1. Trang chủ
  2. » Luận Văn - Báo Cáo

ANDROID SECURITI xam nhap phong thu malware v0503

28 169 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 28
Dung lượng 551,27 KB
File đính kèm ANDROID SECURITI Xam_Nhap_Phong_Thu_Malware.zip (516 KB)

Nội dung

Bản dịch từ tài liệu:IEEE COMMUNICATIONS SURVEYS AND TUTORIALS, VOL. 00, NO. 0, JANUARY 2015 1Android Security: A Survey of Issues, MalwarePenetration and DefensesParvez Faruki, Ammar Bharmal, Vijay Laxmi, Vijay Ganmoor, Manoj Singh Gaur, Mauro Contiand Muttukrishnan Rajarajan

1 BẢO MẬT ANDROID: Khảo sát số vấn đề, xâm nhập phòng thủ malware Parvez Faruki, Ammar Bharmal, Vijay Laxmi, Vijay Ganmoor, Manoj Singh Gaur, Mauro Conti and Muttukrishnan Rajarajan TÓM TẮT—Điện thoại thông minh trở nên phổ biến sẵn có ứng dụng văn phòng, Internet, trò chơi, hướng dẫn xe sử dụng dịch vụ dựa địa điểm dịch vụ thông thường gọi thoại, SMS dịch vụ đa phương tiện thiết bị Android giành thị phần lớn kiến trúc mở Android, phổ biến giao diện lập trình ứng dụng (API) cộng đồng phát triển Tăng phổ biến thiết bị Android lợi ích tiền tệ liên quan thu hút nhà phát triển Malware, dẫn đến gia tăng lớn ứng dụng Malware Android 2010-2014 viện nghiên cứu công ty thương mại chống malware nhận dựa vào chữ ký thông thường phương pháp phân tích tĩnh dễ bị tổn thương Đặc biệt, kỹ thuật tàng hình phổ biến mã hóa, chuyển đổi mã môi trường phương pháp nhận thức khả tạo biến thể Malware biết đến Điều dẫn đến việc sử dụng hành vi, bất thường phương pháp dựa phân tích động Là phương pháp hiệu chống lại kỹ thuật tiên tiến, nhiều phương pháp bổ sung sử dụng song song với phát Malware có hiệu Các ý kiến rộng rãi bao gồm an ninh hệ điều hành điện thoại thông minh Tuy nhiên, tin an ninh Android, đặc biệt tập trung vào tăng trưởng Malware, nghiên cứu kỹ thuật chống phân tích phương pháp phát hiện có cần phạm vi rộng lớn Trong khảo sát này, thảo luận chế thực thi bảo mật Android, mối đe dọa đến an ninh thực thi pháp luật hành vấn đề liên quan, thời gian tăng trưởng Malware từ 2010-2014, kỹ thuật tàng hình mà tác giả Malware sử dụng, phương pháp phát khác Đánh giá cho nhìn sâu sắc vào mạnh hạn chế phương pháp nghiên cứu biết cung cấp tảng cho nhà nghiên cứu học viên định hướng việc bảo mật Android hệ tiếp theo, phân tích kỹ thuật phát Malware Index terms-Android Malware, Phân tích tĩnh, phân tích động, phân tích hành vi, Obfuscation, Stealth Malware I GIỚI THIỆU Hệ điều hành điện thoại thông minh Android chiếm 75% tổng thị phần, để lại đối thủ cạnh tranh iOS, Windows OS di động Blackberry xa phía sau [1] Mặc dù điện thoại thông minh sử dụng thập kỷ trước đó, từ năm 2008,hệ điều hành smartphone iOS Android tạo sức hút lớn người sử dụng nhà phát triển toàn giới Điện thoại thông minh trở nên phổ biến loạt lựa chọn kết nối GSM, CDMA, Wi-Fi, GPS, Bluetooth NFC Gartner smartphone bán năm 2013 42,3% thiết bị Android so với năm trước [1] Thị phần tổng thể tăng lên đến 78% từ 66%, tăng đáng kể 12% số người sử dụng Tuy nhiên, đối thủ cạnh tranh gần với Android iOS bán giảm 4%, từ 19 đến 15 phần trăm Ubiquitous kết nối Internet thông tin cá nhân sẵn có danh bạ, tin nhắn, truy cập mạng xã hội, lịch sử duyệt web thông tin ngân hàng thu hút ý nhà phát triển Malware thiết bị di động nói chung Android nói riêng Malware Android tỷ lệ premiumSMS Trojans, spyware, botnet, adware khai thác công leo thang đặc quyền báo cáo gia tăng theo cấp số nhân việc bị phân phối từ Playstore an toàn Google biết đến nơi thị trường bên thứ ba [2] - [4] Android phổ biến khuyến khích nhà phát triển để cung cấp ứng dụng sáng tạo thường gọi ứng dụng Google Play, thị trường ứng dụng Android thức, chủ ứng dụng nhà phát triển bên thứ ba cho khoản phí danh nghĩa Google Play lưu trữ triệu ứng dụng với số lượng lớn tải ngày [5] Không giống AppStore Apple, Google Play không xác minh ứng dụng tải lên tay Thay vào đó, thị trường thức phụ thuộc vào Bouncer [6], [7], môi trường mô phòng động để kiểm soát bảo vệ thị trường khỏi mối đe dọa ứng dụng độc hại Mặc dù Bouncer bảo vệ chống lại mối đe dọa Malware không phân tích lỗ hổng ứng dụng tải lên [8] tác giả Malware lợi dụng ứng dụng dễ bị tổn thương tiết lộ thông tin người dùng dẫn tới vô tình làm tổn hại đến ứng dụng cửa hàng uy tín phát triển Hơn nữa, Android triết lý mã nguồn mở cho phép cài đặt ứng dụng thị trường bên thứ ba, khuấy động hàng chục ứng dụng cửa hàng khu vực quốc tế [9] - [13] Tuy nhiên, phương pháp bảo vệ thích hợp ứng dụng chất lượng bên thứ ba ứng dụng cửa hàng mối quan