Lehetséges gyógymód a rosszindulatú android alkalmazások számára?

Az Android alkalmazáspiacok kényelmesek a felhasználók számára az alkalmazások letöltéséhez. A piacok szintén kényelmesek a rossz fiúk számára a rosszindulatú programok szállításában. A piactér tulajdonosai hitelként megpróbálják szimatolni a rossz alkalmazásokat olyan biztonsági intézkedésekkel, mint a Google Bouncer. Sajnos a legtöbb - beleértve a Bouncer-et is - nem felel meg a feladatnak. A rossz fiúk szinte azonnal kitalálták, hogyan lehet megmondani, mikor a Bouncer, egy emulációs környezet, tesztelte kódját. Egy korábbi interjúban Jon Oberheide, a Duo Security egyik alapítója és a személy, aki a problémáról értesítette a Google-t, elmagyarázta:

"Annak érdekében, hogy a Bouncer hatékonyan működjön, meg kell különböztetni a valódi felhasználó mobileszközétől. Ellenkező esetben egy rosszindulatú alkalmazás képes lesz megállapítani, hogy a Bouncerrel fut-e, és nem hajtja végre a rosszindulatú hasznos teherét."

A rossz fiúk becsapása egy másik módja egy logikai bomba használata. A logikai bombák a történelem folyamán pusztítottak el számítógépes eszközöket. Ebben az esetben a logikai bombakód csendben elrontja a rosszindulatú programok ellenőrzőit, hasonlóan ahhoz, hogy a Bouncer elmulasztotta aktiválni a hasznos terhet, amíg a rosszindulatú alkalmazás nem települ egy tényleges mobil eszközre.

A lényeg az, hogy az Android alkalmazáspiacok, kivéve ha azok hatékonyan felismerik az alkalmazásokban található rosszindulatú programok hasznos terheléseit, valójában a rosszindulatú programok egyik fő terjesztési rendszere.

Új fordulat a régi megközelítéshez

Az Észak-Karolinai Állami Egyetem Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu és William Enck kutatócsoport megoldást találhatott. PREC: Gyakorlati gyökérzet-visszatartó eszköz az Android készülékek számára a kutatócsoport bemutatta a rendellenesség-észlelési rendszer verzióját. A PREC két összetevőből áll: az egyik, amely az App Store áruház malware detektorával működik, és az egyik, amelyet az alkalmazással együtt töltöttek le a mobil eszközre.

Az App Store alkotóelem egyedülálló abban a tekintetben, hogy alkalmazza azt, amit a kutatók "osztályozott rendszerhívás-megfigyelésnek" hívnak. Ez a megközelítés dinamikusan képes azonosítani a rendszerszintű hívásokat magas kockázatú összetevőktől, például harmadik fél könyvtáraitól (azok, amelyek nem tartoznak az Android rendszerbe, de a letöltött alkalmazáshoz tartoznak). A logika az, hogy sok rosszindulatú alkalmazás saját könyvtárakat használ.

Az ellenőrzésből származó, magas kockázatú harmadik fél kódjából származó rendszerhívások, valamint az alkalmazás-áruház észlelési folyamatból nyert adatok lehetővé teszik a PREC számára, hogy normál viselkedési modellt hozzon létre. A modell feltöltésre kerül a PREC szolgáltatásba, összehasonlítva a meglévő modellekkel a pontosság, a fejléc és a mimikri támadások robosztussága szempontjából.

A frissített modell ezután készen áll az alkalmazáshoz történő letöltésre, amikor az alkalmazást az alkalmazásboltba látogató személy kéri.

Ezt tekintik a megfigyelési szakasznak. Miután a PREC modellt és alkalmazást letöltötték az Android készülékre, a PREC belép a végrehajtási szakaszba - más szóval, rendellenességek észlelése és rosszindulatú programok korlátozása.

Anomália észlelése

Miután az alkalmazást és a PREC-modellt elfoglalták az Android-eszközön, a PREC figyeli a harmadik fél kódját, különösen a rendszerhívásokat. Ha a rendszerhívás sorrendje eltér az App Store-ban megfigyeltől, a PREC meghatározza annak valószínűségét, hogy a rendellenes viselkedés kihasználtságot jelent. Amint a PREC megállapítja, hogy a tevékenység rosszindulatú, rosszindulatú szoftverek elszigetelésének módjára vált.

