SHIELD: A Host-Independent Framework for Ransomware Detection using Deep Filesystem Features

Dit paper introduceert SHIELD, een host-onafhankelijk framework dat diepe filesystem-metrics analyseert op opslagcontroller-niveau om ransomware-activiteit met hoge nauwkeurigheid te detecteren en te mitigeren, zelfs wanneer het besturingssysteem is gecompromitteerd.

De kern

Stel je voor dat je huis wordt overvallen door een dief die niet alleen je spullen steelt, maar ze ook in brand steekt en de sleutels vernietigt. In de digitale wereld is dit ransomware: een virus dat je bestanden versleutelt (onleesbaar maakt) en vraagt om losgeld om ze weer terug te krijgen.

Deze digitale dieven worden steeds slimmer. Ze kunnen zich verstoppen in het besturingssysteem van je computer (zoals Windows of macOS), waardoor de normale beveiliging (antivirus) hen niet ziet of zelfs niet meer vertrouwt.

De onderzoekers van dit paper hebben een oplossing bedacht genaamd SHIELD. Laten we uitleggen wat dit is met een paar simpele analogies.

1. Het Probleem: De Dief zit in het Huis

Stel je voor dat je een slimme beveiligingscamera hebt die in je huis hangt. Als een dief binnenkomt en de camera uitschakelt of de batterij verwisselt, is je beveiliging waardeloos.

• Huidige beveiliging: Werkt vaak als die camera. Als het virus je computer (het "besturingssysteem") overneemt, kan het de antivirus uitschakelen of de logs (de bewakingscamera's) wissen.
• Het probleem: De dief zit in het huis. Je kunt hem niet meer vertrouwen.

2. De Oplossing: SHIELD is de "Vloer"

SHIELD werkt niet in je huis (je computer), maar onder je huis, in de fundering.

• De Analogie: Stel je voor dat SHIELD geen camera is, maar een gevoelige vloer in de kelder. Het maakt niet uit wat de dief in de woonkamer doet, of welke kleding hij draagt, of welke leugens hij vertelt. Als hij over de vloer loopt, trilt de vloer.
• Hoe het werkt: SHIELD kijkt niet naar wat er op je scherm gebeurt, maar direct naar de harde schijf (waar je bestanden op staan). Het analyseert hoe de bestanden worden aangeraakt, verplaatst en geschreven.
• Onvervalst: Zelfs als de dief (het virus) de hele computer overneemt, kan hij niet voorkomen dat de vloer trilt als hij bestanden versleutelt. De vloer (de harde schijf) is "onafhankelijk" van de dief.

3. Hoe herkent SHIELD de dief? (De "Vloertrillingen")

Ransomware doet iets heel specifieks: het opent duizenden bestanden, leest ze, en schrijft ze direct daarna weer weg als onleesbare code (encryptie).

• Normale activiteiten: Als je een film bekijkt of een document opent, zijn de trillingen op de vloer rustig en voorspelbaar.
• Ransomware: Als een virus aan de slag gaat, is het alsof iemand met een hamer duizenden tegels tegelijkertijd op en neer slaat. Het patroon is chaotisch, snel en intensief.
• SHIELD's slimme brein: Het systeem leert dit patroon. Het kijkt niet naar wat er geschreven wordt (de inhoud), maar naar hoe het geschreven wordt (de snelheid, de volgorde, de grootte van de stukken). Het herkent de "hamer-slag" van de dief, zelfs als hij probeert zich te verstoppen.

4. De "Stopknop" (Direct ingrijpen)

Dit is het meest indrukwekkende deel. SHIELD wacht niet tot de dief klaar is.

• Herkennen: Zodra SHIELD ziet dat de "vloertrillingen" lijken op een ransomware-aanval, schakelt het direct over.
• Actie: Het blokkeert de toegang tot de harde schijf. Het is alsof SHIELD de deuren van de kelder dichtgooit en de sleutel weggooit, terwijl de dief nog midden in zijn werk zit.
• Resultaat: De dief kan niet meer verder. Slechts een heel klein beetje van je bestanden (minder dan 0,4%) wordt beschadigd voordat de deur dichtgaat. De rest van je huis (je bestanden) blijft veilig.

