 的 时 间 复杂

    50



    第四章 KR P RO T E C T OR :
    基 于 兴趣 文 件 夹访 问 感知 的勒索 应 用 实 时检 测 研究

    度为 〇〇 1
    ) 

    4 4 .


    实 验评估

    本节将对 K R P RO T E C T O R 进行 一

    些评估 。
    首先 , 本 节将设计 四 个 实 验来 评估


    KR P R OT E C T O R 。 对于每 个实验 ,
    本 节将在开 始 时 简 要 介 绍 数据集 和 初 始 实 验环境 

    然 后碰

    些 实 验 并做 一

    个 简 要 的 总 结 其次 将 证 明 本 节提 出 的 方法 不 仅 可 以 在安

     。

    卓上实现 ,
    而且 K R P RO
    TE C TO R 釆 用 的 基 于 兴 趣 文 件 夹 访 问 感 知 方法 也 能 够 应 用 于


    更 多 平 台 的 设备 

    44 . 1
    实 验数 据

    数 据集 可 以 用 D 表示 。 如 公式 4 -

    1 、 4 2 -

    、 4 3 D

    , 包含三 个 子 集 功 、 认 和 功 。



    包含 A ud f
    y i 、 Fi l em an ag e r + 、 S n ap s e ed 和 网 易 云音 乐 。 D 1
    中 的 正 常 应 用 程序 都 具 有 扫


    描文件 的 功 能 , 这 些 文 件 可 能 会 访 问 设 备上 的 兴 趣 文 件 夹 , 并使 K R P R OT E C T OR 


    其误判 为 勒 索 应 用 

    D =
    {
    D ; l , 
    D 2 D 3 } ,  (
    4 -




    D i 

    {
    Fi l e m a n ag e r +  S n ap s e e d



    Aud f
    y Ne E a s e C i
    , 
    t  l ou d  Mu s i c
    }  (
    4 -

    2)

    D 2 =
    {
    S i m p l e L o c ke r , 
    C o ng u r Wa nn a L o c k er X b o t D o ub
    ,  ,  , 
    l eL o cker , 
    P l e to r  }  (
    4 -

    3)


    A 包含五 种勒索 应 用 包括 种勒索 应 用
    75]
    Sim L c ker
    p e o 中的 2 C on g u r 



    l 1 、

    W m
    的 49 种勒索应用 、 Wa x ma l o ke r 中的 3 种勒索应用 、 Xb o t 中的 6 种勒索 应 用 


    种 勒索 应 用 和 种勒 索 应 用 这些 勒 索 应 用
    78]
    D o ub le L o c ke r ]

    中的 1 3 Pl e t or [

    中的 2 。


    使 用 不 同 的 加 密 模 式 和 方法 对 文 件 进行 加 密 。 S im
    p l e L o c ke r 中 包含的勒索应用 与 加 密


    数据读 取 创 建 数据 加 密 数 据 重 写 原 数 据 删 除
    “ ”
    AP I 起加 密 文 件 加 密模式 为

    - - -




    加 密模式 为

    C o n g ur 使用 加密 API 逐个 加 密 文 件 , 数据读 取 创 建 数 据 加 密 数 据 重

     -
    - -

    ” “
    写 原 数据 删 除 Wa n n a L o c k e r 加 密 文件 与 加 密 AP I 起使 用 加 密模 式 为 数据读




    取 数据 加 密 新 建 写 人 重 命名 删 除
    - - - - -

    。 Xb o t
    使 用 定 制 的 方 法 对 文 件进 行 加 密 , 加密


    数 据 读 取 原 数 据 删 除 数据 加 密 创 建 数 据 重 写
    “ ”
    模式为 - - - -



    D3 包含 1 2 个具 有 检 测 逃逸 策 略 的 加 密 勒 索 应 用 。
    有 5 个勒 索 应 用 具有加 固 或


    混淆策略 这可 能 会使 些 检 测 引 擎 将勒 索 应 用 误 判 为 正 常 应 用 根据 提出
    7 9]
    Z ya [



    。 i

    的 三 种 策 略 本 节 开 发 了 其 余 的 加 密勒 索 应 用 , , 并 使 用 相 应 的 方 法避免访 问 兴趣 文 件


    夹 以 逃避 检 测 。 2 个勒 索 应 用 只 加 密 除 隐 藏 文 件 、 空 文件和 不 规则 文件 以 外 的 文件 

    3 个 加 密 勒 索 应 用 在访 问 文 件 之 前 ,
    可 以 根据 文 件 类 型统 计 文 件数量 。
    如 果 结 果 存在


    显 著差异 , 则 说 明 存 在 防 护 应 用 部署 的 兴 趣 文 件 夹 , 勒索 应 用 可 以 改变 其访 问 文件 的

    5 


    北 京 邮 电 大学 工学 博 士 学 位 论 文 

    策略 。 2 个勒 索 应 用 可 以 监视 用 户 的 活动 , 以 获取 实 际 文 件 的 列 表 并 对其 进行 加 密 

    4 4 2
    . .
    评 价指 标

    为 了 更 好地 评 价 K R P R OTE C T O R , 使结果 更 清 晰 , 本节计 算 了 


    K RP R OT E C T O R

    的 准确度 、
    精度和 召 回 率 。
    如公式 4 4

    所示 , 准 确 率表 示 KR P R O TE C T O R 识别 出 的


    正 确 勒 索 应 用 和 正 常 应 用 程序 的 总 数 除 以 数 据集 的 数 量 


    ) TP

    真 阳性 。 TP 表示 K R PR OT E C TO R 检测 到 应 用 程序 是勒 索应 用 , 结果 是


    正确 的 

    2 )  FP :

    假阳性 。 FP 表示 K R P RO T E C T O R 检 测 到 应 用 程 序 是勒 索 应 用 , 结果不


    正确 


    )  FN

    假阴性 。 FN 表示 KR P RO T E C T O R 检 测 到 应 用 程 序 不 是勒 索 应 用 , 结果


    不正确 

    4 ) TN

    真阴性 。 TN 表示 KR PR OTE C T O R 检 测 到 应 用 程 序 不 是勒 索 应 用 , 结果


    是正确 的 

    + TN
    TP  
     m&



    a c c u r ac y 
     4
    _

    _

    ( 

    T p + T N + F P + F N
         

    本节 以 K R P RO T E CT O R 监控到 一

    个 兴 趣 文 件夹 访 问 的 时 刻 为 开 始 时 间 , 定义 了

    六 个概念 来 评估 K R P R OTE C T O R 的效率 ,


    过滤 时 间 、
    获取 时 间 、 跟踪时 间 、
    警告 时


    间 勒 索应用 访 问 第 个文件 的 时 间 以 及勒 索 应 用 加 密 第 个 文件 的 时 间
    一 一

    、 


    ) 过滤 时 间 。
    过滤 时 间 是 指 从 开 始 时 间 到 过 滤 正 常 应 用 程 序 所 花 费 的 时 间 

    2 ) 获取 时 间 。 获取 时 间 是 指 从 开 始 时 间 到 获 取 所有 可 疑 应 用 程 序 的 信 息 所 花 费


    的 时间 


    ) 跟踪时间 。 跟 踪 时 间 是 指 从开 始 时 间 到 基 于 可 信 值 检 测 勒索 应 用 所 花费 的 时


    间 

    4 ) 警告 时 间 。 警 告 时 间 是 指 从 开 始 时 间 到 显 示 警告 所 花费 的 时 间 

    第 次访 问 文件 访问第 个文件 的 时间 是指第 个 文 件勒 索 应 用 访 问 的 所





    一 一


    需的 时间 

    6 第 次加 密文件 加 密第 个 文件 的 时间 意 味着第 个 文 件 被勒 索 应 用 加 密


    一 一 一


    的 所需 的 时 间 

    4 4 3
    . .
    实 验分 析

    实 验选 取 的 测 试 设 备 为 未 被 R OO T 的 安卓 7 . 1
    的 Pi x e l 移动 设备 测 试设备 的 配


    置为 C PU  2 . 1 5 GH z 、 4 G B  R AM 和 32 G B  RO M 。
    为 了 模 拟 用 户 正 常 的 设 备环境 , 


    K R P ROT E C TO R 安装 之 前 , 本 节 在 该 测 试设备 的 /s d c a r d /mu s i c 中 保存 了  1 0 个音 乐 文

    52



    第四章 KRP RO
    T E C T OR :

    基 于 兴 趣 文 件 夹 访 问 感 知 的 勒 索 应 用 实 时 检 测 研究

    件 (
    . mp 3 、 . l ac
    f 格式 )

    在 /s d c ard/D C J M  中 保存 了  1 0 张照 片 (

    j pg 、 .

    p ng 、 .

    gi f  格式 )


    在 /s dc ard/D o w nl o ad  中 保存 了  1 0 个文档 (
    . t xt 、 . d oc x 、 . xl s x 、 .

    p df  格式 )
    。 环境 设 置 完


    毕后 , 激活 了 
    K R P ROTE C T O R 

    为 了 更 好地 评 估 K R P R OTE C T O R , 本节 将 回 答 四 个 问 题 。 对于每 个 问 题 , 将描


    述 实 验 的 过程 和 结 果 。 然 后 将对 结 果 进行

    些分析 。 最后 , 本节将 根 据结 果 给 出 一




    简短 的 结论 

    问题 1 :
     K R P ROT E C T O R 会 影 响其 他 良性应用 的 运行吗 

    问题 2 :
     K R P R OTE C T O R 的 检 测 效 果 如 何 ?
    问题 3 :
     K R P R OTE C T O R 能否 起 到 对 文 件 的 保 护 作 用 

    问题 4 :
     K R P ROT E C T O R 釆 用 的 基于 兴趣 文件 夹访 问 感知 方法 能否 应 用 于 更 多


    平 台 的 设备 

    4 4 3 1
    . . .
    回答 1 :
     KR P RO TE C T O R 会 影响 其 他 良 性 应 用 的 运 行 吗 

    在本 实 验 中 , 本节使 用 中 的 应 用 程 序 作 为 数 据集 。
    为 了 避 免这 些 应 用 程 序 之


    间 的相互作用 , 在激活 新 的 应 用 程 序 之 前 结 束 了 前 一

    个过程 。 在 这 些 被激 活 后 , 


    究 人 员 触 发 了 每 个 应 用 程序 的 文件扫 描功 能 。 本节发现 K R P R O TE C T O R 并 没有将


    A ud f
    y i 、 F i l em an ag er + 、 S n ap s e ed 和 网 易 云 音 乐 误判 为 勒 索 应 用 

    Fi l e m an ager+ 和 Aud i
    y 在被 激 活 时 遍 历
    f ,
    /s dc ar d 并访 问 兴趣文件夹 /s d c a r d /A l ar m s A l a

    和 /s i O S c aj
    d c ar d / D o w n l o ad / F i l e s / i O S d e t e c t .

    被访 问 文 件 夹 中 的 文 件 类 型 与 他 们 已 经 声


    明 的 M M E 文 件类 型 致 它满足 K R P RO T E C T O R 的 正 常 的 应 用 程 序 过 滤 条件 


    I 。

    且 这 两 个 应 用 程 序 没 有被 误判 为 勒 索 应 用 。 S n ap s e e d 通过使用 c o n t e nt Res o l v er .

    Q u e ry ()

    方 法 查 询 数据 库 而 不 是访 问 兴趣 文 件 夹 获 取 照 片 列 表 。 网 易 云 音 乐 通 过遍 历 /s d c ar d

    和 访 问 兴 趣 文 件 夹 获 得 本地 音 乐 列 表 。 然而 ,
    网 易 云 音 乐 的 可 信值很 高 , 并 没有 被 误


    判为勒索 应用 

    些正 常 应 用 程序在扫 描 /s d c a r d 中 的 文 件 时可能会访 问 兴趣文 件夹 K R P RO





    TE C T O R  不 会 将 这 些 正 常 应 用 程 序误 判 为 勒索 应 用 在 某 种 程 度 上  。
    , 
    K R P ROT E C T O R

    在 激活 后 不 会 影 响 其 他 应 用 程 序 

    4 . 43 . 2 回答 2 :  KR P RO TE C T O R 的 检测 效 果 如 何 

    为 了 回 答这 个 问 题 本节 将 设计 个实验 将 KR P RO T E C T O R 与 其他面 向勒索




    , ,

    应 用 的 检 测 引 擎进 行 比 较 , 如 R P a ckD ro

    i d 、 R an s o m Pr ob er 和 参 考文献 _ 等 。 本节将


    评估 K R P ROTE C T O R 是否 能 够识 别 比其他检测 弓 擎更 多 的 加 密勒索 应 用 丨 ,
    K R P RO 

    TE C T O R  是否 能够 使 用 检测 逃逸策略识 别勒索 应 用 , 并 详 细 分 析本 节 提 出 工 作 的 优


    越性 

    在本实验 中 , 数据集 包 含 认 和 巧 。
    如 4 4 . . 1
    所述 , 认 包含五 种 不 同 类 型 的 加 密

    53


    北 京 邮 电 大 学 工 学博 士学 位 论 文 

    表 ‘ 1 3 K R P RO TE CTO R 与 其他 加 密 勒 索 应 用 检测 引 擎 的 实验对 比 结 果

    Si m p le L o c k e r  C on g u r Wann a l o k e r  X B o t  D ou b le l eto r  D 3  准 确 率
    Lo c ke f i

    t e c t o r  1 00 %  9 3 9 %  1 0 0 %  8 3
    k r p ro . . 3 % 1 00 %  1 00 %  1 00 %  9 6 2 %

     .

    90 % 8 1 6 %  66 7 %  66 % 4 %  1 00 %  8 3 3 %  7 4 5 


    19

    Ra n somP r 5 7 5
    1 1

    ob e r . . .
    . 1 . . .

    文献 [
    8 0]  1 00 %  5 1 . 0 %  6 6 7 %  5 0 0 %  9 2 3 %  1 00 %  5 0 0 %  6 7 0 %
    . . 
     . . .

    R Pa c k D r

    o i d

     1 0 0 %  2 6 5 %  0  0  1 00 %  1 00 %  5 0 0 %  5
    . . 1 . 9%

     85 7 % 3 2 7 % 3 3 3 % 5 0 0%  69 2 %  5 0 0 %  5 0 0 % 5 0 9 


    28
    He D r o


    i i . . . . . . . .

    %22 4 %  1 00 %  1 0 0 %  2 3 %  0

    RW G u a n 57 6 7 % 3 4 9 


    ( 1

    i . 1 . . 1 1 . .

    勒索 应 用 , 将 用 于 评估 勒 索 应 用 检 测 引 擎 的 检 测 效 果 。 包 含 具 有 不 同 逃逸 策 略 的


    加 密勒索 应用 , 它 将 用 于 评 估检 测 引 擎 是 否 能够 识 别 具 有 逃 逸 策 略 的 加 密 勒 索 应 用 

    本 节将 通 过

    个 实验 来 回 答 这 个 问 题 。 它 将评 估 kr p rot e c t o r 是 否 比 其 他最


    先 进 的 检 测 引 擎识 别 更 多 的 加 密 勒 索 应 用 , 以 及 k r p r ot e c tor 是 否 能 够 使 用 检 测


    逃逸 策 略识 别 勒 索 应 用 。 在本 实 验 中 , 本节 使 用 1? 2 和 ^3 作 为 数 据集 。
    为 了 避 免勒


    索应用 之 间 的 相 互作用 , 在安 装 新勒 索 应 用 之 前 , 研究 人 员 卸 载 了 以 前 的 勒 索 应 用 

    本节还 使用 了 些 最 先 进 的 勒 索 应 用 检 测 引 擎进行 比 较 例如 R P ac k D r〇 勒索


    2 3]




    i 、

    检测 引 擎 和 等 人提 出 的 方 法


    9]
    Wa n g

    如表 4 -

    1 3 所示 ,
    K R P RO TE C T O R 成功 识 别 了 数据 集 中 的 90 个 加 密勒 索 应 用 , 


    确率为 96 2 . % 。 KR P RO
    T EC TO R 可 以 识 别 比 其 他 检 测 引 擎 更 多 的 加 密勒 索 应 用 

    分析 本 节进 步 分 析 了 被 其 他 检 测 引 擎 误判 的 勒 索 应 用 研究 发 现 被 He





    。 l

    D ro i d 、 R -

    P ac k D r o d i
    和 Wa n g 等 人提 出 的 方法 ^ 误判 的 加 密勒 索应 用 主要集 中 在


    C o n g ur 。 当 研究 人 员 在 C o n gu r 中 对 这 些 勒 索 应 用 进 行静 态 分析 时 , 

    发 现这 些 勒 索应
    用 与 正 常 应 用 程序 之 间 没 有 区 别 。
    这 些 勒 索 应 用 被激 活 后 将 加 载 与 勒 索行 为 相 关 的

     ,

    代码 。 尽 管检 测 引 擎 He D r oi i d 、 R P ac k D r o

    i d 和 Wa n g 等 人提 出 的 方 法 ? 使 用 了 不 同

    的 特 征 提 取 和 特 征 处 理 方法 , 但 它 们 都 是 通 过 静 态 数 据 处 理 的 方 法 来 检 测 加 密 勒索


    应用 , 这 仅 限于 检 测 C o ng ur 等勒索应用 的 行为 

    RWG u a rd 误判 的 加 密 勒 索 应 用 主 要 集 中 在 C on g u r 、 D o ub l e L o c ker 、 S i m p l e L o c ke r

    和 £ >

    3 。 实验 发 现 C o ngur 、 D o ub l e L o c ke r 和 S i m p l e L o c ke r 中 误判 的 勒 索 应用 没 有 加 密


    原 始 文件 。 当 勒索应用 找到 目 标 文件 时 , 它 将复 制

    个新 文 件 , 加 密 新文件 , 删 除原


    始 文件并删除加密文件 。 RW G u ard 使 用 诱 饵 来 监 控 写 人 过程 , 即 它 可 以 识 别 出 其加


    密模式 是 加 密 原始 文 件 ,
    而 不 是 加 密复 制 文 件 并 删 除 原 始 文件 的 勒 索 应 用 。
    在 

    误 判 的 勒索 应 用 不 仅 可 以 避免 访 问 或 加 密 不 规 则 文 件 如 隐 藏 文 件 和 空 文 件 还 可 以

     , ,

    借 助 统 计方 法 和 用 户 监 控 活 动 识 别 防 护 应 用 部署 的 兴 趣 文 件 文 件 夹 /
    , 获得 实 际 文 件

    54



    第 四章 K R P RO TE C T
    OR :

    基 于 兴 趣 文 件夹 访 问 感 知 的 勒 索 应 用 实 时 检 测 研究

    列表 。
    被 R a n s o m Pr o b e r 误 判 的 加 密勒 索 应 用 主 要 集 中 在 D oub l e L o c ke r 中 。 实验发 现


    D oub l e L o c ker 中 误判 的 勒 索 应 用 不 会 加 密 整 个 文 件 。 它 只 加 密不超过 1 0 24 字节 的 文


    件 并 且 原 始 文件 和 加 密 文件之 间 的 熵可 能 很 少 变 化

    。 R a n s o m Pro b e r 根 据熵 的 变 化 检


    测 加 密勒 索 应 用 其 中 熵 仅 限 于 检 测 勒 索 应 用 加 密 文 件 的 小部分 如 D ou b e L o c ke r

    l 


    , ,

    实验发现 K R P RO T E C T O R 在 当 前 工 作 中 具有 定 的 优势 K R P R OTE C T O R 


    加 密 文 件之 前 和 激活之 后检 测 加 密软 件 。 此外 ,
    K R P ROT E C T O R 根据应用 对兴趣文


    件 夹 的 操纵信息 识 别 加 密勒索 应 用 。 与 静 态 分 析 检 测 引 擎 或 基 于 文 件熵 的 检 测 引 擎


    相比 ,
    K R P ROT E C T O R 能够识 别 使用 混淆 、 隐写 和动态加 载 恶 意 代 码 等手段 的勒索


    应用 。 KR P ROT E C T O R 还 可 以 识 别 利 用 对 文 件 部分 加 密 ,
    进行 文 件 熵敏 感 检 测 逃逸


    手 段进行检 测 逃 逸 的 勒 索 应 用 


    分析 2 :
    Z i
    ya 提出 了 一

    些 关 于 加 密 勒 索 应 用 如 何 逃 避检 测 以 及 勒 索 应 用 如 何


    避免访 问 诱饵 的 方法 检 测 逃 逸 策 略包括 勒 索 应 用 是 否 将 所有 文 件 起 加 密 或 逐个


    加密 , 勒 索 应 用 是否 通过加 密 API 或 伪 装 的 加 密 方 法 对 文 件 进行 加 密 , 加 密模 式 会


    影 响 加 密勒 索 应 用 的 检 测 结 果 

    些 访 问 规避 策 略 包 括避免访 问 隐 藏 文 件 和 空 文 件 等 不 规 则 文 件 , 在加 密勒索


    应 用 访 问 文 件之 前 根据 文件类 型统 计 文件数量 , 并监控 用 户 的 活动 以 获得实 际 文件


    列表 

    在本实验 中 , 研究 人 员 发 现 C o ng ur 中 包含 的勒 索应 用 对 D 2 中 加 密 文 件逐个加


    密 S i mp l e L o c ke r Wann a o ker Xb ot 中 包 含 的 勒 索 应 用 对 £ 中 所 有 文件 起加 密




    、 、
    2 

    在某 种 程 度 上 勒索 应 用 是 将 所 有 文 件 起加 密 还 是 逐个 加 密 都不 会 影 响 KRP RO



    , ,

    T E CT O R 检测 加 密行为 

    实验发现 ,
    Xb o 中 包 含 的 勒 索 应 用 在 D 2

    加 密 文件 中 釆 用 了 定 制 的 加 密方 法 ,



    C o n gur 、 S i mp l e L o c ker 、 Wa nn a l o k er 包含 的勒索 应用 在 _ 02 加 密 文件 中 采 用 了 加 密 A P I

    方法 。
    在 某 种 程度 上 , 勒 索 应 用 是否 使 用 加 密 AP I 或 定 制 加 密 方法对 文 件 进行 加 密 

    都不影 响 K R PROTE C T O R 检 测 加 密行 为 

    读取 加 密 创

    实验发现 ,
    Wa r m a L o c ke r 包含的勒索应 用 对 D2 加 密文件 中 釆 用 
     -


    包含 的勒 索 应用 在 P 加 密 文件 中 采用

    建 重 命名 删 除
    - -

    模式 ;
    Xb o t
    2 读取 删 除 加

     - -


    密 创建-

    模式 ;
    在 C o n g ur 、 S i m p l e L o ck e r 中 包 含 的 勒 索 应 用 在 D2 加密文件 中 釆



    勒 索 应 用 的 加 密方式 不 影 响

    用 读取 创 建 加 密 写 入 删 除 模式 在 定程 度 上 


    - -
    - -

    。 ,

    K R P ROT E C T O R 检测 加 密行为 

    A 中 的勒 索 应 用 可 以 通 过 文 件 类 型统计 、
    用 户 文 件访 问 监 控 和 对 典 型 文 件类 型


    的 访 问 限 制 来 识 别 诱饵 文 件 。 在某 种 程 度 上 勒 索 应 用 的 访 问 限 制 策 略避免 了 对 诱 饵
    , 

    文件 的访 问 ,
    但并不影 响 K R P ROTE C T O R 检 测 加 密行 为 

    通 过 与 其 他 实 时 加 密软 件 检 测 引 擎 相 比 , 研究 人 员 发 现 K R P ROT E C T O R 可 以通


    过 检 测 逃逸策 略 识 别 更 多 的 加 密 勒 索 应 用 。 考 虑到 勒 索 应 用 必 须在开 始 加 密之 前 搜

    55


    北 京 邮 电 大学 工 学 博 士 学 位 论 文 

    索 目 标文件 ,
    K R P ROT E C T O R 将 空 文 件 夹 作 为 加 密勒 索 应 用 的 兴趣访 问 实 体 , 而不


    是将 空 文 件 或 隐 藏 文 件 作 为 实 体 , 以 确 保 可 以 触 发勒索 应 用 对兴趣文件夹 的 访 问 

    综上 ,
    KR P R OT EC T O R 不 仅 通 过 静 态 分析 关 注 权 限 和 AP I
    调用 , 还通 过 兴趣 文


    件 夹 关 注 操 作过程 中 的 服 务 更 改 、 文件 访 问 等 。 此外 ,
    K R P RO T E C T O R 将 空 文 件夹


    作 为 兴 趣文 件 夹 的 实 体 并 能 够 检 测 出 使 用 了 诱 饵 逃 逸策 略 的 勒 索 应 用 在 定 程度



    上 ,
    K R P ROT E C T O R 可 以 较 准 确 地识 别 加 密 勒 索 应 用 

    4 . 43 . 3 回答 3 :
     K R P RO T E C T O R 能否起 到 对 文 件 的 保护 作 用 

    本 节将 通 过 两 个 实 验 来 回 答这个 问 题 第 个 实 验将 评 估 K R PROT EC T OR 的效


    率 以及 K R P ROT E C TO R 是否 具 有 文 件 保 护 功 能 第 二 个 实 验 将 比 较 。 K R P RO T E C T O R

    与 两 种 最 新 的 文 件保 护 方 法 的 性 能 

    实验 1 :

    在 本实 验 中 重 点 研 究 了 , 
    K R P ROT EC TOR 的 有效 性 和 效率 实 验 使 用 込

     。

    作 为 数 据集 。
    为 了 避免勒 索 应 用 之 间 的 相 互 影 响 , 在 安装

    个新 的勒索应用 之 前 , 


    究人员 卸 载 了之前 的勒索 应用 。 对 于 每 个勒 索 应 用 , 实 验记 录 了 
    K R P RO T E C TO R 


    过滤 时 间 获取时间 跟 踪 时 间 和 警告 时 间 实 验还 记 录 了 勒 索 应 用 访 问 第 个文件


    、 、 。

    所花 费 的 时 间 以 及 勒 索 应 用 加 密 第

    个 文 件所 花费 的 时 间 诱 饵 部 署 时 间 为 。 8 9ms , 


    中 产生 诱饵 的 时 间 为 6 5 ms ,
    遍历 /s d c ard 的 时间 为 24m s 。 在本 实 验 中 ,
    K R P ROT EC T O R

    生 成 的 诱饵数量 为 42 个 ,
    所 有 诱 馆都 是 空 文 件 夹 。
    每 个诱 饵 占 用 8 KB 的 存储 空 间 

    K R P R OTE C TO R 生 成 的 诱饵 总 共 占 用 336 KB 的 存 储空 间 

    表 4 -

    1 4  KR PR O T E C TO R 文件防护测试结 果

    平 均 防 护


    S i m p l e L o c ke r  C o n g u r  Wa n na l o k e r  X B o t  D o ub l e L o c ke r  D 3

    时 间 率

    过滤 时 间  〇 . 〇 6 3 s  0 0 24 s . 0 . 0 5 s .
    0 . 0 3 3 s 0 05 . s 0 . 04 2 5 s  1 00 %  9 6 2 %

     .

    获 取 时 间 0 . 1 1 s 0 . 044 s  0 . 1 58s 0 . 06 s  0 7 6 7 s  0 09 3 s8 3 . . . 3 %  74 . 5 



    跟踪 时 间 0 . 1 1 3s 0 . 04 7 s 0 . 1 7 1 s 0 . 06 3 s 0 7 7 9 s 0 09 8 5 s5 0 0 %  67 0 %
    . 
     . . .

    告警 时 间 〇 . 1 1 4 s  0 0 47 s  0 . . 1 75s 0 . 06 3 s 0 7 7 9 s  0 099 8 s 5 0 0 %  5
    . . . 1 . 9%

    访问第 

    0 0 8 7 s  0 00 5 s  0 007 s  0
    . .

    . . 1 25 s

    0 . 05 2 5 s  5 0 0 %  5 0 9 %
    . 
     .

    个文件

    加密 第 

    4 6 94 s  6 2 5 5 s  2 9 3 0 s  0
    . . . . 1 3 5 s

     1 4 06 5 s  1 6 7 %  3 4 9 %
    . . 
     .

