SHIELD: A Host-Independent Framework for Ransomware Detection using Deep Filesystem Features

Il paper presenta SHIELD, un framework di rilevamento ransomware indipendente dall'host che, analizzando caratteristiche deep del filesystem direttamente a livello di controller di archiviazione, garantisce un rilevamento tamper-proof con un'accuratezza del 97,29% e un blocco rapido delle operazioni dannose prima che vengano crittografati più dello 0,4% dei file.

L'essenziale

Ecco una spiegazione semplice e creativa del paper SHIELD, pensata per chiunque, anche senza competenze tecniche.

🛡️ SHIELD: Il "Guardia del Corpo" che vive dentro il tuo Hard Disk

Immagina il tuo computer come una casa molto grande.

• I tuoi file (foto, documenti, video) sono gli oggetti preziosi nelle stanze.
• Il Sistema Operativo (Windows, macOS, Linux) è il portiere che gestisce chi entra ed esce.
• L'Hard Disk è il magazzino dove tutto viene conservato.

🦠 Il Problema: Il Ladro che inganna il Portiere

I Ransomware sono come ladri super-intelligenti. Una volta entrati nella tua casa, si travestono da portiere (o lo corrompono).

• Il portiere (il tuo computer) pensa: "Oh, questo è un normale lavoro di riordino!" e lascia che il ladro prenda tutti i tuoi oggetti, li chiuda in casse blindate (li cripta) e ti chieda un riscatto.
• I sistemi di sicurezza tradizionali (antivirus) sono come telecamere installate sul portico. Se il ladro inganna il portiere o spegne le telecamere, il sistema non vede nulla.

🚀 La Soluzione: SHIELD

Gli autori di questo studio hanno creato SHIELD.
Immagina SHIELD non come una telecamera esterna, ma come un sistema di sensori nascosti direttamente dentro il pavimento del magazzino (l'Hard Disk), sotto il controllo del portiere.

Ecco come funziona, passo dopo passo:

1. La Visione "Sotto il Pavimento" (Indipendente dall'OS)
SHIELD non chiede al portiere cosa sta succedendo. SHIELD guarda direttamente i movimenti fisici nel magazzino.

• Se il ladro inizia a prendere 10.000 oggetti in 1 minuto e a chiuderli in casse, SHIELD vede questo movimento caotico dal basso, anche se il portiere sta mentendo e dicendo: "Tutto tranquillo, è solo una pulizia!".
• Poiché i sensori sono nel pavimento (nel controller del disco), il ladro non può spegnerli o modificarli senza distruggere l'intera casa.

2. L'Intelligenza Artificiale (Il Detective)
SHIELD ha un piccolo "detective" (un'intelligenza artificiale) che osserva questi movimenti.

• Cosa cerca? Non guarda cosa stai scrivendo (per proteggere la tua privacy), ma guarda come lo fai.
• L'analogia: Se stai scrivendo una lettera, muovi la penna piano e con calma. Se il ladro sta copiando 10.000 pagine in un secondo, la penna si muove in modo frenetico e strano. SHIELD riconosce questo "stile di scrittura" come pericoloso.

3. La Reazione Immediata (Il Blocco)
Appena il detective capisce che è un attacco:

• Non aspetta: Non chiama la polizia (che arriverebbe troppo tardi).
• Agisce subito: SHIELD alza un muro di contenimento dentro il magazzino. Blocca fisicamente la porta del magazzino.
• Risultato: Il ladro viene fermato dopo aver rovinato solo un piccolo pacco (spesso meno dell'1% dei file), invece di perdere tutto.

🧪 I Risultati della Prova

Gli scienziati hanno testato SHIELD in laboratorio:

• Accuratezza: Ha riconosciuto i ladri nel 97% dei casi, anche se erano ladri che non aveva mai visto prima (come se riconoscesse lo stile di un nuovo tipo di criminale).
• Velocità: Ha fermato l'attacco dopo pochissimi movimenti, salvando quasi tutti i file.
• Robustezza: Funziona anche se il "portiere" (il computer) è completamente corrotto. SHIELD è così sicuro che può essere costruito direttamente dentro il chip dell'hard disk (come un circuito elettronico), rendendo impossibile per un hacker disattivarlo via software.

