เปิดตัว ShieldFS ชุด Driver และ Filesystem ที่ช่วยให้ Windows รอดพ้นจาก Ransomware ได้

ในงาน Black Hat เมื่อสัปดาห์ที่ผ่านมา Andrea Continella และ Federico Maggi นักวิจัยจาก Politecnico di Milano แห่งอิตาลี ได้ออกมาเปิดตัวใ ShieldFS ซึ่งเป็นระบบ Add-on Windows Driver และ Filesystem ที่สามารถตรวจจับ Ransomware และกู้คืนไฟล์ต่างๆ กลับมาได้

ShieldFS Diagram from http://shieldfs.necst.it/continella-shieldfs-2016.pdf

 

นักวิจัยทั้งสองได้ออกมาระบุว่า ShieldFS นี้ถูกทดสอบกับ Ransomware เกินกว่า 12 ตระกูลรวมถึง WannCry และพบว่า ShieldFS สามารถตรวจจับ Ransomware ได้ถึง 97% และมีโอกาสที่จะไม่เกิดการสูญเสียไฟล์ใดๆ เลยในกรณีที่ตรวจจับได้สำเร็จ

ShieldFS นี้ต้องใช้เวลาในการเรียนรู้และสร้าง Model ของกิจกรรมต่างๆ ที่เกิดขึ้นกับระบบ Filesystem ซักระยะหนึ่ง ก่อนที่จะสามารถทำการตรวจจับพฤติกรรมผิดปกติที่เกิดขึ้นโดย Ransomware ได้ โดย ShieldFS จะทำการบล็อคและสร้างชั้นสำหรับป้องกันข้อมูลด้วยวิธีการที่คล้ายคลึงกับการทำ Copy-on-Write ขึ้นมา ทำให้ไฟล์ต้นฉบับไม่ถูกเข้ารหัสแต่อย่างใด และสามารถกู้กลับคืนมาได้เมื่อต้องการ

ทั้งคู่ทำการพัฒนา ShieldFS มาเป็นเวลากว่า 18 เดือน และสามารถตรวจจับ Ransomware ชื่อดังได้หลายตระกูล ไม่ว่าจะเป็น WannaCry, TeslaCrypt, CryptoWall, CryptoLocker และอื่นๆ อีกมากมาย โดยทำการวิเคราะห์ข้อมูลพฤติกรรมของ Filesystem ในระดับ Low-level ของเครื่องคอมพิวเตอร์จำนวน 11 เครื่องที่ใช้งานโดยอาสาสมัคร และทำการวิเคราะห์ I/O Request Packet จำนวน 1,700 ล้านรายการจาก 2,245 Application บนคอมพิวเตอร์เหล่านั้น จากนั้นจึงเปิดให้เหล่า Ransomware เข้ามาทำการโจมตีแล้วเปรียบเทียบพฤติกรรมที่เกิดขึ้นระหว่างสภาพปกติกับระหว่างที่ถูก Ransomware โจมตี

คอมพิวเตอร์เหล่านั้นถูกทดสอบกับตัวอย่างของ Ransomware 383 รายการที่อยู่ในตระกูล Cryptowall, Crowti, Critroni, CryptoDefense และ TeslaCrypt จนสามารถวิเคราะห์รูปแบบพฤติกรรมของ Ransomware ได้ และป้องกันได้ทันท่วงทีนั่นเอง โดยเอกสารงานวิจัยฉบับเต็มสามารถศึกษาได้ที่ http://shieldfs.necst.it/continella-shieldfs-2016.pdf ครับ

ลองดูคลิปการทำงานของ ShieldFS ได้ดังนี้ครับ

 

ที่มา: https://threatpost.com/shieldfs-can-detect-ransomware-recover-files/127121/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …