PassSSD: A Ransomware proof SSD Using Fine Grained I/O Whitelisting

Abstract

최근 몇 년간 랜섬웨어는 안티바이러스 및 악성 프로그램 탐지 우회 기능을 갖춘 다수의 새로운 변종이 나타나면서 사이버 보안 전문가들 사이에서 인기를 끌고 있다. 많은 수의 랜섬웨어는 데이터 중심 애플리케이션에 널리 채택되고 있는 SSD 저장 장치를 공략하고 있지만, 현재 가장 널리 사용되고 있는 랜섬웨어 보호 방식들은 성능 및 신뢰성에 한계가 있다. 따라서 본 논문에서는 성능과 신뢰성을 훼손하지 않고 실시간으로 안전한 SSD 저장 장치 PassSSD를 제안한다.

PassSSD는 프로그램의 I/O 수행 맥락인 I/O 프로그램 컨텍스트 서명을 활용한다. I/O 프로그램 컨텍스트 서명은 응용이 저장 장치에 접근할 때의 고유한 서명 정보로 본 연구에서 개발한 하드웨어에 의하여 계산이 된다. 이러한 서명 정보를 SSD 내 FTL (Flash Translation Layer)에 전달함으로써, 응용이 수행하고 있는 I/O에 대해서 스토리지가 자체적으로 접근 권한을 판단하게 된다.

PassSSD는 FTL 내에서 화이트리스팅 기술을 활용한다. 화이트리스팅은 관리자가 사전에 특정 서비스 또는 액세스에 대한 접근 권한을 사전 승인된 프로그램에 대해서만 허용하는 정책으로, PassSSD는 사전에 등록된 I/O 프로그램 컨텍스트에 대해서만 디스크 접근을 허가하게 된다. 즉 PassSSD는 응용이 요청한 I/O 에 대한 있는 I/O 프로그램 컨텍스트 서명을 확인하고, 해당 서명이 화이트리스트에 있다면 저장 장치 내 데이터 접근을 허용하며, 없다면 이를 거부한다. 이로써 랜섬웨어 와 같은 무단 I/O 요청은 거부되고 저장 장치 내 데이터를 보호할 수 있다.

실험 결과 PassSSD의 FTL은 전체 수행 명령어 대비 1.9%의 적은 추가 명령어 수행만으로 성능 및 데이터 신뢰성을 보장할 수 있음을 확인하였다.

In recent years, Ransomware has been popular among cybersecurity experts because of the easy creation of new variants capable of bypassing anti-viruses and anti-malware. As Ransomware is targeting SSD (Solid State Drive) storage which is widely adopted in various emerging data-driven applications, modern storage systems are required to satisfy new requirements such as high security and protection. Therefore, it becomes crucial to develop new protection techniques that can properly address new challenges. In this thesis, we propose protection techniques that enable secure real-time flash storage systems without compromising performance and reliability. Our techniques are motivated by FTL (Flash Translation Layer) mechanism inside SSD and Hardware-based PrC (program context) register. Application whitelisting mitigates the ransomware attacks by specifying a list of pre-approved executable files allowed on a computer system, but this type of coarse-grained protection is vulnerable to control-flow hijacking attacks on safe application side. We propose PassSSD - a fine-grained I/O whitelisting for a secure SSD using I/O (input/output) Program Contexts on RISCV architecture by modifying FlashBench FTL.

We grant access to input/output requests based on whitelisted PrC's (program context) residing in FTL Superblock. In PassSSD, the PrC is extracted dynamically on ext4_write_end() function under inode.c on page granularity, where we attach PrC signature to every write syscalls and send (PrC,data) tuple to FlashBench FTL. On FlashBench FTL, the PrC monitor unit checks the incoming PrC from the Whitelist and allows the execution if PrC is whitelisted. By employing efficient protection on SSD, all unauthorized I/O requests are denied by the disk drive, logical page, and its physical page are separated by exploiting whitelisting technique. We implemented PassSSD on a FlashBench to verify the effectiveness of the proposed schemes. Our experimental results show that PassSSD can achieve the same performance level as a baseline scheme (FlashBench) with only 1% overhead bandwidth which is very negligible.