💡 Perché è rivoluzionario?

Fino ad oggi, la sicurezza era come mettere un allarme sulla porta di casa. Se il ladro entra e prende le chiavi del portiere, l'allarme non suona.
SHIELD è come mettere un sensore di movimento sotto il pavimento del magazzino. Anche se il ladro ha le chiavi e può camminare liberamente, il sensore sente il suo passo pesante e blocca l'uscita prima che possa rubare tutto.

In sintesi

SHIELD è un sistema di sicurezza che sposta la guardia dal "cervello" del computer (che può essere ingannato) al "cuore" del disco rigido (che non può mentire). Usa l'intelligenza artificiale per riconoscere il "movimento" tipico di un attacco e blocca tutto istantaneamente, salvando i tuoi dati anche quando il tuo computer sembra completamente compromesso.

Sommario tecnico

Ecco una sintesi tecnica dettagliata del paper "SHIELD: A Host-Independent Framework for Ransomware Detection using Deep Filesystem Features", tradotta e adattata in italiano.

1. Il Problema

La sofisticazione crescente dei ransomware, che utilizzano crittografia accelerata dall'hardware, esecuzione multi-thread e modelli "Ransomware-as-a-Service" (RaaS), rende le soluzioni di difesa tradizionali insufficienti.

• Limitazioni delle difese attuali: I sistemi esistenti si basano su segnali host/kernel (chiamate API, contatori delle prestazioni) o statistiche I/O a blocchi grossolane. Una volta compromesso il sistema operativo (OS), questi segnali diventano inaffidabili e possono essere manipolati o oscurati dall'attaccante.
• Mancanza di granularità: Le soluzioni basate su OS non possiedono la granularità necessaria per comprendere la semantica del filesystem, mentre le soluzioni cloud o sandboxing non sono adatte per il rilevamento in tempo reale o violano le policy di dati sensibili.
• Necessità: C'è un bisogno urgente di una soluzione di rilevamento indipendente dall'host, resistente alle manomissioni e capace di operare al di sotto del livello del sistema operativo, direttamente nel percorso dati del controller di archiviazione.

2. Metodologia: SHIELD

SHIELD (Secure Host-Independent Extensible Metric Logging Framework) è un framework che rileva e mitiga le minacce ransomware analizzando le attività del filesystem a livello di disco, indipendentemente dallo stato del sistema operativo ospite.

Architettura e Principi di Funzionamento

• Acquisizione Off-Host: SHIELD opera al di fuori del trust boundary dell'host. Monitora il traffico I/O a blocchi e le strutture del filesystem direttamente sul disco o nel controller di archiviazione (FPGA/ASIC). L'host non ha la capacità di modificare i log o la logica di decisione di SHIELD.
• Analisi delle Strutture del Filesystem: Invece di guardare solo gli indirizzi logici dei blocchi (LBA), SHIELD esegue il parsing attivo e passivo delle strutture del filesystem (es. inode, tabelle dei blocchi dati, superblock, GDT in ext4). Questo permette di attribuire ogni operazione di I/O alla struttura specifica del filesystem che sta modificando.
• Feature Extraction (Deep Filesystem Features): Per ogni azione di I/O, il sistema genera un vettore di metriche che include:
  • Metriche di Trasporto: Contatori di operazioni completate, settori trasferiti, tempi di lettura/scrittura (opzionali per la versione hardware-only).
  • Metriche a Livello Filesystem: Letture/scritture di tabelle degli inode, allocazioni/deallocazioni di inode, modifiche ai metadati, cambiamenti di dimensione dei blocchi.
  • Entropia: Calcolo della variazione di entropia (Shannon) nei dati scritti per rilevare la transizione da testo in chiaro a cifratura.
• Finestratura Basata sulle Azioni (Action-Based Windows): Le metriche non sono aggregate per tempo, ma per numero di azioni I/O (es. ogni 100 operazioni). Questo rende il rilevamento indipendente dalla velocità del sistema o dal carico di lavoro, rendendo difficile l'evasione tramite rallentamento dell'attacco.
• Rilevamento e Mitigazione in Ciclo Chiuso: Un modello di Machine Learning (addestrato offline) analizza le finestre di azioni. Se viene rilevato un comportamento malevolo, SHIELD attiva un meccanismo di "halt" che blocca le scritture successive sul disco, limitando i danni.