    个文件


    在本 实 验 中 ,
    D oub l eL o c ke r 无法 完 全 实 现 加 密 行为 。 原因是 D o ub l eL o c ker 中包

    56



    第 四章 K R P RO TE C
    TO R :

    基 于 兴 趣 文 件 夹 访 问 感 知 的 勒 索 应 用 实 时 检 测 研究

    含的 勒索 应 用 想要加 密没有 ROO T 的 设 备 中 根 目 录 的 所 有文 件 ,


    而 没有 RO OT 权限


    的 应 用 程 序在访 问 某 些文件夹 时 出 现异 常 。 虽然 D o ub l e L o c ke r 中 包含 的 勒 索 应 用 可


    以捕获 并 处理其 代 码 中 的 异常情 况 ,
    但它 仍 然 会 消 耗 设备 上 的 大 量 资 源 , 导 致频繁 的


    程序崩 溃 。 这 也 导 致勒 索 应 用 访 问 诱 俾 , 但 他 们 无法 加 密文件 。 因此 , 研究人员 在激


    活 D o ub l e L o c ke r 后 , 只 记录 K R P RO TE C T O R 的 过滤 时 间 、
    获取 时 间 、 跟踪时间 和警


    告时 间 

    如表 4 -

    1 4 所示 ,
    K R P R OTE C T O R 平均 可 以 在勒 索 应 用 访 问 文 件 前 0 05 2 5.
    秒检测


    到 加 密行为 , 在 0 099 8

    秒 后 检 测 到 勒 索 应 用 并 发 出 警告 。 此时 , 加 密行 为 处于读取


    文 件 内 容 和 加 密 数据 的 早 期 状 态 。
    勒索 应用 加 密整个文件花费 了 1 4 0
    . 1 25 秒 。 也就是


    说 ,
    KR P R O TE C T O R 可 以 在勒 索 应 用 加 密 第

    个文 件前 1 3 965

    秒 检测 到 勒 索 应 用 

    实验 2 :

    在本实验 中 , 随 机 选取 集 合 {
    D2 D3} 中 , 的 50 个勒 索 应 用 作 为 数据 集 


    评估 K R P ROT E C T O R 、 S D G u ar d 和参考文献 是 否 能 够 保 护 文 件 免受勒 索 应 用 的 攻


    击 。 为 了 避 免勒 索 应 用 之 间 的 相 互 影 响 , 在 安 装 新 勒 索应 用 之 前 , 研究 人 员 卸 载 了 以


    前 的 勒索 应 用 

    在安装勒索 应用 之 前 , 研究 人员 为 每 次 评 估安 装 并 激活 了 保护 应 用 程序 。
    实验


    发现 ,
    S D G u ard 可 以 保 护 文 件 免受 44 种 勒 索 应 用 的 攻击 , 其 文件保护率为 88 % ;



    考文献 口 中 的 方 法 可 以 保 护 文 件免 受 种 勒 索应 用 的 攻击 其 保护 率 为 90 %
    5]
    45  KR



    P R O TE C T OR  可 以 保 护 文件免 受 
    5 0 种 勒 索 应 用 的 攻击 , 其保护 率为 
    1 00 % 

    分析 。 这 两 个应 用 程 序 都 基 于 访 问 控 制 来 保 护 文 件 。 当 他 们 被激活 后 , 在默认 状


    态下 , 设备 中 的 每个 应 用 程 序 都 有其 可 以 访 问 的 特定 文 件 。 也 就是说 , 除非用 户 授予


    勒索应 用 访 问 权 限 , 否 则 勒 索 应 用 无法访 问 整个 文 件 

    综 上 实验进 步 分 析 了 可 以 使这 两 个 防 护 应 用 程 序 失 效 的 勒 索 应 用 研究 人 员



    发 现这些勒 索 应 用 有 一

    个共 同 点 , 他们将 自 己 伪 装 成 需 要 许 可 才 能 扫 描 设 备存 储 的


    应用 程序 。 例如 , 勒索 应 用 4 9 9 a 2 4 6 8 c 9 2 a f l fc 9 0 9 d 0 3 a e 0 8 8 e 2 a 7 6  ( MD 5 ) 将 自 己 伪装


    成 音 频播 放 器 。 当 用 户激活伪装 应用 程序 时 ,
    它 会 向 用 户 申 请外 部存 储 器 访 问 , 以扫


    “ ”
    描存储器 并 加 载 音频 文件 。
    如果用 户 同 意 , 应 用 程序 将 扫 描 并 加 密 设 备 中 的 文 件 

    KR P RO TE C T O R 可 以 用 更 少 的 存 储 空 间 和 更 短 的 时 间 部 署 诱饵 。 此外 ,
    K R P RO 

    TE C TO R  具 有 良 好 的 时 效性 如图 4 2 所示 它 可 以 在勒 索 应 用 加 密 设 备 文 件 前  


    。 1

    秒左 右 , 向 用 户 发 出 预警 。 如实验 2 所示 ,
    K R P R OT E C TO R 可 以在更多 情况 下保护


    文件 免受勒 索 应 用 的 侵害 。
    在某种程 度上 ,
    它 可 以 保护 文件免受加 密勒 索 应 用 的 攻


    击 

    57


    北 京 邮 电 大学 工 学博 士学 位 论 文 



    ? :
    麵 )

    获取 信皂 :

    可 信 值计 算 

    s 

    时_
    ?  "        h  1 I         "
    I !        m       u
      M—

      IB


    I I i i 丨

    ; !
    I 丨 I ! I i
    ; i
    t i
    t I


    r -
    gg -

     穿

    加 密 文件 进程  , 


     )U


    告§
    { -



    l o o%


    I RHH 




    图 4

    2 文件 加 密与 预警时间 战示 意 图

    4 4 3 4 K R P RO T E C T O R
    . . .
    采 用 的 基 于兴趣 文 件 夹访 问 感 知 方 法 能否应 用 于 更 多 平


    台的设备 

    本 节 中 将讨 论 KR P RO T E C TO R 所 釆 用 的 基于 兴趣 文 件夹访 问 感知方法 的 可 扩 展


    性 。 也就是说 , 该 方法 是 否 可 以 应 用 于 更 多 平 台 的 设 备 。 由 于 基 于 安卓 平 台 的 物 联 网



    设备大 幅增加 基于安卓平 台 运行 的勒 索 应用 仍然 是物 联 网 设备 的 威 胁 因此

    2 ]


    , 

    本 节将设 计

    个基于 六 种 不 同 物 联 网 设备 的 实验 , 以证 明 该方法也 能在 未拥 有 管理

    员 权 限 的 前提下 能 够 在 更 多 平 台 的 设 备上 实 现 对 勒 索 应 用 的 检 测 然后 本 节 将对



    , ,

    结 果 进行详细 分 析 。 最后 , 本节对于 KR P R O T E C T O R 所 釆 用 的 基于 兴趣 文件夹访 问



    感知 方法 的 可 扩展性进行 了 简 要总结 

    实 验选取 了 日 常生 活 中 广 泛 使 用 的 路 由 器 、
    数码相 机 等 六 种 物 联 网 设备进 行 了


    测试 M W F 是 款销往 印 度 中 国 和 许多 东南亚 国 家的路 由 器 其市场 占 有率为



    i i i 、

    4% T P L IN K 是最受欢迎 的路 由 器之 其 全 球市 场 份 额 约 为 %_ 中 国市


    8 1

    20
    ] 一


    [ -



    , ,


    场 份额约为 34 8 8 % C an on 是 款应用 广 泛 的 数码 相机 其市场 份额为 47 9 % 


    . 
    。 .

    , ,

    _
    往美 国 欧洲 和 亚洲 的几十个 国 家 M C a me ra 是 款室 外 无线 摄 像 头 每年的销


    、 。 i

    售 额达数百 万

    85 ]



    如表 
    4 -

    1 5 所示 , 实验 发现 
    Ba i du

    W F i i 、 H o w e R e dS  t o rm  1 、 M i

    WF i i
     和 
    TP LIN K

     -

    提 供 了 监控 文 件 的 功 能 , 并 允许 用 户 查 看 文件操 作信息 。
    在 这 些 设备上 能够 实 现基于


    兴趣 文件夹访 问 感知 的 勒索 应用 检测 。 C ano n 和 M i

    C a mera 不具备监控 文 件 的 功 能 

    也 无 法 基于 兴 趣 文 件 夹 访 问 感 知 检 测 勒 索 应 用 

    分析 。 正 如在实验 中 所述 ,
    此方法 中 部署 的 诱饵 需要在没有 R O OT 或 管理 员 权


    限的情况下 触 发 。 Ba i du

    W i F i 、
    M i

    W i F i
    和 T P L IN K -

    这三种 路 由 器是 O pe n Wr
    t 构建和


    开发的 Ope nWr
    t 是 种适 用 于嵌人式设备 的 L n ux 系统 _ L nu x 提供 了 


    。 i 。 i In o t i fy

    制 来监视文件系 统 也 就 是说 安 全 人 员 可 以 监 视 文 件 夹 和 文 件 的 评 估 通 过安装



    8 6]
    。 。

    5 8



    第 四章 KRPRO
    T EC TOR :

    基 于 兴趣文 件 夹访 问 感 知 的 勒 素 应 用 实 时 检 测 研 究

    表 4

    1 5 六 种 测 试设备 的 结 果 展示

    基 于兴 趣 文 件 夹 访 问 感


    设备 名 称  需要 RO O T 或 管理 员 权限 监 控文件


    知 检测勒 索 应 用


    M WFi

    i i 4p ro  x  / /

    B a du i

    WF i i
    ^X 6  x  /  /

    H ow e R e d   S to rm  1  x  / /

    TP L I NK A X 3 0 00 

    x / /

    C anon  2 0D  N/ A  x  x

    M i

    C am e r a  2 K x  x  x

    扩展包 安 全人 员 可 以 监 控 这 些 路 由 器 上 文 件 系 统 中 的 所 有 文 件 How e
    87
    no ti f
    y w ai t
    [ ]


    。 


    Red  S t o rm 是 一

    种采用 定制 L nu x

    系 统 的 数字 录像机 。
    安全 人 员 也可 以 在 In o i fy
    t 


    帮 助 下 监 视 文 件夹 和 文 件 的 评 估 

    以 M W i

    i Fi 为例 , 在实验之 前 , 研究 人 员 在 其 系 统上安装 了 
    I no ti f
    y w ait 扩展包 

    以 确 保 能 够 监控文 件 系 统 。
    然 后 实验部署 / Te S t n 〇 i i

    f /a . t xt 作为 目 标 文 件 , 并 部 署 对等


    空文件夹 / Te s t i noi yy 作 为 兴趣 文 件夹
    f 。 之后 , 研究 人 员 激 活 了

    个文 件加 密 脚 本来


    遍历 目 录 并 加 密 文件 。 本节 发 现 , 在没有 RO O T 的情况下 , 部署 的 兴趣 文件 夹 能够


    被文件加 密脚本 成 功 访 问 , 成 功 触 发 加 了 密 勒索 应 用 检 测 模 块 

    C an o n  2 0D 基于

    个特定 程 序 。
    设备上 没有操 作 系 统 或 文 件 系 统 。 也就是说 

    C an o n 无 法 提供监 控 文 件 夹 或 文 件 状 态 变 化 的 功 能 ,
    无法 触 发 勒 索 应 用 的 检 测 模块 

    且 本 章提 出 的 方 法 不 能 应 用 于 C an on 。 M C a me ra

    基于 简 单 版 L nux i
    内核 ,
    不具备监


    控 文件 和 文 件 夹 状 态 变 化 的 功 能 无 法 触 发 勒 索 应 用 检 测 模 块 且 本 章提 出 的 方 法 无

     , ,

    法应用 于 M C am e r ai



    综上 ,
    正 如 在 引 言 与 实 验部 分 所 提 到 的 ,
    K R P ROT E C T O R 的 实 现 难点在于在未


    获取 管 理 员 权 限 的 设 备 上 对勒 索 应 用 的 勒 索 行 为 进行感 知 。 因此 , 该方法需要在 没有


    RO OT 或 管理 员 权 限 的 情况 下 监控兴 趣文 件 夹 的 状态 变 化 , 从 而触 发检测 模块 。 


    作者 所知 ,
    L i nu x 可 以 提供 文 件 系 统 监 视 机 制 , 实 验 也证 明 了 基于 L i nu x 的 设备可 以


    在没有 RO O T 的情 况 下监视文件夹或 文件 。 本 章提 出 的 方 法 不 仅 可 以 在安 卓 上 实 现 

    而 且 可 以 在 资 源 有 限 的 更 多 设备 上 实 现 

    59


    北 京 邮 电 大 学工 学 博 士 学 位 论文 

    4 5

    本 章小结

    本 章从 多 个方 面 对加 密勒 索 应 用 的 加 密 手 段进行 了 分 析 。 基于 对分 析 结 果 的 总


    结 本 章提 出 了 面 向 非 RO OT 的 安 卓 设备 的 种 基 于 兴 趣文 件 夹 的 加 密 勒 索 应 用 检



    测 方案 。 它 可 以 准 确 识 别 加 密勒 索 应 用 , 也 能 够检 测 带 有 逃逸 策 略 的 加 密 勒 索 应 用 

    为 了 保护 文件 并 方 便安 全 分 析 人 员 进行 测 试 本 章 设 计 并 实 现 了 K R P RO TE C T O R 

    ,  , 

    个 具 有文件 保 护 功 能 的 加 密勒 索 应 用 检 测 工 具 。 K R P RO TE CT O R 可 以 识 别 勒索应 用 

    并在第

    个文件加 密 前 1 4 秒 左 右 发 出 警告 。 此外 , 本章还 证 明 了 
    K R P ROTE C TO R 


    用 的 基 于 兴 趣 文 件 夹 访 问 感 知 方 法 能 够 应 用 于 更 多 平 台 的 设备 

    60



    第五章 K R R E C OV E R :

    勒 索实施后资 源 自 恢复 技 术 研 究

    第五章 KRRE C OVE R :


    勒 索 实 施后 资源 自 恢复 技 术研 究

    随 着 勒 索 应 用 的 不 断 进化 , 目 前 已 经 出 现 了 能 够 自 动 屏 蔽设备 USB 接 口 的勒索




    应用 , 使 用 户 在被感 染 后 很 难 借 助 其 他 设 备 对 感染 设 备 或 文 件 进 行 恢 复 使 用 户 蒙 受

     ,

    了 巨 大的 财产损 失 。 本 章通 过 对 47 5 0 个 设 备 劫 持 型 勒 索 应 用 与 文 件 加 密 型 勒索 应 用


    进 行分析 , 总 结 出 了 勒 索 应 用 进行密 码 劫 持 、
    屏 幕 资 源 劫 持 以 及 文 件 加 密 的 实 现方


    式 。 针对密 码 与 屏幕 资 源 劫 持提 出 了 自动 、
    高 效 设 备恢复 策 略 ;
    针对 文 件 加 密 提 出 了


    加 密 文 件 恢 复 策略 。 同时 , 设计并 实 现 了 基于 A nd r o i d 系 统 能 够 对 被勒 索 应 用 劫 持 的


    设 备 和 被 加 密 文件 进 行 自 动 恢 复 的 工 具 K R R E C OV E R



     

    5 1

    引言

    勒 索应 用 是通过更改用 户 的 设备密 码 、 强 制 占 用 用 户 的 屏幕 资源 以及加 密用 户




    设备 内 隐 私 文 件 等 操 作 使 用 户 无 法 正 常 使 用 设 备 与 文 件 , , 从 而 向 其 勒 索 赎金 的 恶 意


    应用 。
    该 类 应 用 生 产 成 本 低 廉 且 对 用 户 的 威 胁较 高 。 近年 来 , 随着 安卓 系 统 占 有 的 市


    场 份 额 越 来越 高 , 勒 索 应 用 的 数量也急 剧 上 升 。 据统计 ,
    20 2 1 年 以 来 勒 索 软 件 攻击



    数增 加 了  1 48% 。
    为 了 减 少勒 索 应 用 对 用 户 带 来 的 损 失 , 研究 人 员 从 系 统 开 发 、 


    用 检 测 以 及 设 备恢复 等 方 面 , 都进行 了 积 极 的 应 对 

    为 了解决系统窗 口 顶置带来 的 勒索 问 题 , 安 卓 系 统 由 最 初 的 安卓 L 对 get


    Ru n 

    ni n gA p p Pro c e s s e s 与 方 法 的 使 用 进行 限 制 抑制劫持 Ac 类勒索




    89

    ge
    t A pp Ta s k s [ ]


    ti vi t

    出 现 到 安卓 N 在 进行 设 备 密 码 设 置 清 除 时 需 要 的 权 限 只 能 进 行 动 态 申 请 % 再 到


    安卓 O 禁用 了 
    T Y PE _
    PH O NE 等 5 种 勒 索常 用 的 窗 口 类 型 , 对 勒 索 应 用 的 开 发 进行


    遏制 据安 卓 官 方 的 统 计 结 果 显 示 前 各 版 本 安卓 操 作 系 统 的 分 布 情 况 来 看 高


    9 1


    [ ]

    。 ,

    达 61 3 . % 的 设 备 仍 旧 使用 安卓 N 以 下 系 统版 本 ,
    这 也 就 说 明 绝 大 多 数 用 户 设备 仍 面


    临 着勒 索 应 用 带 来 的 高 危 风 险 。 由 于 系 统版本不 同 , 窗 口 顶 置 的 实 现 方式 多 种 多 样 

    “ ”

    在 系 统 层面 用 一

    种 统

    的 方 式 来避免 用 户 感染 勒 索 病 毒 ,
    这是安 全 研究 人 员 正 面


    临的

    大挑 战 

    研 究 者对 在 PC 端 恢复 被 勒 索 应 用 加 密 的 文 件 进 行 了 研 究 。 这 些研究主 要 是通


    过对设 备 上 不 同 对 象 进行 监 控 , 获 取 文 件 加 密 时 的 相 关 信息 用 来 进行 加 密 文 件 的 恢



    复 :
    L ee 等人 设 法 对 加 密 方法进行 监 控 从 而 获 得 加 密 密 钥 进 行 文 件 解 密 搭 载 于

     ,

    系 统 的 文 件恢复 应 用 通 过对 动 态 链 接 库 与 静 态 链 接 库 监 控
    93 3
    W i nd o w s  7 P ay B r e a k



    获取加 密相 关信息 , 并 使 用 托 管 密 钥 与 每 个 偏 移 量 迭 代 尝 试文 件 解 密 。 S卩 ,
    PC 端大


    多釆用 s a n db o x ,
    通过对其 底 层 的 fun c t
    i on 进行 HO OK 操作 , 从 而 获 取 到 密钥 , 对加


    密 文 件 进 行解 密 。 在 自 动 化进 行 被 勒 索 的 设 备 的 恢复方 面 , 就 目 前而言 ,
    PC 端并 没

    6 


    北京 邮 电 大学工学 博 士学 位论 文 

    有 相 关 的 研究 和 能 够 借 鉴 的 经 验 

    目 前 对 于 移 动 端 的 加 密 文 件恢复 大 多 使 用 逆 向 的 方 法 , 通过在勒 索 应用 中 找 到


    源码 从 而 利 用 加 密 密 钥 对 文 件进 行 解 密 当然 如果 用 户具有 定 的 安卓背景知



    , ,

    识 , 用 户 也 可 以 通 过对勒 索 应 用 进 行 逆 向 操 作 , 从 而 直接 在 源 码 中 找 到 勒 索 应 用 的 设


    备解锁 密 码 从 而 进行进 步 的 设 备 恢复




    面 向 专业背景较弱 的 用 户 , 安 卓 系 统 也 提供 了 辅 助 工 具 用 于 用 户 进行设 备恢复 



    AD B PU
    是 个 通 过 计算 机 与 模 拟 器 或 真 机 交 互 的 工 具 该 工 具 提 供 了 多 种 对设 备 进


    行操作 的 命令 , 并 提供 对 Un i x  S h e ll 的访 问 权限 。 当 设 备被 锁 定 后 ,
    已 开 启 US B 系

    统调 试 的 设备 , 能够 通过 US B 连 接 外 部设 备 的 方 式 , 对 设 备 进行 恢 复 。 当 设备 未 启


    动 USB 系 统调 试 时 , 则 不 能 使 用 该 方法 , 另外 , 该方 法 无 法 对 加 密 文 件 进行解 密 

    但 随 着勒 索 应 用 的 不 断 进化 , 目 前 已 经 出 现 了 能 够 自 动 屏 蔽设 备 US B 接 口 的勒


    索应用 ,
    g卩 勒 索 应 用 被激 活 后直接 将 设 备 的 USB 调 试开 关 关 闭 ,
    也 就 是说 , 对于 该


    类型 的勒 索 应 用 , 用 户 在 被 感 染 后 无 法 借 助 其 他 设备 进 行恢复 

    Fa s tB o o t 是 一

    种 引 导加 载程序 的 模式 間 。
    使用 Fa s tB o o t 可 以在 没 有 U SB 连接 的


    设 备上 重 写 系 统 。
    当 设备被 锁 定 后 , 利用 F a s tB o o t 对 系 统 进行重 写 , 能 够 恢复 设 备 的


    使用 。
    但是 由 于 重 写 系 统 , 用 户 在 设备 上 的 部 分 数 据有 着 丢 失 的 风 险 。
    设备 不 同 的 机


    型 通 过物 理 键进 入 到 Fa s tB o o t 模式 的 方 式 各 不 相 同 , 并 不 是统

    的 另外 ; , 由 于不 同

    的 安卓 设备 的 系 统在 设计 上 的 差 异 , 在利用 Fa s tB oo t 进入 第 三 方 re c o ve r
    y 之后的操


    作 也 各不 相 同 , 若设备搭 载 的 系 统 进行 了 强 制 前 台 , 那 么 用 户 需 要 通 过操 作 数 据 库 进


    行设 备 恢 复 但这 种 方式 要 求 操 作 者 具 有 定 的 专 业性

    。 

    为 了 能 够 使 更 多 的 用 户 能 够 对被 劫 持 的 设 备 进行 自 动 化 恢 复 、 对被 加 密 的 文 件


    进 行解 密 , 本 章 提 出 针对 被 勒 索 应 用 感 染 的 设 备 与 文 件 的 恢 复 方案 , 并 设 计实 现 了


    K R RE C OV E R 基于 安卓 系 统 的 勒 索设备 与 文 件恢复 应 用 据 我 们 所知 这是 第
     ̄  ̄



    个在安 卓 系 统 上 实 现 了 对被 勒 索 设 备 和 被 加 密 文 件 进 行 自 动 恢 复 的 应 用 。 本章 的 主


    要贡献 如 下 

    1 .

    提 出 了 对 被 勒 索 应 用 和 被 加 密 文 件 进 行恢 复 的 方 法 。 对设备劫 持型勒 索 应 用


    与 文 件 加 密 型 勒 索 应 用 的 勒 索 原 理 进行 了 分 析 , 并 提 出 了 针 对被这两 种勒 索 应 用 感


    染 的 设 备 的 恢复 的 相 应 策 略 

    2 .

    实 现 了 在 安 卓 端 对被 勒 索 应 用 劫 持 的 设 备 的 自 动 恢 复 。
    自 动 终 止勒 索 应 用 的


    进程 并 删 除 写入密 码 的 文 件 

    3 .

    实 现 了 在安 卓 端对 被勒 索 应 用 进 行 加 密 的 文 件 恢复 。 通 过对 加 密 API 的 监控 

    获 取 其在 动 态 运 行 中 ,
    进 行 加 密 时 使 用 的 密 钥 与 被 加 密 文件 列 表 对 加 密 文 件 进 行 解

     ,

    密 

    62



    第五章 K RRE C OV E R :

    勒 索 实 施 后资 源 自 恢复 技 术研究

    5 2

    恢 复 策 略设 计

    5 2 1
    . .
    前提假设

    本 节 中 所 研 究 的 恢 复策 略 是 在 以 下两 个前 提 假设 下 进行 的 。 第

    , 承载本方法 的


    应 用 可 以 通 过手 机 预 装 获 得 RO O T 权限 。
    首 次 安装 重启 设 备 后 在 后 台

    直 运行 , 


    该 应 用 在 安 装 运行 时 , 用 户 的 移 动 设备上 确 保 不 存在 勒 索 应 用 ; 第二 ,
    加 密 文 件 恢复


    方法 , 作 用 于 使 用 官方 加 密 API 进行 非 动 态 加 密 的 文 件 。 本 章 致 力 于 在 移动 端 恢 复


    加 密 文 件 的 解 决方 案 , 因此 ,
    通 过 对勒 索 应 用 进 行 反 编 译 , 并 逆 向 得 到 密钥 的 方 式 不


    在 本章 的 考 虑 范 围 之 内 

    5 2 2
    . .
    恢复 策 略

    1 .
    恢复 被 劫持 的 屏 幕 资 源 。
    屏 幕 资 源 抢夺 行 为 , 主 要 通 过对 应 用 系 统 窗 口 进行


    不 同 的参数设置 , 使勒 索 应 用 的 窗 口 获 得 最 高 优 先 级 , 进行 屏 幕 资 源 的 抢夺 。 因此 

    如 何判 断系 统 当 前顶级 的 Ac ti v it
    y 或 S erv i c e 是否 属 于勒 索 应 用 ,
    是 进行 屏 幕 资 源 抢


    夺恢复 的 关 键 

    为 了 解 决 上 述 问 题 需 要 对 设 备 上 的 进程 与 顶 级 ,
    Ac ti vi t y 与 S e rv i c e 进 行监控 若

     。

    在 监 控 名 单 中 的 应 用 进 程 处 于运 行 状 态 , 并且 当 前顶级 的 Ac ti vi t
    y 或 S e rv i c e 属于监


    控名 单 中 的 应 用 ,
    则 该设 备 大 概 率 已 被 勒 索 应 用 感染 。 此时 , 需要使用 R O OT 权限 

    强制 ki l l 正 在运 行 的 Ac ti v i t
    y 与 S erv i c e , 从 而 对 屏 幕 资 源 抢 夺进 行恢复 

    2 .

    恢复 被 加 密 的 设 备 。
    在 用 户 唤起 物 理设 备 时 , 系 统 会在 / d at a/ s y s t em / 目 录下 进


    行 文件捜 寻 , 若 发 现 含 有 设备 加 密 密 码 的 p a s s w o r d J ke y 文件 , 则 读取 文 件 中 的 密 码 信


    息 , 将 文 件 中 存 储 的 密 码 设 为 设备密码 , 若 未 发 现 k ey 文 件 ,
    则 不 设置 设 备 密 码 。 


    此 , 如 何判 断 / d a t a /s
    y s te m/ 目 录下 的 配 置 文 件 是 否 为 被 勒 索 应 用 重 写 过 的 , 是进 行设


    备 恢复 的 关 键 

    为 了 解决 上 述 问 题 , 需 要 对设 备 上 的 进 程 与 I/ O 操作 日 志 进行 监 控 。
    若在 监 控 名


    单 中 的 应 用 进 程 处 于运 行状 态 , 并且 , 在 I/ O 日 志 中 发现 / d at a/ s y s te m/ 目 录 下 有对 . ke y

    文件进行 的 读 写 相 关 操 作 , 则 该设 备 大 概率 已 被 勒 索 应 用 感 染 。 此时 , 需 要 使 用 设备


    的 读写权 限与 RO O T 权限 , 对 /d at a/ s
    ys e
    t m/ 目 录下 的 . ke y 文 件进行 删 除 , 从而对加密


    设 备进行恢复 

    3 .
    恢复 被 加 密 的 文 件 。 通 过对 amd 数 据集 、 d re b i n 数据 集 中 的 文件 加 密 型勒


    索 应 用 进 行 人 工 分析 , 发 现大 部 分勒 索 应 用 釆 用 了 私 钥 加 密 的 方式 ,
    进行 加 密 操 作 

    另外 由 于 开 发 者 很 难 针 对 不 同 的 受 感染 用 户 生 成 不 同 的 私 钥 即 通常 同 个文件



    加 密 类勒 索 应 用 是 基于

    个密钥 的 ,
    而 不 是 单 独 进行 加 密 解 密 的 密 钥 的 生 成 。 因此 

    如 何 获 得 勒 索 应 用 进行 文 件 加 密 时 的 私 钥 , 是 进行 文 件恢复 的 关 键 

    本 章 选 择借 助 在 移 动 端 基 于 Xp o s e d ^ 的 Xp o s e d  In s t al l er 插件 , 在勒 索 应 用 在

    63


    北京 邮 电 大学工学 博 士学 位论 文 

    动 态 运 行 过程 中 执行 文 件 加 密 时进行私 钥 的 获 取 。
    首先 , 为 了 避免 产 生 过多 冗余 的


    应 用 运行 日 志 , 占用 手机 的 存储 空 间 , 节省 运 行 时 间 , 本 章 对插 件进行 了 重 写 , 

    使
    它 HOOK 的 AP 仅 针 对 于 加 密 类 I AP I
    并 以文 件名 .
    l og 的 形式 , 存 储在 /s d c ar d/ 目 录下 

    由 于 目 前 大 部分加 密类勒 索 应用 釆 用 了  AE S 与 DES 等 安 卓 官方 提 供 的 加 密 方 式 , 




    此 ,
    本 章暂 时 只 针 对 使 用 安 卓 官方提供 的 加 密 算 法 进行 文 件 加 密 的 勒 索 应 用 进行 文


    件恢 复 ; 之后 ,
    通 过 对勒 索 应 用 相 应 的 动 态 运行 日 志 的 检索 , 获得加 密 密钥 ;
    最后 

    根据 获 得 的 密钥 对 加 密 文 件 进行解密 操 作 , 完 成对加 密 文件的恢复 



    5 3

    方案设计

    本节将对 K R RE C OV E R 的 方 案 设计进行介绍 。 KR R E C OV E R 致力 于 在 安 卓 移 动


    端勒 索 应 用 的 勒 索行为 被触 发 后 ,
    对被 感染 的 移 动 设 备 ,
    进 行 设 备 劫 持 恢 复 以 及 对被


    勒 索 应 用 加 密 过 的 文 件 进行 文 件 恢复 。 K R R E C OV E R 的 工 作流程如 图 5


    所示 


     

    如密ap i   |

    2Xp o s ed

    p2 o


    千 
    密钥 邡密后
    — 朴 — 十  ■

      r P 4  P 5  P 6  C 4  C 5  C 6  -




    文装 細 酿 国


    ■ r r  S
    P7 1 ps 1
    P9 1  I l 

    应 周 程序 监 听 恢 复





    文 件 恢复  7 =
    哟 系 统 广播 :

     ▲
    ?:

     I 沙箱 曰 志

    and r o d nten ac ;

    on PA C KAG c RE M〇 V &D  筇 玄方 泫 丄 密铥  1
    文M径  i




    i .
    t .



     4

     方 法 2   密铝 2   文 样路 径  V


     2
    a Td r o d


    n t e r t a ct


    on P A C ^G E

    . R E P LA C E C j |

    aad r G d


    r t en L a c t :
    o n F A C K AG E A D D E D


     _



    设 备 恢复 系 统 密码 文 件
     |

    / d a i a / s y s t e m /^ e a i u e r ke
    y  ?M 除


    初 始 化

    / ca ta/ s
    ys i e ra p a sswo

    r d k ey
    〇






    气 ;
    

    < Pa c k D ro d  白 i 单 a 




    G

    终 止 进 程 运行进 程



    雜 应 雜成

    系 班S 舜 程 隹 2  B W AN ?
    1 C C T '  3H 3 T T J ?f

    良 应 角 程序  ke 

    8 9 r n ^ l n s n a^ e  4 6 . 6 3 7 : 6 1 : 3 1


    ?  ,  ,

    ?  . .
    .   1 4 3  W lnt
    f owS e rv g r  2 9 . 5  B6 :
    2S : 39
    〇 终土

     

    ^
     U cyC 2 C n
    1 3 S s
    y s po i . 6 i : :
    B l


    否


    K R R ec ove r  服 务 进 程池 一 


     全 周 定时 蓀 — 后 台 羰 务器

     L  」
    麵桕
    :  I
    ”> 钟


     

    图 5

    1  K R R E C OV E R 工 作 流程示 意 图

    K R R E C OV E R 在设计实 现上 分 为 了 初 始 化 、 监控 触 发 以 及 恢复 三个模 块 。 初始


    化模块通 过对 系 统 应 用 以 及 系 统 预 装 应 用 包 名 的 采 集 , 完 成对 白 名 单与 监控名 单 的


    初 始 化操 作 ;
    KR R E C OV E R 通过 R P a c kD r o

    i d 来 初始化监控列 表 。 R P a c kD r o

    i d 是


    个 针 对安 卓 应 用 程 序 的 恶 意 应 用 检 测 引 擎 如果 个应 用 程序 被 判 断为 恶意 应 用 


    。 .

    64



    第五章 K R R EC O V E R :

    勒索实施后资源 自 恢复 技 术研究

    的 包名 将被添加 到 监控列 表 中 。 监控触 发模块通 过监控 应 用 程序 的 状态和 加 密方法




    的 信息 , 更 新监控列 表 , 定 位加 密 文件 ;
    恢 复 模块 通 过 对 应 用 进程 的 控 制 与 加 密 方 法


    的 监 控 进 行 设 备 与 加 密 文 件 的 恢复 

    5 3 1
    . .
    设备恢 复 算 法

    设备恢复 是恢 复 的 重 要 组 成 部 分 。
    设 备恢复 算 法 为 算 法 5 2


    表 示 监控 列 表 

    表示 应 用 程 序 是否 处于 活 动 状态 的 标记 , 算法 中 的 pname 表示 应 用 程序 的 包


    名 ,
    Mo n i t or 表示 前述 的 可 监 听进程和 其他方法 的 部分 。
    为 了 便于 解 释 , 密码 的 存储


    表示

    路 径将 用  / d at a/ s
    y s t e m / rk e y  

    A l
    go rith m 5 , 1 :
    设 备 恢复 算 法 

    1  F un c t i o n  D e v i c e s  R e c o v e r 

    2  fo r  i  ^  O t o l e n m l i st do


    ( )
    _

    3 s us _
    r un , 
    l o g  ^r  M o ni t o r c r yp t o  AP Is )


    4  i f  s u s jr u n  =  1  t h e n

     pn a m e

    5 <

    6 k i l l t h e p r o ce s s  o f  p n a m e
     

    7  end

    8 sw i tc h pa s s w o r d

     t
    yp e 

    9  c a s e  i np u t

    10  r e m o v e  / d a t a / s y s t e m /p a s s w o r d k e y .