tâm [4] Bảo mật Android cung cấp báo cáo gia tăng đáng báo động Malware từ ba gia đình Malware với 100 mẫu vào năm 2010, đến trăm gia đình gồm 0,12-0.600.000 mẫu độc đáo quý bốn, năm 2013 [14] - [19] Số lượng ứng dụng độc hại tải lên VirusTotal [20] tăng theo cấp số nhân tác giả Malware sử dụng kỹ thuật tàng hình, thực động, phương thức code obfuscation, đóng gói lại mã hóa [21], [22] để bỏ qua chế bảo vệ cung cấp tảng Android phần mềm chống Malware thương mại Malware lan truyền cách sử dụng kỹ thuật nói đánh bại phương pháp tiếp cận dựa chữ ký thông thường Các kỹ thuật tương thích với tảng điện thoại thông minh kịp thời đáp ứng nhu cầu xảy cho tảng Android Phương pháp chủ động để phát chữ ký Malware chưa biết đến không thường xuyên cập nhật , trái ngược với mong muốn có chữ ký cho Malware cho Android Malware phát triển việc kiểm soát điện thoại thông minh cách khai thác lỗ hổng tảng [23], đánh cắp thông tin người dùng nhạy cảm [21], để khai thác lợi ích tiền tệ cách khai thác dịch vụ điện thoại [24] tạo botnet [25] Do đó, điều quan trọng phải hiểu hoạt động nghiệp vụ họ, mô hình mô hình sử dụng làm việc để đưa phát chủ động cho thiết bị di động Các ứng dụng độc hại tăng lên buộc ngành công nghiệp chống Malware đề phương pháp mạnh mẽ hiệu phù hợp cho việc phát thiết bị khó khăn Các giải pháp chống Malware thương mại thường sử dụng phương pháp phát dựa chữ ký thực hiệu [26] đơn giản Phương pháp dựa chữ ký dễ dàng bị phá vỡ sử dụng mã obfuscation nên cần chữ ký cho biến thể Malware [27], buộc khách hàng chống Malware thường xuyên cập nhật sở liệu chữ ký Do khả xử lý hạn chế dung lượng pin thiết bị hạn chế, nên giải pháp dựa đám mây để phân tích phát tạo nên tồn nhược điểm[28], [29] phân tích thủ công khai thác chữ ký Malware đòi hỏi phải có đủ thời gian chuyên môn Nó tạo âm tính giả (FN) tạo chữ ký cho biến thể họ biết Do biến thể malware tăng theo cấp số nhân,nên nhu cầu đặt cần phải sử dụng phương pháp hệ chữ ký tự động phải giảm việc cảnh báo sai xuống mức thấp Phương pháp phân tích Malware Off-device cần thiết để hiểu chức Malware Mẫu phân tích tay để lấy chữ ký Malware Tuy nhiên, với gia tăng nhanh chóng Malware, có nhu cầu cấp thiết phương pháp phân tích yêu cầu can thiệp tối thiểu người Tự động phân tích giúp nhà phân tích Malware tạo phản ứng kịp thời để phát Malware không nhìn thấy Phân tích tĩnh nhanh chóng xác xác định mẫu Malware Tuy nhiên, không chống lại biến đổi mã, mã nguồn gốc Java phản xạ [30] Như vậy, phương pháp phân tích động, tốn thời gian, thay để trích hành vi nguy hiểm Malware ẩn cách thực chúng môi trường sandbox Học viện nhà nghiên cứu ngành công nghiệp đề xuất giải pháp khuôn khổ để phân tích phát mối đe dọa Malware Android Một số chí có sẵn mã nguồn mở Những giải pháp đặc trưng cách sử dụng ba thông số sau: a) Mục tiêu giải pháp đề xuất đánh giá ứng dụng bảo mật, phân tích, phát Malware Các giải pháp đánh giá ứng dụng bảo mật xác định lỗ hổng, mà khai thác kẻ thù, gây hại cho người sử dụng thiết bị an ninh Các giải pháp phân tích kiểm tra hành vi nguy hiểm ứng dụng chưa biết giải pháp phát nhằm ngăn chặn việc cài đặt thiết bị b) Phương pháp học để đạt mục tiêu tiếp cận dựa phân tích động hay tĩnh, để phát Malware kiểm soát luồng phân tích luồng liệu ví dụ phân tích tĩnh thức [29] Trong phân tích động, ứng dụng thực mô môi trường sandbox, để theo dõi hoạt động họ xác định hành vi bất thường, mà không khó với phân tích tĩnh c) Triển khai giải pháp nêu Hiện nghiên cứu bảo mật điện thoại thông minh đánh giá kỹ thuật tảng hệ điều hành phổ biến điện thoại di động [31], [32] Tuy nhiên, đánh giá tập trung vào tảng Android, hệ điều hành thiết bị di động phổ biến La Polla et al [32] khảo sát mối đe dọa an ninh điện thoại thông minh giải pháp cho giai đoạn 2004-2011, hạn chế hệ Android Suarez-Tangil et al [31] mở rộng công việc La Polla et al [32] Đặc biệt, họ tập trung vào tính cảm biến dựa smartphone công sử dụng sai phần cứng, giao tiếp, cảm biến hệ thống Tác giả đưa nhìn sâu sắc vào việc lạm dụng tính Android cụ thể ảnh hưởng đến an ninh toàn thiết bị Tác giả phân loại Malware dựa mục tiêu công, phân phối, nhiễm trùng họ thâu tóm đặc quyền Ngược lại, tổng quan phân loại Malware theo thuật ngữ thương mại ngành công nghiệp chống Malware cung cấp mô tả xác tỷ lệ lây nhiễm Malware nhận thức mối đe dọa 2010-2014 Năm 2011, William Enck [33] nghiên cứu chế bảo mật Android, đặc biệt bảo vệ thông qua cho phép tác động an ninh thông tin liên lạc liên ứng dụng Hơn nữa, tác giả thảo luận