İçindekiler:
- Eski Bir Yaklaşımda Yeni Bir Bakış
- Anomali tespiti
- Kötü Amaçlı Yazılım Muhafazası
- Test sonuçları
- PREC'in Faydaları
- Meydan okuma
Android uygulama pazarları, kullanıcıların uygulama alması için uygun bir yoldur. Piyasalar, kötü adamların kötü amaçlı yazılım sunması için de uygun bir yoldur. Pazar yeri sahipleri, kredilerine göre, Google Bouncer gibi güvenlik önlemlerini kullanarak kötü uygulamaları bulmaya çalışırlar. Ne yazık ki, çoğu - Bouncer dahil - göreve hazır değil. Kötü adamlar neredeyse hemen bir öykünme ortamı olan Bouncer'in kodlarını ne zaman test ettiğini anladılar. Daha önceki bir röportajda, Duo Security'nin kurucu ortağı ve sorunu Google'a bildiren kişi Jon Oberheide şunları söyledi:
"Bouncer'ı etkili hale getirmek için gerçek bir kullanıcının mobil cihazından ayırt edilemez olması gerekir. Aksi takdirde, kötü amaçlı bir uygulama Bouncer ile çalıştığını belirleyebilir ve kötü amaçlı yükünü yürütemez."
Kötü adamlar Bouncer'i kandırmanın bir başka yolu da bir mantık bombası kullanmaktır. Tarih boyunca, mantık bombaları bilgi işlem cihazlarına zarar verdi. Bu durumda, mantıksal bomba kodu, Bouncer'in kötü amaçlı uygulama gerçek bir mobil cihaza yüklenene kadar yükü etkinleştirememesi gibi, kötü amaçlı yazılım denetleyicilerini sessizce engeller.
Sonuç olarak, Android uygulama pazarları, uygulamalardaki kötü amaçlı yazılım yüklerini tespit etmede verimli olmadıkları takdirde, aslında kötü amaçlı yazılımlar için önemli bir dağıtım sistemidir.
Eski Bir Yaklaşımda Yeni Bir Bakış
Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu ve William Enck'ın Kuzey Carolina Eyalet Üniversitesi araştırma ekibi bir çözüm bulabilir. Araştırma ekibi, PREC: Android Cihazlar için Pratik Kök İstismarını Elde Etme, araştırma ekibi bir anomali tespit şeması versiyonunu tanıttı. PREC iki bileşenden oluşur: biri uygulama mağazasının kötü amaçlı yazılım dedektörü ile çalışır ve diğeri uygulama ile mobil cihaza indirilir.
App store bileşeni, araştırmacıların "sınıflandırılmış sistem çağrısı izleme" dediği şeyi kullanması bakımından benzersizdir. Bu yaklaşım, üçüncü taraf kitaplıkları (Android sistemine dahil olmayan, ancak indirilen uygulama ile birlikte gelenler) gibi yüksek riskli bileşenlerden gelen sistem çağrılarını dinamik olarak tanımlayabilir. Buradaki mantık, birçok kötü amaçlı uygulamanın kendi kütüphanelerini kullanmasıdır.
Bu izlemeden elde edilen yüksek riskli üçüncü taraf kodundan sistem çağrıları ve ayrıca uygulama mağazası algılama işleminden elde edilen veriler, PREC'in normal bir davranış modeli oluşturmasına izin verir. Model, saldırıları taklit etmek için doğruluk, ek yük ve sağlamlık için mevcut modellerle karşılaştırıldığında PREC servisine yüklenir.
Güncellenen model daha sonra uygulama, uygulama mağazasını ziyaret eden biri tarafından istendiğinde uygulama ile indirilmeye hazır hale gelir.
Bu izleme aşaması olarak kabul edilir. PREC modeli ve uygulaması Android cihaza indirildikten sonra, PREC icra aşamasına girer - başka bir deyişle, anomali tespiti ve kötü amaçlı yazılımın muhafazası.