3. Contributi Chiave

1. Framework di Acquisizione Metriche Indipendente dall'Host: Introduzione di una pipeline di acquisizione dati a basso livello che registra funzionalità specifiche del filesystem (inode, blocchi dati) senza dipendere dall'OS.
2. Validazione dell'Efficacia delle Metriche: Dimostrazione attraverso esperimenti ML che queste metriche permettono una distinzione ad alta accuratezza tra comportamenti benigni e malevoli, inclusi i ransomware a crittografia intermittente.
3. Rilevamento "Zero-Shot" e Mitigazione: Il sistema è in grado di identificare e fermare campioni di ransomware mai visti prima (nuove famiglie) in tempo reale, limitando la perdita di file a meno dello 0,4% in finestre d'azione piccole.
4. Fattibilità Hardware: Validazione che un set di funzionalità puramente hardware (escludendo le metriche di trasporto) mantiene un'accuratezza superiore al 95%, rendendo fattibile l'implementazione su FPGA o ASIC all'interno del controller di archiviazione.

4. Risultati Sperimentali

Gli esperimenti sono stati condotti su un ambiente sandbox con 10 famiglie di ransomware (es. LockBit, Babuk) e 10 applicazioni benignhe (es. OBS, 7Zip, Veracrypt), utilizzando dischi virtuali e un backend fisico FPGA.

• Accuratezza di Rilevamento (Binary): Il miglior classificatore binario (LightGBM) ha raggiunto un'accuratezza del 97,29% nel distinguere comportamenti benigni da malevoli.
• Fattibilità Hardware-Only: Rimuovendo tutte le metriche di trasporto e utilizzando solo le feature derivate dal filesystem, l'accuratezza è rimasta al 95,97%, confermando che il rilevamento non dipende dall'OS o dal layer di rete.
• Generalizzazione Zero-Shot: Su 10 famiglie di ransomware non presenti nel set di addestramento, il sistema ha mantenuto un'alta accuratezza (fino al 98,91% con finestre più ampie) e ha fermato l'attacco prima che la maggior parte dei file venisse crittografata.
• Mitigazione e Danni: In modalità closed-loop, SHIELD ha limitato i file danneggiati a ≤0,4% per ceppi zero-shot. È stato osservato che la misurazione a livello di blocco (SHIELD) rileva danni molto inferiori rispetto alla misurazione a livello di file dell'OS, poiché l'intervento avviene durante la fase di sovrascrittura parziale.
• Falsi Positivi: Il tasso di falsi positivi su applicazioni benignhe non viste è stato basso (≤3,6%), senza attivare il blocco delle scritture in modo errato.

5. Significato e Implicazioni

• Resistenza alla Compromissione: Poiché SHIELD opera al di sotto del sistema operativo, un attaccante che ha ottenuto il controllo root dell'host non può disattivare il rilevamento, manipolare i log o nascondere l'attività di crittografia. Le modifiche al filesystem sono inevitabili e osservabili dal controller.
• Indipendenza dalla Velocità e dal Carico: L'uso di finestre basate sulle azioni (anziché sul tempo) garantisce che il sistema funzioni efficacemente su hardware diverso e resista a strategie di evasione basate sul rallentamento dell'attacco.
• Integrazione Embedded: La progettazione è ottimizzata per l'implementazione diretta nei controller di archiviazione (FPGA/ASIC), offrendo una difesa "on-disk" che non richiede risorse di calcolo dell'host e si integra con le architetture di storage computazionale emergenti.
• Modularità: Sebbene la valutazione si sia concentrata su ext4, il framework è progettato per essere modulare, supportando altri filesystem (come NTFS e APFS) tramite parser specifici che mappano le strutture su uno schema di eventi comune.

In conclusione, SHIELD rappresenta un cambio di paradigma nella difesa contro i ransomware, spostando il punto di fiducia dal sistema operativo (spesso compromesso) al livello fisico/logico del controller di archiviazione, fornendo un'ancora di fiducia tamper-resistant per il rilevamento e la mitigazione in tempo reale.