Security evaluation of a ransomware detection system

Ransomware is a type of malware that prevents or limits users from accessing their system, either by locking the system’s screen or by locking the users’ files unless a ransom is paid. Modern ransomware families collectively called as crypto ransomware, encrypt certain file types on infected systems and force users to pay the ransom through certain online payment methods to obtain the decryption key(s). Crypto ransomware targeting Windows turned into a mass phenomenon about five years ago. Unfortunately, when users understand they have been infected by ransomware, it is al- ready too late to recover their data. The only option is to haul out backups, assuming there are some. As the number of ransomware attacks and the damage they cause is increasing, more works are being proposed in the re- search literature to analyze and detect ransomware. Among these, there is ShieldFS, which does not only provide detection, but also data protection. We performed a security analysis on the detection system of ShieldFS, a ransomware detection and remediation tool, which is based on behavioral analysis. For this reason, we followed two approaches: First, we tested the efficacy of the behavioral features that the detection system relies on. Second, we tested its resistance to mimicry attacks, a type of attack which mimics the behavior of legitimate programs to evade detection and still successfully accomplishing the attack.

Ransomware è un tipo di malware che limita agli utenti l’accesso al proprio sistema, bloccando lo schermo del sistema o cifrando i file degli utenti fino al pagamento di un riscatto. Le famiglie moderne di ransomware, chiamati anche crypto ransomware, cifrano certi tipi di file sui sistemi infetti e costringono gli utenti a pagare un riscatto online per ottenere la chiave (le chiavi) di decifratura. I crypto ransomware, che colpiscono principalmente i sistemi Windows, si sono diffusi in maniera massiva negli ultimi cinque anni. Purtroppo, quando gli utenti capiscono di essere stati in- fettati da ransomware è già troppo tardi per recuperare i pro- pri dati. L’unica opzione è quella di ripristinare dei backup, se questi sono stati correttamente fatti in precedenza. Poiché il numero degli attacchi di ransomware e dei danni causati è in aumento, stati proposti diversi approacci nella let- teratura di ricerca per analizzare e rilevare ransomware. Tra questi, c’è ShieldFS, che non solo fornisce rilevazione, ma an- che protezione dei dati. Abbiamo eseguito un’analisi di sicurezza sul sistema di rile- vamento di ShieldFS. Per farlo abbiamo seguito due approcci: Il primo, abbiamo testato l’efficacia dei criteri di rilevamento che ShieldFS utilizza. In secondo luogo, abbiamo testato la sua resistenza ai cosiddetti "mimicry attacks", un tipo di attacco che imita il comportamento di programmi legittimi per eludere il rilevamento e portare a termine l’attacco con successo.