SHIELD: A Host-Independent Framework for Ransomware Detection using Deep Filesystem Features

O artigo apresenta o SHIELD, um framework de detecção de ransomware independente do host que utiliza recursos de nível de sistema de arquivos para identificar e mitigar ameaças de forma segura e em tempo real diretamente no controlador de armazenamento, alcançando alta precisão e limitando significativamente a perda de dados.

O essencial

Imagine que o seu computador é uma casa e os seus arquivos são os tesouros guardados nela.

O Ransomware (o "sequestrador de dados") é como um ladrão que entra na sua casa, tranca todas as portas e janelas, e exige um resgate para devolver as chaves. O problema é que, hoje em dia, esses ladrões são muito inteligentes. Eles podem enganar os guardas que ficam dentro da casa (o sistema operacional do computador), fingindo ser você ou mudando de roupa para não serem reconhecidos.

Aqui entra o SHIELD, a grande estrela deste artigo.

O Que é o SHIELD?

Pense no SHIELD como um vigia cego, mas super esperto, que vive no portão da rua, fora da sua casa.

• O Problema: Os sistemas de segurança atuais ficam dentro da casa. Se o ladrão entra e convence o porteiro (o sistema operacional) de que ele é o dono, o porteiro deixa tudo passar.
• A Solução: O SHIELD não está dentro da casa. Ele fica no chão de fábrica onde a casa foi construída (o controlador de disco de armazenamento). Ele não vê o que acontece dentro dos cômodos, mas ele vê exatamente o que entra e o que sai pelo portão e como o chão da casa está sendo mexido.

Como ele funciona? (A Analogia do Pedreiro)

Imagine que o seu computador está organizando os arquivos como um pedreiro organizando tijolos.

1. Comportamento Normal (Você): Quando você trabalha, você pega um tijolo, coloca uma tinta, e talvez arrume um pouco a parede. É um movimento lento e específico.
2. Comportamento do Ladrão (Ransomware): O ladrão não quer apenas arrumar; ele quer quebrar e substituir tudo. Ele pega milhares de tijolos por segundo, raspa a tinta antiga e joga tinta preta (criptografia) em cima de tudo, muito rápido.

O SHIELD não precisa saber o que está escrito nos tijolos (os seus arquivos). Ele apenas conta:

• "Quantos tijolos foram movidos?"
• "Quantas vezes a parede foi raspada?"
• "O ritmo mudou drasticamente?"

Se o ritmo de "raspar e pintar" ficar louco e rápido demais, o SHIELD sabe: "Algo está errado!"

O Grande Truque: O Vigia é "À Prova de Falsificação"

A parte mais genial do SHIELD é que ele é independente.

• Se o ladrão entrar na casa e gritar: "Eu sou o dono, pare de vigiar!", o SHIELD não ouve. Ele está do lado de fora, no portão.
• O ladrão não pode mudar o que o SHIELD vê, porque o SHIELD observa o chão de fábrica (o disco rígido) antes mesmo de os dados entrarem na "casa" (o sistema operacional).
• Mesmo que o ladrão tente se esconder ou agir devagar, o SHIELD percebe a assinatura do movimento. É como se o ladrão tivesse que usar botas vermelhas para entrar; mesmo que ele tente se disfarçar, o SHIELD só precisa ver as botas vermelhas no chão.

O Resultado: Parar o Ladrão Antes que Ele Feche a Porta

O SHIELD não apenas avisa; ele age.
Assim que o vigia percebe que o ritmo de "destruição" começou, ele trava o portão em milésimos de segundo.

• Sem SHIELD: O ladrão entra, tranca tudo, e você perde 100% dos seus arquivos.
• Com SHIELD: O ladrão entra, começa a quebrar a primeira parede, e o SHIELD trava o portão. Você perde apenas 0,4% dos arquivos (talvez alguns tijolos soltos), mas o resto da casa está intacta.

Por que isso é importante?