giải pháp tảng Android cứng khác bên thứ ba lợi ích hạn chế họ Ngoài ra, nghiên cứu xem xét đề nghị phân tích bảo mật ứng dụng trình bày định hướng tương lai để tăng cường an ninh tảng Android Bài viết nhằm mục đích bổ sung cho đánh giá trước cách mở rộng phạm vi vấn đề bảo mật Android, tăng trưởng Malware từ 2010-2014 Báo cáo thảo luận phương pháp chuyển đổi mã ưu điểm, hạn chế phương pháp phân tích phát Malware Đặc biệt, báo cáo có cách nhìn toàn diện bao phủ kỹ thuật tàng hình sử dụng tác giả Malware để tránh phát cách tạo biến thể Malware biết đến Cuối cùng, đề xuất phân tích phát Malware khuôn khổ Android lai, nhìn sâu sắc vào hướng nghiên cứu tương lai Bài báo khảo sát tổ chức sau: Phần II thảo luận kiến trúc ứng dụng thực thi bảo mật Android sử dụng để làm suy yếu bề mặt công Phần III bao gồm vấn đề bảo mật Android bao gồm cải tiến bảo mật quan trọng phiên Android để giải vấn đề liệt kê Phần IV trình bày minh họa dòng họ Malware Android đáng ý 2010-2013 phân loại chúng theo chức Phần V bao gồm ký thuật thâm nhập khác kỹ thuật tàng hìnhcủa Malware Android cao cấp Phần VI VII phân loại đánh giá, phân tích, phương pháp phát đặc trưng với giải pháp triển khai tương ứng Phần VIII phân loại trạng thái kỹ thuật ngành công nghiệp học viện chống Malware đề nghị theo chức trình bày phần VI Phần VI thảo luận điểm mạnh hạn chế kỹ thuật phân tích tiếng, công cụ tóm tắt theo chức Bảng I So sánh, trang web dựa phân tích sandbox phổ biến minh họa Bảng II Cuối cùng, Phần IX kết luận đưa phân tích phát Malware khuôn khổ lai khuyến cáo cho hướng nghiên cứu tương lai II ANDROID APP VÀ KIẾN TRÚC BẢO MẬT Android phát triển Android Open SourceProject (AOSP), Google trì thúc đẩy cácOpen Handset Alliance (OHA) Nó bao gồm nhà sản xuất thiết bị gốc (OEM), nhà sản xuất chip, thiết bị nhà phát triển ứng dụng ứng dụng Android viết Java, nhiên mã nguồn gốc thư viện chia sẻ phát triển C / C ++ kiến trúc Android điển hình minh họa Hình Các lớp Linux kernel tùy chỉnh đặc biệt cho môi trường nhúng gồm resource giới hạn Android phát triển Linux kernel kiến trúc điều khiển mạnh, nhớ hiệu quản lý trình, hỗ trợ cho dịch vụ mạng cốt lõi Hiện nay, Android hỗ trợ hai Instruction Set Kiến trúc: 1) ARM, thịnh hành điện thoại thông minh, máy tính bảng; 2) x86 xuất thiết bị Internet di động (MID) Đỉnh cao Linux kernel thư viện nguồn gốc phát triển C / C ++ hỗ trợ hiệu suất cao bên thứ ba tái sử dụng, thư viện chia sẻ Hình Kiến trúc Android [34] Ứng dụng Android viết ngôn ngữ Java phiên dịch sang mã byte Dalvik Dalvik Virtual Machine (DVM) minh họa Hình Nó tối ưu đặc biệt cho resource tảng hệ điều hành di động Sau khởi động hệ điều hành hoàn tất, trình gọi hợp tử khởi tạo Dalvik VM cách tải trước thư viện lõi Sau Hợp tử thông qua socket để nạp tiến trình chia đôi Tiến trình hợp tử tăng tốc tải ứng dụng thư viện để chia sẻ với ứng dụng người dùng nạp Cuối cùng, khung ứng dụng cung cấp nhìn thống ngắn gọn thư viện Java để phát triển ứng dụng Android bảo vệ chức nhạy cảm điện thoại, GPS, mạng, quản lý điện, đài phát truyền thông dịch vụ hệ thống với mô hình dựa cho phép A Cấu trúc ứng dụng App Android đóng gói vào apk, kho lưu trữ zip bao gồm số tập tin thư mục hình minh họa hình Trong đó, AndroidManifest.xml lưu trữ siêu liệu tên gói, quyền yêu cầu, định nghĩa nhiều thành phần hoạt động, dịch vụ, Broadcast Receivers nhà cung cấp nội dung, tối thiểu tối đa phiên hỗ trợ, thư viện liên kết vv thư mục res lưu trữ biểu tượng, hình ảnh, chuỗi / số / màu sắc, bố cục giao diện người dùng, menu, hình động biên dịch dạng nhị phân Thư mục assets chứa nguồn tài nguyên không biên dịch File thực thi classes.dex lưu trữ byte code Dalvik thực máy ảo Dalvik META-INF lưu trữ chữ ký xác thực nhà phát triển ứng dụng để xác minh danh tính nhà phát triển bên thứ ba Hình Cấu trúc Android apk Như đề cập trước đó, ứng dụng Android phát triểntrong Java Quá trình phát triển minh họa hình mã Java Tổng hợp tạo số lượng file class, Java bytecode trung gian lớp định nghĩa nguồn Sử dụng công cụ dx, file class sáp nhập vào Dalvik Executable đơn (.dex) Tập tin dex lưu trữ bytecode Dalvik thực DVM để tăng tốc độ thực Hình Tiến trình xây dựng App B App Components Một ứng dụng Android bao gồm nhiều thành phần đây:  Hoạt động: Đây giao diện ứng dụng Bất kỳ hoạt động số hoạt động khai báo manifest tùy thuộc vào yêu cầu phát triển Trong số nhiệm vụ xác định trước, vài hoạt động trả kết gọi Các hoạt động đưa sử dụng Intents_được giải thích tiểu mục II-C  Dịch vụ: Thành phần dịch