Anomali tespiti
Uygulama ve PREC modeli Android cihazına yerleştirildikten sonra, PREC üçüncü taraf kodunu, özellikle sistem çağrılarını izler. Sistem çağrısı sırası, uygulama mağazasında görüntülenenden farklıysa, PREC, anormal davranışın bir istismar olma olasılığını belirler. PREC etkinliğin kötü amaçlı olduğunu belirlediğinde, kötü amaçlı yazılımları koruma moduna geçer.Kötü Amaçlı Yazılım Muhafazası
Doğru anlaşılırsa, kötü amaçlı yazılım barındırması, Android anti-malware söz konusu olduğunda PREC'i benzersiz kılar. Android işletim sisteminin doğası gereği, Android kötü amaçlı yazılımdan koruma uygulamaları kötü amaçlı yazılımları kaldıramaz veya karantinaya alamaz çünkü her uygulama bir sanal alanda bulunur. Bu, kullanıcının kötü amaçlı uygulamayı önce cihazın Sistem Yöneticisi'nin Uygulama bölümünde kötü amaçlı yazılımı bulup ardından kötü amaçlı yazılım uygulamasının istatistik sayfasını açıp "kaldır" a hafifçe vurarak kötü amaçlı uygulamayı manuel olarak kaldırması gerektiği anlamına gelir.
PREC'i benzersiz kılan, araştırmacıların "gecikmeye dayalı ince taneli çevreleme mekanizması" olarak adlandırdığı şeydir. Genel fikir, ayrı bir iş parçacığı havuzu kullanarak şüpheli sistem çağrılarını yavaşlatmaktır. Bu, istismarın zaman aşımına uğramasına neden olur ve uygulamanın Android işletim sistemi tarafından kapatıldığı bir "Uygulama Yanıt Vermiyor" durumuna neden olur.
PREC, sistem çağrısı iş parçacıklarını öldürmek üzere programlanabilir, ancak anomali dedektörü bir hata yaparsa normal uygulama işlemlerini bozabilir. Araştırmacılar, riskten ziyade, iş parçacığının yürütülmesi sırasında bir gecikme ekler.
"Deneylerimiz, kötü amaçlı yerel iş parçacığını belirli bir noktaya kadar yavaşlattıktan sonra kök istismarlarının çoğunun etkisiz hale geldiğini gösteriyor. Gecikme tabanlı yaklaşım, yanlış uygulama nedeniyle geçici yanlışlık nedeniyle çökme veya sonlandırmadan muzdarip olmayacağı için yanlış alarmları daha zarif bir şekilde işleyebilir. alarmlar "diye açıklıyor.
Test sonuçları
PREC'i değerlendirmek için araştırmacılar bir prototip oluşturdular ve 140 uygulamaya (yerel kodla 80 ve yerel kod olmadan 60) - artı 10 uygulamaya (Malware Genom projesinden bilinen dört kök istismar uygulaması ve altı yeniden paketlenmiş kök istismar uygulaması) karşı test ettiler. kötü amaçlı yazılım içeriyor. Kötü amaçlı yazılım DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich ve GingerBreak sürümlerini içeriyordu.
Sonuçlar:
- PREC, test edilen tüm kök istismarlarını başarıyla tespit etti ve durdurdu.
- Yerel kod olmadan iyi huylu uygulamalarda sıfır yanlış alarm verdi. (Geleneksel şemalar uygulama başına yanlış alarm başına% 67-92 oranında yükselir.)
- PREC, doğal kod içeren iyi huylu uygulamalardaki yanlış alarm oranını, geleneksel anomali algılama algoritmalarına göre birden fazla büyüklükte azalttı
PREC'in Faydaları
Testlerde iyi performans göstermenin ve Android kötü amaçlı yazılımları içerecek şekilde uygulanabilir bir yöntem iletmenin yanı sıra PREC, yanlış pozitifler ve performans kaybı söz konusu olduğunda kesinlikle daha iyi rakamlara sahipti. Performansa ilişkin olarak, makale PREC'in "sınıflandırılmış izleme şemasının% 1'den daha az ek yük getirdiğini ve SOM anomali tespit algoritmasının% 2'ye kadar ek yük getirdiğini belirtti. Genel olarak, PREC hafiftir ve bu da akıllı telefon cihazları için pratik olmasını sağlar.
Uygulama mağazaları tarafından kullanılan mevcut kötü amaçlı yazılım algılama sistemleri etkisizdir. PREC, yüksek derecede algılama doğruluğu, düşük bir yanlış alarm yüzdesi ve kötü amaçlı yazılım barındırması sağlar - şu anda mevcut olmayan bir şey.
Meydan okuma
PREC'i işe almanın anahtarı uygulama pazarlarından satın almanızdır. Bu, bir uygulamanın normal olarak nasıl performans gösterdiğini açıklayan bir veritabanı oluşturma meselesidir. PREC bunu gerçekleştirmek için kullanılabilecek bir araçtır. Daha sonra, kullanıcı istediği bir uygulamayı indirdiğinde, performans bilgileri (PREC profili) uygulamayla birlikte gelir ve Android cihazına yüklendiğinde uygulamanın davranışını temel almak için kullanılır.