1. Funciona mesmo se o computador estiver infectado: Como o SHIELD está "fora" do sistema principal, o vírus não consegue desligá-lo.
2. É rápido: Ele detecta o problema em questão de segundos (ou até menos), antes que o dano se espalhe.
3. É leve: Ele foi feito para funcionar em chips pequenos e baratos (como os que já existem nos discos rígidos modernos), sem precisar de computadores superpotentes.

Resumo da Ópera

O SHIELD é como um sistema de segurança que não confia no dono da casa. Ele vigia o movimento de entrada e saída de dados diretamente no "chão de fábrica" do disco. Se ele vê alguém tentando "pintar" (criptografar) tudo muito rápido, ele trava o portão imediatamente, salvando a grande maioria dos seus arquivos, mesmo que o vírus esteja tentando enganar o computador inteiro.

É uma mudança de paradigma: em vez de confiar no que o computador diz, confiamos no que o chão (o disco) está sentindo.

Resumo técnico

Resumo Técnico: SHIELD

1. O Problema

O ransomware evoluiu para se tornar uma ameaça sofisticada, utilizando criptografia acelerada por hardware, execução multithread e plataformas "Ransomware-as-a-Service" (RaaS). As soluções de detecção existentes apresentam limitações críticas:

• Dependência do Host: A maioria das ferramentas opera dentro do sistema operacional (OS) ou do kernel. Uma vez que o OS é comprometido, os sinais de segurança (logs, chamadas de API, contadores de desempenho) podem ser manipulados, suprimidos ou falsificados pelo atacante.
• Granularidade Insuficiente: Muitas defesas baseadas em hardware monitoram apenas estatísticas de I/O de bloco grosseiras (como contadores de leitura/escrita), perdendo a semântica do sistema de arquivos, o que permite a evasão.
• Falta de Resiliência: Defesas em nuvem ou sandboxes muitas vezes não são em tempo real ou violam políticas de privacidade de dados.

Existe uma necessidade urgente de uma solução de detecção independente do host, resistente a adulterações (tamper-resistant) e capaz de operar abaixo do nível do sistema operacional, diretamente no controlador de armazenamento.

2. Metodologia e Arquitetura

O SHIELD (Secure Host-Independent Extensible Metric Logging Framework) é um framework projetado para operar no caminho de dados do controlador de armazenamento (FPGA/ASIC), fora do alcance do sistema operacional comprometido.

• Conceito Central: Em vez de confiar no OS, o SHIELD analisa as estruturas do sistema de arquivos diretamente no disco (ex: inodes, tabelas de dados, metadados globais). Como o ransomware precisa modificar essas estruturas para criptografar arquivos, ele gera assinaturas observáveis que não podem ser ocultadas sem impedir o ataque.
• Arquitetura de Coleta de Métricas:
  • Parsing Ativo e Passivo: O sistema mantém um catálogo ao vivo das estruturas do sistema de arquivos. Ele faz um bootstrapping inicial (ativo) e monitora leituras/escritas subsequentes (passivo), atribuindo cada ação de I/O à estrutura do sistema de arquivos afetada.
  • Janelas Baseadas em Ações: Em vez de usar intervalos de tempo fixos (que podem ser enganados por ataques lentos), o SHIELD agrupa as ações de disco em "janelas" baseadas no número de operações (ex: 100 ações). Isso torna a detecção independente da velocidade do sistema ou da latência de rede.
  • Métricas Coletadas: O framework extrai 25 características por ação, divididas em:
    1. Métricas de Transporte/Interface: Contadores de I/O (opcional para validação).
    2. Métricas de Nível de Sistema de Arquivos: Acesso a inodes, alterações em tabelas de dados, contagem de blocos, mudanças de tamanho e atualizações de metadados.
    3. Sinais de Entropia: Cálculo da entropia de Shannon nos dados escritos para detectar a transição de texto plano para dados criptografados (alta entropia).
• Aprendizado de Máquina (ML):
  • Os dados são processados para treinar classificadores (principalmente LightGBM).
  • O sistema suporta classificação binária (Benigno vs. Malicioso) e multiclasse (identificação da família de ransomware).
  • O modelo treinado é exportado para código C e implantado no loop de detecção em tempo real.
• Mecanismo de Mitigação: Quando o classificador detecta comportamento malicioso, o SHIELD aciona um mecanismo de "parada" (halt), bloqueando escritas subsequentes no volume protegido, limitando assim a perda de dados.