vụ thực nhiệm vụ mà giao diện người dùng Ví dụ, chơi âm tải liệu từ mạng Các dịch vụ đưa sử dụng Intents_giải thích tiểu mục II-C  Broadcast Receiver: Thành phần nghe hệ thống Android tạo kiện Ví dụ, BOOT_COMPLETED, SMS_RECEIVED vv kiện hệ thống Các ứng dụng khác broadcast ứng dụng định nghĩa kiện riêng, xử lý ứng dụng khác cách sử dụng thành phần dịch vụ  Nhà cung cấp nội dung: Nhà cung cấp nội dung gọi liệu-store, cung cấp giao diện thống cho việc truy cập liệu bên ứng dụng khác Bên ngoài, liệu nhà cung cấp nội dung xuất quan hệ Tuy nhiên, có thực lưu trữ hoàn toàn khác Data-store truy cập thông qua ứng dụng định nghĩa Uniform Resource Indentifiers (URI) Component truy cập đến ứng dụng khác xuất cách rõ ràng Liệt kê thảo luận tuyên bố thành phần định nghĩa ví dụ sử dụng hệ nhị phân AndroidManifest.xml Các thành phần khai báo gọi hay thực cách độc lập kể từ phát triển thành phần ứng dụng thông tin liên lạc, chúng không đồng với ứng dụng Android có nhiều entry-point, tùy thuộc vào số lượng thành phần ứng dụng định nghĩa C Inter-component Communication Android Security bảo vệ ứng dụng liệu với kết hợp hệ thống cấp độ Inter Component Communication (ICC) [35] ICC xác định bảo mật cốt lõi sử dụng việc bảo đảm tảng Linux Một ứng dụng chạy với user-id để ngăn chặn vấn đề lập trình Android middleware trung gian ICC ứng dụng thành phần Truy cập vào thành phần hạn chế cách gán nhãn cho phép truy cập Khi thành phần khởi tạo ICC, hình tham chiếu vào nhãn cho phép gán cho ứng dụng container Nếu thành phần mục tiêu gán nhãn phép truy cập sưu tập, cho phép ICC khởi xướng Nếu nhãn không thuộc sưu tập, ICC bị từ chối thành phần phần ứng dụng Các nhà phát triển gán nhãn cho phép thông qua Manifest ứng dụng Phát triển xác định sách bảo mật ứng dụng, cấp phép cho thành phần ứng dụng xác định sách truy cập để bảo vệ nguồn tài nguyên Các thành phần ứng dụng tương tác với trừu tượng cấp cao trình liên lạc (IPC) sử dụng Intents, xử lý trình điều khiển Binder IPC Ứng dụng gọi hoạt động, dịch vụ gửi kiện brodcast với Intents Hệ thống kiện brodcast thông qua Intent Intent (s) chứa địa rõ ràng thành phần receiver sử dụng tên trường lớp / gói Tùy thuộc vào diện hành động, thể loại liệu lĩnh vực, hệ thống gửi Intents ngầm cho nhiều thành phần receiver phù hợp Mỗi thành phần ghi để nhận Intent (s) sử dụng nhiều intent-filter Nó xác định loại hành động, thể loại / liệu chấp nhận Intent Như thể Listing1, thành phần dịch vụ gọi nhận Intent hệ thống với hành động BOOT COMPLETED Listing dòng số 29 D App Sandboxing Android thiết kế hệ điều hành di động an toàn với động lực để bảo vệ liệu người dùng, ứng dụng phát triển, thiết bị, mạng [34] Tuy nhiên, an toàn phụ thuộc vào phát triển khả tuân thủ thông lệ phát triển Ngoài ra, người sử dụng phải nhận thức tác động ứng dụng liệu thiết bị bảo mật Giải pháp anti malware đủ mạnh để thực kiểm tra malware phải thực thi mô hình bảo mật hệ điều hành Ví dụ, ứng dụng anti-malware có hạn chế khả quét khả giám sát tập tin hệ thống thiết bị Phần bao gồm tính bảo mật Android Android Kernel thực Linux Discretionary Access Control (DAC) Mỗi trình ứng dụng bảo vệ với định id (UID) vùng cô lập Các sandboxing hạn chế ứng dụng khác dịch vụ hệ thống cách can thiệp vào ứng dụng khác Android bảo vệ truy cập mạng cách thực tính Paranoid Network Security để kiểm soát Wi-Fi, Bluetooth truy cập Internet nhóm [36] Nếu ứng dụng cho phép tài nguyên mạng (ví dụ, Bluetooth), trình ứng dụng gán cho id truy cập mạng tương ứng Như vậy, UID, trình định nhóm id (GIDs) App sandboxing Android minh họa hình Một ứng dụng phải có giấy chứng nhận PKI ký với khóa nhà phát triển (xem hình 3) App chữ ký tin tưởng Google nhà phát triển bên thứ ba để đảm bảo tính toàn vẹn ứng dụng danh tiếng phát triển App ký kết đặt ứng dụng vào vùng cô lập, gán cho UID đặc biệt Nếu xác thực ứng dụng A phù hợp với ứng dụng B cài đặt thiết bị, Android gán UID tương tự (ví dụ, sandbox) phép ứng dụng A B chia sẻ tập tin cá nhân hiển nhiên quyền cho phép xác lập Chia sẻ ý muốn bị khai thác người lập trình malware giống nhà phát triển họ tạo hai chứng giả mạo vVì vậy, nhà phát triển phải giữ bí mật chứng thực để tránh bị lạm dụng E Permissions at Framework-level Để hạn chế ứng dụng truy cập vào chức nhạy cảm điện thoại, mạng, danh bạ / SMS / sdcard định vị GPS, Android cung cấp mô hình bảo mật cho phép dựa framework Nhà phát triển phải khai báo permissions cần thiết cách sử dụng thẻ AndroidManifest.xml (Listening dòng thứ hai, bốn sáu) Android điều