    1 1  c a s e  g r ap h

    1 2  r e m ov e/ dat a / s y s t e m / g e s t ur e k e y .



    13 end

    14  E n d  fun c t i o n

    接收到 Mon i t or 方 法 的 结 果 后 设 备 恢复 将被 激 活 设 备 运 行 后 ,


    K RR E C OV E R 


    自 动启 动 。 监控触 发部分 随 时更新监控表 。
    如 果 当 前监控列 表为 空 , 则 K R RE C O V E R

    将继续 监 控设备上 的 应 用 状 态 。
    如 果监控列 表不 是 空 的 ,
    则 K R RE C O V E R 将 使用


    Mon 方法监控列 表 中 的 每个应 用 程序 并 将进程状态 信息 返 回 给变量 


    i t or 。 抓 。

    果 被 监控 的 应 用 程序 正 在运行 ,
    K RR E C O V E R 将 终 止 该 进程 , 并 根据 不 同 的 劫 持 策


    略恢复 设备 。 KR RE C OV E R 会删 除密 码 文件 , 恢复被 劫 持 的设备 

    5 3 2
    . .
    文件恢复算法

    加 密 文 件 恢复 部分 是 恢 复 部 分 的 另 个 关 键 部 分 加 密 文 件恢复算 法 为 算法

    。 5 3



    表 示 监控列 表 , 表示 应 用 程 序 是否 处于 活 动状 态 的 标记 算法 中 的 , p n am e

    65


    北 京 邮 电 大学 工 学 博 士 学 位 论 文 

    表示 应用 程序 的 包名 ,
    M on t
    or i
    表 示 上 述 可 以 监 控 进程 和 其 他 方 法 的 方 法 

    KR R E C OV E R 将遍 历 监 控 列 表 监 控 应 用 程 序 是 否 使 用 了 加 密 方 法 变 量 ,
    。 5似削


    表 示 应 用 程 序 正 在运行 表示 应 用

    表 示 应 用 程序 的 进 程 是 否 处于 活 动 状 态 。 1
    , 

    程序 未运 行 。 同时 ,
    KRRE C O VE R 将操 作 日 志 分配给变量 日 志 。 之后 ,
    K R R E C OV E R

    将通 过 S U S r u fl 和 日 志 来 判 断所 监控 的 应 用 程 序 是否 正 在 运 行 , 以 及 它 是否 加 密 了 文


    件 。
    如 果是 ,
    则 K RR E C OV E R 会 获取 加 密 密 钥 , 并 通 过 分 析操 作 日 志 找 到 被加 密 的


    文件 。 然后 ,
    它 将 用 密 钥 解 密被加 密 的 文 件 。



    A l
    g or
    i th m  5 2 . :
    文 件 恢复 算法 

    1 F u n c ti o n F i l e s  R e c o v e r 

    2  fo r  i  <

    0 t o l en

    m _
    l i st
    )
    do

    3  s u s jr u n l og  Mom to r cr yp t o  A P I s 


    ^  )

    4  i f s u s jr un  =  1  a n d  cr yp t o 
     A PI i n f o  i n  l og  th e n

    5  k e y i —

     cr
    yp t  k e y  i n  l o g 

    6  l o c a t e  e n cr yp t e d  f i l e s 

    i  d e c r yp t f i l es 

    8  end

    9en 

    io  E nd  fun c t
    ion

    5 3 3
    . .
    监 控算 法

    监控 触 发模块 通 过监 控 应 用 程 序 的 实 时状 态 变 化 、 进程变化和 目 标方 法 的 变 化


    来 决 定 是 否 激 活 恢 复 部分 。
    算法 5 . 1
    展示 了  K R R EC OV ER 的 监控触 发 部分是 如 何 工

    作的 算法 中 的 。
    p n a me 表 示 应 用 程序 的 包名 , pr oc e s s 表 示 应 用 程 序 的 进程 ,
    s u s r un 


    示 应 用 程序 是否 处 于 活 动 状 态 的 标 记 , 表示监控列 表 , 叫 表示 白 名 单 ,
    HO O K

    i n fo 表 示 被 监 控方 法 的 日 志 

    K R R E C OV E R 初 始化应 用 的 运行标签 、
    被 监 控 应 用 的 进程 I D 和 被 监控方 法 的 操


    作 日 志 。
    如果 K R R E C OV E R 监控 到 应 用 程 序 的 卸 载 信息 ,
    且 应 用 程 序 的 包 名 称在 白

    名 单 或 监 控列 表 中 ,
    则 删 除 应 用 程 序 的 包名 称 。 如果 K R R E C OV E R 监视到 应 用 程序


    的安装 或 更新信息 ,
    它 将 把 应 用 程 序 的 包 名 添 加 到 监 控列 表 中 并 激 活 应 用 程 序 。 


    果 应 用 程 序 是勒 索 应 用 ,
    则 K R R EC OV E R 将 恢 复 设 备 或 加 密 文 件 。
    如果应用 程序 不


    是勒索应 用 , 则 K R R E C OV E R 将其 包 名 从 监 控 列 表移 至 白 名 单 。 K RR E C OV E R 将遍


    历 监 控列 表 , 以 查 找 目 标 应 用 程序 是 否 在 监 控 列 表 中 并 且 是否 正 在 运 行 。
    如果是 ,




    将 运 行状 态 标 签 更 改 为 挂 钩 加 密 方法 并 将操 作 志 分配 给

    KR R E C OV E R 1
    , ,
    日 

    志 变量 

    66



    第五章 K R R E C OV E R :

    勒 索 实 施 后资 源 自 恢复 技 术研 究

    A l
    gor
    ithm  5 3 . :
    监 控算 法 

    i np ut :
    p
    n a me ,  me th o d

    1i ni t i a li z at i o n 

    2 F un c t on i  Mon it or
    ( p n am e m e t / i o d )



    3s u s jr u n  ^r 0



    pr o ce s s f p r o c e s s  o f pn a m e





     

    , ” ,

    s l og  — 

    6  if  u n i n s t a l l app  t h e n

    7  i t pn a m e  i n  w


    l i s t or pn a m e i n m 一
    l i s t  th e n

    8  r e m ov e p n a m e  i n w 
     _
    l i s t  or  m 一
    l i st

    9  e nd

    10  end

    11  i f n e w  i n s t a l l  app  o r  up da t e  app  th e n
     

    12  a dd pn a m ei n

     

    13  a ct i v a t e  app 

    14  i f  ap
    p 
    i s  r a n s o m  th e n

    15  r e cov e r de v i ce

    1 6  el s e

    17  r e m o v e pn a m e  i n  m  —
    l i st \
    a dd pn am ei n w

    _
    l i st

    is  e nd

    19 end

    2〇  i f
    ( pn am e  i n m _
    l i sta n d p r o v e s s  i s  a ct i v e )
    t hen

    21 s u s jr un  1 

    22  h oo k  m et h od 

     og  —  h o o k  i n f 〇

    23 l


    24  e n 

    2 5  re t u r n  s u s jr u n ^ 
    l og

    5 4

    实验评估

    本节 对 K R R E C OV E R 的 有 效 性进 行 评 估 。
    首 先介 绍 数 据 集 的 组 成 ,
    然 后设计 四


    个实 验来 测 试 K RR E C OV ER 。
    对于 每 个 实 验 , 都 会 先提 出

    个问题 ,
    然 后描述 实 验


    过程 和 结 果 

    67


    北 京 邮 电 大 学工学 博 士学 位论 文 

    5 4 1
    . .


    实 验数据

    实 验 选 用 的 数 据集 来 源 于 Vi r u s To t a l 以及 AMD 公 开 数据集 中 的 勒 索 应 用 。 测试


    数 据集 的 组 成 与 各 组 样 本 具 有 的 勒 索 行 为 如 表 5


    所示 。
    为 了 方 便进 行 验 证 , 实验按


    照 勒索 应 用 加 密对象 的 不 同 ,
    人 工 将勒 索 应 用 按 照 勒 索 类 型 分 为 了 设 备 劫 持 类勒 索


    和 文 件 加 密类勒 索 两 组 。 其中 , 文 件 加 密 类 勒索 应 用 样 本 数 量 为 1 26 , 其中 , 有 1 8 


    样 本 同 时 具 备 屏 幕 资 源 抢夺行 为 与 文 件 加 密 行 为 。 设 备 劫 持类 勒 索 应 用 数 量 为 5 00 

    在 设备劫 持类勒 索 应 用 中 , 设备 加 密 类勒 索 应 用 的 数量 为 47 5 ,
    屏 幕 资 源 抢 夺类勒 索


    应 用 的 数量 为 25 

    表 5

    1 测 试数据 集 组 成 表

    N um be 设备 加密 劫持 屏幕资 源劫持 文 件 加密



    ( )

    数据 集 1  47 5  /

    数 据集 2 2 5  /

    数据集 3 1 0 8  /

    数据集 4  1 8  / /

    5 4 2
    . .
    实 验 分析

    为 了 更好 的 评价 K R RE C OV E R ,
    本节设计 了 
    4 个实验 问 题 。
    对于每 个 问 题 , 


    会 先 设计

    个实 验 , 并 给 出 实 验结 果 。 然 后 对 实 验做 一

    个简 短 的 总 结 

    问题 1 :
     K RR E C OV E R 能否 自 动 恢 复被 勒 索应 用 劫 持 的 设 备 ?
    问题 2 :
     K R R E C OV E R 能 自 动 解 密 被勒 索 应 用 加 密 的 文 件 吗 

    问题 3 :
    K RR E C OV E R 能 同 时恢复 被加 密 的 设 备 和 被加 密 的 文件 吗 

    问题 4 :
     K R R E C OV E R 的 运 行 效 率 是 否 可 以 接 受 ?

    5 4 2 1
    . . .
    回答 1 :  KR R E C OV E R 能否 自 动 恢复 被 勒 索 应 用 劫 持 的 设 备 

    本 实 验 在 安 卓 设备 上 安 装 并 触 发 了 
    475 个 加 密设备 的 勒 索 应 用 和 25 个抢夺屏幕


    资源 的勒索应用 , 并 通过 K R R EC O V ER 恢复 了 被加 密 的设备 。
    为 了 避 免勒 索 应 用 间


    的 相 互影 响 , 在 进行 测 试 时 , 前

    个勒索 应 用 测 试结 束 后 , 研 究 人 员 将 其 进行 卸 载 

    之 后 再进行 下 一

    个勒 索 应 用 的 安 装 测 试 。
    测 试使用 的 47 5 个设备加 密类勒索 应 用 在


    被触 发 后 ,
    K R R E C OV ER 均 能 够 自 动 解 除设 备 的 密 码 , 恢 复 设 备 正 常 使 用 E 测 试使


    用的 25 个 屏 幕 资 源 抢夺类 勒 索 应 用 在 被触 发 后 ,
    K RRE C OV E R 均能 自 动解 除 勒 索 应


    用 对 屏幕 资 源 的 抢夺 , 使设备恢复 到 正 常 使 用 的 状 态 

    68



    第五章 K R R E C OV E R :

    勒索实 施 后资 源 自 恢复技 术研究





    ^ ■ ?T ^ a

    ■H HW i



    a)  ( b )

    图 5

    2 设 备劫持恢 复 实 验 效 果

    以设备加 密型勒 索 应用 5 6 6 9 f7 8 4 7 4 4 8 a a 9 2 1 4 b 4 6 5 f9 4 e b 3 e 4 5 6  ( M D 5 ) 为例 , 在图



    2 中 ?

    a) 为 应 用 被 触 发 后 对 设 备进行 加 密 勒 索 , (
    b) 为 KR R E C OV E R 对设备 进 行 恢


    复后 。 可以看出 , 此 时设 备 的 加 密 密 码 已 被 解 除 , 设备 能 够 正 常 使 用 

    5A2 2 .
    回答 2 : KRR E C O V E R 能 自 动解密被勒 索应 用 加 密 的 文件吗 

    实验将 1 08 个 仅具有文件加密行为 的勒索 应用 ( 使用 官方加 密 AP I 且非动态加




    密 下 同 在安卓真机上进行安装 测 试 和之前 样 前 个勒 索 应 用 测 试结束 后
    一 一


    , ) , 

    研 究 人 员 将 其 进行 卸 载 之 后 再进 行 下 个勒 索 应 用 的 安装 测 试 同时 为 了 方便测


    . 。


    测试使用 的 个文 件加 密类


    试 , 研 究 人 员 预 先 在 测 试 机 中 存放 了  te s t tx t 文件 。 1 08

    勒索应 用 在被触 发 后 ,
    K R RE C O VE R 均 能够恢 复加 密 文 件 使 其 正 常打开 

    以 文 件加 密 型勒 索 应用 f3 a 7 9 9 5 3 c c 2 e 3 b a b b c 8 7 f f4 4 c 2 b c 7 0 3 1 ( MD 5 ) 为例 。
    为 了方


    便测试 , 实验使 用 t es ux t 作为 目 标文 件 。 图 5

    3 显 示 了 测 试 使 用 的 原始文 件被打开后


    在勒 索 应用 被激活 后

    如图

    的 语句 为 T h etxt f
    i  l ei su s e dt ote stran s o m w ar e s 。


    _

    4 


    示 .

    文 件变 成 t es t . t x t e nc.
    。 文 件 无法被正 常打开 , 内 容 已 经变成乱码 。
    在 KR RE C O V E R

    解密 文件后 , 如图 5

    5 所示 :
    加密文件 t e st . t x t e nc.
    已 恢复 为 t est . t xt 。 此 时文件 可 以正

    常打开 文件 内 容与 原始 文件 致




    实验 随机抽 取 了 测 试样本 中 50 % 的 数据 , 对其 进 行 反 编 译 .
    人 工 进行 代 码 查 看 

    发 现这 些勒 索 样 本 确 实 使 用 了 官方加 密 API 且 非动 态加 密 的方式 , 对 目 标文 件进行




    加密 

    69


    北 京 邮 电 大 学 工 学 博 士学 位论 文 

    A * *5



    i 1

     m 
    T SM8  6 S J  J V Ti GS 3

    ^ .

    An d rc d
     ^

     ^ S ^ik



    : t 5 
    . S SS 3* 4  tr
    f -

    f w
    - 

     j


     ̄ *



    DC M

    I 

    l? i
    st  Pi R  P oc ca s i t 

    K 

    C wa w
     5 t


    Kov e s

    ? ^ *
    S *

    > 
    . i 5

    J 

    ? i > t : f i ca t ; or s .

     一   

    P r t ur抒
     在U P ? 蒙 S 件 之 儺  * 今 灌 * X 锌 的 S ? 名 R B 5 E t S ?
    5 l *



     1  .

     

    P od ^ 糾 扣 文 件 s 示 约 内 S S U 文 件 用7 ? 碟 《 ? 件

    c t * !



    8 i ng t 〇t e ? :



    R n gton es

     i

    j 
    X *S X  t x t 
    1  ^ n? t
    f <
    r K S

    ww
    ' 

    j oo t Cye m i  i c *S6 : a dc ai d  5  c a l  t e s t t x




    7 ^mf : i e i s  u s > i d  yp 
    t ? T
     tB 
    s y st e

    i ?n S < * ?a r c r o o te S e n ? :


    c T S6 :  i  c
    s< cai r ?
     ? ;
    枯 作 w mK  知阶

    it

    t bs

    ?

    ? ?

    r ? 3i3  : : A / r w x

    n? Ten cen 

    g 

    iV 
    l t es t  t xt

    u
    [ -

    <l ? N y  ?



    > 


    / , 

    g j j

    j J H 
    ? 站 ; 3 n a s ; 4?  ■


    w m '



    ! > ! W 
    ■P
    明 饨
    響

     23 96 it  wr t i



    图 5

    3 原始 文件

    1M mmH S


    i s aras
     i

    || |

    ^B pMB 1 l l

    i l

    p ilSl BH l

    P M A s aro i d

    f ? M3 S 系 U ? &8 考 專 



    K Vi
     !
    ^ j 
    ! S i /j  i
    S 〇? 2

    n 
    - a
    J J H 
    < ?



    L OST . D I R  * 一 1

    usv t M  s ^m Pod cas 


    t 

    ■ C — 
    肪拂 *細 》 懷 文咖 臟生 
    奴 洗^ 签 发 立 c
    f 文 柯 示

    ' - 1 M - £ -

    ? 也

    了 交 . u ?

    r a ?K
    了 




    的内 ¥ 为£ 转 ■
    该文P E?S 案 ?
    茨g  ^^ ft QQB f O w s er

    P ^? as s -

      M t

    3 ? a ^ v
    ? .
    . v =


    ? aa4 b〇 3 l〇 f
    _
    c o c l


    9t n 3 i c  kfrvc o v r : .
     i ?r  Mm R 

    ng t o n es


    ? ? oc ke r 〇s   f w w*

    ^ i J ?
    sn f x Lo e


    a < i
    > [

    r i ;  £ i )
    ] :
     3 i > ;  :

    I r o & m ?ce r i r ; S6  s a c ar? 
    a  c a t  t c s t .  : x

     c nc 
    r- a “ 

    g ^r o

    eg nw
    f *
     化 S

    ? ? 7 v < I i & iT aS f
    c s d: a rd 
    g?
    ? :  - c 

    ^ 
    r: t >i  i ^ : i :  :
    v ?x ; wt

    T e n c e n t

    rv  t est  txt  en c

    S i?
     a
    ? ? 7  ̄ ^e
     ̄ 


    f S l
     ! ? r ? H9 

     t

    j J 

    磁 ; —
     ]
    5 T
    _ 
    TW B P  I
    HP



     | 


    图 5 4 文件加 密

    Jf ^ w c *rc  s 

    r oo '
    T l c .
    j S i :
    * ? S ; 

    A ?4n* i d
     H3  


    ? e



    ? f >
    / i ^ a r !
    K i

    w n j


     '
     ̄  ̄ 

    Dos sl .

    ud

    LOST . D I R  P od ca s t 

    P K X  n ws x

    Ur  t

    L i


    t  i i 
    P £ 
    ^ 



    ,  _

    ^ 
    ;  V  KKK ? 〇 \ x t
    解 密 文 件后 .
    取 始 内 客可 以




    P od c t S l K 



    S i opi c np *  R n gt ones

     i



    krr eco ve r og  a 

    s and hc xi o -
    e ^ ok o
    ^ t n i rc 

     l F (
    t t i s r
    r i e . . < :
    ? 〇 

    s ,

    . r . ( l > i o >j  n s  r y , i  5 1 ?

    1 * 1 〇 ^ ^ 1 .  l 〇K

    t e? .  t i t
     _ I 
    鱗m

    j  < x > ^ K

    i ? .
    t ^ 

    s i ! c ?r d  s  ca l  i w t . l ,

    r ? - —




     〇^   5
    - - '
     ? - *

    Th  r r o > r r

      a r f
    - =







    T l .
    > :

    : ? i 

    t & S

    * ! >
     >
    ■  r ? n 

    T en cen 

    """

    & —

    t es

    5 !


     t xt

    ? * <
    ^ i t MK



     S

     ?  i

    f |

    ^ r s
    f 
    5 2 ? i 
    :  U NT C  ; >

    T WR 


    動 

    图 5

    5 文件解 密

    70



    第五章 K RR E C O V E R :

    勒索实 施后资源 自 恢复 技术研究



    5 4 2 3
    . . .
    回答 3 :
     K R RE C OV E R 能 同 时恢 复 被 加 密 的 设 备和 被 加 密 的 文 件 吗 

    本 实 验 在 安 卓 真 机 上 安 装 并 触 发 了 1 8 个具有 屏幕 资 源抢 夺行为 和 文 件 加 密 行 为


    的勒索应用 。 然 后 研究 人 员 使 用 KR R E C OV E R 恢复被 加 密 设备和 被加 密 文 件 。 和之


    前 样 在进行测 试 时 前 个勒 索 应 用 测 试结束 后 研究 人 员 将 其 进行卸 载 


    一 一


    , , ,

    后 再进 行 下

    个勒 索 应 用 的 安 装 测 试 。
    测 试使 用 的 1 8 个混 合型勒 索 应 用 在被触 发 后 

    均能被 K R RE C OV E R 进 行恢 复 

    ? _ “v T —i
    i i
    f _Y H

     
    丨  r

    m c vyfsi s ^* O TH B  *  



    g
    if
    5 .

    1 H ai f
    t
    i r w te
    界敗湖

    C 3 ? o o 6 wy * 8a?es * >

    *i

    2 . 
    ViZ M f s rz 

    f  n wa m a w w  V SAI
     -




    c pn w i M i F r

    ■腦 '

     i>


    a)  (
    b )

    图 5

    6 设 备劫持恢 复

     #入

     s r>

    : c >
    〇 T § ?
    p n s T i c x S? >
    a rt5   ̄
     i s


    K iM
     Sy ?


    p 4 <  v

    T  ?



     ^ 03   5 
    < 1

     ? r
    ; . . 

    U bT

    ?  ̄  ̄ 1


     D I R
    j 


    P odca

    BS f
    si s




    ? 索 软雜 -
    两 淑文 邮后组 名 发生 了 在n ?f .

    a 

    ■
    ' i i
    ' c

    p :
    : .
     H 对 故 容 也发 生 了 狄  cM u r r m 文 锋 £ 示

     ? t .

    _ 4
    紇*容为 S 文 件 已 孩 私 索 玟 件如 g QQB r ow se 

    ■ : 匕
    明 '
    , ?
    * ,




    R ;

    s &n d bc sL 〇f :
    _
    c 〇 ! E . i ) up t r
    . i rc - f j re co v er .
     l og  R n i

    g o
    t nes

    s a n d bc xLo j  c c ? .  s i mp l e l oc k - r ; .  ^ o y  :

    0 |
    u ^h 


     7   r
    ^ a .


    | 1 = 心 1  1 b? 
    s yste m

    W Sai

     s dc Sc xt I 

    r oo t ^ ge neri c ^y e : ard  a t t e s t .  t .
    en c

    ; ??? \ ? v  £< ?# @@ ry roo t e n er
    g8f i c _
    s 6 S : sd c ar d  £
     饑t
    e^b 

    V  5 i
    06 ^ r 5£  Ki -

    t K x


    Te n c e nt

    fit  t e st tx t  en c

      — 找巧

    I I
    巧 丨
    d 39  V f
    c U E J K  :
    你 ;
    V i


    j 5 S .


    ?  5 ? S& 3 J / < 4  ( ? y ;
    ? wx


    了騰


    _ -

     v M K 

     25 :
    55放 ( WW ? >




    图 5

    7 被加 密的 文件

    7 


    北京 邮 电 大 学工学博士学位论 文 






    M S B^ m

    nG B Sj
    1 1

    g4 a g 1 1  
    r / 






     .

    叱说
     ^ 1

    ? 9 Q33 1 3*  &  r 


    D o wn l oa d

    LO ST .  D I P  P od c a s t s

    "
    '  

    ■  S^ f i ca x i on s
    敗此 ■

    解 密 文 件后 .
    原始 内 容咖
    ■  P i c t ur e s  1示在文件中 e  纖醮 ows e
    QQ Br 

    ■ / 画
    … 祕齡 離擎


     P od cas t s

    ■ 
    R i n g t one s  ’ R n i


    t ones

    s a n dbo x L n g c o? 4 ) ?

    * T n3 i  r  k rr e c o v <

    r .
     l o g
     H  no

    r 

    s an d b o xL o g  oOb .  s i ap i e i oc ker .  l og

    ■j ^r u Tj  ag sy s t em







     w vfwx
     S 5

    ard  a 

     r oo

    t ^g p r e .
    i : c x S6 / s d c c a t t es t t x t


    : .

    Th

     '
    f i e  c
    u s e d t o  c s  a n s n rs

    o r of 5g e n n c \ 86 s dc n r i

     -


    t r l

    t r e
    j s
    i  r t
    ? 

    t bs

    HU rt f x s v t *


    T e n c e n t



    P
    s t txt

    I l


     = S 9 34 2 i 2f 5? a<  r < ?


    : 

    7 I 
    } :  ? r


    j  I

    7?  9  U  rf : y . i r n 

    P^ tw r p
     ^p 

    图 5

    8 文忤解密

    以 混 合 型 勒 索 应 用 1 5 4e a b 9 5 d b b 2 c 8 1 3 44 6 1 9 9 6b l 4 ] 5 8 bc a ( MD5 ) 为例 在图 , 

    6 中 


    a) 为勒索 应 用 被触 发 后 的设备 界面 。
    勒索 应 用 抢 夺 了 屏幕 资 源 , 阻 碍 使 用 该设 备 的


    用户 , 并索要 赎金 。 (
    b) 为 KR RE C OV E R 释放被抢 夺 资 源 后 的 设备 界 面 。 图 5

    7 

    示在勒索 应用 被触 发 后文 件 t es t . t xt 被加 密为 文 件 est
    t . t xt en c .


    且 无法打开 。
    图 5

    8 


    KR R E C OV E R 对 被 加 密 文 件 解 密 后 的 文 件 状态 。 可 以 看 到 被 加 密 的 文件 已 经恢复 到


    文 件 能 够 正 常打 开 文 件 内 容与 原始文件 致

    t es t . t xt 。



    5 4 2 4
    . . .
    回答 4 :
    KRR E C O V E R 的 运行效率是否 可 以接 受 

    KR R E C OV E R 的大小为 4 9MB .

    , 在 1 2G 内存 、 C PU 型号 为 MSM8974 , 电池容


    量 393 1 Amh .
    安卓 4 4 .
    版 本 的 测 试机上运行 。
    为 了 测 试 文 件 解 密 的 运行效率 ,
    本章


    在 测 试 设 备 上 随 机 生 成 了 2 0 0 个 大 小 不 同 的 文 件 , 并触发 了勒索应用 。 然 后使用


    K R R E C OV E R 对 文 件进行解 密 ,
    记录不 同 文件 的解密 时 间 

    图 5

    9 显示 了 不 同 大 小 文 件对解 密 时 间 的 影 响 。 从图 5

    9 可 以看 出 ,
    文件越大 , 


    密 所 需 的 时 间 就越 长 每增 加 。 1 MB 大小 解密 时 间 需要增 加 近 ,
    20 秒 设备 中 私 有 文 件



    的 大 小平 均 为 5 MB 。 与 勒索应 用 造成 的 经 济损 失 相 比 , 我们认为 K R R E C OV E R 的解


    密 时 间 是可 以接受 的 为 了 测 试 ;
    K R RE C O V E R 的 能 量 消 耗 实验 记录 了 , 
    KR R E C OV E R

    在运行 时 的 C PU 占用 、
    内 存 占 用 和 电 量 具 体 能耗见 图 。 5

    1 0 。
    当 K R R E C OV E R 处 于 监


    控状态 时 ,
    C PU 占用 率为 7 % , 内 存 占 用 率为 4 08 . % , 耗 电 量为 1 . 1 % 。 在 KR R E C OV E R

    解密文件时 ,
    C PU 占 用 率为 25 4 % .

    , 内存占用 率为 4 78% .

    , 耗 电 量为 1 2 28. % 

    KR R E C O V E R 的 运 行 效率 是 可 以 接 受 的 。 它 可 以在短时 间 内 以 很 少 的 能 耗恢复


    被劫 持 的 设备和 被加 密 的 文 件 

    72



    第五章 K R R E C OV E R :

    勒索实施 后资源 自 恢复技 术研究



    消耗时 间 (
    m s )

    1 2 0 00 0


    1 0 34 6 2





    1 00 000 9 2 5 1





    7886 2




    80 000

    6 68





    60 00 0 5 2 49


    41 6 34 


    4〇 〇U〇




    26
    ,5
    20 00 0
    .  1 570 8

    2235

    文 件大小_

    图 5 9 解密时间 与 文件大小 关 系



    C PU ? 内 存 电 量


    消耗占比 》


    30
    CPU

    2 5 .


    ■I


    1 5  电量


    1 2 . 28

    1 0 ■


    -  :



    ii i v 

    运 行 时 间 文 件 加 密

    图 5 1 0  KRR E C OV E R 资源 消 耗示 意 图

    5 5

    本章小结

    本 节 提 出 了 针 对 感染 设 备 劫 持 型 勒 索 应 用 的 勒 索 设 备 恢复 方 案 .

