I/O Request Packet から取得される書き込みデータを 用いたランサムウェア検知技術の提案

近年のランサムウェアには，正規プロセスへのインジェクションやPowerShellを用いることでシグネチャ検知を回避するファイルレス型ランサムウェア等，攻撃の巧妙化が見られる．このようなランサムウェアの検知手法として，振る舞い検知が提案されているが，従来手法ではいくつかのファイルが暗号化されるまで検知できないという課題が存在する．そこで本稿では，ファイルオペレーションに関するI/O Request Packetを取得し，得られた書き込みデータを用いることで，ファイル書き込みごとに検知を行い，犠牲となるファイルが存在しない検知・防御技術を提案する．本提案技術では，ファイルにデータが書き込まれる前に，データの乱数度，書き込まれる位置，書き込み先のファイルヘッダ情報を用いて，書き込まれるデータがランサムウェアによって暗号化されたデータであるか判定する．本研究では，ランサムウェアの中でも特に検知難度の高いファイルレス型ランサムウェアを犠牲ファイルなしで検知可能なこと，ランサムウェア非活動時の誤検知率が十分低いこと，及び処理時間がユーザエクスペリエンスに大きな影響を与えないことを確認した．

In recent year, ransomware acquired sophisticated attack technique, such as fileless ransomware that has evasion method against signature matching by injecting legitimate processes or using PowerShell. Behavioral detection is one of the detection to detect such ransomware, but conventional one has a challenge of not detect until several files are encrypted. In this paper, we propose a victimless write data detection and prevention method using I/O request packets related to file operations. This determines whether the write data is encrypted by ransomware by using the randomness, the file write offset, and the header data to be written file, before data is written to a file. We confirmed that the method can detect fileless ransomware, which has high difficulty to detect among ransomware, without sacrificial files that false positive rate is sufficiently low when ransomware is not active, and that the processing time does not significantly affect the user experience.