khiển ứng dụng cá nhân để giảm thiểu tác động không mong muốn ứng dụng hệ thống hay ứng dụng nhà phát triển bên thứ ba sandbox Những giới hạn thi hành tiến trình thời gian cài đặt Android permissions chia thành bốn cấp độ bảo vệ sau[37]: 1) Bình thường: Những permission có nguy thấp ứng dụng hệ thống thiết bị Các permission thông thường cấp theo mặc định cài đặt 2) Nguy hiểm: Những điều khoản nằm nhóm có nguy cao việc truy cập liệu cá nhân cảm biến quan trọng thiết bị Người sử dụng phải chấp nhận cài đặt quyền nguy hiểm cài đặt app 3) Chữ ký: Những quyền cấp ứng dụng yêu cầu ký với xác thực nhà phát triển ứng dụng kèm theo tuyên bố quyền Họ cấp tự động vào thời gian cài đặt quyền chữ ký có sẵn với ứng dụng hệ thống 4) Chữ ký hệ thống: Các quyền cấp ứng dụng yêu cầu ký với chứng thực tương tự hình ảnh hệ thống Android với ứng dụng mà yêu cầu quyền Họ cấp tự động vào lúc cài đặt Android permissions are coarse-grained Ví dụ, cho phép INTERNET khả để hạn chế quyền truy cập vào Locator Uniform Resource cụ thể (URL) READ_PHONE_STATE cho phép ứng dụng để xác định xem điện thoại đổ chuông giữ Đồng thời cho phép ứng dụng để đọc thông tin nhạy cảm nhận dạng thiết bị Quyền WRITE_SETTINGS, CAMERA định nghĩa cách rộng rãi, vi phạm nguyên tắc truy cập đặc quyền Tiếp cận WRITE_CONTACTS WRITE_SMS không bao hàm việc tiếp cận READ_CONTACTS quyền READ_SMS Như cho phép thứ bậc họ phải yêu cầu riêng biệt nhà phát triển Đồng thời cài đặt, người dùng buộc phải cấp tất quyền từ chối việc cài đặt ứng dụng Do điều khoản nguy hiểm tránh lúc cài đặt Hơn nữa, người dùng phân biệt cần thiết cấp bách mà có khả lạm dụng gây khai thác [38] F Bảo mật hệ thống Partition Phân vùng hệ thống Android xây dựng từ hạt nhân, hệ thống thư viện, thời gian chạy android, khung ứng dụng ứng dụng [34] phân vùng hệ thống Android read-only để bảo vệ việc truy cập sửa đổi trái phép Ngoài ra, số phần tập tin hệ thống nhớ cache ứng dụng thẻ sd bảo vệ với đặc quyền thích hợp để ngăn chặn giả mạo đối thủ thiết bị kết nối với máy tính để bàn thông qua USB G Bảo mật Google Play Store Google không khuyến khích người dùng cài đặt ứng dụng, để ngăn chặn nơi ứng dụng thị trường bên thứ ba mối quan tâm an ninh Tuy nhiên, cho phép cài đặt từ thị trường bên thứ ba khác ứng dụng phát triển bên thứ ba làm sẵn từ playstore thức Google VETS ứng dụng nhà phát triển bên thứ ba với Bouncer [6], môi trường phân tích sandboxed động để ngăn chặn Malware xâm nhập vào Google Play Bouncer, bất khả chiến bại chế bảo mật hiệu hợp lý [39] Android có sở việc chạy dịch vụ xác minh cài đặt ứng dụng từ thị trường khác Google Play có khả gỡ bỏ cài đặt từ xa, tìm thấy hành vi nguy hiểm [40] Tuy nhiên, sở có sẵn cho thiết bị kết nối với Internet Hình 4: Ứng dụng Android Sandbox Kernel-level [34] III VẤN ĐỀ BẢO MẬT ANDROID VÀ CÁC VẤN ĐỀ LIÊN QUAN Phần mô tả chi tiết vấn đề bảo mật người dùng thiết bị Hơn nữa, bao gồm cải tiến khác sử dụng AOSP phiên Android A Các mối đe dọa AOSP cam kết với hệ điều hành điện thoại thông minh Android an toàn dễ bị công xã hội học Một ứng dụng cài đặt, tạo hậu không mong muốn an ninh thiết bị Sau danh sách hoạt động độc hại báo cáo sử dụng phiên Android • công leo thang đặc quyền thừa hưởng khai thác công khai lỗ hổng hạt nhân Android để truy cập thư mục gốc thiết bị [41] thành phần Android xuất bị khai thác để truy cập vào điều khoản nguy hiểm • rò rỉ mật trộm cắp cá nhân-thông tin xảy người dùng cấp quyền gây nguy hiểm cho ứng dụng độc hại vô tình cho phép truy cập vào liệu nhạy cảm ex-filtrate chúng mà kiến thức sử dụng đồng ý • Ứng dụng độc hại thám người dùng cách theo dõi gọi thoại, tin nhắn SMS / MMS, mTANs ngân hàng, ghi audio / video mà kiến thức sử dụng đồng ý • Ứng dụng độc hại kiếm tiền cách thực gọi đăng ký cao cấp số lượng tỷ lệ SMSes mà kiến thức sử dụng đồng ý • Thỏa hiệp thiết bị để hoạt động bot điều khiển từ xa thông qua máy chủ cách gửi lệnh khác để thực hoạt động độc hại • Các chiến dịch quảng cáo lôi kéo người dùng tải ứng dụng không mong muốn (PUA), ứng dụng Malware [42] • Cấu kết công xảy tập hợp ứng dụng, ký kết với giấy chứng nhận, cài đặt thiết bị Những ứng dụng chia sẻ UID với nhau, cho phép nguy hiểm theo yêu cầu ứng dụng chia sẻ Malware thông đồng Nói chung, ứng dụng thực hoạt động độc hại, đó, chức cá nhân họ lành tính Ví dụ, ứng dụng với READ_SMS cho phép đọc SMSes yêu cầu đối tác thông đồng với cho phép INTERNET exfiltrate thông tin nhạy cảm với máy chủ từ xa • Từ chối dịch vụ công (DoS) xảy ứng dụng overuses CPU giới