    以 及 对感染 文


    件加 密 型勒 索应 用 的 加 密 文件恢复方 案 。 本 章设 计 了  KRRE C O V E R  ,

    个搭载 在安


    卓 移 动 端 的 勒 索 设 备 及 加 密 文 件 恢复 应 用 。 KR R E C O V E R 能够在 用 户 的 设备感染勒


    索应用 后 , 在不借助 US B 连接 电 脑进行设备 与 文 件恢复 的 情 况 下 , 自 动 进行移动设


    备 与 加 密 文 件 的 恢复 。
    有 效避 免 了 因 为 勒 索 应 用 屏 蔽 了 设 备 的 US B 调 试接 口 , 迫使


    用 户 不 得 不 在 终 端 进行 操 作复杂 、
    专 业性较 强 的 设备资源恢复 的 情 况 。
    据研究人 员 所


    知 这是第 个 实 现 了 对 被勒 索 设 备 和 被 加 密 文 件 进行 自 动 恢复 的 应 用




    73


    北 京 邮 电 大学 工 学 博 士 学 位 论 文 

    74



    第 六章 K R PR OV E :
    攻击者 视 角 的 新 型勒 索 技 术

    第六章 KR P ROV E :

    攻 击 者视 角 的 新 型 勒 索 技 术

    安 卓 端勒 索 应 用 发 展变 化快 、
    勒索 应 用 繁 衍 快 、 变种 多 , 但 面 对快 速 变 种 的 勒 索


    应用 , 当 前对 于 新 型 勒 索 技术 的 发 展 与 验 证 研 究 却 十 分 有 限 。 为 了 主动 发 现勒 索 应 用


    在进化 中 的 潜 在 威 胁 本章 详 细 地 对 现 有 安 卓勒 索 应 用 的 勒索 技 术进 行 了 分析 提 出

     , ,

    了3 种 新 型 勒 索 技 术 并 进 行 了 实 验 验 证 。
    为 了 对勒 索 应 用 进 化 中 可 能 出 现 的 不 同 的


    勒 索 行 为 进 行安 全 防 护 本章提 出 了 个 支 持 多 种 策 略 组 合 的 安 卓 端勒 索 行 为 验 证


    框架 ,
    并 针 对 各 种 策 略 组 合 得 到 的 勒索 行为 在 设 备 上 的 测 试结 果 给 出 了 防 御 建 议 

    6 1 .
    引言

    当 前勒 索 应 用 的 发展呈 现 出 了 技术 发 展 变 化快 、
    勒 索 应 用 繁衍快 、 变种多 的特



    点 。
    根据 《 202 0 年 中 国 互联 网 网 络 安全 报 告 》 发 布 的 数据 显示 ,
    2020 年 全 年 传统


    勒 索病毒 家族新变 种 、
    新 的 勒 索病 毒 家族均 大 量 出 现 。 卡 巴 斯基 实 验室 同 年 发 布 的


    数据 显 示 年第 季 度捕获到 了 种 新型 的 勒索 应用 变种 较 年第
    97 ]

    2 020 2 9 00 20 1 9 

    ,  ,

    四 季 度 种 类 增 加 了 1 4% , 第 三季度捕获 到 的 勒索 应用 变 种 为 第 二季度 的 3 5.
    倍 , 种类


    超过 了 
    3 2 000 种 。 T h re a t p o s t 在发布 的 《 202 1
    年 勒 索软 件 演 变 趋 势 报 告 》 中 也指 出

    了 , 勒 索 应 用 的 开 发 者 通 过 不 断 演 变 攻 击 技 术 与 攻击 战 略 , 使 用 多 重 勒 索 攻击 的 技


    术 , 进 行 大 规模 勒 索 应 用 的 繁 衍 

    勒 索 应 用 的 大 规 模 变 种 繁 衍 也 带 来 了 攻 击 事 件 的 大 规模 爆 发 。
    据 P o s i t i v e  Te c h 

    发 布 的 数据 显 示  2 0 2 1  年 第 三 季 度 的 勒 索 攻 击 事件 比 例 占 同 期 所 有攻击


    99]
    no l ogi e s

     ,  

    类型的 一

    半 以上 , 与 同 年 第 二 季度 相 比 , 勒 索 应 用 的 攻 击 尝 试在数 量 上 提 高 了  1 2% 

    面 对着 不 断快 速 发 展 繁 衍 的 勒 索 应 用 , 需 要 安 全 人 员 能 够 针 对新 型 攻击 进 行 防


    御 的快速响 应 否 则 , , 防 御 策 略 的 滞 后 以 及 攻 防 研 究 的 不 对 等 性将 会 导 致大 量 的 经 济


    损 失 与 资 源损 失 。
    据 Te n ab l e 公 司 发 布 的 数据 _ , 20 2 1 年 由 于 勒 索 应 用 导 致 的 数据


    泄露较 202 0 年增长了 
    78 % ,
    超过 400 亿 条 隐私 数 据 遭 到 曝 光 。 然而 ,
    面 对 快 速变 种


    的 勒索 应 用 , 当 前 对 于 新 型 勒 索 技 术 的 发 展 与 验证 研 究 却 十 分 有 限 

    在 Io T 领域 部 分 研 究 人 员 已 经 开 始 了 面 向 勒 索 应 用 可 能 应 用 技 术 的 研 究

    。 Ca l vin

    Br
    i erl e y 等 人提 出 了 
    6 种 在 不 同 种 类 的 路 由 器 与 数 码 相 机设 备 上 勒 索 应 用 可 能 采 取 的


    6 种模式 。
    由 于 安卓 系 统 勒 索 应 用 的 开 发相 较 于 路 由 器 系 统 能 够 有 更 多 的 方 式 , 例如 

    屏幕 资 源 的 劫 持 等 。 因此 , 该 方 法 不 能 完 全适 用 于 安 卓 系 统 上 新 型 勒 索 技 术 的 研 究 

    在 安 卓 领 域 仅 有 部 分 研究 人 员 对 勒 索 应 用 的 文 件 加 密 行 为 进行 研 究

    。 研究 人 员


    设 计 了 动 态 加 密 与 混 合加 密 相 结 合 的 勒 索 应 用 A E S t het
    ic 来测 试 目 前 的勒索应用


    检 测 引 擎 检 测 文 件 加 密 行 为 的 有 效性 得出 了下 代 加 密勒 索 技 术 会朝 着动 态 加 密


    75


    北 京 邮 电 大学 工 学 博 士 学 位 论 文 

    或 混 合加 密等 技 术 的 发 展预测 

    因此 , 如 何 主 动 发 现勒 索 应 用 在 进化 中 更 多 的 潜 在 威胁 , 并 针对 不 同 的 勒 索行 为


    进行 安 全 防 护 是 应 对 勒 索 应 用 不 断 变 种 中 亟 待 解 决 的 问 题 。
    为 了 主 动 发 现勒 索 应 用


    在进 化 中 的 潜 在威 胁 本 章 在 详 细 地 对 现有 安 卓 勒 索 应 用 的 勒 索 技 术进行 分析 后 提

     , ,

    出 了3 种 新 型 勒 索 技 术 并 进 行 了 实 验验 证 。
    为 了 对勒 索 应 用 进 化 中 可 能 出 现 的 不 同

    的 勒 索行 为 进 行安 全 防 护 本 章提 出 了 个支 持 多 种 策 略组 合 的 安卓 端勒 索 行 为 验


    证框 架 , 并 针对 各 种 策 略 组 合 得 到 的 勒 索 行 为 在 设 备 上 的 测 试 结 果 给 出 了 防 御 建 议 

    本 章 的 主 要贡 献 如 下 

    1 .
    详 细 分 析 了 勒 索技 术 的 发 展 。 对现有 的勒索 技术 :

    设 备 劫持 技 术 屏 幕 资 源 劫

     、

    持技术 、
    文件加密技 术 ;
    辅助勒索 技 术 :

    按键屏蔽技术 、
    信 息 窃 取 技 术在勒 索 应 用 中

    的 应 用 与 进化进行 了 分析 。
    同时 ,
    本 章 分 析 了 安 卓 系 统 面 对 现 有勒 索 技 术 与 辅 助 勒 索


    技 术 的 不 断 进化做 出 的 不 断更 新 

    2 .
    提 出 了 攻 击 者视 角 下 3 种 在 安 卓 端 可 以 实 现 的 新 型 勒索 技 术 , 并验证其 实现


    的可能性 。 本 章提 出 了 新 型 勒 索 应 用 可 能 进 化 的 方 向 , 并 提 出 了 基于 DN S 劫持的通


    信劫 持 、 基 于 中 间 人 攻 击 的 数 据 劫 持 以 及基 于 DN S 隐 蔽 信道 的 数据 劫 持 三 种 在 安 卓


    端 可 以 实 现 的 新 型 勒 索 技 术 实 验证 明 。
    , 上述三 种 技 术 均 能 够 在 不 同 版 本 的 安卓 系 统


    上实现 , 验 证 了 上 述 新 型 勒 索 技 术 应 用 的 可 行性 

    3 .
    提出 了 一

    个 支持 多 种 策 略 组 合 的 安 卓 端 勒索行 为 验 证 框架 。
    该框架 内 依据现


    有 勒 索 技术 与 提 出 的 新 型 勒索 技 术 集成 了 四 个 功 能 模 块 与 个策 略 选 择 模 块 四个



    功 能模块 内 部集 成 了 相 互独 立 的 、 不 同 的 勒索 技 术 手 段 。 策 略选 择模 块 支 持 用 户 对 功


    能 模 块 提供 的 行 为 进行 组 合 , 得 到 最终 的 勒 索 行 为 。 同时 ,
    本 章 也 针对 各 种 策 略 组 合


    得 到 的 勒 索行 为 在 设 备 上 的 测 试结 果 给 出 了 抗勒 索 应 用 的 安 卓 系 统 防 御 建 议 

    6 2 .


    勒 索 技术 发 展技术分析

    6 2 . . 1 设 备 劫 持技 术

    年 第 个 能 够 重 置 设备 PI N 码 的勒 索 应用 L o c kerP n % 出现

    20 月


    一 —

    1 8 ,
    i 

    它 使受害者 的 手机被锁住 ,
    并 要 求受 害者 支付 5 00 美 元 的 赎金 。
    更可恶 的 是 , 由于


    L o c ke rP i n 是 用 随 机数 重 置 设 备 PIN 码 , 也 不 告 知 攻击 者 随 机 数 , 所 以 即 使 是 攻击 者


    也不知道重置后 的 PI N 码 。 这 意 味 着 即 使 受 害 者 交 了 赎 金 也 无法 解 锁 

    年 被 发现 正 如 其 名 所示 D o ub 同 时釆


    2】

    月 D ou b e L o c ke r e L o c ke r
    1 ( )

    20 0

    1 7 1 l 。 ,

    用 重置 PIN 码 和 加 密 文 件 两 种 方 式 向 受 害 者索 要 赎 金 它 也是第 个 同 时 釆 用 这两


    种方式 的勒索应用 。 它伪装成 A do b e F  l a s h  Pl a


    yer 传播 。

    旦启 动 , 它 将请 求 激 活


    获得 可 访 问 性权 限 后 它 会 使 用 这 些 权 限激



    的 可访 问 性服务

    G oo g l ePl a
    y  S er v i c e 。

    活设 备管 理 员 权 限 ,
    并 将 自 己 设 置 为 默认 的 主 应 用 程序 ,
    而这 些均 未经 用 户 同 意 。


    76



    第 六章 K R P R OV E :
    攻击 者 视 角 的 新 型 勒 索 技 术

    “ ”
    其 加 密 的 文 件扩 展 名 为 . cr
    y ey e ; 索 要 的 赎金 为 0 01 3 .

    个 比特 币 

    表 6 -


    安 卓 版 本 与 设 备劫持 (
    加密 ) 实现方 法

    系 统 版 本 设备劫 持 ( 加密 ) 实现方法

    A n dr oi d4 

     A n d roi dS  D e v i c e P o I i cy M a n a g e r re s e t P a s s w o rd

    A n dro d 6  i
    动 态授权 
    D ev i c e Po li c

    M an a g e r . re s e t P a s s w o rd

    Dev i c eP o l i c y M a n a g e n re s e t P a s s w o rd 只 能 为 无 密 码 设备 设 置初 始


    A n d roi d 7 

     A n d ro d l O

     i

    密码 而 不 能 重 置 或 清 除 已 有 的 设备密 码 [
    1 () 3 ]

     

    表 6 -


    中 展 示 了 安 卓 版 本 变 化 与 设备 却 持 ( 加密 ) 实 现 方法 变 化 。 从安 卓 4 版本


    到 安卓 5 版本 勒 索 应 用 可 通 过 D e v

    i c eP o l i c

    M a n a g er . r e s e t P a s s w o rd
    〇 这 一

    方法 修改设


    备密 码 , 使受 害 者 无 法 解 锁 设 备 锁 屏 ,
    达成设备 劫持 

    到 了 安卓 6 版本 D ev c e Po li cy M a n a g er e s e t P a s s w or d ( )
    r 这 方法 也 变成 了 需 要运


    i .

    行 时 动 态 申 请 获 得授 权 才 可 使 用 

    安 卓 7 版 本 权 限 继 续 变 更 勒 索 应 用 无 法 再靠 D e v , ,
    i c eP o ii c
    y M an ag e r . re s et P a s s w o rd 〇

    随意 更改 设 备 密 码 , 第 三方 应 用 开 发 者 只 能 使 用 D ev i c e Poli c
    y M an a g e r
    . re s e tP a s s w o r d
    ()

    为 无 密 码 设 备 设置初 始 密 码 ,
    而 不 能 重置 或 清 除 已 有 的 设备密 码 。 之后 , 安卓 9 新增


    的 S t r o n g B o x  Ke 模块 进 步加 强 了 对密钥 的 保护 S t r o n g B o x  Ke y m a s t e r 


    yma s
    1 ] 一

    t er 。

    仅拥有独立 的 C PU 和 随 机 数 生 成器 , 还 附 加 了 能 防 止软 件包篡 改 或 未 授 权 线 刷 应 用


    的机制 当 系 统检 查 存 储其 中 的 密 钥 是 否 完 整 时 会在 TU 的
    C 个 安 全 区 域 下 进行


    , 

    因 此 该 过 程 的 机 密 性 能 够 被 有 效 保护 。
    为 了 提高 密 钥 加 密 时的 安全性 , 安卓 9 釆用


    了 AS N

    . 1
    格式 来 编 码 密钥 , 实 现 了 将 已 加 密 密钥 安 全 地 导 入 密 钥 库 。 由 于密钥 的 解


    密 工 作 由 该模 块 在 密 钥 库 中 执 行 , 因 此 攻 击 者 无 法 在 设 备 内 存 中 获取 到 密 钥 的 明 文 

    同 时 安卓 9 还 増 加 了 对 使 用 客 户 端 密 钥 加 密 安卓 备 份 的 支 持 

    6 2 2
    . .
    屏 幕 资 源 劫 持技 术

    第 个 屏 幕 劫 持 型勒 索 应 用 安卓 它将 自 己
    04 1
    年 D e fe n d e H 出现 

    20 1 3 6 月
    一 一

    , ,

    伪 装 成 杀 毒 软 件 进行传播 , 并 通 过 弹 窗 的 方式 阻止受 害者操 作 屏幕 




    20 1 4 年 5 月 , 安 卓 Po lic e 家 族 出 现 安卓 。 Po l i ce 家族 的 一

    个著名 样 本 是 Ko l er



    它 伪装成成人应用 当 某些 国 家 的 安卓用 户访 问 些可疑 的 成人 网 站 时 就可 能 下




    , ,

    载到 个名 为 a n i m a l p o m ap k 的 虚假成人应用 旦 该 应 用 被安 装 它 将 激活 Ko
    一 一




    l er 

    W Q7
    并 显示 条 执法机构 消 息 指控用 户 观 看 色 情 内 容 并 要求 支付罚 款 有大约




    1 Q ]



    48 个 色 情 网 站被 Ko l er 感染 。 此外 , 在安 装 过 程 中 , 设备 的 部分 信 息 会 被 收 集 并 发 送


    到 C &C 服务器 , 如 I ME I 号 。 之后 , 它 会 锁 定设 备 , 打开

    个浏 览器页面 , 在 主屏幕

    77


    北 京 邮 电 大学 工 学 博 士学 位 论 文 

    上持续 显示 个报告 声明 由 于 安全违规 所有 文 件都加 密 了 但事实 上这个 报 告是





    , ,

    假的 它 根本不加密 文件 _ _
    也是第 个具备 我复 制 行为 的 安卓勒索 应


    _

    Ko


    。 l er 自

    用 ,
    它会 自 动 向 受 感染设 备 的 联 系 人 列 表 中 的每 个 人 发送包 含蠕 虫 下 载 链 接 的 消 息 

    之后 , 攻击者改 进 了  Ko l er , 使 其 能 够 提 供 定 制 攻击 , 并 能感染 移动 或 PC 用 户 。 


    过 ,
    20 1 4 年 7 月 以后 ,
    Ko l er 的 移动组 件被 关 闭 ?
    其 C&C 服 务 器 向 受感 染 的 设备 发


    送卸 载 命令并 删 除 了 恶意 应 用 , 但 PC 用 户 的 恶 意 组 件 仍 处于 活跃状态 6 月 份 

    Ji su t
    和 S vpe ng 出 现 。 Sv
    pe ng
    P l

    也通 过持续 显 示 罚 款 信息 来 劫 持屏幕 ,
    它 指控受 害者


    访问 了 非法色情 内容 。
    在其 发布 的

    个月 内 .

    就感染 了 超过 90 万 个设备 [
    1 1

    火 S v peng

    利 用 驱动程序下载 、 恶意 电子 邮件附件 、 假 视 频 播放 器 、 A dobe F  l ash 的 更新 等 来 感




    nx
    染 移动 设备 被发现 它 伪 装 成 应 用 更新 包来 传播
    n 2
    月 份 L o c kD r o

    〇 d
    ] i

    。 1 i 


    , ,

    的 安全专 家发现

    被 是 单词

    年 L o c ker Tr e n d M F L o c ke r
    1 1

    20 月 F Fr a n
    1 ]

    5 5 c ro


    1 i 。

       


    这些 专 家 已 经 发 现 了 超过
    “ ”
    t i c  和 L o c ke r 的 组合 。 7 0 0 0 种 
    FL o c k e r  的 变 体 ,
    它的


    制 作者

    直在更新和 创 建新 的 变 体 , 以 改 进它 的 程 序 和 躲避检 测 系 统 。 FL o c k e r 的常


    见 变 种 针 对移 动 设 备 和 智 能 电 视 。 例如 ,
    变 体安卓 . L o c k dr o i d . E 能够 锁 定安卓智 能 电



    视 感染 个设备 分钟 后开 始运行它 的 程 序 它会启动 后台 服务 



    F L o c ke r 0

    。 3
    , ,

    求 设 备管理 员 权 限 。
    如 果 用 户 拒绝 了 它 的请 求 ,
    它 将立 即 冻 结屏幕 , 并显示

    个假的


    系统更新 。 此外 ,
    FL o c k e r 在后 台运行并与 C&C 服务器通信 ,
    C&C 服务器将提 供


    个带有 HT ML 文件和 Ja v a S cr
    i p

    接 口 的 新有 效 载 荷 。 H T ML 页面能够初 始化 AP K ,



    通过使用 J a v a S cr
    i pt 接 口 对用 户拍照 。 这些 照 片 将 会 显 示 在赎 金 页 面上 。 此外 ,
    C&C

    服务器还 收集设备 信息 , 如 电 话号码 、


    位置和联系 人 ,
    并 使 用 硬编 码 的 AE S 密钥进


    _
    行加 密 

    20 7 年 月 在 Go og ePl a y 商店 中 发 现 了 个能 够 锁 定 用 户 设备 的 远程控制 后


    1 1 l

    门 木马 ,
    它伪装成 一

    个名 为 E nerg y R e s c u e 的 节能 应 用 程序 ,
    这个恶意软 件被称为


    C h arg e# ' 它 可 以 获取联 系 人和 安装 的 应 用 程序 列 表 C h arg e r 根 据攻击 者 命 令 能


    锁 定 或 解 锁被 感染 设备 ,
    索要 0 2 .

    比 特 币 的 赎金 。 它 还 可 以 从 受 感染 的 设备 提取 和 发


    送短信 ,
    包括收 件箱 ,
    已 发送 文 件夹 和 草稿 文 件夹 。 C h arg e r 是第

    个能通过 Goog l 

    P l ay 安全 检 查 的 屏幕 劫持型勒索 应 用 

    年 款名 为 的勒索应用 被 发现 将 己伪

    月 Cov d Lock C ov dLoc k 



    1 1

    2020


    1 ]

    ? i 。 i

    装 成名 为 C OVI D 1 9T R A C KE R 的 自 称能 实 时追踪新 冠疫情爆 发情况 的 应 用 。


    安装 以


    后 它 会请求 锁屏权 限 旦获得 就会 直弹 窗 阻 碍正 常 使 用 并索要赎金
    一 一




    . .

    表 6

    2 中 展 示 了 安卓 版 本变 化 与 屏幕 资 源劫 持 实 现方法 变 化 。
    在安卓 4 版本 .




    索应用 申 请 
    S Y S T EM _
    A L E RT W ND O W _

     这 一

    权 限成功 后 ,
    T Y PE _
    S Y S TEM _
    A L E RT 

    T Y PE _
    S Y S TE M E R R O R _
    等 高级 别 窗 口 可 以将其 窗 口 置顶 。 另外 .

    勒 索 应 用 还 可通 过


    get
    R unn i n g Ta s k s 、
    ge
    t Runn i n
    gApp
    Pro c e s s e s 、
    get
    A p p Ta s k s  三 种 方 法 完 成弹窗 

    到 了 安卓 5 版本 .
    窗 口 顶置仍 能通过 申 请 S Y S T E M A L E RT W N D O W
    _ _

    权 限达

    7 8



    第 六章 K R PROV E :

    攻击者 视 角 的 新 型勒索 技 术

    表 6

    2 安卓版 本与 屏 幕资 源 劫持 实 现 方 法

    系 统 版本 屏幕资 源劫持
     

    窗 
    口 顶置 :

    申请 
    S Y S TEM _
    A LE RT W I ND O W _
     权限 

    A nd ro i d4

    弹窗 :

    使用 g
    et R u nn i n g Ta s k s ,
     g e t R u nn i n g A pp P r o c e s s e s

    窗 口 顶置 :

    申请 
    S Y S TE M _
    A LERT W I N D OW _
     权限 

    A n dro i d5

    弹窗 :

    通过 
    A c ce s s i b i li ty

    A n dro i d6 

     A n d ro d7  窗 口 i
    顶置 :

    动态授权 
    S Y S TE M A L E RT W I ND OW
    _

     _

    A nd r o d S i 

     A nd r o i d lO 窗 口 顶 置 

    使用  TY PE A P PL I C AT I O N OV ER L AY
    _ _
     窗口

    成 但 ge
    , 
    t R u nn i n g Ta s k s  被弃 用 , get
    R unn i n g App P r o c e s s e s  和  ge
    t A pp Ta s k s  的 使用 受到 限


    制 ,

    定 程 度 上 抑 制 了 部分 勒索 应 用 的 出 现 。 但是 A c ce s s i b i l it y 替代 g e t R u n n i n g Ta s k s

    接 口 被 用 作 劫 持 诈骗 类 木 马 的 行 为 越 来 越 多 。
    安卓 Ac ce s s i b i l i ty 也 被称 为 无 障 碍 辅 助


    功能 , 其 初 衷 是为 了 辅 助残 障 人士 。
    部 分 安卓 用 户 因 为 年 龄 或 身 体 的 原 因 ,
    无法与 安


    卓 设 备 充 分 的 进行 交 互 , 例 如 无法 看 到 完 整 的 屏幕 、 难 以 使 用 触屏 、
    听 不 清 语音 等 

    为 了 解决 上 述 问 题 , g o o g le 提供 了 
    A c ces s i b i l it y 功 能 和 服 务 帮 助 这类 用 户 能 够 更加 方


    便 地 操作 设 备 。 Ac c e s s i bi lit
    y 的免 RO OT 自 动 安 装 被攻击者 利 用 , 勒 索 应 用 无 需征 求


    用 户 同意即可 自 动 完成安装 

    安卓 到 安卓 版本 S Y S TE M A L E RT W I N D OW 权 限 开 始被 列 为 种 危 险程


    6 7 ,
    _ _

    度 较 高 的 权 限 而 被 特殊 处 理 , 开 发者必须在 使 用 前动 态获 得用 户 授权 

    安卓 开始 S Y S TE M A L E RT W I ND OW 权限的 使用 进 步 受 限 对于 第 三方


    自 8 , _ _

    应 用 程 序 而 言 该 权 限保护 下 的 ,
    T Y PE _
    S Y S TEM _
    A LE RT T Y P E 、 _
    S Y S T E M O V E RL AY _


    T Y PE _
    S Y S TE M _
    E_ R 等 几类勒 索 应 用 常 用 窗 口 完 全被 禁用 。
    即 使获得 了 用 户动态


    授权 , 使 用 这 几种 窗 口 也 会 触 发 窗 口 类 型 错误 。 T Y PE A P P L I C AT I O N O V E R L AY
    _
    _



    窗 口 类 型 开 始被勒 索 应 用 运 用 ,
    虽 然 这类 型 窗 口 能 覆盖其 他 第 三 方 应 用 的 窗 口 , 但却


    会 始 终 位 于 系 统状 态栏 与 输 入 法 窗 口 之 下 , 抢 夺 屏幕 资 源 的 效 果 有 所减 弱 

    6 2 3
    . .
    文件 加 密技术

    年 月 S i mploc ker 被发现 其被认 为 是 第 种 针 对安 卓 设 备 的 文 件 加 密




    20 1 4 5 , ,

    型勒 索 应 用 。 S i m p l o c ke r 使用 25 6 位 AE S 密 钥 对称 加 密 对 用 户 设备 上 的 文 件进行
    ( 
     )

    加密 。
    该 密 钥 包 含在应 用 代 码 中 ,
    意 味着它不 需要 与 C &C 服 务 器 通 信来 完 成 其 加 密


    过程 。 攻 击 者 可 以 通 过短 信 发 送 命 令 ,
    比如 加 密 解密用 户 的 文件 / 。 此外 , 在较早 的


    安卓操作 系 统版本 中 , 图 像 和 流 媒 体 等 文 件都存 储 在 不 受 保 护 的 外 部 SD 存 储卡 上 

    因此 , 像 S i m p l o c ke r 这 样 的 勒 索 应 用 可 以 访 问 存储在存 储 卡 中 的 文 件 , 并对它 们 进

    79


    北 京 邮 电 大学 工 学 博 士 学 位 论 文 


    行 加密 和 被发现 家族 的 些样本 旦 运行 就会


    1 1 9]
    月 Pl e t o r S m al l S m al l
    一 一


    。 。
    , ,

    请 求 设备 管 理 员 权 限 , 以 防 止 被删 除 。
    紧接 着 ’
    它 们 会 显示 一

    条要 求 赎金 的 信息 , 


    屏 幕 上 覆 盖所有 其 他 窗 口 , 使 得该 设备 无 法 使 用 。 在 劫 持屏幕 后 ,
    它 还 会 继 续对 用 户


    存 储 卡 中 的 文 件进行 加 密 

    _
    20 年 月 Fu s o b 被发现 Fu s o b 会 请 求 设备 管理 员 权 限 并 显示 条消


    1 5 1


    息 ,
    通知 用 户 设备 正 在 更 新 。 虽 然 设备仍 然 可 以 使用 , 但 Fu s ob 会用 自 己 的 弹 窗 覆盖


    住 设备 设 置 界 面 , 从 而 阻 止访 问 这 些设置 , 以 此 保护 自 己 不 被移 除 。 同时 ,
    Fu s o b 


    收 集 设备 和 用 户 信息 并 将其 发 送 给 C&C 服 务器 。 之后等待 C &C 服 务器 的 命 令 来 加



    密文件 。 5 月 ,
    Xb o t
    被发现 。 Xb o t
    通过仿造 Go og l e  P l ay 支 付界面 以 及 7 家不 同

    银行应 用 的登录页 面 , 窃 取受 害者 的 银行 凭证 和 信 用 卡 信息 。 它 还可 以 加 密用 户在外




    部存 储器 ( 如 SD 卡 ) 中 的 文件 ,
    然 后索要 一

    张 1 00 美元 的 P a y P al 现 金 卡 作 为 赎金 

    此外 ,
    Xb o t
    还 窃 取 所有 短信 和 联 系 信 息 , 拦 截某 些 短信 , 并 解析 银 行 发 送 的 

    M TAN

    ( 移 动 交 易 认证号 ) 短信 

    被发现 它 伪 装 成 游 戏 软 件 的 插件 进 行 传 播 


    22 ]
    年 Wa m a L o ck e r

    20 月

    1 7 6 ,


    够 读 写 外 部存 储器 来 窃 取 和 加 密 文 件 


    被发现 这款安卓勒索应 用 可 以 对文件进行



    年 B l ac k R o s e L u c y

    4 月

    2020 ,
     

    加密 , 并冒充 FB I 欺骗 受 害 者提供信 用 卡 信息 。 它 指 控受 害 者 在 手 机 上 存 储 色 情 内

    容 ,
    并 威 胁说 他 们 的 详 细 信 息 已 经 上 传 到 FB I 网 络 犯 罪 部 门 的 数据 中 心 。 B l ac k Ro s e
     


    通 过各 种 社 交 媒 体 和 短 信 传 播 伪装成 视频 流 优 化器 诱使用 户 启 用 安卓 的

    L u cy , , 

    可访 问 性 服务 , 并 授 予 管理 权 限 , 从而 可 以 加 密文件 

    表 6 -

    3 安卓 版 本与 文 件 加 密 实 现方 法

    系 统 版 本 文 件 加 密

    A n d ro i d4 

    A nd r o i d6 申 请 
    W R I T E EX T ER NA L _ _
    S T OR A G E  权 限 写 外 部存 储

    通过 O P E N E X T ER N A L D I R E C
    _
    T O RY _
    行 为 在 外 部存 储 中 申请


    A n d ro i d7 

    A n dr o i d9

    创 建可 写 目 录 , 方 可 对 外 部存 储 进行 写 操 作
     

    A n dro i dlO 与 A n dro i d9 方式 一

    样 ,
    但 访 问 别 的 应 用 的 存 储分 区 受 到 了 限制

    表 6 3

    中 展 示 了 安卓 版 本 变 化 与 文 件 加 密 实 现 方 法 变 化 。 安卓 4 版 本 到 安卓 

    版本期 间 , 勒 索 应 用 可 通 过 申 请 WR I T E E X T E R NA L
    _ _
    S T O R AG E 权 限 来 写 外 部 存储 

    有 了 该 权 限 勒 索 应 用 即 可 对外 部 存 储 中 的 文 件 进 行 加 密 , 妨碍 用 户 对 外 部 存 储 中 的


    数据 的 使 用 

    安卓 7 到 安卓 9 期间 , 要 写 外 部存 储 还 需 创 建 可 写 目 录 。 具体而言 , 首先通过


    O P E N E X T E R NA L D I R E C T O RY 行 为 在外 部存 储 中 申 请创 建 个可 写 目 录 方 可对


    _
    _

    80



    第 六章 K R P R OV E :
    攻击者 视 角 的 新 型勒 索 技 术

    外 部存 储 进 行 写 操 作 。 同时 , 应用 的 私有 目 录受 到 保 护 ,
    应 用 的 私 有 目 录被 限 制 访


    问 ,
    文 件 所 有者将 无 法 通 过 设 置 私 有 文 件 访 问 模 式 为 m od e wo r l d re a da b l e
    _

     _

    与 M OD E W O R L D W R I TE A B L E
    _ _ 来 开放 私 有 文 件 的 读 写 权 限 此 外 通 过 ;

    ile
    f : /// URI


    也 无 法 访 问 到 应 用 包之 外 的 路径 ;
    D ow n l o a dM an a g er 变成 不 能通过文件名 来共享


    私 有 文 件 的 信息 。 这 些 新 的 机 制 都 限 制 了 勒 索 应 用 访 问 应 用 的 私 有 文 件 避 免这 些 私

     ,

    有 文 件被 勒 索 应 用 加 密 

    安卓 1 0 版 本开 始 对 /
    pr o c / n e t 文件 系统 的访 问 权 限实施 限 制 , 各个 应 用 有 了 各 自

    的存储分 区 个 应 用 对 别 的 应 用 的 存储 分 区 的 访 问 也 受 到 了 定限制
    一 一




    6 2 4
    . .
    其 他 技术

    1 .

