普渡大學(xué)(Purdue University)的科學(xué)家們開發(fā)了一種名為“Reactive Redundancy for Data Destruction (R2D2)”的數(shù)據(jù)保護(hù)技術(shù)，該技術(shù)不但可以保護(hù)虛擬機(jī)內(nèi)的數(shù)據(jù)免受現(xiàn)代數(shù)據(jù)擦除類惡意軟件的攻擊，而且還可以提供了一些安全的文件刪除方法。

研究人員表示：

在我們的測(cè)試實(shí)驗(yàn)中，這項(xiàng)新技術(shù)成功地阻止了擦除類惡意軟件如Shamoon (v1和v2)、StoneDrill和Destover對(duì)實(shí)驗(yàn)數(shù)據(jù)的刪除。

近年來(lái)，針對(duì)文件系統(tǒng)和MBR等以擦除攻擊為主要手段的破壞性攻擊代碼愈來(lái)愈多。這類惡意軟件也成為很多APT攻擊組織在攻擊后掩蓋其蹤跡的主要手段。

擦除類攻擊分兩種：?jiǎn)渭儾脸投喙δ懿脸?

單純擦除

這些惡意軟件旨在破壞數(shù)據(jù)或影響目標(biāo)系統(tǒng)正常啟動(dòng)，通常通過(guò)接收來(lái)自攻擊者的命令或預(yù)定時(shí)間執(zhí)行。

這類惡意軟件包括：Killdisk，WhiteRose，DarkSeoul，DestFallen，Destover等。

多功能擦除

這類惡意代碼被攻擊者用來(lái)執(zhí)行多種任務(wù)，其中包括擦寫被感染系統(tǒng)。這類惡意軟件包括：BlackEnergy 2 DSTR Plugin，Shamoon/Disttrack，Gh0st RAT等。

R2D2如何運(yùn)作

R2D2在設(shè)計(jì)時(shí)針對(duì)的操作環(huán)境是虛擬機(jī)，也就是說(shuō)你不能在常規(guī)操作系統(tǒng)上運(yùn)行R2D2，這是因?yàn)镽2D2需要處于可以觀察整個(gè)操作系統(tǒng)的位置。

Purdue研究人員在上個(gè)月發(fā)表的一篇論文中寫道：

我們的R2D2的原型是在一個(gè)虛擬機(jī)監(jiān)控(VMM)中實(shí)現(xiàn)的，它可以通過(guò)虛擬機(jī)自省(VMI)監(jiān)視用戶虛擬機(jī)中的數(shù)據(jù)損壞情況。

R2D2使用VMI接口來(lái)攔截受保護(hù)的操作系統(tǒng)（虛擬機(jī)上的用戶操作系統(tǒng)）上的文件打開和文件寫入之類的操作。

如果檢測(cè)到有文件打開和文件寫入之類的操作時(shí)，R2D2就會(huì)利用一系列的防護(hù)策略來(lái)評(píng)估這些操作是否屬于已知的攻擊性操作。如果在防御掃描時(shí)觸發(fā)了安全警告，VMM將創(chuàng)建一個(gè)臨時(shí)檢查點(diǎn)，這樣操作員就可以使用它來(lái)作為系統(tǒng)恢復(fù)點(diǎn)。

通過(guò)這樣的設(shè)計(jì)，R2D2將忽略那些模塊化或標(biāo)準(zhǔn)化的刪除操作，這些操作會(huì)取消鏈接文件，并在稍后需要將其他數(shù)據(jù)保存在磁盤上時(shí)將其保留在存儲(chǔ)介質(zhì)上。

但是，R2D2將查找有意打開和重寫文件的刪除操作，這種攻擊行為已經(jīng)在所謂的“安全刪除”應(yīng)用程序和擦除類惡意軟件中被攻擊者應(yīng)用了。

通過(guò)如此的設(shè)計(jì)，R2D2將查找嘗試用隨機(jī)數(shù)據(jù)或重復(fù)的代碼模式重寫文件的操作。目前，R2D2可以適用于13種已知的擦除方法，這些方法已在所謂的“安全刪除”應(yīng)用程序和惡意軟件中經(jīng)常出現(xiàn)。

R2D2支持“安全刪除”應(yīng)用程序和數(shù)據(jù)擦除類惡意軟件的原因是由于惡意軟件作者可能試圖將這些應(yīng)用程序合并到未來(lái)的擦除類惡意軟件中，而不是使用自定義技術(shù)。

此外，通過(guò)支持流行應(yīng)用程序使用的“安全刪除”算法，R2D2還可以保護(hù)計(jì)算機(jī)免受惡意的內(nèi)部人員的物理訪問(wèn)，攻擊者最有可能使用“安全刪除”應(yīng)用程序而不是數(shù)據(jù)擦除類惡意軟件。