hạn, nhớ, pin tài nguyên băng thông kiềm chế người sử dụng thực chức bình thường B Vấn đề phiên cập nhật Android Android Open Source Project (AOSP), dẫn đầu Google, nâng cấp trì Android mã nguồn Tuy nhiên, vá, cập nhật phát hành phân phối nâng cấp lớn trách nhiệm nhà sản xuất thiết bị gốc (OEM) carriers không dây chi nhánh OEM cá nhân phiên cập nhật hệ điều hành tùy chỉnh chúng cho phù hợp Ở số nước, nhà mạng tùy chỉnh OEM hệ điều hành để phù hợp với yêu cầu riêng họ chuỗi cập nhật vài tháng trước vá đến người dùng cuối Hiện tượng gọi phân mảnh, nơi mà phiên khác Android rải rác thiếu cập nhật Cụ thể, điện thoại di động với phiên cũ bỏ vá dễ bị công cập nhật nâng cấp hệ điều hành Android thường xuyên so với hệ điều hành máy tính để bàn Android phát hành 29 cập nhật phiên hệ điều hành ổn định nâng cấp kể từ mắt vào tháng năm 2008 [43] Over The Air (OTA) cập nhật thay đổi đáng kể phiên có thay đổi số lượng lớn tập tin tảng, trì tính toàn vẹn liệu người dùng có ứng dụng [44] Phiên cập nhật hỗ trợ thông qua dịch vụ gọi Hệ thống quản lý gói (PMS) Xing et al [44] thực nghiên cứu lỗ hổng pileup toàn diện bị khai thác tác giả Malware trình nâng cấp phiên Một ứng dụng phát triển cho phiên cũ khai thác để sử dụng cấp phép nguy hiểm giới thiệu phiên cao Trong cập nhật, Android không xác minh quyền truy nối ứng dụng cập nhật [44] Vì vậy, thỏa hiệp an ninh thiết bị Trong cập nhật lớn nâng cấp, số lượng lớn tập tin sửa đổi đảm bảo thông tin người dùng nhạy cảm nguyên vẹn dẫn đến phức tạp thủ tục cập nhật C Thực thi mã tự nhiên Android cho phép thực thi mã nguồn gốc thông qua thư viện thực C / C ++ sử dụng Native Development Kit (NDK) Mặc dù mã nguồn gốc thực thi bên Dalvik VM, sandboxed qua sử dụng id / nhóm-id (s) kết hợp Tuy nhiên, mã nguồn gốc có tiềm để thực leo thang đặc quyền cách khai thác lỗ hổng tảng [23], [45] - [49], chứng minh vài công mềm độc hại khứ gần [50] D Những cải tiến bảo mật phiên gần Theo quan điểm vấn đề bảo mật, lỗ hổng / công Malware báo cáo, phát hành vá lỗi AOSP, cập nhật, cải tiến nâng cấp Ở đây, thảo luận sửa lỗi bảo mật đáng ý tính tích hợp phiên hệ điều hành Android lên đến Android KitKat 4.4: 1) Android cản ngăn xếp đệm tràn số nguyên phiên hệ điều hành 1.5 Trong phiên 2.3, Android định dạng lỗ hổng chuỗi, thêm phần cứng dựa vào hồ trợ No Execute (NX) để ngăn chặn thực thi mã stack heap [34] 2) Trong Android 4.0 Address Space Layout Randomization (ASLR) bổ sung để ngăn 10 chặn return-to-libc nhớ liên quan đến công [34] 3) Thông tin ex-filtrated cách kết nối thiết bị với máy tính sử dụng trình điều khiển Android Debug Bridge (ADB) Mặc dù ADB phát triển công cụ gỡ lỗi, cho phép cài đặt ứng dụng / cài đặt / bỏ cài đặt, đọc phân vùng hệ thống vv chí điện thoại bị khóa, kết nối với máy tính cá nhân (PC) Để ngăn chặn truy cập trái phép vậy, Android 4.2.2 xác thực kết nối ADB sử dụng cặp khóa RSA [51] phản hồi sử dụng nhắc hình điện thoại kết nối ADB truy cập vào thiết bị Do đó, điện thoại bị khóa, kẻ công đạt kiểm soát 4) Để ngăn chặn Malware âm thầm gửi tin nhắn SMS premiumrate, Android 4.2 giới thiệu tính thông báo thêm để nhắc nhở người dùng trước ứng dụng người dùng gửi tin nhắn SMS [52] 5) Android giới thiệu bổ sung khả lớn phiên 4.2 (API phiên 17) cho phép tạo nhiều người dùng (MU) phép nhiều người dùng truy cập vào thiết bị dùng chung tablet [53] Khả hạn chế truy cập vào hồ sơ cá nhân (RP) giới thiệu thêm Android 4.3 (API phiên 18) vào tháng Bảy năm 2013 Những thay đổi đặt nhớ chia sẻ thiết bị di động máy tính bảng để cung cấp không gian riêng tư cho nhiều người dùng thiết bị di động Đối với người dùng, tài khoản riêng, người sử dụng lựa chọn ứng dụng, cài đặt tùy chỉnh, tập tin liệu người dùng cá nhân Khả cho phép nhiều người dùng chia sẻ thiết bị Trong kịch MU, tài khoản chủ sở hữu thiết bị Sử dụng cài đặt thiết bị, chủ sở hữu tạo thêm Mus Ngoại trừ người sử dụng ban đầu, MU khác dùng tạo, chỉnh sửa xóa thiết bị người dùng MU 6) Android 4.3 loại bỏ chương trình setuid () / setgid () [51] họ dễ bị công khai thác root 7) Android 4.3 thử nghiệm với SELinux để cung cấp bảo mật nâng cao [54] Android 4.4 giới thiệu SELinux với chế độ thực thi cho nhiều trình root SELinux áp đặt sách bắt buộc Access Control (MAC) vị trí truyền thống truy cập tùy ý Control (DAC) Trong DAC, chủ sở hữu tài nguyên định đối tượng quan tâm khác truy cập vào nó, hệ thống MAC (không phải người sử dụng) cho phép đối tượng để truy cập vào tài nguyên cụ thể Như vậy, MAC có khả ngăn chặn hoạt động nguy hiểm truy