    按键屏蔽技术


    按 键屏 蔽技 术并 非为 种典型 的 勒 索 技 术 它通常作为 种 辅助勒索 的 形 式 出


    一 一

    现在 勒 索 应 用 当 中 ,
    通 过控 制 勒 索 应 用 对 屏 幕 资 源 的 持 续 占 用 , 迫使用 户 交纳 赎金 

    按 键 屏 蔽 技 术 与 勒 索 应 用 的 结 合 最早 出 现 在 20 1 4 年的 Ko l er 家族 中 ,
    Ko l er 家族


    为 屏 幕 资 源 劫 持 型勒 索 应 用 , 勒索 应 用 被激 活 后 勒 索 应 用 会将其 应 用 界面 会设置 为

     ,

    顶置 窗 口 , 同 时对 用 户 设备 的 Home 键 与 B ac k 键 进 行按 键 屏 蔽 ,
    防止 用 户 通过点 击


    上述按 键 退 出 应 用 界面 。 部分 应 用 对 用 户 设备 的 电 源 键 同 样 进 行 了 屏 蔽 利 用 该方 式

     ,

    使 用 户 设 备 无 法 进 行熄 屏 与 关 机 , 使勒 索 应 用 被 顶 置 窗 口 的 儿童 色 情 视 频 不 断播 放 

    表 6 -

    4 安卓 版 本 与 按键 屏 蔽 实 现方 法

    系 统版 本 按键屏蔽
     

    Hom e 键屏蔽 :
    反编译安卓 系 统源码 

    B ac k 键屏蔽 :

    重写 o nKey D ow n 

    A n d ro i d 4
    

    电 源 键屏蔽 :
    通过


    " "
    <  an dr o i d n a m e =
    : a n d ro i d .

    p er m i s s i o n . D E V I CE P O W E R _
    / 

    H om e 键屏蔽 :
    不可屏蔽 

    A n d ro d S A n dro d 10
     B ac k 键 屏 蔽 重写 o n Ke y D ow n

    i   i 

      

    电 源键屏蔽 :

    不可屏蔽 

    随着安卓 5 版本的 发布 , 安卓 已 不 支持 电 源 键 的 屏蔽 。 20 1 5 年开始 , 屏幕 劫 持




    型勒 索 应 用 仅 具 有 H o me 键 屏 蔽功 能 与 B a ck 键屏 蔽功 能 。
    据 20 1 9 年 C o v ew a r e 发布


    的 报 告显示 ,
    20 1 8 年 , 在 个 别 勒 索 样本 中 已 经 被 发 现其 同 时 具 有 屏 幕 资 源 劫 持行 为


    与 文件 加 密 行 为 。
    其中 , 屏 幕 资 源 劫 持 行为 中 伴 有 Home 键与 B ack 键 的屏 蔽行为 

    8 


    北 京 邮 电 大学 工 学博 士学 位 论 文 

    表 6 4

    中 展 示 了 安卓 版 本变 化 与 按 键 屏 蔽 实 现 方 法 变 化 。 在 安卓 4 版本 , 要屏蔽


    H om e 键必 须 反编 译安 卓 系 统 源 码 ;
    B ack 键 的 屏 蔽可 通过重 写 o n K ey D o w n Q 方法 完


    权 限完 成 电 源键 的屏蔽

    成 可通过 申 请


    a n dro i d p erm i s s i o n
    . . D E V C E P OW E R
    I _


    自 安卓 5 版 本 开始 对 可 能 产 生 危 害 的 权 限 的 限 制 导 致

    Home 键和 电 源 键不 再能


    被 第 三方 应 用 开 发者屏 蔽 而 B ac k 键仍 直 能 通过 重 写 o n Ke y D o w n O 方法 被 屏 蔽

    。 

    2 .
    信息窃取技术


    信 息 窃 取 技 术 通 常 作 为 勒 索 应 用 进行数 据 劫 持 时 的 种辅助 技 术 出 现 攻击 者


    通 常 通 过将 用 户 隐 私 数 据 进 行 窃 取 并 转 移 到 远 端 服 务器 ,
    之 后通过文件加 密或 文件


    删 除 的 形 式 完 成 对 数据 的 劫 持 , 迫 使 用 户 通 过 交 纳 赎金 换取 数 据 

    表 6 -

    5 安卓 版 本 与 信 息 窃 取 实 现 方 法

    系统版本 信息 窃 取
     

    A n d ro i d 4
     

     A n dr o i d 6 
    申 请 G ET A C C OUN T S
    _ 获 取 设备 上 账 户 信 息

    弃用 G E T A C C OUN T S
    _
    权限 , 直接通过 A c c ou n M a n a g e r
    t 


    A n dro i d 7
     

     A n d ro i d 9

     

    g e tA c c o u nt s O 方 法 获取 设 备 上 账 户 信 息

    仍 可通过 A c c ou n M a n ag er

    的 get
    A cc o u n t s 〇 方法 获 取 设 备 上 账


    A n dro d i  10

    户 信息 , 但 部 分 信息 受 限

    表 6 5 中 展 示 了 安 卓 版 本 变 化与 信 息 窃 取 实 现方法 变 化 安卓 4 版本 到 安 卓 6 


    本期 间 , 勒索应用 可通过 申 请 G E T AC C O UN T S
    _
    权 限 来 获 取 到 设备 上 的 账 户 信 息 

    自 安卓 7 版本 开 始 ,
    G E T A C C OUN T S
    _ 权 限 逐 渐 被勒 索 应 用 弃 用 , 因 为勒索应用


    可 以直接 通过 A c c o u n M an a g er

    的 g et
    Ac cou n ts
    () 方法 获取 到 设 备 上 的 账 户 信 息 

    安卓 9 版 本新 增 的 系 列 措 施 能 避 免勒 索 应 用 窃 取 到 用 户 信 息 第 统 的指


    一 一 一


    纹 身 份验 证对话框 , 系 统提供 统

    标 准 化 的 指 纹 身 份 验 证 对话 框 ,
    包 括 对话 框 外 观 

    风格和 位置 ,
    这让 用 户 可 以 更 放 心 地 确 信 , 他 们 是 在 根据 可 信 的 指纹凭据 检 查 程 序 验


    证身份 。
    第二 ,
    可信用 户 确认 , 如 果 用 户 接 受该 声 明 ,
    应用 会收 到 由 密钥 哈希消 息身


    份 验证 代 码 (
    H M AC ) 保护 的 加 密 签名 。
    该签名 由 可 信 执 行 环 境 TEE ( ) 生成 , 该环境


    会 对 显 示 的 确 认 对话 框 以 及 用 户 输 入 进 行 保 护 。 该 签名 具 有 很 高 的 可 信 度 它 表 示 用

     ,

    户 已 看过声 明 并 同 意其 内 容 。 第三 , 当 麦克风 、
    摄 像 头 或 传 感器 空 闲 时 , 应用 程序将


    不 再 能 够访 问 它 们 。 所有应用 都使用 H TT P S 协 议增 强 了 信 息 安 全 性 

    安卓 1 0 版 本 的 新 举措 也 进 一

    步 限 制 了 勒 索 应用 窃取应用 数据 。 第

    , 新增 的 分


    区 存 储 可 提供 对 特 定 于 应 用 的 文 件 和 媒 体 集 合 的 访 问 权 限 。 第二 , 增 强 了 用 户 对位置


    权 限 的控制 力 , 可 让 用 户 更好地 控 制 应 用 对 设 备 位 置 信 息 的 访 问 权 限 。 第三 , 不可重


    置 的 硬件标 识 符 , 这 对 设备 序 列 号 和 I MEI 的 访 问 实 施 了 限制 。
    第四 , 限制 了 应用 对

    82



    第 六章 KR P R OV E :

    攻击 者 视 角 的 新 型 勒 索 技 术

    屏幕 内 容 的 访 问 

    由 上述 分 析 可 知 , 主 流 的勒 索 技 术 的 纵 向 的 发 展 已 经 得到 安 全 人 员 的 广 泛 关 注 

    安 卓 系 统 也 为 了 应 对 不 断 升 级 的 勒 索 技 术 不 断 进 行 更新 。
    对于 未 出 现 的 , 如 利 用 信道


    传 输 进行数据窃 取 等 其 他 形 式 的 勒 索技 术 , 目 前 的 预 防手段还 不 够 成 熟 。 对于 新 型 勒


    索 技 术 的 研 究 仍 需进行 不 断探索 

    6 3

    新型 勒 索技术发 展趋势

    在本节 中 , 本文将 介绍 KR P R O V E , 这是 一

    个安 卓 上勒 索 应 用 的 概念 证 明 , 可用

    于勒 索受 害 者或安卓上 的攻击设备 。 本 文希望 KR P R O V E 能够识别 出 开 发勒索 应用



    的 困 难 或 攻击 者 花 费 最 多 时 间 的 问 题 。
    通 过这种 方式 ,
    它 可 以 帮 助 用 户 或 安全 分析师


    使 用 适 当 的 策 略 来 保 护 安 卓 终 端 设 备 免 受 勒 索 应 用 的攻击 

    6 3 1
    . .
    新型 勒 索 技术模式分析

    1 .

    基于 DNS 劫持的通信劫持


    图 6


    展 示 了 在 安 卓 设 备 上 进行 DN S 劫 持 的 实 现手段 。
    它 通 过破坏 DNS 查询 

    来 阻 止主 机 正 常 获取 DNS 。
    攻击 者 通 过控 制 域名 的 解 析 并 修 改 域名 , 使其不能正 常


    访问 特定的 网址 ,
    而 是访 问 修改 后 的 i

    从而实 现 DN S 劫持 

    劫持
    DN S

    " *

    V PN RO U T E= 


    i va e s a
    pr t  t t i
    c  f i na  i
    r 
    _

    0 0 0 0 .





    pr v a i t e sta t c  S
     i V P N  D N S4 
    = 
    8 8 8 8  

    Bu i l der b u  i l der 

     n ew  8u Hd er ( ) ;  ;
    赛


    e Dn s Se VP N D N S4

    bu i
    l d r  ad <J r ve r
    ( _ ) 

    bu i l
    d er a d d .
    Rou t e (
    VP N _
    D N S4 ,
    32 )

     

    F i l eC h a n ne l  v
    pn
    l n
    pu t 

     new F  i l e l npu t S t r eam (

    pn F i e D es cr p o i i r

    get Ch a n n e i

    { ) 

    B yt e B u e r b u f f e r To Ne w ork =
    B y e Buf e P oo a cq u e

    f f  t   t f r r







    ( ) ;

    P a cke t
     pac
    k et

     n ew  P a ck et

    bu ff e r To N e w o r k t

    ;    —  



    n t  r e a d B te s   v
    pn npu t r ea d b u f e r To N e t w o r k

    i i .


    ( )

    f a cket sU DP〇

    i . i

     ( )  

    d e v c e To i N e w ork U D P Q u e
    t u e ofe . r

    pa c ke t


     

    } 
    e se l 


     ( pa c
    ket . i
    sT C P〇 )  {  ■   

    d e v c e To it TC P Q u
    N e wor eu e of e
    i t .
    f r
    ( packet )

     


     

    ? ? ?

     <
     ③ 丨
    D N S 返 回 包 构建



    f  P a cke t 
    cu rr ent P a ck e t 

     m p u tQ ue u e po . l !

    ( ) ;   !



    By eB u t ff e r
     pac
    k et _
    bu f f e r= D n  s C h a nge .
    ha nd e l

    _
    dn s
    _

    acke t

    cu r r e nt P a c k e t



    t h s i . ou p u tQ t u e u e of e .
    rf
    p a ck e  b u fe r
     )7
    t ; 
      择 返 酸海 包



     ;

    F i
    i eCh a n ne l  v
    pn Ou t
    p ut 

     n ewF i l e Ou t
    p u tS f
    re a m (

    pn
    F i
    l e D e s cr i

    p t o r) .


    e t Chan n e l
    ( ) 

    B y e B uf e t f r  b u ffe rF r om N e wo t r k 

     n e t wo r k To D e v c e Q i u eue po
    l i

    ( )


    pnO u wr b u fe f om N e
    v i e ork

    pu t . t

    r r t v/



    图 6

    1 DNS 劫持 模 式 示 意图

    具体实现如下 :

    攻击者进行相 关配置 , 拦截 到 被攻击者 发送 DN S 请求 , 如图



    中 ①所示 ,
    主要使用 ad d D n s S erver 等函数 ; 然后 , 攻击者对拦 截 到 的 数据包 进 行 处


    理 , 对 数 据 包 进行 解 析 并 构 造 出 相 应 的 p acket ,
    如 图 中 @所示 ;
    攻击者进行 DNS 


    求解析 .

    并 构 造 出 含有 假 冒 i
    p 的 回包 , 如 图 中 @ 所示 ;
    最后 , 攻击者通过 wr i t e 函数


    将 回 包写 回 , 返 回 给被攻击者 虚 假包 , 如 图 中 ⑨所示 , 从此完 成基于 DN S 劫持的通

    8 3


    北京 邮 电 大学工学博士学 位论 文 

    信劫 持 

    2 .

    基于 中 间 人 攻击的 数据劫持


    图 6 2 -

    展 示 了 在 安 卓 设 备 上 进行 中 间 人 攻击 的 实 现 手 段 。 该攻击 主 要 通 过控 制 局


    域网 中 被 攻击 主 机 和 客 户 端 之 间 的 通 信 来 实 现 的 

    基 于 中 间 人 攻 击 的 数 据劫 持

    ^ 
    S nng

    P O RT


    R E D RECT I

    _
    CMD  {  a r
    p S poof 

     ne .
    v  T h rea d ( )  { 
     f^


    F'

    l r un f 


    ' 

    p t a b es l 

    t  n a t 

    A P RE RO UT N G
     I 

    j 
    D N AT 

    p 
    t cp 

     

       发J

    d or
    t 80 -

    o + A o p C o n te x et O
    + +
    p 

    t t

     

     . ;


    H t t
    pP o H T T P P RO XY P O R T 
    r xp S po o s a

      开 启瑞 口 转发 _

    a r f . t r t
    ( )




    ) ?

     A R P 欺骗

     )

      .

    ?^ eb S e v
    f^

    ② 
    S t

    補 
    F O R WA R D C O M M A N D S 一

     {  ,
    }  ;  ;

    Th

    H p P ro xy e ? s
    ea

    c as <
    ech o1> 4/ p  ?) s d

    p r oo o wa
     持 发给 服 务 器 的

    - ? ?

    y s/ n e
    : r
    s d  t t 
    l ;

    t / f

    / i r r


     ,    ;


    * "

    e ch o  1  >  /
    p r oc s y s n e / / t / i


    v6/ co n f / a l l
    / f o ward ng
    r i
      :

     数据 罗送 5 敗 击

     1



     卷O v e r r de i

     ;

     者主机


    pub l
    i c vok  J  ru n{ ) {
      使 周 N AT 机制  f

     Se ve

    AT T A C K Se v e rs S oc k e
    4)  S AR P ns
    修 源
    n i c r   v r r t
    t ;

    Q 

    ( ) i




    s e tR e u seA d d 

    ON WA Y H O ST =
    mSe D e u*

    f E  &  arp ch e a t way  0 r ver r s s r



    * 

    i !
    ( )
     ( ( _ _ )  )  {

    m3e verS b nd e vv
     
    r s
    r . i





     (
    ! t ar
    ge

    _


    . eq ua s l
     (
    Ap p Co n t ex t

     g
    e t G a te wa
    y{ ) ) )  I ne t S oc k e Ad d re s t s
     (
    A p p C on t e xt  ? 使 兩 N AT 机 割 将


    Ad d   数提包重 定 向 到


    a r
    ps po
    of  cm d 

     g
    etF i es D i r
    ( ) 
    + /
    a r
    ^s p o c 

    ge t l ne t r e ss
    ( )


    - 
     H TT P _
    P ROXY
    _
    P O RT )  被攻 击 主 机


    BAC K LOG  
    " " " "

    +  i n te r f a ce Na me+  -


     + a t r
    ge t
    _

    p
    + 
    ) ;



    +  Ap p C o n t e x t g e t G a e wa y O 

    t :



    e l se  

    . . .
    . . .





      

    图 6 2 基于 中 间 人 攻 击 的 数据 劫 持模 式 示 意 


    攻 击 者 对 被攻击 主 机 进 行 会 话 劫 持 是 实 现 中 间 人 攻击 的 前 提 5
    主 要包括 四 步 :




    先 通过5

    ptab l e s
    转 发 网 络 地 址 转 换 数据 包 , 如 图 中 ① 所示 ,
    主要 实 现于 P r o x y S e rv i ce

    类的 s t a rt H tt
    p P ro x y 方法 中 ;
    其次 , 攻击者 开 启 端 口 转 发 , 允 许 本 主 机 能 够转 发 数 据


    包 , 如 图 中 @所示 ,
    主要 实 现于 A rp S e r v i ce 类的 o n S t a rt C o m m a n d 方法 中 ;
    另外 , 攻击


    者进行单 向 ARP 投毒 , 声 称 自 己 就是 客 户 端 , 如图 中 @ 所示 ,
    主要实 现于 A rp S e r v i ce

    类的 o n S t art C o m m a n d 方法 中 最后 攻击者 使 用 S o c ke t 创建 个 We b s e r v e r 从而


    ; ,

    获 取 到 被 攻击 者 发 送 给 攻击 者 的 请 求 , 如 图 中 ④所示 。
    在完 成 会话劫 持 后 , 被攻击 主


    机 将 原 本 发 送 给 客 户 端 的 数 据 发 送 到 攻击 者 主 机 上 , 攻击 者 使 用 NAT 机制修改 了 数


    据包 的 源 I P , 客 户 端将 回 应 的 数据 包返 回 给攻击者主 机 , 攻击 者 使 用 AN T 机 制 将数


    据 包 重 定 向 到 被攻击 的 主 机 ,
    从 而 完 成基于 中 间 人攻击 的 数据劫 持 

    3 .
    基于 DNS 信 道 的 数据 劫 持


    图 6 -

    3 展示 了 在 安卓 设 备上基于 DN S 信道 的 数据 劫 持 的 实 现 手 段 。 通过 DNS 


    蔽 信 道 可 以 实 现 数据 传 输 .

    完 成 恶 意 信息 的 执 行 , 从 而 实 现 相 应 的 攻击 。 具体实现如


    下 :

    首先 , 客 户 端 的 恶意 应用 与 域名 服 务器 间 建立 DNS 隐 蔽 信道 , 具 体实现可 以 借


    助 And l o di n e 等工具 ;
    其次 , 客 户 端将加 密 后 的 窃 取 信息 构 造在 DNS 请求串 中 , 


    根据端 口 号 发送给相 应 的 域名 服务器 ; 然后 , 域名 服 务器 可 以 根据端 口 将该信息 转 发

    给其 他 服务端 ;
    最后 , 服 务 端通 过 对窃 取信息 进行解 密 , 即 可 得 到 想 要 的 数据 内 容 

    从 而 实 现基 于 DN S 隐 蔽 信道 的 数据 传 输 , 完 成基于 DNS 信道 的 数 据 劫 持 

    84



    第 六章 K R P R OV E :

    攻击 者视 角 的 新型勒索 技 术

    I n t ern et

    ort 5 3
    (p 


    n^ 〇r d 2 3456
     a c co u dm as sw




    nt a 1

    : i :

    J j

     N^
     

     7 1 4 獻 —


    M 

    DN S  res o n se t

     5 3


    p  

    ^ Xj gp
    NS
    二= 
      *? 3 〇

    7 5

    h—
     g a^  t
    職 ; T X7


    **




    ss H p



    DN S
     q ue ry (
    S OC K : xx


    1 S 2 xoc ?c 1 46  1 9 2 jcxxjoc 1 49  DNS


       发送 窃 取到 的 信息 

    b rd 7 5 TX T
    S ta n t
     qu e y 0x 1


    1 

    77 S 9e 23

    1 2 l . x ?c d u b  攻 志 者域 名 凝 努 器

    图 6

    3 基于 DN S 信 道 的 数据 劫 持 模 式 示 意 图

    6 3 2
    . .
    新 型 勒 索 技 术实 验验证

    为 了 更 好地 验 证 攻 击 者 视 角 的 新 型 勒 索 技 术 的 可 行性 , 本节 利 用 6 3 .

    节 中 提出 的


    安 卓 勒 索 应 用 行 为 验 证 框 架 对基于 DN S 信道 的 用 户 数据劫 持 、 基于 中 间 人攻击 的 通


    信 劫 持 与 基于 DN S 劫 持 的 通 信 劫 持 三 种 新 型 勒 索 应 用 攻击 技 术 进 行 了 验 证 , 

    实 验验
    证结 果 如 表 6 6

    所示 

    表 & 6 新 型 勒 索 应 用 攻 击技 术 在 安卓 不 同 版 本 上 的 验证

    基于 DN S 劫持的通信 基于中 间 人攻击的数 基于 DN S 信道的用 户




    系统版本


    劫 持 据 劫 持 数 据 劫 持

    An d ro i d 4 4  / . / /

    A n d ro d i  5 0 .  / /  /

    And ro i d 6 0 / . / /

    A n d ro i d 7 0 /  . / /

    A n d ro i d 8 0 /  . / /

    And ro i d 9 0 /  . / /

    A n d ro i 

    / / /


    1 0 0
    .

    由表 6

    6 可知 , 基于 DNS 信道 的 用 户 数据劫 持 、
    基于 中 间 人攻击 的 通 信劫 持 与

    基于 DN S 劫 持 的 通 信 劫 持 三 种 新 型 勒 索 应 用 攻击 技 术 均 能 够 在 安 卓 4 4 .

    版 本 至 安卓

    85


    北京 邮 电 大 学 工 学 博士学 位 论 文 

    1 0 0 .

    版 本上 实 现 

    1 .

    基于 DNS 劫持的通信劫持


    基于 DN S 劫 持 的 通 信劫 持 技 术 实 现将 以 在安卓 7 0 .
    版 本上 进行 的 实 验 验证结 果


    为 例 进行 展 示 。
    为 了 确 保测 试 的 准确性 , 每 次进行 实验验证 时 , 除 了 验证应 用 外 ,



    再运 行其 他 应 用 。 且默认 测 试 时勒 索 应 用 无特 殊 代 码 加 载 方 式 。 图 6 4

    展示 了 在 开 启


    KR P RO V E 中 D N S 通 信劫 持模块 后 的 真 机 测 试结果 。 该实验 以 ww w b a du
    . i . co m  (
    I P 

    1 1 0 24 2 6 8 4
    . . .

    ) 为 
    D N S劫 持 对 象 

    b 




    访间 a .
    co m 的 谞 求 遭 到 拒绝

    * ? T P 5 5 K SS 4 0 3




    ^B   


    a)  (
    b )

    会 令褪 务 0 X



    d b  sh d  

    SS l 

    7 s

    7 !


    C 

    图 6

    4 基于 DNS 劫持 的 通 信 劫 持验证 结 果


    a) 表明 DNS 劫 持 功 能 在 测 试设 备 上 已 开 启 ,
    此 时 勒 索 应 用 将对设备 发 出 的 对于


    w w w b a du m 的 DNS 请求进行劫 持 进 行 包 解 析之 后 重 新 构 建 个 DN S 回 包并 以


    . i . co

    DNS 为 a xom 的 身份返 回 给 用 户 。


    用 户 若 使 用 浏 览 器 对虚 假 DN S 进 行访 问 , 请求将


    会遭 到 拒绝 ,
    如 (
    b) 所示 。
    若使用 ping 命 令对 ww w ba du . i . com 所对 应的 I P 地址进行


    访问 , 如 (
    c ) 所示 ,
    可 以成功访 问 

    86



    第 六章 KR P R OVE :

    攻击 者 视角 的 新 型勒 索 技 术

    这说 明 了 基于 DNS 的 通 信劫 持功 能 开 启 后 ,
    能 够 成 功 对被 测 试 的 设 备进行 DNS

    劫持 , 验证 了 新 型 勒 索 应 用 能 够 使 用 基 于 DN S 劫 持 的 技 术 实 现通 信劫持 的 可 能 性 

    2 .
    基于 中 间 人 攻击 的通信 劫 持


    基于 中 间 人攻击 的 通 信劫 持 技 术 实 现 将 以 在 安卓 8 . 0 版 本上进行 的 实验验证结


    果 为 例 进 行 展示 。 为 了 确 保测 试 的 准确 性 , 每 次进行实验验证 时 , 除 了验证应 用 外 

    不 再运 行 其 他 应 用 。 且 默认测 试 时勒 索 应 用 无特殊 代 码 加 载 方式 。
    图 6

    5 展示 了 在 开


    启 K R P R O V E 中 中 间 人 攻 击模 块 后 的 真 机 测 试 结 果 

    ⑷ 表 明 中 间 人 攻 击 功 能 在 测 试设 备 上 已 开 启 ,
    此时 K R P R OV E 对设 备 发 出 的 网

    络请 求进行截获 。 图 (
    b) 展 示 了 该 测 试设备 与 ww w . t e s t



    v6 com

    进 行 通 信 时 的 详细


    数据 

    这 说 明 了 在 基 于 中 间 人 攻击 的 通 信 劫 持 功 能 开 启 后 ,
    能 够 成 功 对被 测 试 的 设备


    进 行 中 间 人 攻击 , 截 获 用 户 发 出 的 网 络请 求 , 验证 了 新 型 勒 索 应 用 能 够 使 用 基 于 中 间


    人攻击 的 技 术实 现通 信劫持 的 可 能性 

    bp p b ph

    I1


    a)  ( b)

    图 6 5 基于 中 间 & 攻 击 的 数 据 劫 持验 证 结 

    3 .
    基于 DNS 信道的 用 卢 数据劫持


    基于 DNS 信道 的 用 户 数据劫 持 技 术 实 现将 以 在安卓 9 0 .
    版 本 上 进 行 的 实 验验 证


    结果 为 例 进行展示 。
    为 了 确 保测 试 的 准 确 性 , 每 次 进行 实验验证 时 , 除 了 验证 应 用


    夕卜 ,
    不 再运 行 其 他 应 用 。 且 默认 测 试 时 勒 索 应 用 无 特 殊 代 码 加 载 方 式 。 图 6

    6 展示


    了 在 开 启 KR P R OV E 中 数 据 劫 持 模 块 后 的 真 机 测 试 结 果 。 该实验 中 , 安卓 设备 (
    I P 

    87


    北 京 邮 电 大 学工 学博 士学 位论 文 

    为 受控端 为 的 主 机 利 用 DN S 信道 传 输 数据
    * *
    1 0 28
    . . 1 气 1
    ) ; 向 I P 1 92 . 1 68 .
    * * *

    * * *





    B a se 64 在 线 缤码 解码  i ? 好海 的 3as e¥4  2 .
    钱3 馬 . 

    ?K 入? S行 Ba s?S4 编 5 効W 3 的 字 》

     i

    mm ^9

    3r , .

    ^ ?


    De oo ? i
    e }
     :  2?  G2S!  BS23

    Base& S
     ! S 賊關 離, ‘


    nv
    . 



    a)  ( b)

    m ?  em —
    ^^ S__ 篡 金 ?
    二 黑 叹 兔 灸 e


    ' "


    物   ^

    ! ? 0 
    ?  *

    c*
    f ? ?

    t  * ?  '

     ; t  S S I l M C  ???  f _ a ? v ^  J 

    吹  S e s a a c n  把 * 、 明 3 8  S w ? ?  O ws r t o n P 〇 n  ^




    l me t i : ; .


    ?2  ?  w ^ a—
     C ^ 9 MK  w s  ”  ¥ ? * ?

    i 2y ? y > ?? s? t s 





    ! i ; s


    F : x??  5 幻 。 * s

    * e > ? w w c  l *


    ? v v v *


    f 2 :
    乂 J
    k w <
    ?  ev? , i i <


    ix
    f ^i

    ^ 
    =  w
    M k f
    r 3 t*
    1 '

    j ? K

    t ? ? ! ? S r ; i

    : !  . v F : i

    ? 

    >*
    v -

    . v


    ^ c  p ; 
    SM 

    v?

    n t a ?  * ?a?  

    0 1 0 1  HMk r U ^ < -
     3 1 >
    hr
    t j ? i


    : > n e?at
    ? r eS ?  W J f

    ! ;
    > S < ?  S

    ?? i  ? ?* -

    £< 

    T? * i l j a * s h 交、

    i &H W i
    i ; ** *  < ? 4 e? K -

    2 ? ?4 S 

    M? j
    ?  0t?C

    > O



    r c s <
    < ?tM<  ?

    T i i w K >

    | j?*  4



    a 7

    ? j
    S f : 

    H? 〇K t
    ams 0 t> ?i H Kt s o*



    a .


    ■ z i nf a .
    t i
    li xi 


    K?de t i S ?tNan * ? ?? :
    t i
    s ? s s i
    &i 

    A f
    r Un?K  :
    0 i? 

    ?S  I 

    ■ it r M i X ^e . A^ / ^x yy

    V H? ?*? Wv eS eO
    t ?
    - "

    I  a 7 ?B ? ■

    <  ( H s n  ? ; ? o t T  5 


    tw
    f s a n V >
    ! ? S7 * 3 t * >
    H w i


    y 

    nw t
    r f
    r i wn StB *n l
    中 > T



    A t u i M r
    R i b 





    抝 密 耢 的 隐 私繼 - 数 据


    qw w*? 

    i s i



    i A S y y ) c
    f / V i
    AA AA  ? o w
    t ( S

    j t t me 





    l 咖 0 * ? > 


    y t r  AA AA l i f^ A M <

    ! ? .


    ? 

    C < u>  t


    ? i < 〇H〇 I 

    ! K〇r? ?K i ( ?
    擔A

    ( c 

    图 6

    6 基于 DNS 信 道 的 数 据 劫 持验 证 结 果

    表 明 基于 的 数据 劫 持 功 能 在 设 备 上 已 经 开 启 且该 设 备 与
    * * * * * *



    a) DNS ,
    1 92 . 1 68 . .

    建立 了 
    DN S 信道 在 本实 验 中 。
    , 用 户 设 备 上 的 手 机 号 码 被 认 为 是 隐 私 信息 。 在 信道 建


    立完 毕 后 , 受控 端 将 手 机 号 码 以 使 用 b a s e 64 进行 加 密 , 并 将 加 密 后 的 数据 利 用 DN S

    信道 向 1 92 . 1 68 .
    * **

    * * *
    传输 。
    如 (
    c ) 所示 , 在主机 1 92 . 1 68 .
    * * *

    * * *
    进行 流量抓 取 , 


    够 发 现 安卓 设 备 信道 向 传输 的加密
    * * * * * * *
     DN S 

    * * *

    I P :
    1 〇 28 . . 1 . 1
    ) 利用 1 92 . 1 68 . .