5. Waarom is dit zo speciaal?

• Onafhankelijk: Het werkt zelfs als je computer volledig gehackt is. Het zit "onder" het besturingssysteem.
• Snel: Het reageert binnen enkele seconden (of zelfs minder), voordat de dief alles kan versleutelen.
• Toekomstbestendig: Het is ontworpen om in de hardware zelf te worden gebouwd (zoals in de controller van de harde schijf), net als een ingebouwde veiligheidsdeur. Dit maakt het onmogelijk voor hackers om het uit te schakelen via software.

Samenvatting in één zin

SHIELD is een slimme, onzichtbare vloer in je computer die direct voelt als een dief aan het werk is, en de deuren dichtsluit voordat hij ook maar één steen kan stelen, zelfs als de dief denkt dat hij de hele kamer onder controle heeft.

Het is een manier om je digitale bezittingen te beschermen door niet te vertrouwen op wat er binnen gebeurt, maar op wat er onder gebeurt.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "SHIELD: A Host-Independent Framework for Ransomware Detection using Deep Filesystem Features" in het Nederlands.

Probleemstelling

Ransomware evolueert snel naar steeds geavanceerdere vormen, gebruikmakend van hardware-versnelde encryptie en multi-threading. Bestaande detectiesystemen vertrouwen vaak op host-gebaseerde signalen (zoals kernel-API's, procesmonitoring of netwerkstatistieken) of grove blok-I/O-statistieken. Deze benaderingen hebben twee fundamentele tekortkomingen:

1. Vertrouwensprobleem: Zodra het besturingssysteem (OS) van de host is gecompromitteerd, kunnen deze signalen worden gemanipuleerd, onderdrukt of vervalst door de aanvallers.
2. Gebrek aan semantiek: Coarse-granulaire methoden missen de diepere semantiek van het bestandssysteem, waardoor ze moeite hebben om onderscheid te maken tussen normale hoge I/O-activiteit en ransomware, of om intermitterende encryptie te detecteren.

Er is een dringende behoefte aan een oplossing die onafhankelijk is van de host, tamper-proof (vervalstevast) is en diep in de opslagcontroller werkt, waar de data daadwerkelijk wordt geschreven.

Methodologie: Het SHIELD Framework

SHIELD (Secure Host-Independent Extensible Metric Logging Framework) is een framework dat ransomware detecteert door diepe bestandssysteemkenmerken te analyseren op het niveau van de opslagcontroller, onder het OS.

Kernarchitectuur:

• Host-onafhankelijkheid: SHIELD opereert buiten het vertrouwensgebied van de host. Het monitort de blok-I/O-stroom en parseert direct de on-disk bestandssysteemstructuren (zoals inodes, data-blokken, superblocks) zonder afhankelijkheid van het host-kernel.
• Bestandssysteem-parsing: In plaats van alleen te kijken naar waar data wordt geschreven (LBA), analyseert SHIELD wat er gebeurt op bestandssysteemniveau. Het parseert structuren zoals de Master File Table (MFT) bij NTFS of inodes bij ext4 om mutaties te detecteren.
• Feature Extractie: Voor elke disk-actie (lezen/schrijven) worden 25 kenmerken gegenereerd:
  • 8 transport/interface-tellers (optioneel, voor PoC).
  • 17 bestandssysteem-gebaseerde kenmerken (bijv. aantal toegankelijke inodes, gewijzigde bytes, entropy-veranderingen).
  • Entropy: Berekening van Shannon-entropy op geschreven data-blokken om encryptiepatronen te detecteren.
• Actie-gebaseerde Vensters: Data wordt niet op tijdsbasis, maar op basis van het aantal disk-acties gegroepeerd in vensters (bijv. elke 100 acties). Dit maakt de detectie robuust tegen variaties in systeemsnelheid en vertraagde encryptie-aanvallen.
• Machine Learning: De gegenereerde feature-vectoren worden gebruikt om ML-modellen (zoals LightGBM) te trainen voor:
  • Binaire detectie: Onderscheid tussen "goed" (benign) en "kwaadaardig" (ransomware).
  • Multiclass classificatie: Identificatie van specifieke ransomware-families.
• Sluitende Lus (Closed-Loop): Zodra een model ransomware-gedrag detecteert, activeert SHIELD een "halt-mechanisme" dat verdere schrijfacties naar het beschermde volume blokkeert, waardoor de schade wordt beperkt.