cập gốc thiết bị bị thỏa hiệp Như vậy, MAC làm giảm đáng kể hiệu công leo thang đặc quyền kernel-level E Cải tiến an ninh bên thứ ba Nhiều cải tiến bảo mật Android độc lập đề xuất [55] - [58] Những chế cho phép tổ chức để tạo sách an ninh cho thiết bị nhân viên thông tin theo ngữ cảnh vị trí thiết bị, cho phép ứng dụng thông tin liên lạc liên ứng dụng giám sát xác nhận sách công bố Phạm vi viết điều tra bảo mật Android, vấn đề Malware kỹ thuật phòng thủ, không khảo sát biện pháp phòng ngừa đề cập chi tiết IV BÁO CÁO VỀ SỰ ĐE DỌA CỦA MALWARE ANDROID Hình minh họa dòng thời gian số gia đình Malware đáng ý Android 20102013 Trong số đó, tin nhắn SMS Trojans có đóng góp lớn; số chí bị nhiễm Google Playstore [50] Một số lượng lớn ứng dụng Malware khai thác công gốc dựa rageagainst the-cage [23], gingerbreak [48] z4root [45] để có đặc quyền superuser để điều khiển thiết bị Gần công master-key [59], có phiên 1.6 đến 4.2.2 dễ bị tổn thương Mỗi quý, công ty chống Malware báo cáo gia tăng theo cấp số nhân gia đình biến thể malware [3], [60] Tỷ lệ nhiễm malware thiết bị di động công ty đưa khác Đặc biệt, Lookout Inc báo cáo toàn cầu Malware lây nhiễm với tỷ lệ 2,61% cho người dùng [61] Hai nghiên cứu độc lập ước tính infection-rate 14 hợp pháp trang bị với chức truy cập từ xa Kẻ thù từ xa buộc thiết bị bị nhiễm để gửi tin nhắn SMS, gọi điện thoại, truy cập vào vị trí thiết bị, ghi lại video / âm truy cập tập tin thiết bị sử dụng dịch vụ truy cập từ xa B Drive-by Download Một kẻ công sử dụng kỹ thuật xã hội, quảng cáo tích cực kiện bấm vào URL độc hại, kích động người dùng tải Malware tự động Tùy chọn, ổ đĩa cách tải che giấu ứng dụng hợp pháp dụ người sử dụng cài đặt ứng dụng Android / Không tương thích [25] drive-by đáng ý ứng dụng tải C Payload động Ứng dụng nhúng payload độc hại gói ứng dụng thực thi / jar dạng mã hóa định dạng rõ ràng nguồn apk Sau cài đặt, ứng dụng giải mã payload Nếu payload tập tin jar, Malware tải DexClassLoader API thực thi mã động Tuy nhiên, dụ người sử dụng cài đặt gói ứng dụng nhúng cách ngụy trang cập nhật quan trọng Các ứng dụng thực thi mã nhị phân tự nhiên sử dụng Runtime.exec API, tương đương Linux fork () / exec () BaseBridge [50] Anserverbot [50] họ Malware sử dụng kỹ thuật thảo luận Một số họ Malware không nhúng payload độc hại tài nguyên, tải từ máy chủ từ xa tránh bị phát thành công DroidKungFu Cập nhật [50] ví dụ đáng ý thực payload động kỹ thuật không bị phát phương pháp phân tích tĩnh D Kỹ thuật Stealth Malware Hệ điều hành Android phát triển cho tài nguyên môi trường có nguồn lượn (pin) hạn chế Vì vậy, ứng dụng chống malware thực phân tích sâu theo thời gian thực smartphone giống máy tính để bàn Malware khai thác hạn chế phần cứng, hạn chế chống Malware làm mờ payload độc hại để ngăn chặn phần mềm thương mại chống Malware kỹ thuật tàng mã hóa mã, hoán vị chủ chốt, nạp động, mã phản ánh thực thi mã nguồn gốc vấn đề quan tâm giải pháp chống Malware dựa chữ ký Theo xu hướng tảng máy tính để bàn, mã obfuscation phát triển Android [73], [74] kỹ thuật Obfuscation thực cho nhiều mục đích sau • Để bảo vệ thuật toán độc quyền từ đối thủ cách làm cho kỹ thuật đảo ngược khó khăn • Để bảo vệ Digital Rights Management tài nguyên đa phương tiện để giảm vi phạm quyền • Obfuscating ứng dụng làm cho chúng nhỏ gọn nhanh thực • Để ẩn Malware biết đến từ phần mềm chống Malware để lan truyền lây nhiễm sang thiết bị khác • Để ngăn chặn làm chậm trễ phân tích thủ công phân tích tự động để tìm động lực thực tế chưa biết Malware Dalvik bytecode áp dụng kỹ thuật – đảo ngược, sẵn có loại thông tin an toàn loại lớp / phương pháp, định nghĩa, biến, đăng ký chuỗi chữ hướng dẫn Phương pháp chuyển đổi mã thực dễ dàng Dalvik bytecode, tối ưu hóa với công cụ bảo vệ mã Proguard [75] Proguard công cụ tối ưu hóa để loại bỏ lớp không sử dụng, phương pháp lĩnh vực class/method/fields/local-variable tên biến có ý nghĩa thay mã không đọc để vô hiệu kỹ thuật đảo ngược Dexguard [76] công cụ bảo vệ mã Android thương mại Nó sử dụng để thực kỹ thuật obfuscation mã hóa học, phương pháp sáp nhập, mã hóa chuỗi, kiểm soát dòng chảy mangling vv để bảo vệ ứng dụng từ thiết kế ngược Kỹ thuật chuyển đổi mã sử dụng để cản trở phương pháp phát Malware [73], [74] Faruki et al [77] đề xuất khuôn khổ Dalvik chuyển đổi bytecode tự động để tạo biến thể vô hình Malware biết đến với kỹ thuật bytecode gây rối khác Ngoài ra, họ đánh giá mẫu Malware vô hình 15 chống lại phần mềm chống Malware thương mại hàng đầu kỹ thuật phân tích