    信息 。
    如 (
    b) 所示 , 将该 信息 利 用 b a s e 64 解 码 器进 行 解 码 , 该信 息 为 用 户 设备上 的 手


    机号 码 
    1 987
    * * * *
    339 

    88



    第 六章 K R P ROV E :

    攻击者 视 角 的 新 型勒 索 技术

    这说 明 了 在基于 DN S 信道 的 数据 劫 持模 块 开 启 后 , 能 够 成功 对被 测 试 的 设 备 进


    行数据劫 持 , 验 证 了 新 型 勒 索 应 用 能 够 使 用 基于 DNS 信道 实 现数据 劫 持 的 可 能 性 

    6 4

    勒 索 行 为 验证框 架

    在 本节 中 本 文将介绍 KR P R O V E 这是 个安卓上勒 索 应 用 的 概念证 明 可用




    , , ,

    于 勒 索 受 害 者 或 安 卓 上 的 攻 击设 备 。 本 文希望 K R P ROV E 能够识 别 出 开 发勒索 应用



    的 困 难 或 攻击者 花 费 最 多 时 间 的 问 题 。 通 过这 种 方 式 , 它 可 以 帮助 用 户 或 安全分析师


    使 用 适 当 的 策 略 来 保护 安 卓 终 端设备 免受 勒 索 应 用 的 攻击 

    6 4
    . . 1 工作流程

    K R P R OV E 的 工 作流程 如 图 6

    7 所示 ,
    KR P R OV E 包 含 五 个 模块 , 分 别 是激 活模


    块 、
    设 备 劫 持模块 、
    数据 劫 持模块 、 通 信劫 持模块 和 策略选择模块 。 激 活 模块用 于加


    载勒索 代 码 , 以 确 保勒 索 应 用 能 够 成 功 被 激 活 。
    设备 劫持 模块 用 于 禁 用 设 备 , 使用 户


    无法 正 常 使 用 设备 。
    数据 劫 持 模 块 用 于 使 用 户 无 法 正 常 打 开 自 己 的 私 人文件 , 或窃取


    数据 对 用 户 进行 勒 索 通 信劫 持模 块 用 于 干 扰 用 户 与 外 界之 间 的 通 信 。 , 从 而对用 户 进


    行勒 索 。
    策 略 性选 择 模 块 用 于 对 KR P RO V E 提 供 的 不 同 模块 的 功 能 进 行 组 合 , 最终


    得到 自 定 义的勒索行为 

    激 活 模块
      劫 持 模块   

    ① 麟
    - 


      

    严索 代  

    f 禁 用欣

    卜 ?  丨

    降 备 镇定 涵 ⑤ 



    t 

     策路 送 择 模块


    正 常代码

    , 1

    辅 助 功 能 


    /
    丨 I
    ! ;


    /   禁 用 按 纽 ] | [  |
    禁 用U S B | |  激活 屏 蓴资 源 劫

     ,

    ② 勒 索 亨!
    〒可 运
     ̄  ̄  ̄


     |
    禁 用 电源键  |
    ? … "
    丨  七, .

      L 

     激 活①

    _ _ _ I

    / | 
    + 苽 密 文 件+ 窃


    激活 加载 取信 息
    了  令 数 据 劫 持 模 块 今



    ( 
     _ — 


     4

    / 、 加S \

    : 二二士 二 厂 ] 激 活 ② +
    屏幕资源

    
    丨 |

    … \

    … … 雙 … 

     \

    洛


    士件
     中 歐f
    e DN S l ^i 錢


     … 


    勒 索应 用  二二二二二二二二二二二二二二二 

    ③ 一



    正 常应用程 序
    申请 〇 \
    通 信 劫持 校 块  —

     00    勒索 行 为

    伪装 t \ r 二

     1


    l 


     ̄  ̄  ̄  ̄

     u D N 劫持


    嚇 筌用 1 I 1



    图 6

    7 K R P R OV E 工 作 流 程 示 意 图

    1 .

    激活 模块


    激活模块 用 于 加 载 能 够 成 功 激 活勒索行 为 的 代 码 。
    在本节 中 , 本 文将 介绍 三 种勒

    8 9


    北 京 邮 电 大 学 工学博 士学 位论 文 

    索 代 码 激活模式 , 包括加 载模式 、


    恢复模式 和 伪 装 模式 


    ) 加 载 模式 图 6

    8 所 示 的 加 载 勒 索 代 码 示 例 演 示 了 激 活 勒 索 应 用 后 如 何在 勒 索


    应 用 中 加 载勒 索 代 码 。 加 载 模式 中 的 勒索 应 用 在 激 活勒索 应 用 之 前不 会 加 载勒 索 代


    码 或 进行勒 索 。
    以图 6

    8 为例 ,
    原 始 应 用 程 序 将其 恶 意 代 码放在服务器 @上 , 用 来逃


    避静态勒 索 应 用 检测 当 应 用 程序被激活 了 定的时间 或 者 用 户 按下 应 用 程序 的某



    些按钮 ,
    例如登录 ,
    它将触 发 Dex C l a ss Lo ad er
    ③ ?从服务器下载勒索代 码-


    勒索应


    用 将勒索 代 码 保存在本地 后 将创 建 个新 实例 ⑦来 重新加 载 或 文件 这时



    ar . dex 。


    勒 索 应 用 就被 激 活 了 

    F o  *
    ben 


    i .
    t  i

    cla ss   {
    Press  l o

    m b u no a



    n g ur
    i Tst ^ ls oca wa
    w w w ja f com 

    S t ri

     / r e  :


    vo d i  4 

    4 S t m i
    f 
    r a a P aS i
    : ! :

     < k mT j 3 o a ^V i ? U a o u s P a > 1 〇 i 8 e wl
    f ( ) ;  l og s

     i

    Dcx Qa s s Loa kr Des CU s et r a a? 她



    i  l o adey neu i ioa c ' c a c i eP a j t l i _ au l i 、

    ?c
    t Cl a &s Lo ? df〇 )
    :  . 

    劣、


    Oa 置a c s o u 

    ks s

    Class  r a nC 

     dc t ss Loa dc r k w dC a l
    W sx m s i r wa re ! :

    Rsa soui a afe sn s on m a e raa C ass e ui o ^aacc O  do Lo i a  d o ?t oad  4




     r j   l j s s J
    g (



    a fC d oR a a s t

    raas o at a ea C
    - ) 


     )  4 4

    3 0  pm t e c^ d  o aC re 3 t ? 3 ?a d i*  s yce d l i ^ s a c e S t st e
    )^  t 〇 34  i ¥

    6 )

    3 1 ? '
    如£ 麟 £ <5 ^

    &说 aac 於 t a t? > :  

    1 2  …
    … 



    S a d ^ CA B ^ i d C K d o g a ) ?On C U Mi s oRa asoai


    汝


    ^^ v ^) ) 
    - -

    J i { < i -

    J ss i j < i

     i . :

    M>



    v c ?d k ) 2 i n









    图 扣 载 模式示 例


    ) 代 码恢复模式

    e zO e A PM  F low   b e rd g n   ^a l c as
    — -

    i l r f
    i c i 

    1 c ia s ?  f
    e i n Ac t l vi S y  e x t er d
    J .
    c Ap p C o s p ^ t A c t iv i ty
    {  P r ess  fu n c  but t o 

    1  St r in
    g
    e nc ry ped Pa yl oa dP st h ?
     /
     P?t r  of  en cry ! tat  p3 ! i c* ; J  .

    、






    2  vo i d  l o a < 3Sa n s c 3 B wa re ( ) { 
    A  St r i n  ^s c  &a y l c s d  h nc  d ec

    g  c e x at h  f

     d e c ry p t P a y l c sd C
    e n c r yped P a y load Ps t h ) ;
    r/ p z r
    ypt  (
    < s



    D exC l a s s l oa d er  l o ad e r  ?
     n ew  De x C Xa s s Lo ad e r

    < e xP a t h
    t J
    c a ch e? a t h ,
    nul l
    , g
    &t C i3 s s Load e r

    { } ) ;  i  

     


    " "

    C l a s s  ra nC l a s s   d e x C l a s s Load e r l G a dC l3 s s x3 xx x x R an s 〇3wa r e

    . < . . .

    < ) ;

    7  R an s o t R wa r

    e  r a n s oa w a r e  ?
     r s nC l a s s . n ew I n s ta n c e O  ;
    L oa d  -


    o 

     ran s on? a r
    d oR a r s on 

    8 e .

    } ;


    9 }  

    3 8  prot e ct ed  vo i d  o ^ re a t e r

    B und l e  sav e d I n s t enc e St a t e
    ) {  d o R sn s o?  

    i i supe r . on C re a t e (
    s av e d l n st a n cf
    eS t fCe ) ;  

    U


    f i n dvi ew By l d o On £ l ic k ten e

    R id l i n set ti s r v

    > I og i n
    g ) ;


    . . .

    ( )  ( ( )

    2 4
     

    1 5  

    图 6 -

    9 代码恢复模式示 例

    图 6

    9 中 所示 的 恢复勒 索 代 码 示 例 演 示 了 在激活勒 索 应 用 后 如 何恢复 勒 索 代 码 



    恢 复 模 式 中 的 勒 索 应 用 通 常 会 分 离勒 索 代 码 , 并 将其 伪 装 成 其 他 文 件 , 以逃避恶 意软


    件的检测 , 例如 , 带有 . JP G 后缀的 文件 。 以图 6

    9 为例 ,
    原 始 应 用 程序 将 其在 @ 中 的


    恶意 代 码 分离 并 加 密 为

    个 后缀 与 代 码 无 关 的 文 件 。 当 勒索应 用 被触发 时 , 这个伪装



    90



    第 六章 K RP R O VE :

    攻击 者 视 角 的 新 型勒 索 技 术

    的 文 件将被 解 密@ 并 恢 复 为 . de x 或 .


    ar 文件 。 之后 ?

    勒 索 应 用 将触 发 de xC l as s L oad er

    加载 .


    ar 或 . de x 文件③ ⑥ -

    。 这时 , 勒 索 应 用 就被激 活 了 

    3 ) 伪 装 模式


    图 6

    1 0 所示 的勒 索应用 伪 装 示 例 演示 了 勒索应用 如 何将 自 己 伪 装 成正 常 应 用 程


    序 , 并欺骗 用 户 获得 RO OT 权限 。
    伪 装 模式 中 勒 索 应 用 的 行 为 与 正 常 应 用 程序行 为 在



    函数 伪装 的应用 程序将 向

    开始 时是 致的 以图 6 0 为例 当 用 户触发 按钮时 


    。 1
    , :

    用 户 发送 根 权 限请 求 ? 。 在请求 许可后 , 勒 索 应 用 将调 用 o n R e q u e s t P e rm i s s i o n s Resu l 



    ⑧ ⑨ 来 判 断用 户 是否 已 授予 所需 的 权 限

    。 如果有 , 勒 索 应 用 将被 激 活 ,
    并将 自 动屏


    蔽 设备 或 数据 

    Di s s  F low 
    gui

     b en


    s i n

    i c la ss Ks i n Ac t i v i t
    y  AppC ?n ps t A ct i v i t
    y {  C
    ^e n  d i s g
    u i seda
    pp

    e rmi s s i on s  s
    s 和e t '
    巧
    p f
    r … … 






    i  prs tsctsd  ?o i d  o nC reat e {
    B u ndl e ¥ a v edln s ta n c e Si a t £ ) { 
    么  s s pe r . on C r e a t e (
    sa v gd l n s t s n c e St a t e
    ) ;  P re s s  f i wK B utton
    






    iy l
    f   


    fx n dV ie

    i d f S . id .
    nj n c }
    ? <

    〇 , 

    <  Req u e

    s etOr

    v Ac t ivit r e £ S t? e m or on t  p e n ri io n
    /C o x thi s
    n e r i s s i  pe
    L i5 ri ri s s i
    l i c > s S 1 s s s 




    c i

    . t r ! . ; :

    ( { , j ) ) ;


    C li c  v o d  on R e q ues t P e rt i s s i on s S e su l t in t  re q a e s tC od s  S t rm g [ e rm i s s i on s
    z \

     

    p
    i i

    p C 




    i nt
    [ ] g
    r 3n t Res u lts J {  func doRa n s o e 

     if  H
    y Ut i l
    P e rB i
     n 

    r *
    ve r f s or s rantR es u lt s  be

    9 t e r

    s s i 
    g
    . : 
    i 



    . :  -

    { ( g )

    ’
    〇 ;
    ’ 

    d o R 3 n s o ?e

    i i
     

    2 2  

    1 3  

    图 6 -

    1 0 伪 装模式示 例

    2 .

    设备 劫 持 模块


    设 备 劫 持 模块 用 于 禁 用 设 备 或 干 扰 用 户 正 常 使 用 设 备 。 如图 6

    7 所示 .

    设备劫持


    模块包 括 禁 用 行为 和 辅助 功 能 。
    禁 用 行为 指通 过 对设 备进行 加 密 , 使设备处 于 锁 定 状


    态 , 或 通过对屏幕 资 源掠 夺 , 使 用 户 无法 正 常 使 用 设 备 ;
    辅助 功 能 是 用 于提 供按 键屏


    蔽 、
    功 能 禁 用 等 服务 , 防止用 户 自 主 进 行设 备 与 屏 幕 资 源 的 恢 复 

    正 如文献 和文献 中提到 的 禁 用 模块包 含设 备 锁 定 和 屏 幕 资 源劫 持 设备





    8 (
    ^ 1
    63 ]


    锁 定行 为是强 制 删 除 用 户 设置 的 密 码 :
    重置新密 码 并 锁 定 设备 。 屏幕 资 源 劫 持是 指勒


    索 应 用 将其界面 显 示 为 设 备最 上面 的 界 面 , 使 用 户 无法 正 常 使 用 设备 。
    为 了 防止用

    户 成功退 出 勒索界面 , 辅助 行为 总 是 与 屏幕 资 源劫 持 同 时 出 现 。 例如 .

    当勒索应用 将


    其 Ac t i v i t
    y 设置到 栈顶 来劫持屏幕 资源 时 , 它总是禁 用 Home 按钮和 B ac k 按钮 来避


    免 用 户退 出 当 前界面 。
    为 了避免用 户在 AD B 的帮助 下恢复被劫持 的设备 , 勒索应用

    会 禁 用 设备 的 USB 接 口 , 以 确 保 用 户 在 给 出 密 码之 前无法在 其 他 终端 的 帮 助 下恢复




    设备 

    3 .

    数据劫持 模块


    数据 劫 持模块 通 过劫 持 用 户 的 个 人 数据对 用 户 进 行勒 索 , 迫使 用 户通过交纳 赎


    金 的 方式 换取被劫 持 的 数据 。
    如图 6

    7 所示 , 数据 劫 持 模 块 包 含 了 文 件 加 密 和 信 息 窃

    9 


    北 京 邮 电 大 学 工 学 博士 学 位 论 文 

    取 两 种 数 据劫 持 手 段 

    勒 索 应 用 在进 行 文 件 加 密 时 首 先 根 据其 自 定 义 的 规 则 遍 历搜 索设 备 上 所 有 疑

     , ,

    似 为 用 户 主 动 进 行存 储 的 文 件 ,
    并 对这 些 文 件 进行 加 密 操 作 使 用 户 的 文 件 处 于 不 能

     ,

    正 常打开 的 状态 。 用 户 若想 正 常 使 用 这 些 文件 , 需 要 按 照 攻击 者 留 下 的 账 户 信 息 和 联


    系 方 式 进行 赎 金 缴 纳 换 取 密 钥 

    为 了 防 止 用 户 通 过 逆 向 等 操 作 获 取 密 钥 并 成 功 恢复 文 件 , 文件加密行为通常会


    伴有 信息 窃 取 的 功 能 。 信 息 窃 取 的 实 现 手 段 包 含 基于 DN S 隐 蔽 信道 的 信 息 窃 取 与 基


    于 中 间 人 攻击 的 信 息 窃 取 。
    攻击 者 将 用 户 的 个 人 数 据 向 攻击 者 的 远 端 服 务 器 进行 传


    输后 , 将 用 户 的 本地 数 据进行 加 密 。 即 使用 户 可 能 通过逆 向 等 手 段 获取 密 钥 , 若用 户

    的 文 件 中 含有 不 雅 图 片 、
    商 业 机 密 文 件 等 攻击 者 依 然 可 以 以 远 端 服 务 器 中 的 数据 向
    , 

    用 户 进 行勒 索 

    4 .
    通 信 劫 持 模块


    通 信 劫 持 模 块 通 过对 用 户 与 外 界 的 正 常 通 信 进行 劫 持 ,
    达到 干扰用 户 与 外界进


    行信 息 交 互 的 效 果 , 迫 使 用 户 通 过 交 纳 赎金 的 方式 换 取通 信 的 正 常 。
    如图 6


    所示 

    通 信 劫 持模块 包 含 了 以 DN S 劫 持为 代 表 的 通 信劫持 手段 。
    以 DNS 劫持为例 , 攻击者


    通 过 对 用 户 访 问 的 网 站 的 域 名 进行解析 , 并 进行 修 改 , 使 其 访 问 攻击者 虚 构 的 特 定 域


    名 , 即 攻击者将 用 户 的 所 有 的 网 络 访 问 进行 劫 持 , 将其 重 定 向 到 虚 假 的 域名 , 从而使


    用 户 无 法 正 常 进行 网 络 访 问 

    5 .

    策略 选择 模 块


    策 略 选 择 模 块 用 于 策 略 组 合 从 而 得 到 最 终 的 勒 索行 为 ,
    。 K R P RO V E 的 激 活模块 

    设 备 劫 持 模 块 数据 劫 持 模 块 和 通 信 劫 持 模 块彼 此 独 立 各模块 内 部 的 子 功 能 相 互 独
    、 
     ,

    立 。
    该 模 块 支 持 用 户 通 过选 择 一

    个 或 多 个模 块 及 模块 内 部 的 子 功 能 , 进行 策 略组 合 

    进 行勒 索 行 为 的 生 成 

    6 4 2
    . .
    防御策略

    为 了 更 好 地 测 试 当 前 安 卓 端 应 对勒 索 应 用 的 防 御 策 略 , 本节 将借助 K R P R OV E

    模 拟具 有 不 同 行 为 的 勒 索 应 用 , 检 测 各 防 御 策 略面 对对 6 . 3 节 中 提 出 的 新型勒 索 技 术


    以 及 部分 常 见 的 勒 索 技 术 的 防护 效 果 。
    测 试结 果 如 表 6 7

    所示 

    R P ac k D r o

    i d 、 API RD S-

    、 H e D ro
    l i d 、 R a n s o m Gu ard  与 
    G re a E a t tl on 的 防护方案 旨 在


    对勒索 应 用 在 激 活 前 的 进行检 测 将其 识 别 为 勒 索 的 应 用 进行 卸 载 , , 以 此来 确 保 用 户


    的 设 备 与 数据 安 全 ,
    上述 方案 不 涉及 到 勒 索 应 用 运 行 时对 文 件加 密 的 阻 断 以 及 加 密


    后 对 文 件 资 源 的 恢复 。 上述 5 种 方 案 为基 于 静 态 分析 的 勒 索 应 用 检 测 方 案 。 由于 6 3
    .

    节提 出 的 3 种 新 型 勒 索 技 术 均 需 要 通 过 勒 索 应 用 被 激 活 后 在 运 行 时 进行 网 络传 输 或


    网 络劫持 来 实 现 , 因 此上述 5 种 方案在 面对 3 种 新型勒 索 技 术 时 , 均 不 能 成 功 对勒 索


    行 为 进行 识 别 ,
    达到 防护 的 目 的 

    92



    第 六章 K R PR OV E :

    攻击 者 视 角 的 新 型 勒 索 技 术

    表 6

    7 防 御效 果概 览

    ^ 
    加载 | I
    £ 
    代 码 恢复 伪装 加 密文 件 
    中 间 人 攻击
    I I I 
    DN 信道

    通 信劫 持 丨 
    R〇 〇T
     丨
    检 测   数 据 保护


     

    任意 个
     Z  



    _  _
    — 

    K R D R OI D /  —  —

     x x x

    任意 个或 无 任意 个或多 x
    一 一

     

    | 


     任 零二 ^Z I任 意 二 无




    K R P ROT E C T O R
    任意


    个或无




    










    任意

    个 或 无 /  ̄


    任意 一

    个 或 无 —



    KR R E C OV E R  任 意 一

    个或无 =  任 惫二个  —

     / x x

     任意 个或 无  /
    一 一   — 

     

    —  —






    任意 一

    个或无 

     x

    S DG u a r d  任意 一

    个或 无 任意 个  / x 



      
     任意 个 或 无 / 


    一 — —

     
     = 

    二  

    |  / /

    — —  —

    /

    R PackD ro

    i d  任意 一

    个 —

    /

    任意

    个或无 

     x x x

    任意 个 或无 任意 个或 多个


    一 一

    ><


      

    |   —


    / / —

      | |

    /

    API RD S  任 意

    个  |
     / 任 意 一

    ^或无  |

    x  x  x
    意 个 或 无 任 个或 多 x
    一 —

    g —

    y 卞  

    I    ^ /


     —

     I


    /
    H e Dr o
    l l d  任意

    个 —




    任意 一

    个或无 

     x x x

      任意

    个或 无 —

    任意 一

    个或 多个 



    - —  —

     ^ ^ —  — -  

    ^

    R a n s om G ua r d  任 意 一

    个 




    任意

    个或无 

     x x x

    任意 个 或 无 任 个或多 x
    一 —

      

    y |  

    —  —

     ^ ^ ^

    Gr e a t E a on  任意 个 / 任意 个 或无  x x x



    一 —

    tl

     

    任意 个 或无 任意 个或 多 x



      ̄
     |  


     任意 -

    个 无 任意 个或 无 -


    x
    丄 



    I —


     ̄  ̄

    TT ^ T T ^ Z T  任  完  /  任 意  7  /
    11
    TT T

    个或无

      
    一 等人的研究
    i ^ \


    ] - ^

    卜 丨

    任意 丽 1


    任意

    个或多;   hn 
    I 

    另外 , 当 K R P R OV E 的 激 活 模 块 开 启 了 加 载 模 式 或 代 码 恢 复 模 式 时 , 该 勒 索行 为


    的 恶 意 代 码 将在 应 用 被 激 活 后 , 釆 用 网 络 加 载 或 动 态恢复 的 方 式 进 行 恶 意 代 码 执 行 

    因此 , 若勒 索 应 用 使 用 了 上 述 2 种 代 码激活模式 ,
    无 论 其 釆 用 任 何 勒索 技 术 ,
    上述 防


    护方 案均 将 失 效 

    S D G u ar d 的 防 护 方 案 旨 在 保 护 用 户 的 文 件 不 被勒 索 应 用 加 密 。
    该方案 通过划 定


    安卓设备端 应 用 在 外存 能 够访 问 的 范 围 , 来 限 制 文 件不 被勒 索 应 用 加 密 以 此 来 确 保


    用 户 设 备 端 数据 的 安 全 , 该 方 案 不 涉 及 对勒 索 应 用 加 密 的 文 件 资 源 的 恢 复 。 由于 6 3
    .

    节 中 提 出 的 基于 DN S 的 通信劫 持 技 术 并 不 涉及文件 的 访 问 与 传 输 ,
    因此 , 若 勒索 应


    用 使用 该技术 ,
    S D G u ard 的 防 护 方案 将会失 效 

    另外 , 当 K R P ROV E 的 激 活 模 块 开 启 了 伪 装 模 式 时 , 被模 拟 的 勒 索 应 用 会 伪 装


    为 具 有遍 历 功 能 的 正 常 应 用 , 欺骗 用 户 打 开 其 能 够 遍 历外 存 的 权 限 。 例 如勒索 应用 若


    伪 装 为 音 乐 播放器 应 用 , 由 于 正 常 的 音 乐 播放 器 在 加 载 本 地 音 乐 时 , 需 要 对 设备 存 储

    93


    北京 邮 电 大学工学博士学位论 文 

    空 间 进行遍 历 ,
    则勒 索 应 用 将很容 易 被 赋予遍 历外 存 的 权 限 。 因此 .
    若勒 索 应 用 使 用

    了 上述激 活 模 式 , 无论 其 釆 用 任 何勒索 技 术 :
    上述 防护方 案 均 会 失 效 

    等 人提 出 的 方 案 中 提 到 的 防护方案 旨 在 以牺牲
    24
    R a n s o mPr o b e r 与 Mc

    n to sh
    丨 ] 

    部份 文 件 为 代 价 , 在勒 索 应 用 对 文 件加 密 后 .
    通 过 分 析 文 件 的 熵值等特征 , 对加 密 文


    件 的 应用 进行溯 源 , 从 而 识 别 出 设备上 的勒 索 应 用 并 对其进行卸 载 ,
    上述方 案 不 涉


    及 到 勒 索 应 用 运行 时对 文 件 加 密 的 阻 断 以 及 加 密 后对文件 资 源 的 恢复 。
    由 于 6 3

    节中

    提出的 3 种 新型勒索技 术不涉及对文件 的加 密 , 因此 , 若勒 索 应 用 使 用 这 3 种技术 



    上述 2 种方案均将失效 

    本 文 第 三 至 五 章提 出 的 KR D RO ID 、 K R P ROT E C TO R 与 KR R E C O V E R 旨 在 通 过


    对勒 索 激 活 前 进行 识 别 、
    勒 索 进行 中 进行告警 防 御 以 及勒 索 实 施 后对设备 及 文 件 资


    源进 行恢 复 , 三方 面 层 层 深 入地 形 成 面 向 设 备 与 数据 的 安 全 防 护 体 系 

    如表 6

    7 所示 ,
    KRD RO D 旨 在 利 用I
    静态 检 测 的 手段 ,
    通 过 对勒 索 应 用 被激 活 前


    的识 别 ,
    对恶意 应 用 进行卸 载 等 处置 。
    若勒索 应 用 的 恶意 代 码 需 要在运行 中 使 用 动 态


    加 载 或 外 部恢 复 的 方 式 进 行 还 原 , 或勒 索 应用 使用 了 
    6 3 .

    节 中提出 的 3
    种 基于 网 络数


    据传 输 或访 问 劫持 的勒索 技术 ,
    则 KRD R O I D 的勒索激活 前 安 全 防护将会 失 效 ; 


    时 ,
    KR P R O T E C T O R 将 会 进 行勒 索 进 行 中 的 安 全 防 护 

    KR P ROT E C T O R 旨 在 利 用 兴 趣 文 件 夹 感知 的 方式 .
    在勒索 应 用 被激 活 后 ,
    加密


    第 一

    个文 件前 对勒 索 应 用 进 行识 别 ,
    并 向 用 户 发 出 告警 阻 断勒 索 应 用 的 加 密 行为 .




    此 来 对 用 户 设 备上 的 数据进行 保 护 。
    由 于勒索 应 用 无论进行 文件加 密 或 利 用 网 络进


    行 文 件 数 据 传 输 均 需 要 遍 历设备 存 储 找 到 其 , 目 标文件 ?
    因此 : 若勒 索 应 用 使 用 了 
    6 3
    .

    节种提 出 的基于 DN S 信 道 的 数据 劫 持 与 基 于 中 间 人 攻 击 的 数 据 劫 持 技 术 ,
    KR P R O 

    TE C T O R通 过 兴趣 文件夹部署 的 方式 .
    能够在应 用 进行文 件搜 寻 时进行勒索 应 用 识



    J , 并 在 应 用 对 文 件 操 作前 对 用 户 进行预警 , 完 成 防护 。 由 于 基 于 DN S 的 通 信 劫 持


    不 涉及 对 文 件 的操 作 , 若勒 索 应 用 使 用 了 该 技 术 ,
    可绕过 KR P R OT E C TO R 进行通 信


    劫持 

    若勒索 应 用 使 用 某些 技 术成功 逃逸 了 
    KR D RO ID 与 KR P R OTE C TO R 的检测 .




    成 了 设备 资源 与 文 件资源 的劫持 。 此时 ,
    KR RE C OV E R 将会在勒 索 实 施 后进 行 资源


    恢复 , 达 到 对 用 户 设备 与 数据安 全 的 防 护 。 KR R E C O V E R 旨 在 通 过 解 密 被 加 密 的设


    备 、 释放被 劫 持 的 屏幕 资 源 以 及 恢复被加 密 的 文 件 , 最大化降低 用 户损 失 。
    由 于基于


    DN S 的 通 信劫持相 较于设备 资 源劫持 与 数据 资 源劫 持给 用 户带来 的 损 失 较小 ,
    且攻


    击者极 可 能 采 用 的 方式 对 受 害 者进 行勒 索 因 此 KR R E C OV E R 目 前 未

    薄利 多 销 。


    对 网 络 通 信恢 复 功 能 进 行集 成 .