測(cè)試中，研究人員還發(fā)現(xiàn)R2D2在識(shí)別具有破壞性的擦除行為時(shí)，具有非常高的準(zhǔn)確性。

雖然R2D2目前只在測(cè)試階段，但市面上還沒(méi)有哪一個(gè)軟件可以由此功能。

研究人員進(jìn)行的測(cè)試表明，雖然R2D2在檢測(cè)惡意破壞性操作方面非常準(zhǔn)確，但仍需要在一些性能指標(biāo)上持續(xù)改進(jìn)。例如，測(cè)試表明，在989次破壞性操作中，R2D2錯(cuò)誤地將兩次破壞性重寫確定為良性(假陰性率為0.2%)，而在989次良性寫入中，R2D2將5次操作誤判定為具有破壞性的行為(假陽(yáng)性率為0.51%)。

但是最大的問(wèn)題是R2D2當(dāng)前版本在保護(hù)vm上的延遲反應(yīng)。Purdue研究人員表示：

對(duì)于簡(jiǎn)單的任務(wù)，延遲率從1%到4%不等，而對(duì)于復(fù)雜的任務(wù)來(lái)說(shuō)延遲率從9%到20%不等。

如何改進(jìn)R2D2性能

研究人員表示，改進(jìn)R2D2性能并不是一個(gè)大問(wèn)題，因?yàn)槟壳癛2D2的原型并沒(méi)有對(duì)性能進(jìn)行優(yōu)化，如果投入實(shí)戰(zhàn)，還有很大的改進(jìn)空間。

例如，由于超過(guò)90％的延遲是因?yàn)镽2D2在主機(jī)操作系統(tǒng)的VMI接口內(nèi)運(yùn)行，所以提高性能的最簡(jiǎn)單方法是讓R2D2在其他位置運(yùn)行，這樣設(shè)備的運(yùn)行性能就不會(huì)出現(xiàn)大幅度下降。

再比如，R2D2可以在操作系統(tǒng)內(nèi)插入寫入存儲(chǔ)介質(zhì)，將R2D2放置在操作系統(tǒng)內(nèi)可以避免與VMI相關(guān)的損耗，而這也是研究者所發(fā)現(xiàn)的最重要的性能損耗。但是，這種改進(jìn)方法的主要缺點(diǎn)是對(duì)文件版本控制系統(tǒng)和其他R2D2機(jī)制的控制都位于受保護(hù)的系統(tǒng)中，而不是與潛在的不可信的操作系統(tǒng)隔離。如果對(duì)手可可以破壞操作系統(tǒng)，那他們就可以禁用R2D2。

其實(shí)，R2D2的另一個(gè)合理的運(yùn)行位置是在硬件附近。在將數(shù)據(jù)寫入存儲(chǔ)設(shè)備之前，存儲(chǔ)設(shè)備上的硬件控制器可以檢查寫入緩沖區(qū)是否具有破壞性功能。然而，將R2D2放置在硬件控制器中的挑戰(zhàn)是記錄和保存對(duì)用戶，系統(tǒng)管理員或取證人員有意義的數(shù)據(jù)。將底層磁盤操作映射到文件對(duì)于磁盤存儲(chǔ)而言是一個(gè)眾所周知的語(yǔ)義鴻溝問(wèn)題?；蛘?，網(wǎng)絡(luò)文件系統(tǒng)也可以使用R2D2，類似于檢查惡意行為的文件交互過(guò)程。

這樣做一個(gè)優(yōu)點(diǎn)是R2D2可以與攻擊者隔離，除非攻擊者能夠覆蓋硬件控制器或獲取網(wǎng)絡(luò)文件存儲(chǔ)服務(wù)器。

由于一些加密勒索軟件變種有時(shí)與某些擦除類惡意軟件相似，因此R2D2也可能會(huì)會(huì)被用于檢測(cè)一些勒索軟件。盡管如此，研究人員并不認(rèn)為R2D2是一個(gè)檢測(cè)勒索軟件感染的好系統(tǒng)。不過(guò)研究人員表示：

可以通過(guò)密切關(guān)注R2D2的這個(gè)檢測(cè)勒索軟件的功能，來(lái)判斷它的性能好壞。因?yàn)檫@表明目前R2D2正在執(zhí)行大量的數(shù)據(jù)加密程序，而不是關(guān)注文件打開和文件寫入之類的操作。

目前，R2D2只在VM內(nèi)運(yùn)行的Windows 7操作系統(tǒng)上進(jìn)行過(guò)測(cè)試，不過(guò)該研究小組表示:

雖然只在Windows 7操作系統(tǒng)上進(jìn)行過(guò)測(cè)試，但我們認(rèn)為R2D2可以在各種版本的Windows上使用。從理論上講，它也應(yīng)該能在Linux、Mac OS和其他系統(tǒng)中得到推廣。