Malware Containment

Helyes megértés esetén a rosszindulatú programok korlátozása egyedivé teszi a PREC-et, amikor az Android rosszindulatú programok elleni védelemre vonatkozik. Az Android operációs rendszer jellege miatt az Android rosszindulatú programok nem tudják eltávolítani vagy a karanténba helyezni a rosszindulatú programokat, mivel minden alkalmazás homokozóban található. Ez azt jelenti, hogy a felhasználónak manuálisan kell eltávolítania a rosszindulatú alkalmazást azáltal, hogy először megkeresi a rosszindulatú szoftvert az eszköz Rendszerkezelőjének Alkalmazások szakaszában, majd megnyitja a rosszindulatú alkalmazás statisztikai oldalát, és megérinti az „eltávolítás” elemet.

A PREC egyedülállóvá teszi azt, amit a kutatók "késésen alapuló finomszemcsés elszigetelési mechanizmusnak" hívnak. Az általános ötlet az, hogy a gyanús rendszerhívásokat külön szálak készletével lelassítsa. Ez arra kényszeríti a kizsákmányolást, hogy időtúllépjen. Az "alkalmazás nem válaszol" állapotot eredményez, amelyben az alkalmazást végül az Android operációs rendszer leállítja.

A PREC programozható a rendszerhívás szálainak megsemmisítésére, de ez megszakíthatja az alkalmazás normál mûveleteit, ha a rendellenesség-érzékelõ hibát okoz. Ahelyett, hogy kockáztatnák, a kutatók késést vezetnek be a szál végrehajtása során.

"Kísérleteink azt mutatják, hogy a legtöbb gyökér-kihasználás akkor válik hatástalanná, amikor lecsökkentjük a rosszindulatú natív szálat egy bizonyos pontig. A késleltetésen alapuló megközelítés kevésbé kezelheti a hamis riasztásokat, mivel a jóindulatú alkalmazás nem szenved az átmeneti hamis miatti összeomlás vagy befejezés miatt. riasztások "- magyarázza a cikk.

Vizsgálati eredmények

A PREC értékeléséhez a kutatók egy prototípust készítettek, és 140 alkalmazás alapján tesztelték (80 natív kóddal és 60 natív kód nélkül) - plusz 10 alkalmazás (négy ismert root exploit alkalmazás a Malware Genome projektből és hat újracsomagolt root exploit alkalmazás) - amely rosszindulatú programokat tartalmazott. A rosszindulatú programok tartalmazzák a DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich és GingerBreak verzióit.

Az eredmények:

• A PREC sikeresen felismerte és leállította az összes tesztelt gyökérkiterjesztést.
• Nulla hamis riasztást váltott ki a jóindulatú alkalmazásoknál natív kód nélkül. (A hagyományos rendszerek 67-92% -ot vetnek fel az alkalmazásonkénti téves riasztások miatt.)
• A PREC több mint egy nagyságrenddel csökkentette a natív kóddal rendelkező jóindulatú alkalmazások hamis riasztási arányát a hagyományos anomáliák észlelési algoritmusainál

Részletes teszteredmények megtalálhatók a PREC kutatási anyagában.

A PREC előnyei

Amellett, hogy jól teljesített a tesztekben, és továbbított egy működőképes módszert az Android rosszindulatú programok tárolására, a PREC határozottan jobb számot adott a hamis pozitív eredmények és a teljesítmény elvesztése szempontjából. A teljesítmény szempontjából a tanulmány kijelentette, hogy a PREC "osztályozott megfigyelési rendszere kevesebb, mint 1% -ot jelente meg a fölött, míg a SOM anomália-észlelési algoritmus akár 2% -ot is megterhelhet. A PREC összességében könnyű, ami praktikussá teszi okostelefon-készülékeket."

Az alkalmazás-áruházak által használt jelenlegi malware-észlelési rendszerek nem hatékonyak. A PREC nagyfokú észlelési pontosságot, alacsony hamis riasztások és rosszindulatú programok tárolását biztosítja - ami jelenleg nem létezik.

A kihívás

A PREC működésének megkezdésének kulcsa az alkalmazás-piacokon történő bejelentkezés. Csak egy adatbázis létrehozása kérdése, amely leírja az alkalmazás normál teljesítményét. A PREC az egyik eszköz, amely felhasználható ennek megvalósításához. Ezután, amikor a felhasználó letölti a kívánt alkalmazást, a teljesítményre vonatkozó információk (PREC-profil) együtt kerülnek az alkalmazással, és felhasználják az alkalmazás viselkedésének alapbeállításához, amíg az Android-eszközre telepítve van.