    后 续 也将 继 续 探索 应 对该类 型 通 信 劫 持 的 恢 复 方 法


    并将其 集 成 进 K R R E C OV E R 

    综 上 在 面 对 技 术 不 断 发 展 变 种 不 断增 多 繁衍速 度 不 断 加 剧 的 勒 索 应 用

    、 、

    仅针


    对全过程某 阶 段 的 孤 立 的 防 护 无 法 对 勒 索 行 为 的 全 过程 起 到 防 护 的 作 用 本 文 提 出


    94



    第 六章 KR P ROV E :

    攻击 者 视 角 的 新 型 勒 索 技 术

    的 K R D RO ED 勒索前识 别方案 、 KR P ROT E C T O R 勒 索 中 防 御方案 以 及 K RR EC OV E R



    勒索 后 资 源 自 恢复 方 案 , 形 成 了 面 向 安卓平 台 的 勒 索 行为 全 生 命 周 期 的 安 全 防 护 体


    系 。 使用 K R P R OV E 勒 索 行 为 验 证 框 架 进行 测 试 在 现 有 勒 索 技 术 方 面 , , 该 安全 防 护


    体 系 能 够 对现 有 的 勒 索 技 术 的 策 略 组 合 给 出 相 应 的 防 护 方 案 ;
    在 新 型 勒 索 技 术方面 

    该安 全 防 护 体 系 能够 抵御 除 基 于 DN S 劫 持 的 通 信 劫 持 外 其他 的 新 型勒 索 技 术 , 对系


    统 的 安 全 性起 到 了 重 要 的 作 用 

    6 S

    本 章 小结

    本 章 首 先详 细分 析 了 3 种勒索 技 术与 2 种 辅助勒 索技 术 的 进化 与 发展 , 以及安




    卓 系 统 面 对上 述 技 术 的 发 展做 出 的 相 应 防 护 。 之 后 提 出 了 攻击 者 视 角 下 基 于 DNS 


    持 的 通 信劫 持 、 基 于 中 间 人攻 击 的 数 据 劫 持 以 及 基 于 DN S 隐 蔽 信道 的 数 据劫 持 3 


    在 安卓 端 可 以 实 现 的 新 型 勒 索 技 术 并 验 证 其 实 现 的 可 能 性 最 后 本 章提 出 了


    个支


    持 多 种 策 略 组 合 的 安卓 端勒 索行 为 验 证 框 架 , 该框 架 内 集 成 了 现有 的 勒 索技 术 与 提


    出的 3 种 新型 勒 索 技 术 , 支 持 用 户 对 功 能 模 块提 供 的 行 为 进 行 组 合 得 到 最 终 的 勒 索

     ,

    行为 。 另外 , 本 章 也 针对 各 种 策 略 组 合得 到 的 勒索 行 为 在 设 备 上 的 测 试 结 果 给 出 了 抗


    勒 索 应 用 的 安卓 系 统 防 御 建 议 

    95


    北京 邮 电 大 学 工 学博士学 位 论 文 

    96



    第 七章 总结 与 展望

    第 七章 总结与展望

    7 1

    工 作 总结

    随 着 移 动 互联 网 的 快 速 发 展 ,
    基于 安卓 平 台 的 移 动 设备 数 量 大 幅 增 加 , 移 动 端勒


    索 应 用 也 呈 现 出 了 快 速繁 衍 、
    传 播快 、 危害大 的 特点 。
    现 有 研 究 主 要 关 注勒 索 应 用 在


    激 活 前这 阶段 的 识 别 然而 仅 针 对 全 过程 某 阶 段 的 孤 立 的 防 护 无 法对 勒 索 行 为


    一 一

    , ,

    的 全 过 程起 到 防 护 的 作 用 。
    如 何 针 对安 卓 端 勒 索 应 用 建 立 起 较 为 完 备 的 防 护 体 系 仍


    是 积蓄 解 决 的 冋 题 

    本 文 致 力 于 构 建 抵 抗 勒 索 应 用 安卓 端 的 全 生 命 周 期 安 全 防 护 体 系 ,
    进行 了 勒 索


    应 用 行 为 刻 画 与 实 现 方法 研 究 勒 索 激 活 前 的 离 线 检 测 研究 、 、
    勒 索 进行 中 防 御 技 术研


    究 勒 索 实 施 后 资 源 恢 复 技 术 研 究 以 及 安 卓 端勒 索 应 用 的 下 代 技 术 发 展研究 具体


    、 。

    研究如 下 

    1 .
    行为 可 区分 的 勒索应 用 激活 前 离 线检测研究 。
    针对 现有 的 勒 索 应 用 检 测 引 擎


    很难 区 分带有 锁 定屏幕和 加 密文 件 的 功 能 的 良性 应 用 与真正 的勒索 应 用 的 问 题 , 


    文提 出 了 K R D RO I D  种 行为 可 区 分 的 勒 索 应 用 激 活 前 离 线 检 测 引 擎 本 文将 现 有



     ,

    的 勒索 应用 按 照 行为划 分为设备劫 持 型勒索 应 用 、 屏幕 资 源劫 持型勒 索 应 用 以 及 文




    件 加 密 型勒索 应用 。 本 文 利 用 数学 建模 的 方 法 , 对 三 类 勒 索 应 用 从 运 行 时表现 、 A P I

    调用 关系 、
    攻 击 步 骤 等 方 面 对 不 同 类 型 的 勒 索 应 用 进行 刻 画 , 并总 结 了 代 码层面 的 实


    “ 

    现 方法 , 为 后续 的 研究奠 定 了 基础 。 K R D RO I D 在特 征 集 构 建 时 提 出 了  联 合 特 征
    的 概念 , 利用 K -

    me an s 算 法 将关联 性 较 强 、 却 又 彼 此 相 互 独 立 的 多 个特 征 加 入 关 联


    关 系 进行 组 合 形成新 维 度包含 关联 关 系 的 联合特征 有 效 地 解 决 模 型 在进 行 勒 索


    , ,

    应用 识 别 时 , 容 易 将 具 有 与 勒 索 应 用 有 相 似 行 为 的 良 性 应 用 误 判 为勒 索 应 用 的 问 题 

    实 验结果 表 明 ,
    K R D RO I D 在检 测 未 知 勒 索 应 用 方 面 , 准 确 率达 到 了 
    98 5 . % ;
    在区分


    与 勒 索 应 用 具 有 相 似 行 为 的 良 性 应 用 与 勒索 应 用 方 面 ,
    K R D RO I D 较 其他勒 索 应 用 检


    测 引 擎 准 确 率 提高 了 约 40 % , 解 决 了 现 有勒 索 应 用 检 测 引 擎 无 法 精 确 区 分勒 索 应 用


    与 良性应用 的行为 的 问 题 

    2 .
    基 于兴 趣 文 件 夹 访 问 感 知 的 勒 索 应 用 实 时 检测 研 究 。 由 于对使 用 了 检测 逃逸


    技 术 的 勒 索 应 用 进 行检 测 需 要 在勒 索 应 用 被 激 活 后 进行 检 测 , 这将 使 用 户 的 文件受


    到 勒 索 应 用 极大 的 加 密 威 胁 本文提 出 了 K R P ROTE C T O R  个 基 于 兴 趣 文 件夹 访


    。  ,

    问 感知 的 勒 索 应 用 实 时 检 测 引 擎 。 K R P R OT E C T O R 以 空 文 件 夹 为 兴趣 文 件 夹 的 实 体 

    搭载在未 被 RO OT 的 终 端 进行 勒 索 应 用 检 测 , 能够有 效识 别 使 用 了 动 静态检 测 逃逸




    策 略 的 勒 索应 用 。 实验表 明 ,
    KR P R O TE C T O R 对勒 索 应 用 识 别 的 准 确 率 较 其 他 勒 索


    应 用 检 测 引 擎引 擎高 20 % 以上 ,
    并 能 够在 第 一

    个文件加 密前 1 4 秒 左 右 发 出 警告 , 

    97


    北京 邮 电 大学 工学博士学 位论 文 

    现 了 在设备未被 RO OT 的情况下 , 对勒 索 应 用 加 密 文 件进行 防 御 



    3 .

    勒 索 实施后资 源 自 恢 复技术研 究 。
    随 着勒 索 应 用 的 不 断进 化 , 部分勒 索 应用 

    经出现了利用 USB 屏 蔽功 能 防 止用 户 连接 ADB 进 行 资 源恢复 的 功 能 。 另外 , 自 主恢




    复勒 索实 施 后 资 源 存在着程 序 复 杂 、
    需要 用 户 专 业背景知 识 门 槛高 的 问 题 。
    本 文提 出

    了 KR R E C O V E R 个搭 载 于 安 卓 系 统 的 勒 索 实 施 后 资 源 恢复 工 具 K R R E C OV E R


     , 自 。

    通过 自 动 终 止勒 索 应 用 的 进 程 并 删 除 写 入 密 码 的 文 件进 行被劫 持 设 备 资 源 的 自 恢复 

    通 过对加 密 AP I
    的 监控 , 获取其在 动 态运 行 中 ,
    进行加 密 时使 用 的 密钥 与 被加 密 文


    件列 表 , 实 现被加 密 文 件 的 解 密 

    4 .

    攻击者视 角 的新型勒索技术研究 。 针 对 如 何主动 发 现勒索 应 用 在进化 中 更 多




    的 潜在威 胁 .

    并 针 对 不 同 的 勒 索 行为 进行安 全 防 护 的 问 题 , 本 文提 出 了 基于 DNS 


    道 的 数据劫持 、 基 于 中 间 人攻击 的 数据劫 持 以 及基于 DNS 劫 持 的 通 信劫 持 3
    种 新型


    勒索技术 。 另外 .
    为 了 对勒 索 应 用 进 化 中 可 能 出 现 的 不 同 的 勒 索 行 为 进行安 全 防 护 

    本 文提 出 了 
    KR P RO V E ,

    个支 持 多 种 策 略组 合 的安卓 端勒 索行为 验证框 架 , 并针对




    各 种 策 略 组合 得 到 的 勒 索行 为 在设 备上 的 测 试结果 给 出 了 防 御 建议 

    7 2

    未来展望

    安卓端的勒索 应用 研究 是 个 需 要 研究 人 员 不 断 深 耕 的 研 究 领 域 虽 然 本 文在


    安 卓 端 的 勒 索 研 究 领域 取 得 了 部 分 成 果 , 然而 , 随着安卓 系 统 的 不 断升级 与 勒 索 应 用

    的 不 断进化 : 新 兴 的 检 测 逃 逸手 段 与 勒 索 防 护 方 案 也将 不 断更新 。
    在未来的工作 中 

    作 者 也 将在 以 下 几 方 面 继 续 进 行 研 究 深 耕 

    1 .

    自 动 化 勒 索 行 为 阻断技 术研究 。
    本文 KRP ROT E C TO R 在勒 索进行 中 进行 防 御


    阻 断 的方式 为 在勒 索 应 用 加 密 用 户 第 个 文 件 前 对用 户 进行预警 使用 户有足够的


    时 间 对勒 索 应 用 进行 处 置 。 然而 .

    考 虑 到 用 户 处置勒 索 应 用 的 便捷性与 用 户 处置 的 及


    时性 .

    在今后的工作 中 , 作者 也将在 KRP R OT E C T O R 的 基础上继续对 自 动 化勒 索 行




    为 阻 断 技 术 进 行 研究 。 例如 , 在 成 功 识 别 了 正 在进行勒 索 的 恶 意 应 用 后 .
    可 以尝试使


    用 k i l l P ro c e s s ( ) 方法 、 fo r e S t op P a c k a g e ( ) 方法 等 对进程进 行 终 止 等 

    2 .

    多 场 景 下 的 勒 索 实 施 后 资 源恢 复技 术研 究 。 K R R E C OV E R 在 进行勒 索 后 资 源


    恢复 时需要 使 用 RO OT 权限 ,
    且 要 求 在 KR R E C OV E R 安 装 前 , 设备 终 端 已 安 装 的 应


    用 均为 良性应 用 。 考 虑 到 用 户 对于 R O OT 权 限 赋予 的 谨 慎性 以 及 KR R E C O V E R 安装


    前 确 保设 备 不 含有 恶 意 应 用 的 难 度 , 在今后的工作 中 , 作者也将考 虑 如 何在 更 多 的


    场 景 下 实 现勒 索 实 施 后 资 源 的 自 恢复 技 术 。 例如 .
    可 以 在 系 统 层 面 对 系 统 键盘 的 按


    键 功 能 进行 重 写 , 支 持 用 户 通 过特定 的 输 入进行 资 源恢复 , 形 成系 统级 的 资 源恢复 

    适 应应用 更多 场景 

    3 .
    面 向 鸿蒙 系 统的 勒索 应 用 研究 。
    鸿蒙 系统 自 问 世以来 , 越来 越多 的 移动设备

    98



    第七章 总结与 展望

    开 始 进行鸿 蒙 系 统 的 搭 载 。 然而 , 鸿 蒙 系 统 问 世 时 间 相 对较 短 , 技 术 防 御层 面 相 对于


    其他较 为 成熟 的 系 统 略有 不 足 , 勒 索 应 用 的 开 发 者 们 也 将 会 针 对鸿 蒙 系 统 的 特 点 进


    行针对 性 的 勒 索 应 用 的 开 发 。 因此 , 在今后的工作 中 , 作者 也将更 多 关 注 于 基 于 鸿 蒙


    系 统 的 勒 索 应 用 研究 

    99


    北 京 邮 电 大学 工 学 博 士 学 位论 文 

    1 00



    参考 文 献

    参考 文 献



    ]  2 02 1
     年 勒 索 软 件 攻击 增 加 了  1 48% [
    E B / O L ]  h tp s . : / /b ai i

    a h a o b a i du x o m / s ? i d =
    . 1 

    1 1 2 1 733 7 1 09 6 9 27 6 1 &w h f =

    p i d er & fo r

    pc .

    202 2 2 - -






    2] 超 6 02 .
    亿美 元 !  20 2 1 年 勒 索 软件 获 得 赎 金 创 新 高 [
    EB /O L ]
    .  h tt
    ps : // b a i

    i ah ao b a i d

     .

    u c o m/ s ? i d = 1 7 2 4 7 9 0 5 4 9 5 9 3 2 6 6 2 2 & w fr p i d e r & fo r 20 2 2
    = =

    pc 9)
    - -

    . 1 . l 1 



    3]  F a ke s i o  r u n  app  s te a l s  c re d i t  c a r d  i n fo r m a t i on [ E B / O L ]
    u p e r  mar .  http s : // b l o
    g . tre 

    nd

    m i cr o . c o m / t r e nd l ab s

     s ec ur i t y -

     i n t e l l i g e n c e / fa k e

     s up er m ar
    io - -

    ru n

     ap p

     s te al s

     c re d i t

     

    ard n fo r m at i o n / 20 2 1 2 2)
    - - -

    i . 1 1 


    4]  M c a fe e l a b s  t h r e at s  r e
    p o rt .
     [
    E B /O L ]
    .  h t tp s : // w w w m c a fe e . . c o m / e n t er
    pr
    i s e/e n

    u s /a s s e

    t s /r e
    p o r t s /r p m o b i l e
    - -

    t hre at -

    re
    p or t 2 0 1 9 p d f

    . .

    202 1

    1 2 -

    1 2) 


    5]  Av a s t  hi
    g h l i g h t s  t h e  t h re a t  l a nd s c a p e  fo r  2 0 1 9 .

    EB / O L ]  ht t p s . : // w w w m c a fe e e om / e

     . .

    pr
    i s e / e n u s / a s s e t s /r e p o r t s /r p q u a r terl y
    nter hr e at s dec 20 1 8 2
    pdf 20 2 2)
    - - - - -
    - -

    t . . 1 1 1 



    6]  WU  P  LIU  D
    , ,  WA NG  J ,  et  a
    l .  D e t e c t i on  o f  fa ke  i o t  a
    pp  b a s e d  o n  m u l t i d i m e n s i o n a l

    si m i l ari t y [ J] . I E EE  I n te r n e t  o f  Th i n g s J o u rn al
    , 
    2 02 0 , 
    7 ( 8 ) 7 02 : 1

    703 1 

     F a ke E B /O L

    7] al ex a  s e tu
    p  ap p  i s  t o p p i n g  ap p l e
     s  ap p  s t o r e  c h a r t s  htt // w w w eng a



    ps
    . . : .
    [ [ ]

    d 2 1
    ge x o m/ 0 8 /
    1 2 / 2 7 / fa k e ch art s / 2 02 0 23 )
    al ex a a o
    pp i n g ap p l e app s to re
    - -


    - - - - - -

    t 1 1
    pp
    . 



    8]  S c am i o s  ap p s  p r o m i s e  f
    i tnes s ,  s t e al  m o n ey  i n s t e a d .

    EB / O L  ht tp s ]
    . : // w w w w e l i ve s e

     .

    oi r
    i ty . c o m/ 2 0 1 8 / 1 2 /0 3 / s c a m -

    i os -

    a pp s
    p o mi s e
    r i tne s s
    f - -

    s t e al

    m o n ey -

    i n s te a d/ .

    202 1



    0 -

    1 7) 

    “ ”

    9]  Ga rtn e r  s a
    y s  8 4  b i l l i o n  c o nn e c t e d 
    . t hing s w i ll  b e  i n  u s e  i n  20 1 7 up  3,

    p
    er c e n t

    ro m
    f  20 1 6 .

    E B / O L ht p s ]
    _ : // w w w g a r t n e r c o m / e n / n e w s r o o m /p r e s s
    . .

    re le a s e s /2 0 1 7 -



    02

    07 b i l l i o n c o nn e c t e d hi n g s w ill be n us e n 20 up
    g ar n er ay s 8 7 3
    p er c e nt
    - - - - - -
    - - - - - - -
    - - -

    t s t i i 1 1 

    fr o m 20 6 202 0 7)

    1 1
    - -

    1 . 1 



    1 0] 常莽 .

    勒 索软 件 激増 凸 显 对 良 好 备 份 的 迫 切 需 求 m .
    计算 机 与 网 络 ,
    202 1

    47


    08) 4 8 : 


    1 1
    ]  FE NG  C ,  Y U K A L O Q A I LY M

    ,  
    ,  e t  al  . A r
    i bu
    tt te

    b a s ed encr
    y p t i o n  w i th p ar al l e l  o ut 


    so u rc e d  d e c r y p t i o n fo r e d g e  n t e l l i g e n t   i i ov [
    J] I . E E E Tr a n s ac t  i o n s  o n  Ve h i c u l a r  Te c h 

    n ol o gy 20 20 69 ( 3 7 84 3 79 5

    1 1 : 1 1




    ,  , )

    1 0 


    北 京 邮 电 大学 工学 博 士学 位论 文 


    1 2]  E B E N U WA  S  H , S H A R IF  M  S ,  ALAZAB  M ,  e t  al .  Va r
    i a nc e  r a nk i n g  att r
    i bu t e s

    s el e c t i on  t e c h n i i c at
    q u e s  fo r  b i n a r y  c l a s s i f i o n  p r o b l e m  i n  i mb a l a n c e  da t a [ J ] .  I EE E

    Ac ce s s , 
    20 1 9 , 
    7 2 4 64 9 24 6 6 6




    1 3]  WAN G  W  XU H  A L A Z A B  M


    , ,  et  al . B l o c k c h a i n b a s e d  r e l i a b l e  an d  e

    ic
    f i e n t  c er


    ti i c a t e l e s s  s i g n a t u re  fo r  i i o t  d e v i ce s [ J ]
    f . 正 EE t r i o n s  o n  i n d u s tr
    an s ac t ia li n for m a t i c s 

    202 1 


    1 4] 沈 阿娜 .
    基于诱饵 的 A nd r o i d 加 密 型 勒 索 软 件 的 早 期 检 测 技 术 研究 与 实 现 [
    D ]


    北 京 邮 电 大学 ,
    2020 

    5]  A Z MO O D E H  A  D E H G HAN TA NH A  A  C O N T I  M  e t  a l De t ec t i n g  cr
    yp o


    1 . t
    [ , , ,

    r a n s o mw a r e  i n  i o t  n e t w o r k s  b a s e d  o n  e n e r g y  c o n s u m p t o n  fo o tp r
    i n t fJ ] i .  J o urn a l of

    Amb i ent  I nt e l l i g e n c e  a nd  H u man i ze d  C o mp u t i n g ,  20 1 8 , 


    9 (4) :  1 1 41 -

    1 1 52 


    1 6] C O NT I N E LL A  A  GUAGN EL L I A  Z NGA RO  G ,


    I ,  et  al . Sh i e l d fs  a  s e l f h e a l i n g



    r a n s o m w ar e

    aw ar e  f
    i l e s y s te m [
    C ]
    // P r o c e e d n g s o f  t h e  3 2 n d  a n n u a  c o n fe r e n c e  o n
    i 
     l

    c o m p u t e r  s e c u r i t y  app l i c a t i o n s  2 0 1 6 3 3 6 3 47 -

    . : 


    1 7] S ONG S ,  K IM  B ,  LE E  S  T h e  e f fe c t , i v e  r a n s o m w a re  pre v e n t
    i o n  te chni q u e  u s i n g

    p r o c e s s m o n i t o r i n g o n a n d r o i d p a fo r m [ J ]
     l t



    .  M ob il e  I n fo r m a t i o n  S
    y s tem s , 
    20 1 6 ,
    20 1 6 


    1 8]  S GA ND U RR A D 
    ,
    M U N O Z GON Z A L EZ L M O H S E N R -


    , 

    , 
    e t al
     .  Au t om ated d y n a m i c

     

    a n a l y s i s  o f r a n s o mw a r e  :  B en e f
    its , 
    li m i t a t o n s  a n d  u s e fo r d e te c t o n [ J ]
    i   i .  ar X i v  p re

    i n t

    ar X i v :  1 6 09 0 3 0 20 .
    , 2 016 


    1 9] C HEN J , WA NG  C  Z HAO Z ,

    ,  e t  al .  U n c o v er
    i n g t h e  fac e  o f  a n d r o i d  r a n s o m w a re 

    C h ar ac t e r
    i z at i o n a nd re a l  

    ti m e de tec t i o n [J ]
     . I EEE Tr a n s a c t o n s
     i  on  I n fo r m a t i on  F o re n 

    s i c s  an d S ec u r
     i t
    y , 
    20 1 7 ,
    1 3 (5 ) :  1 286 -

    1 3 00 


    20]  A ND RO N I O N Z ANERO

    ,   S , 
    MA GG I F  H e . l d ro i d :  D i s s e c ti n
    g  a n d  d e t e c t i n g  m ob i l e

    ran s o mw a re [ C ] // i n t e m a t
    i o n a I  s y mp o s i u m  o n  re c e n t  a d v a n c e s  i n  i n t r u s i o n  d e te c t i o n 

    S 20 5 3 8 2 4 04
    p ri n g er

    1 : 


    , 

    2 F ow dro i d  ta i n t  a n a l y s i s [ E B /O L ]  h t t p s b l o g s u n i p a d e rb om d e / s s e/ t o o l s / f l o w d r o


    1 l . : // . .
    [ ]

    i d/ .

    2〇 2 2 -


    3) 


    22]  ZHEN G  C ,  D E LL A RO C C A N  AND R O N I O  N 
    , , eta
    l .  G re a t e a t l on Fast

    ,  s t at i c  d e


    t ec i o n  o f m o b i l e  r a n s o m w a re [ C ] // I n t em a t i o n a l  C o n fere n c e  o n  S e c u r i t y  a nd  Pr
    t  i v ac y

    i n  C o mm un i ca t i o n  S y s t e m s  S pr i n g e r .
    , 
    20 1 6 : 6 1 7 63 6



    1 02



    参考 文献


    23 ]  S C A LA S M M A J O R C A  , 
     D M ER C A L D O F
    , 

    ,  e t  al  . R -

    p a c k dr o i d :

     pr a c t i c al  o n d ev i c e


    d e te c t i o n  o f a n d r o i d   r a n s omw a re [
    J]  C o. RR , a b s / 1 8 0 5 09 5 6 3 .
    , 
    20 1 8 


    24 ] 洪 双喜 . A n dr o i d 平 台 隐 私 保护方法 研究 [
    D ]

    北 京 邮 电 大学 ,
    20 1 7 


    25 ]  Y UA N  S , 
    WA N G Y WA N G 
    , 
     P , 
    e t  al .  How  t o b lock
      t h e m a l i c i o u s  ac c e s s  t o  an d r o i d e x
     


    t er n a l  s t o r a g e [ C ] // I n t e m a t i o n a l  C o n fe r e n ce  o n  I n fo r m a t
    i o n  S e c uri t y  a n d  C r yp t o l o g y 

    S pr
    i n ger 20 8 287 3 03

    ,  1 : 


    26]  M E H NA Z S ,  MU D G ER I KA R  A , B E RT I N O  E  R w g u a r d  A  r e a . : l

    ti m e  de t e c t i o n


    y s te m a g a i n s t c r y p t o g r a p h i c
       r an s o m w ar e [
    C ]
    // I n t e m a t i o n a l  S y mp o s i u m  o n  R e s e a r c h

    i n  A tt ack s , 
    I n tru s i o n s ,  an d D e fe n s e s . S
    pr
    i ng e r , 
    20 1 8  1 : 1 4 -

    1 36 


    27]  GOME Z H E R NA N D EZ -

    J A  A LVA R E Z G O N Z A L E Z L  GA R C I A T E O D O R O  P





    R -

    l o c k er :  T h w ar ti n g  r a n s o mw a r e  a c t i o n t h r o u g h a  h o n e y f
    i e b a s e d  a p p r o a ch [ J ] l




    C om p u t er s  &  S e c u ri t y , 
    20 1 8 , 
    73 3 89 398 :




    28] MO O RE  C .  D et ec t i ng 
    r a n s o mw a re  w i t h  h o n e
    yp
    ot  te c h ni q u e s [ J] , 20 1 6 


    29 ]  S O NG  S ,  KI MB ,  LE E  S . Thee f fe c t i v e  r a n s o m w a re  p r e v e n t i on  te c h n i q u e  u s i n g

    p ro c e s s  mo n i to r
    i n g o n a n d r o i d p l a t fo r m [ J ] 


    .  M ob il e  I nfo r m a t i o n  S
    y s tem s , 
    20 1 6 ,
    20 1 6 


    3 0]  FE R R A N T E  A M A L E K M  M A RT I N E LL I  F  e
    , 

    , ,
    t al . Ex ti n g u i s hi n g  ran s o m w are a




    i d  app r o a c h  t o  a n d r o i d  r a n s o mw a r e  d et e c t i o n [ C ] // I n te r n a t i o n a l  S y mp o s i u m  o n
    br 

    F o u n d a t i on s  a n d P r a c t i c e  o f S e c u r   it
    y S pr
    i n g er

    , 
    20 1 7 : 24 2

    25 8 


    3 1
    ]  And ro i d 调试桥 (
    a db ) [
    E B / O L  h tp s ]
    . : // d e v e l o p er a n d r o i d g o o g l e c n/ s tu di o / c o m m a


     . .

    nd ne/a db 2 02 0 24 )

    - -

    li . 1 1 


    3 2] Fa st b o o t [EB /O L ] .  h tt
    ps
    : // s o u r c e a n d r o i d e o m / s o u r c e/r u n n i n g # u n I o c k i n g
    . .

    t h e b oo t I o a


    d er .

    20 2 0 -

    1 2 -

    24 


    33] J I A NG X L I U M YA N G K 




    , 
    e tal  . A s ec ur
    i t y  s a n d b o x  app r o a c h  o f a n d r o i d  b a s e d  o n

     

    h o o k m e c h a n i s m [ J ]  S e c u r i t y  a nd  C o mm u n i c a t i o n
     .  Ne t w o rk s , 
    20 1 8 , 
    20 1 8 


    3 4]  B E A MAN  C , B AR KW O RT H  A ,  AKA ND E  T  D ,  e t  al .  R a n s o mw a re  R e c e n : ta d


    v an c e s ,  a n al
    ys
    i s ,  c h a l l e n g e s  a n d  f u t u r e  r e s e a rc h  d i r e c t i o n s [ J ]  C o m p u t e r s  
    . &  S e c ur i t
    y 

    202 1
    , 1 1 1 : 1 0 24 9 0 


    35]  S HAU KAT  SK , 
    R I B E I RO V   J .  R an s om w a ll :  A  l a y e r e d  d e fe n s e  s
    y s te m  ag
    ain s t c r 
    yp


    t o g r a p h i c  r a n s o m w a re  a t a c k s  u s i n g  m a c h i n e  l e a m i n g [ C ] // 2 0 1 8  1 0 t h  I n te rn at i o n a l

    1 03


    北 京 邮 电 大学 工 学 博 士 学位 论 文 

    C o n fe re n c e  o n  C o m mun i c at
    i on  S y s t e m s  & Ne  t w o rk s  ( C O M S N E T S ) .  I EEE , 20 1 8 

    356 363



    3 6]  KHA R A Z A  AR S H AD  S M U L LI N ER  C  e t  al  { UN V E I L }  A  { L a rg e S c ale

      . :
    [ , , ,
    } 

    a u t o m at e d  app ro a c h  t o  de t e c t i n g 
    r an s o m w are [ C ] // 2 5 h U S EN I X t  s ec u ri t
    y  s y m p o s i um


    U SE NIX  s e c uri t
    y 1 6)  2 0 1 6 . : 7 5 7

    772 


    37]  WA NG  Z H UANG D Z H U Y
    , 

    , 

    ,  e t al  .  Ef f i c i e n t at t r
    i b u te b a s e d c o m


    p a r a b l e d at a a c c e s s

      

    c o n t r o l [ J ]  I EE E Tr a n s ac t
    ion s o n c o m p u te r s 20 1 5 64 ( 2 ) 3 4 3 0 3 44 3 -

      

    1 : 



    , , 


    3 8] AL S HA I K H H R AMAD A N N H E F N Y H A
     , 

    ,    .  R a n s o m w a re  p r e v e n t i o n  a n d  m i t i g a 

    ti o n  t e c h n i qu e s [ J ] .  I n t e r n a t i o n a l  J o ur
    nal  of  C o m p u t e r A pp l i c a t  i on s , 
    2 020 ,
    97 5 8 8 87 : 


    3 9] Ae s t h et i c [
    EB /O L ] .  ht t
    ps : //

    it hu b c om / k r e g g 3 4 /A E S t h e t i c
    . .

    20 2 2 -


    4) 


    40] B R I E R LE Y C P O N T 
    , 
     J , 
    ARIEF B 
    ,  e t  al .  P a pe r w 8 :  an  i o t  b r i c ki n
    g 
    r a n s o m w a re
     p ro o


    o f c o n c e p t [ C ] // P r o c e e d i n g s  o f
      t h e  1 5 t h  I n t e r n at i o n a l  C o n fe re n c e  o n  Av a i l ab i l i t y , 
    Re 

    ab i l i t
    y  a n d S e c u r i ty 2 020 1 0

    li  . : 


    41 ]  WE I  F LI
    , 
     Y R OY ,
     S 5
    et al  .  D eep  g r ou n d  tr u t h a n a l s i s o f c u r r e n t a n d r o i d m a l w a re [ C ] //
    y   
       

    I nt er n a i on a
    t l  c o n fer e n c e  o n  de t e c t i o n  o f  i n t r u s i o n s  a n d  m a l w a r e  a n d  v u l n e r ab i l i t y

     ,

    a s s e s s m e nt  S p r in g er 20 7 25 2 27 6 -


    , 
    1 : 

    42] V a s total [ E B / O L ]
    r  ht t // v i a s to t a l c o m /
    r 20 20 2 2)
    - -



    l .

    ps : . .

    1 


    43 ]  M c a fe e l ab s  2 0 1 7  t h r e a t s  p re d i c t
    i ons .

    EB /OL ]
    . h tp s : // w w w m c afe e c om / e n t erp r
    . i s e / .

    en

    u s / a s s e t s / r e p o r t s /r p

    t h r e a t s p re d i c t
    i o n s 2 0 1 7 p df
    - -

    . .

    2 020 -

    1 2 -






    44 ] R an so mw a r e  a t t a c k s  f r ac t u re  b e t w ee n  e n te r p r
    i s e  a nd  r a n s o m w a r e a s a - - -

    s erv i c e  i n
     q2

    a s  d em an d s  i nc r
    e as e .

    E B /O L ]
    .  h tp s : //w w w . c o v c w a r c c o m / b l o g /q 2 .

    2 0 20 -

    ran s o mw 狂

    m a rk e tp l a c e 202 2
    re re
    p ort
    - - - -

    . 1 1 1 


    ( )


    45]  A H MA D I AN M M  
    , S H AHRIARI H  R  2e n  . tf o x  A  fr a m ew o rk  fo r  h i g h  s u r v i v ab l e
    : 

    r a n s o m w a r e s  d e t e c t i on [ C ]
    // 2 0 1 6 1 3 th  i n te r n a t
    i on a l i r an i an  s o c i e t
    y o f c ry p t o l o gy c o n




    y  a nd  c r y p t o l o g y  ( S C S C )
    fe r e n c e  o n  i n fo r m a t i o n  s e c u r i t I I . I EE E , 
    20 1 6 : 79

    84 


    46 ]  PA L IS SEA ? 
    B O UD E R  H  L , 
    LA N E T  JL ,  e t  al .  R a n s o m w a re  a nd  t h e  l e g a c
    y  c r yp 
    t

    f r e n c e  o n  R i s k s  a nd  S e c u r i t

    p i [ C ] // I n t e m at i o n a l  C on e y  o f  I n t e r n e t  a nd  S y s t e m s 

    S pr
    i ng e r , 
    20 1 6 1 : 1

    28 


    47 ] C AB AJ  K  M A Z U R C Z YK W  U s

     . i n g  s o ft w a r e d e f i n e d  n e t w o rk i n g  fo r  r a n s o m w a r e


    m i t i g a t i on :  th e  c as e  o f  cr
    yp t o w a l l

    J ]  Iee e 
    . Ne t w o rk , 
    20 1 6 , 
    3 0 (6) :  1 4 20-



    1 04



    参考 文 献


    4 8] H I R AN O  M ,  K O B AYA S H I R M ac h . i ne  l e a r ni ng  b a s e d  r a n s o m w a r e  de t e c t i o n  u s


    i n g  s t o r a g e  ac c e s s  p a t t e r n s  o b t a i n e d  fr o m  l i v e fo re n s i c  h y p e r v i s o r [ C ] // 2 0 -

    1 9  s i x th

    i n t e r n at i o n a l  c o n fe r e n c e  o n  i n t e r n e t  o f  t h i n g s :  S y s te m s ,  M an ag e m e n t an d  s e c uri t y


    I OT S M S )
    .  IE EE ,  2 0 1 9 1 :

    6 


    49]  GH A R I B A , 
    G H OR B A N I A  .  D na d ro i d  A  re al -


    ti m e  an dro i d  r a n s o mw a r e  d e t e c t i on

    fr a m e w o rk [ C ] // I n t e m a t i o n a l  C o n fe re n c e  o n  Ne t w o rk  a n d  S y s t e m  S e c u r i t y  S p r
    i n g er .