3. Principais Contribuições

1. Framework de Coleta de Métricas Off-Host: Introdução de um pipeline de aquisição de dados de baixo nível que registra características específicas do sistema de arquivos independentemente do OS, tornando a telemetria à prova de adulteração.
2. Validação de Métricas para Detecção: Demonstração de que métricas profundas de sistema de arquivos permitem discriminação de alta precisão entre comportamento benigno e malicioso, alcançando 97,29% de precisão na detecção binária.
3. Detecção e Mitigação "Zero-Shot": Capacidade de identificar e parar amostras de ransomware nunca vistas antes (novas famílias) em tempo real, com perda mínima de arquivos (frequentemente apenas alguns bytes ou frações de arquivo).
4. Viabilidade de Hardware: Validação de que o sistema funciona eficazmente apenas com métricas observáveis no controlador de armazenamento (sem dependência de métricas de transporte ou OS), mantendo 95,97% de precisão, confirmando a viabilidade de implementação em FPGA/ASIC.

4. Resultados Experimentais

Os autores avaliaram o SHIELD em um ambiente controlado com 10 famílias de ransomware (treino) e 10 famílias não vistas (teste zero-shot), além de 10 aplicações benignas de alto I/O.

• Desempenho de Detecção (In-Distribution):
  • O melhor classificador binário (LightGBM) alcançou 97,29% de precisão e 97,34% de F1 na distinção entre benigno e malicioso.
  • A detecção multiclasse (identificação de família) alcançou 96,05% de precisão.
• Ablação "Hardware-Only":
  • Ao remover todas as métricas de transporte/OS e usar apenas as derivadas do sistema de arquivos, a precisão caiu apenas ligeiramente para 95,97%, provando que o sinal de detecção reside na semântica do disco, não no OS.
• Generalização Zero-Shot:
  • O modelo treinado em famílias conhecidas detectou com sucesso 10 famílias desconhecidas com precisão média de 94,59% (na configuração de janela de 100 ações).
• Mitigação em Tempo Real (Ciclo Fechado):
  • O sistema interrompe as operações de disco em dezenas de ações.
  • Perda de Dados: Para cepas não vistas, o SHIELD limitou a perda de arquivos afetados a ≤ 0,4% em janelas de ação pequenas.
  • Falso Positivos: A taxa de falso positivo em aplicações benignas não vistas foi baixa (≤ 3,6%).
• Análise de Dano: O estudo mostrou uma discrepância significativa entre o que o OS relata como corrompido (granularidade de arquivo) e o que realmente foi sobrescrito no disco (granularidade de bloco). O SHIELD consegue parar o ataque durante a criptografia parcial, resultando em muito menos dados realmente perdidos do que o OS indicaria.

5. Significância e Impacto

O SHIELD representa uma mudança de paradigma na segurança contra ransomware:

• Mudança de Confiança: Desloca a confiança do sistema operacional (que pode ser comprometido) para o controlador de armazenamento (que é fisicamente protegido e isolado).
• Resiliência a Evasão: Ao focar nas mutações inevitáveis do sistema de arquivos (como atualizações de inode e blocos de dados) e não apenas em padrões de tempo ou I/O, o sistema torna difícil para o atacante esconder a atividade de criptografia sem falhar no ataque.
• Aplicabilidade em Hardware: O design é otimizado para implementação em hardware (FPGA/ASIC) dentro de SSDs inteligentes ou controladores de armazenamento, permitindo detecção em tempo real com baixa latência e sem sobrecarga de software no host.
• Proteção de Infraestrutura Crítica: Oferece uma camada de defesa essencial para ambientes onde a integridade do OS não pode ser garantida, protegendo dados críticos mesmo após a comprometimento inicial do host.

Em resumo, o SHIELD demonstra que a telemetria consciente do sistema de arquivos, coletada fora do host, fornece uma base robusta e prática para a detecção e contenção de ransomware, preenchendo uma lacuna crítica nas defesas atuais.