Belangrijkste Bijdragen

1. Nieuw Off-Host Metric Acquisition Framework: Een lage-niveau data-acquisitiepijplijn die bestandssysteem-specifieke kenmerken logt, onafhankelijk van het OS. Dit maakt detectie mogelijk zelfs als de host volledig is overgenomen.
2. Validatie van Kenmerknut: Uitgebreide ML-experimenten tonen aan dat deze diepe bestandssysteemkenmerken ransomware met hoge nauwkeurigheid kunnen onderscheiden van normale applicaties.
3. Zero-Shot Detectie en Mitigatie: Het systeem kan nieuwe, onbekende ransomware-varianten (die niet in de trainingsdata zaten) real-time detecteren en stoppen met minimale bestandsverlies.
4. Hardware-Feasibility: Bewijs dat detectie mogelijk is met alleen hardware-observabele kenmerken (zonder transport-layer data), wat de haalbaarheid voor implementatie in FPGA's of ASIC's binnen de opslagcontroller bevestigt.

Resultaten

De evaluatie omvatte diverse ransomware-families (o.a. LockBit, Babuk, Conti) en een breed scala aan schadelijke en onschadelijke applicaties.

• Detectienauwkeurigheid: De beste binaire classifier bereikte 97,29% nauwkeurigheid in het onderscheiden van kwaadaardig van onschadelijk disk-gedrag.
• Hardware-Only Feasibility: Zelfs wanneer alle transport-layer metrics werden verwijderd en alleen bestandssysteem-gebaseerde kenmerken werden gebruikt, bleef de nauwkeurigheid hoog op 95,97%. Dit bevestigt dat het systeem volledig in de opslagcontroller kan werken zonder OS-informatie.
• Zero-Shot Generalisatie: Het model presteerde uitstekend op onbekende ransomware-stammen (bijv. Akira, Phobos) met een nauwkeurigheid van 94,59% bij een venstergrootte van 100 acties.
• Mitigatie en Schadebeperking:
  • In een gesloten-lus implementatie stopte SHIELD de disk-acties binnen enkele tientallen acties.
  • De hoeveelheid bestanden die werden aangetast was extreem laag: ≤ 0,4% voor onbekende stammen bij kleine actie-vensters.
  • De schijnbare corruptie op OS-niveau was vaak veel hoger dan de daadwerkelijke schrijfschade op schijfniveau, omdat SHIELD ingreep tijdens de vroege, gedeeltelijke encryptiefase.
• False Positives: Het systeem behield een lage false-positive rate van ≤ 3,6% op onbekende onschadelijke applicaties (zoals videobewerkers en archiveringssoftware).

Betekenis en Impact

SHIELD vertegenwoordigt een paradigmaverschuiving in ransomware-verdediging:

• Vertrouwensgrens verschuiven: Het verlegt de "trust boundary" van het onbetrouwbare host-OS naar de betrouwbare opslagcontroller. Zelfs als de host volledig gecompromitteerd is, kan de aanval niet worden verdoezeld omdat de mutaties op het bestandssysteemniveau fysiek zichtbaar blijven voor de controller.
• Real-time en Robuust: Door te werken op het niveau van de opslagcontroller, is het systeem immuniteit tegen softwarematige manipulatie en kan het intermitterende encryptiepatronen detecteren die door andere methoden worden gemist.
• Implementatiekansen: De resultaten tonen aan dat dit systeem praktisch realiseerbaar is in embedded systemen (FPGA/ASIC) binnen moderne SSD's of opslagcontrollers, wat leidt tot een nieuwe generatie "smart storage" die zichzelf kan verdedigen.

Kortom, SHIELD bewijst dat diepe, bestandssysteem-bewuste telemetrie op het opslagniveau een krachtig, tamper-proof mechanisme biedt om ransomware te detecteren en te neutraliseren voordat significante schade wordt aangericht.