    2 0 1 7 1 84 :

    1 98 


    5 0] Ko o dou s

    E B /O L ]
    . ht
    ^ ) s : // k o o d o u s c om / . .


    2 02 1


    1 5) 


    5 1
    ]  A n dr o g u a rd

    E B / OL ]
    ,  htt
    ps : //
    g i t h u b c o m / a n d r o g u a r d / a n d r o g u a rd
    . .

    2 0 20 -


    1 5) 


    5 2]  D ex fi l e [ E B /O L ] .  htt p s  : // d e v e l o p e r a ndr o i d g o o g l e c n / r e fe r e n c e/ d a l v i k / s y s t e m / D e x F
    . 
     . .

    il e .

    20 2 1

    1 0 5)-




    53] H e l D ro i d 数据 集 [
    E B /O L ]
    .  ht
    ps : //
    g i t h ub c o m / n e c s t / h e l dr o i d
    . .

    20 2 1


    5) 


    5 4] R -

    Pa c k D r o d i
     数据 集 [
    EB /O L ]
    . htt
    p : //
    p r ag d i e e un i c a i t /i t / R P a c k D ro i d
    . . .


    2 02 1

    9 -

    1 6) 


    55] R i s kw are : an dr o i d/ s m sre g [E B / OL ]
    .  htt
    ps : // www f .

    s ec u r e c om / s w

    d e s c /r
    i s kw are _


    a nd

    ro i d ms re g s html 202 1 9 1 1
    - -

    s . _







    56]  Wh a ti s  ad w a re ? 

    def i o n  a n d  e xp l a n a t i o n E B / O L ]  h t t p s
    i ni t [
    . : // w ww k a s .

    p ers
    ky c om/

     .

    re s o u r c e

    c e n t e r / t h r e a t s / a dw a re .

    20 20 -

    1 1

    20 ) 


    5 7]  C o mp r eh e n si v e  a n a l y s i s  r e p o r t  o n  t r oj a n / a n d r o i d e m i a l [ E B / O L ] . . h tt
    ps : // w w w a n t i .

    y n e t /p/ c o m p re h e n s i v e a n a y s s re
    p or t o n o a n an dro i d e m i a l a s r mtp r v e x p p h o to a


    - - - - -

    tr


    - _

    . i

    l b u m/ .

    2 0 20 5 - -

    1 2) 


    5 8] An d ro i d /t r o a n a e n t [ EB /O L ]
    j g . .  htt
    ps : // b lo
    g m a l w ar e b y t e s c o m / d e t e c t i o n s / a n d ro i d
    . .

    tr 

    an a g e nt / 202 3 4)
    - - -

    . 1 1 

    j (

     F a ke k o r ea n b a n k p ar t 2 [ E B / 0 L ]  h tt b l o g av a st e om / 2


    p p l i c at on s  o r  a n d r o i d 
    59] a f
    ps

       i  . : // . .

    [ 

    0 1 4 / 0 3 /0 3 /fa k e k o re a n b a n k a p l i c a t i o n s - -

    fo r

    a n dro i d

    p art 2/

    2 02 2 -


    3)
    p .




    60] T ro

    a n a nd r o i do s b o o g r [ E B /
    . . OL ]
    . h tt
    ps : //t h re a t s k a s e r s k y c om / e n / t h re a t / Tr oj a n

    . . . A nd

    ro i d O S B o o g r/ . .

    20 2 1

    1 1

    1 2) 


    6 1
    ] S ecu ri t
    y 
    al er t :  New  d r o i d k un g f u v a r
    i an t s   n a t i ve  C hi n e s e  a n dr o i d  m ar ke t s
    fo u n d  i n  a l t e r 


    E B /O L ]
    . ht
    ^ > s : // w w w c s c 2 n c s u e d u / fac u l t y / xj i a n g 4 / D r o i d K u n g F u 2 /
    . . . .

    202 2 2 -

    1 2) 

    1 05


    北京 邮 电 大 学工学博 士学 位论 文 


    62]  AN VA  反 病 毒 联 盟 [
    E B /O L ]  h t tp s . : // mp w e i x i n q q e o m / s /A R k M c 3 0U o KKM p v 4
    . . 
     .

    7 mO 8bn 2 02 2 4 2 ) - -

    g .




    63 ]  WA N G  S ,  QW  S , 
    HE N 
    ,  et  a l  . K r r ec o ver  A n :  aut o

    r e c ov e r
    y  t o o l fo r h ij a c ke d d e v i c e s
     
      

    an d  e n cr dr o d [ J ]  S y m m e t r y 20 2
    y  r a n s o m w are s  o n  a n
    i e sb

    yp ed
    t l i .
    ,  1
    , 1 3 (
    5 ) 86 : 1 


    64 ] 盘点 :
    20 1 9 年 勒 索病毒 灾 难 事件 [
    E B /O L ]
    . ht
    p : // w ww 3 60 . . e n /n / 1 1 22 2 h t m .
    U 2020

    1 0 23 )




    65 ]  G A D E KA L L U  T  R ,  R A J P U T  D  S  RE D DY  M  e t  a l 5 ,
    .  A n ove l
    pe a

    w hal e

    o p t i m i z a t i o n b a s e d  d ee p  n e u r a l  n et w o rk  m o d e l  fo r  c l a s s i f i c a t i o n  o f o m a to  p l an t  d i s
    - 

     t

    e a s e s  u s i n g  gp u [ J ]  J o urn al  o f .  Re a l

    T i m e  Im a g e Pro c e s s i n g 
    , 
    202 1 , 1 8 (4) : 1 3 83

    1 396 


    66 ]  ALAZ AB  M B ROA DHU R S T R

     .  S p am  an d cr
    i m i n a l  act
    iv  i t
    y [ J ]  Tre nd s  a nd  i s s u e s
    . 

    i m e  a nd  c r
    n cr i mi n al u s ti c e 20 1 6 ( 5 26 ) 20

    i :  1 

     j , 


    67 ]  2 00 ,
    00 0 + m i k r o t k  i  r o u t e r s  w o rl d w i d e  h a v e  b ee n  c o m
    promi s ed  t o i nj e c t c r yp t oj a c k i n g


    m a l w a re [ E B / O L ] .  htt
    ps  : // b ad
    p ac ke t s n e t / 2 0 0 0 0 0 m i k r o t i k r o u t e r s w o rl d w i d e h a v e b
    . 
     - - - -

    ee n

    c om
    pro mi s e d

    t o

    i nj e c t c r yp t oj ac k i n g m a l w a r e /


    2020 -

    1 0 5) -




    68] 全 球 安卓 用 户 
    R o ot手 机 占比 .

    E B /O L ]  h tp s . : // w w w a n d r o i d h e a d l i n e s c o m /20
    . . 1 4/

    l l /5 0 u s er s
    - -

    ro o t

    p h o n e s o r de r
    - -

    re m o ve

    b u i l t ap p s on e h t m l #
    - -

    . : : te xt = A c c o r d i n g % 2 0 t

    o % 2 0 Te n c e n t s % 2 0 s t u d y % 2 C % 202 7 4 4 m a n y .


    % 2 0p e op l e % 2 0 ac t u al l y % 2 0 u s e % 2 0 A

    n d ro i d .

    20 20 -

    1 2 -

    1 2) 


    69 ] G o o g l e  s tore [ E B / OL ]
    . ht
    q > s : // d e v e l o p e r a n dr o i d g o o g l e c n / . . . .

    2 02 1 -

    4 6) -




    7 0]  A L S O G HY ER  S , 
    A L M O M AN I I .  R a n s o m w ar e  de t e c t
    i o n  s y s t e m  fo r  a n d r o i d  a pp l i 

    c at i o n s [ J]  E l e c t r o ni c s

    , 
    20 1 9 , 8 ( 8) 8 6 8 : 


    7 1
    ]  S HA R M A  S ,  K R I S HNA  C  R ,  K U MA R  R A n d r o . i d  r a n s o m w a re  d e t ec t i o n  u s i n g

    m a c h i n e  l e a r n i n g  t e c h n i q u e s  A  c om p a r a t i v e  a n a l y s i s  o n  gp n  a n d  c p u [ C ] //2 0 2 0  2 : 1 st

    n t e r n a t i o n a l  A r a b  C on fe r e nc e  o n I n fo r m a t i o n  Te c h n o o g y  ( AC I T ) I EE E 2020 1 6

    I  l .
    , 
    : 


    72] New  a n d ro i d  t r o

    a n  xb o t
     p h i s h e s  c re d i t  c a r d s  a n d  b a n k  ac c o u n t s  e n c r y p t s  d e v i c e s

     ,

    fo r  r a n s o m [ E B / OL ]
    . h t t p s : // u m t4 2 p a l o a l t o n e t w o rk s c om /n e w a nd r o i d t roj a n x b o t p h i s
    . 
     .

    h e s c re d i tc a rd s a n d b a n k ac c o un t s e n c r y p t s d e v i c e s fo r r a n s o m / 202 0 2 8)

    . 1 



    73]  C HEW C J W   
    , 
    K U MA R V 
    ,
    PAT R O S P 
    ,
    e t al  .  E s c ap a d e :  E n c r yp t i on


    yp e

    r a n s o m w a re 

    S y s te m  c all  b a s e d
    p
    a tt er n  d e t e c t i on [ C ] // I n t e m ati o n a l  C o n fe re n c e  o n  Ne t w o r k  a nd

    S y s t e m  S e c u r i ty  S p r
    i n g er .
    , 
    202 0 : 3 8 8

    40 7 

    1 06



    参 考 文献


    74]  AL -

    R I MY  B A S ,  MAA R O F  M  A , S H A I D  S  Z  M  R a n s o m w a re  . t h re a t  s u c c e s s

    fa c t o r s ,  ta x o n o my , a nd  c o u nt e r m e a s u re s :  A s urv e y  an d  re s e a rc h  d i r e c t i on s [
    J] C om.


    p u t er s  &  S e c u r i t y 20 8 74 44 66

    1 : 1 1 


    ,  , 


    75] 姜维 . A n dro i d 应 用 安 全 防 护 和 逆 向 分析 [
    M ]

    机械工业 出 版社 ,
    20 1 7 :  404

    4 1 4 


    7 6] S l o c k er m ob i l e   ran s o m w a re  s t a r t s  m i m i c k i n g w a m a c r y [ EB / O L ] 
    i .  h t tp s : // b l o
    g . tre n d m i

    c ro c o m /tre n d l ab s s e c u r
    it

    y i n t e l l i g e n c e/ s l o c ke n no b i l e r an s o ni w are s t art s m i m i c ki n g w 設

    nn a c ry/ .

    20 1 9 -

    7 5)-



    )]
    re fd o u b I e Andr o i d 新 型 勒 索病 毒 :

    加 密文件 内 容 , 锁 定 手 机屏 幕 [
    E B /O L ] . htt


    s : // w w w w e U v e s e c ur
    i t y c o r o/ 2 0
    . _ 1 7 / 1 0/ 1 3 /d o u b l e l o c k e r -

    i nn o v a t
    i v e a nd r o i d m a l w a re /


    - -



    20 1 9

    1 0 27 )




    77]  D o ub l e l o c k e r  I n n o v at i v e  a n d r o i d  r a n s o mw a r e [ E B / O L ]  ht t p s
    : . : // w w w w e l i v e s e c uri ty


    c o m/2 0 7 / 1 0/ 1 3 / d o ub l e l o c k e r nn o v a t i v e a n d r o i d m a l w a r e/ 2 0 22 2 4 )
    - - - - -

    . 1 i

    . 


    7 8] Mob il e  t hr e a t  r e s
    p o n s e  e a m  a n r o i d  m o b i e  a n s o mw are
    t d l r  B i g g e r  b a dd e r  b e t t e r ?
    , 
     :
    , ,


    E B / O L  h t tp s ]
    . : // blo

    . tr e nd m i c r o c o m / t r e nd l a b s s e c u r i t y i n t e l l i

    g en c e/ an
    d r o i dm ob i l e r

    a n s o mw a r e e v o l u t i o n / 20 9 8 28)

    . 1 


     (


    7 9]  GE NQ 
    Z A LE NZINI  G

    , , S GAN D U RR A D  _  O n  d e c e p ti o n b a s e d  p r o t e c t
    i on  a g a i n s t -

    cr
    y p t o g r ap h i c  r a n s o mw a r e [ C ] // I n tem a t i o n a l  c o n fe r e n c e  o n  d e te c t i o n  o f  i n t r u s i o n s

    a n d  m a l w a re e n t  S p r i n g er
    ya s s e s s m 9 23 9
    ,  a n d  v u l n e r a b i li t .
    , 
    20 1 9 : 2 1




    8 0]  WA N G  S ,
     Q IN  S ,  Q IN  J , e
    t al .  K r d r o d  R a n s o m w ar e o r i e n t e d  d e t e c t o r  fo r  m o b i l e
    i : 

    d e v i c e s b a s e d  o n b eh a v i o r s [ J ]
      .  App li e dS cienc e s , 
    2 02 1 ,
    1 1

    1 4) 6557 : 


    8 1
    ] 揭秘小米 Io T 生 态 链 投 资机遇 :

    企业超 3 00 家 , 连 接 设备 近 4 亿 [
    E B /O L ]
    .  http s 

    // m .


    i e m i a n c o r n / a r ti c l e / 6 5 8 9 0 7 9
    . . ht r n I .

    20 2 1






    8 2]  年卖出 亿 台 打 败 美 国 巨 头 成 全 球第 却 被误 以 为 是 国 外 品 牌 E B /O L
    — 一

    1 . 1 


    [ , , [ ]

    htt
    ps : // n e w qq c o m / o m n / 2 0 2
    . . 1 04 1 8 / 2 02 1 04 1 8 A 0 A 3 U 1 00 h t m l . .

    202 1







    83] 网 速 管家排 行 榜 :
    202 1
    年 3 月 路 由 器 市 场 占 有 率排 行 [
    E B /O L ]  h t t p s . : // www . s


    e e dt e s t c n / a rt i c l e/
    . KW Q r O b B 9 4 V L V L w E z 2 J g Y .

    20 2 1 -






    84] 外媒 佳 能 位 居 相 机 品 牌 市场 占 有 率 第 名 E B /O L  ht // w ww 6 3 e o m /d y/ a


    [ ]

    ps : . 1 

    r t i c l e/ GH 5 G S C L 0 5  1 1 1 8 9 P5 . htm l .

    202 1







    85] 小 米 室 外 摄 像 机 销 量超 1 00 0 0 台 荣 登 京 东 监 控摄 像 品 类 热 销 榜

    TO P  2 [E B /O L ] 

    ht tp s : // n e w s we s t c n / 8 6 7 6 3 h t m l
    . . . .


    202 1 -






    1 07


    北 京 邮 电 大学 工 学 博 士 学 位 论 文 


    8 6]  p ac ka g e  : i no t i f y w a i t [ E B / O L ] h tp s . : // o p e n w r t o r g / p a c k a g e s /p k g d a t a /i n o t i f y w a i t
    . .

    20

    2 1

    1 0 23)




    87]  i n o ti fy w ai t( l
    )

    li n ux  m a n  p a g e [ EB / O L ] .  h t tp s : // l i nu x d i e n e t / m a n / l /i n o t i fy w a i t
    . . .

    20

    2 1

    1 0 23 )




    8 8]  li nu x  在 
    DV R  系 统 中 的 应用 和 发展 [
    EB /O L  h tp ]
    . t : // w w w e m b e d d e d I i n u x or g
    . . . e n/h

    t m l /j i s h u fa n g a n / 2 0 1 1 0 8 /0 3 -

     1 4 3 5 ht ml . .

    2 02 1

    1 0 23 ) -




    89]  S HAO  Y LU O X Q IAN C
    , 

    , 
     . Ro ot
    g u a rd  r o t e c t i n g  r o o t e d  a nd ro i d  p h o n e s [ J ]  C o m
    P : .


    p u te r , 
    20 1 4 ,
    47 ( 6 ) 3 2 40 :




    90]  C O S TA M AGNA  V Z H E NG C
    , 
     .  A rt dro i d  A  v irt u al m e th o d  h o o ki n g  f
    : r a m e w o rk  o n

     -

    an d r oi d  ar t  r u n t i m e .
     [
    C ]
    // I MP S @ E S S o S  . 2 0 1 6 : 20

    28 


    9 1
    ] 分发信息 中 心 [
    E B /O L ]
    .  h tp s : // d e v el o d
    p er an ro
    i d c o m / a b o u t /d a s h b o a r d s / i n d e x
    . htm

     . .

    1 .


    2 020 4 6 ) - -




    92] LEE  K  Y IM K


    , S E O  J  T  R a n s o m w ar e  p r e v e n t
    . i o n  t e c h n i q u e  u s i n g  k e y  b a c k u p [J ] 

    C on c u r r e nc y  a n d C o mp u  t i o n  P r a c t i c e  a n d  E x p er
    at : i en c e ,  20 1 8 , 
    3 0 ( 3 ) e43 3 7 : 


    93 ]  KO L O D E N K E R  E ,  KO C H W  S T R I N G H I N I  G 
    , ,  et  a l .  P a y b re a k :  D e fe n s e  a g a i n s t

    cr
    y p t o g ap h c
    r i  r an s o m w a r e [ C ] // P r o c e e d i n g s  o f  t he 2 0  1 7  AC M  on  As i a  C on fe re n c e  on

    C o m p u ter a n d  C o m m u n i c a t i o n s  S e c ur i t y  2 0 7 5 99 6

     . 1 : 1 1 


    94 ]  AR P  D ,  S P R E I T Z EN B A RT H  M HU B N E R M
    ,  
    ,  e t  a l  D re b i n . :  E f fe c t i v e  a n d  exp l ai n 

    a b l e  d e t e c t i o n  o f a nd r o i d  m a l w a r e  i n 

     y our p o c 
    ke t .
     [
    C ]
    // Nds s : vo l u me 1 4 . 2 014 : 23

    26 


    95 ]  Xpo se d [E B /O L ] . h tt
    p s "r e p o x p o s e d i n fo /m o du l e / d e
    : . . ro b v . an dro i d x .

    pose
    d . i n s ta l l e r


    2 020 4 6 ) - -




    96] 《 20 20 年 中 国 互联 网 网 络 安 全 报 告 》 全 文 [
    E B / O L  h tp s ]
    . : // w w wjohu . e om / a /4 7 8

    8 7067 2 2 24 3 65 20 2 2 3 5)
    - -

    1 1 1 . 


    . (


    97 ] 王蕊 ? 20 1 6 年第

    季 度 勒 索软 件 变 种 数量 增 加 1 4% [
    J] .
    计算机与 网 络 ,
    20 1 6 , 
    42


    1 0) 56 5 6




    98]  202 年 勒 索 软 件 演 变 新 趋 势

     [
    E B /O L ]
    .  ht t
    ps : // www . s o hu e o m / a /4 7 4 . 1 2 9 940 _
    1 2 1 1 

    43 5 9 .


    202 2 -







    99 ] 勒索 软 件 攻 击 在 
    2 020  年 第 三 季 度 激增 [
    E B /O L ] . h tp s : // b a i

    i ah ao b ai d u c o m/ s ? i d =



    6 8 6 9 2 0 2 9 2 5 4 4 2 3 0 8 9 3 & w £ r = s p i d e r & fo r = p c 2022 3 9)
    - -

    1 . 


    1 08



    参考文献


    1 〇〇 ] 科技 云报道 :
    八 大 数据 趋 势 , 看 清 企业 数字 化 挑 战 [
    E B / O L] .  ht
    ps
    : // b a i

    i a h aa b a

    i du c o m / s . ? i d= 1 7 2 6 2 8 7 2 7 3 4 3 5 2 3 5 2 9 2 & w fr = s p i der & fo r = p c .

    2 02 2 -


    3 )



    1 0 1
    ]  L o c ke r p i n [ E B / O L ] .  ht t
    ps : // t h e h ac ke m e w s c o m / 2 0 . 1 5 / 0 9 / a n dr o i d -

    l ock

    r an s o m w are 

    ht ml .

    20 2 2 4 - -





    1 0 2 ]  D o ub l e l o c ker  I n n o v at i v e  a n d r o i d  r a n s o m w a re [ E B / O L ]  h t t s // w w w w el i v e s e c u ri ty
    p 

    : . : .

    . c o m /2 0 1 7 / 1 0/ 1 3 /d o u b l e l o c k e r

    i nno v a t i v e a nd r o i d m a l w a r e / - -


    20 2 2 4 - -






    1 0 3 ]  A n dro i d  N 如 何 限 制 重置 密 码 以 遏制 勒 索软件 [
    E B /O L ]
    .  h tp : // s e c c hi n a b yt e/
    . .

    20

    20 -

    1 0 23 ) -




    1 i s e  o f  a n d r o i d  r a n s o m w a re [ EB / O L ]  h t tp s
    04 ]  T h e  r . : // w w w . w e l i v e s e c u ri ty . c o m/w

    c o nt

    e nt/up I o ad s/ 2 0 1 6 /0 2 / R i s e _
    of _
    A nd r o i d _
    R a n s o mw a r e .

    p df .

    20 2 2 -


    3 0) 


    1 0 5 ]  Ko l e r [ E B / O L ] .  h t tp s : // w w w . v
    p nm e n t o r c o m / b l o g/ hi s t o r y .

    ra n s o m w are

    t hre a t p a s t p r



    e s e nt

     and

    fu t u re/ .

     (
    2 0 22 -


    9) 


    1 0 6 ]  Ko l e r  r a n s o m w a re  u s i n
    g 
    fa k e  a d u l t

    t h e m e d  app s  t o  i n fec t u  . s a. nd r o i d  u s e r s [ E B / O L ] 



    ht t p s : // w ww . t ip w
    r i re c o m / s t at e

     of

     sec uri y / l at e s t

     s e c ur i t
    y new s / ko l er


    r an s o m w a re -

     

    si n g fa k e - -

    ad u l t

    t he m e d ap p s - -

    i n fe c t a n d r o i d u s e r s /
    - -



    2 02 2 -


    6) 


    1 0 7 ]  K o l er  r a n s o m w a r e  c a m p a i g n  t a r g e t s  u . s .  an dro i d  u s er s [ E B / O L ] , ht t
    ps : // www . s 

    m ag a z n e i . c o m/n ew

    k o l er -

    ran s o m w are

    c am p a i g n

    t ar
    g e t i ng u s u s e r s / ar t c l e /6 7

    - -

    1 24 1 / 


    20 2 2 -


    6) 

    0 8 ]  Ko l e r  OL

    mob e  r an s o m w a re [E B /

     ht t u s a k a s p e r s ky c om / re s o u r c e c
     p ol ce 

    1 //
    ps
    i il . : . .
    [ ]

    e n t e r/t h r e at s / ko l e r r an s o mw a r e v i ru s 2022
    p ol i c e 3 5)
    - - - -

    . 

    0 9 ]  Troj a n a n d r o i d / k o l er [ E B / O L ]  ht w ww f s e c ur e c o m/v d e s c s/ t r oj a n a n d r o i d k o l e




    1 : . t
    ps : // . .

    r s ht
    . ml .


    2 02 2

    3 -

    5) 

    0 ]  Ko l er h e   p o l i c e  r a n s o m w a r e fo r a n d r o i d [ E B / O L ]
    5 !


    1 1

    t   .  ht t
    ps : // k a s p e r s k y c o n te n t hub 

    c o m / s e c ure l i s t / f
    i l e s /2 0 4 /07 / 2 0 1 4 0 7 K o l e r 20 2 2 0)
    p df 3
    - -

    1 . . 1 


    New r a n s omw a re  t a r
    g e ts  mob i l e [E B /O L ]  ht w w w b a n k i n fo s e c u r
    i t y c om / a 6 8 6 7

     - -

    1 1 1  //
    ^p
    . : . .

    [ ]



    202 2 -


    1 7) 


    1 1 2 ] S v
    p e n g  b e h i n d  a  s p i ke  i n  m o b i l e  r a n s o m w a r e [ E B / O L ]  h tp s . : //t h r e at p o s t . c o m/ s v
    p en

    g b ehi n d a ke n m ob i l e r an s o mw a r e /
    - - -

    s i



    1 265 3 3/ 2022 -


    1 6)

    . 



    1 1 3 ] A n dro i d . l o c k dro i d e [ E B / O L ] . . h tt
    ps : // www . s
    y m an t e c c o m / s e c u r
    i ty .
    _
    re s
    p o n s e/ w ri t e u

    p ?do c i d 20
    s = 1 4 -
    1 0 3 005 -

    2 209 -

    99 2022 -

    2 -

    1 9)
    p 


    . .

    j (

    1 09


    北 京 邮 电 大 学 工 学 博 士 学 位论 文 

    4 ]  H o c ke r r a n s o mw a r e  T he at t a c k e r s  a r e  u s i n ock s m art  tv s E B /O L
    g  hi s m al w a r e o
    1 1  :  t   t  l  


    [ [ ]

    h tt ww w c yb e r i n te l l i g e n c e n/D arr e n C a u th o n L G S m art T V FL o c k e r R a n s o m




    - - - -

    ps
    - -

    : // . . i

    wa re -

    A t a ck -

    S o l u t i on / .

    2 02 2 -


    4) 


    1 1 5 ] A n dro i d . l o c k d ro i d e [ E B / O L ] . .  h tp s : // w w w s .

    y m an t ec c o m / s e c ur
    ity .
    _
    re s
    p o n s e/w r
    i t eu

    p .



    p ? doci d
    =2
    0 1 4 -

    1 0 3 0 0 5 22 0 9 9 9 & t ab i d = 2
    - -



    20 2 2 3 - -






    1 1 6 ]  R o c k er m ob i l e   r an s o m w a r e  c r o s s e s  t o  s m ar t  t v [
    EB / O L ]
    .  ht t
    p : // b l o

    . tr e nd m i c r o c o m /

     .

    tre n dl ab s s e c uri t n tel l i g e n c e / f o ck e r ra n s o m w are c ro s s es s m ar t v/ 202 2 5)



    - - - - - - -

    t l
    y i l . 


    7 ]  Tr e n d s  i n  a n d r o i d  m a l w a r e [ E B / O L ]  h t t w w w w el i v e s e c uri ty c o m / w p c o n t ent/ up -

    1 1
    ps //


    . . .

    l o ads / 2 0 1 7 /0 2 / E S E T _
    T re n d s _
    20 1 7 _
    i n _
    A n dr o i d _
    R an s o m w a re .

    pdf .

    2 02 2 -

    2 -

    1 0) 


    1 1 8] A nd ro i d  m a l w are  u s e s  c o r o n av i r u s  fo r  s e x t o r t i on  a n d  r a n s o mw a re  c o mb o [ E B / O L ] 

    ht t p s : // n a ke d s e c u r i t y . s op h o s c o m / 20 20/ 0 3 / 1 8 / a n d r o i d m a l w a r e u s e s

    - - -

    c o r o n av i r u s

    fo r

    s ex t or t i o n

    ran s o m w are

    c o m b o/ .

    202 2 -

    2 -

    1 0) 


    1 1 9 ]  T h e  e v o l u t i o n  o f  r a n s o mw a r e [ E B / O L ] .  h tp : // www . s
    ym a n t e c c o m / c onn e c t / s y m a n t e
    . 


    blo /s r 2 020 -


    6)
    gs
    . 


     (

    20 ]  IC s n r a n s o mw a r e  i n  2 0 4 20 1 6 [ EB / O L ]  h t t e c n r e l i s t c o m / a n a l y s i s /p ub l
    re
    p ort
    1 1 // s


    ps 

      . : .

    8 3 /ks n ran s o m w are n 2 0 1 4 2 0 1 6/


    c at i o n s / 7 5 re
    p o r t m ob i e 2022 2 5)
    - - - -


    - - - -

    i l i . 1 

     N e w  a n d r o i d  t  r oj a n  x b o t  p h i s h e s  c r e d i t  c a r d s  a n d  b a n k  a c c o u n t s
    ’ ’

    1 2 1  e n c ry pt s  d e


    [ ] ,

    v i c e s  fo r  r a n s o m [ E B / O L ] .  htp s : //r e s e a r c h c e n t e r p a l o al t on e t w o rk s . . c o m/ 2 0 1 6/ 0 2/ n e

    w a n dro i d 加j 如 x b o t p h ypts dev ices 办


    h e s c re d i t c a r d s a nd b a n k ac c oun t s e n c t 

    - - - - - - -
    - - - -

    i s

    r r ans o m/



    202 2 -

    2 -

    1 4) 

    2 2 ]  A n d r o i d w a n n a l o c ke r [ E B / O L ]
    y m a n t ec c om / s e c u r
    i ty
     ht t ww w
    ps s re s
    p o n s e / wr eu


    1 . . : // . i t

    . 




    p ? do c i d
    = 20 1 7 06 1 3-

    1 4 4 8 3 9 9 9 & t ab i d = 2
    - -


    202 2 -


    2) 

    2 3 ]  M i x  n e w  a nd r o i d  ex p o s e  y o ur
    7 ,

    r a n s o m w a r e  t h re a t e n s  t o 

    1 
     p o m  e s c ap a d e s  t o  t h e  fb i


    E B / O L  h t tp s ]
    . : // t h e n e x t w e b . c o m/ s e c ur
    it y / 2 0 2 0/ 04/ 2 8 / a n dr o i d

    r an s o m w are

    fb i

    po

    m/ .


    2 0 22 -


    1 8) 


    1 24 ]  M C I N T O S H  T , 
    J ANG -

    AC C A R D
    J  J , 
    WATT E R S  P et ,
     a l  T h e  i n ad e q u a c y  o f e n t r o p y
    . 


    b a s e d  r a n s o m w a r e  d e t e c t i o n [ C ] // I n tem a t i o n a l  C o n fer e n c e  on  N e u r a l  I n fo r m a t i o n

    Pro c e s s i ng . S
    p r i n g e r  20 ,
    1 9 1 8 : 1

    1 89 

    1 1 

    You might also like