tĩnh Các tác giả cho rằng, kỹ thuật chuyển đổi tầm thường thất bại phần mềm chống Malware thương mại có Sau đây, phương pháp chuyển đổi mã khác dùng để xáo trộn Malware biết đến tạo số lượng lớn chữ ký Malware không nhìn thấy Trong thực tế, chuyển đổi mã thực để ngăn chặn công cụ tháo gỡ [78] 1) Junk Mã Chèn Opcode Sắp xếp lại: Mã Junk mã no-operation (NOP) chèn kỹ thuật tiếng làm thay đổi kích thước thực thi trốn tránh sở liệu chữ ký chống Malware MÃ Junk chèn vào ngữ nghĩa ứng dụng ban đầu Tuy nhiên, đổi trình tự opcode để thay đổi chữ ký ứng dụng Malware Opcode tái đặt hàng với hướng dẫn goto chức thay đổi dòng điều khiển, bảo quản, ngữ nghĩa thực thi ban đầu Những phương pháp sử dụng để trốn tránh giải pháp dựa chữ ký phát opcode dựa [73], [74] 2) Gói, Class hay Method đổi tên: ứng dụng Android xác định với tên gói riêng Dalvik bytecode đảm bảo an toàn tên lớp phương pháp Nhiều phần mềm chống Malware sử dụng chữ ký tầm thường gói, tên lớp hay phương thức chữ ký phát Malware biết đến trước [79] Biến đổi tầm thường sử dụng để trốn tránh việc chống Malware dựa phát chữ ký [74] 3) Thay đổi Control-flow: Một số phần mềm chống Malware sử dụn g chữ ký ngữ nghĩa controlflow phân tích dòng liệu để phát Malware biến thể sử dụng kỹ thuật chuyển đổi đơn giản [79] Control-flow chương trình sửa đổi với hướng dẫn goto cách chèn kêu gọi phương thức Junk Mặc dù không đáng kể, kỹ thuật khéo léo trốn tránh anti-malware [74] 4) String Encryption: chuỗi ký tự tin nhắn, URL vỏ lệnh tiết lộ nhiều ứng dụng Để ngăn chặn phân tích vậy, chuỗi văn đơn giản mã hóa đọc Ngoài ra, lần mã hóa chuỗi thực thi, phương pháp mã hóa khác (hoặc khóa) làm cho trình giải mã tự động khó khăn Trong trường hợp đó, chuỗi ký tự có sẵn thời gian thực thi mã Do đó, tránh phương pháp phân tích tĩnh 5) Lớp Encryption: Thông tin quan trọng sản phẩm giấy phép kiểm tra, chi phí tải DRM ẩn cách mã hóa toàn lớp sử dụng thông tin nhạy cảm [76] 6) Resource Encryption: Nội dung thư mục resource, assests native libraries thay đổi không đọc được, họ phải giải mã thời gian chạy [76] 7) Sử dụng API Reflection: Phương pháp phân tích tĩnh tìm kiếm API Android nhạy cảm ứng dụng Malware áp dụng đồ hành vi nguy hiểm Ứng dụng người dùng cho phép ánh xạ Java cho phép việc tạo tớp theo chương trình phương pháp gọi cách sử dụng chuỗi chữ Để xác định xác lớp tên phương pháp,có thể thực phương pháp phân tích data flow Tuy nhiên, chuỗi chữ mã hóa, làm cho khó khăn để tìm kiếm API phản chiếu tự động Kỹ thuật dễ dàng tránh phương pháp phân tích tĩnh VI PHƯƠNG PHÁP ĐÁNH GIÁ PHÂN TÍCH VÀ PHÁT HIỆN Phương pháp bảo mật Android đánh giá tổn thương, phân tích malware phát kỹ thuật chia thành: 1) Kỹ thuật phân tích tĩnh: kỹ thuật phân tích mã mà không cần chạy nó, kỹ thuật nhanh chóng, phải đối phó với dương tính giả 2) Kỹ thuật phân tích động: giám sát mã thực thi kiểm tra tương tác với hệ thống Mặc dù tốn thời gian kỹ thuật có hiệu chống lại malware obfuscation 3) Phương pháp lai tiếp cận cách tận dụng lợi ích hai kỹ thuật phân tích tĩnh động 16 Giải pháp bảo mật phân loại dựa nguyên tắc[80] khai thác tính mô hình học máy dựa theo quy luật [81] Lựa chọn không thích hợp tính làm giảm hiệu suất mô hình tạo sai dương tính (ví dụ, phát sai ứng dụng lành tính malware) Hơn nữa, số lượng tính vấn đề phải có kích thước nhỏ hiệu quả, giải pháp thiết bị chống malware Các phương pháp giảm tính kết hợp với biện pháp thống kê mean, standard deviation, chi-square, haar transforms sử dụng để xác định thuộc tính bật chịu trách nhiệm cho hành động độc hại Mô hình học tập tạo cách phân tích tính vi xử lý, nhớ sử dụng, tiêu thụ pin, hệ thống gọi, hoạt động mạng v.v mà sử dụng với phân nhóm phân loại thuật toán để dự đoán hành vi bất thường A Phương pháp tĩnh Phân tích tĩnh dựa vào phương pháp tiếp cận công việc cách cần tháo gỡ, dịch ngược mà không thực chạy nó, không lây nhiễm sang thiết bị Cách tiếp cận bị ảnh hưởng việc sử dụng kỹ thuật chuyển đổi mã khác thảo luận đánh giá mục VD 1) Phát Malware dựa chữ ký: Hiện phần mềm thương mại chống Malware sử dụng phương pháp phát Malware dựa vào chữ ký Nó trích xuất mẫu cú pháp ngữ nghĩa, tính [82] tạo chữ ký phù hợp với malware cụ thể Phương pháp dựa vào chữ ký thất bại biến thể vô hình tồn biết đến malware Hơn nữa, trình sử dụng khai thác chữ ký, hiệu bùng nổ hàm lũy thừa chữ ký để lại thiết bị dễ bị malware công P Faruki et al [83] phát triển AndroSimilar, tính thống kê mạnh mẽ dựa phương pháp chữ ký tự động để phát đa dạng zero-day malware biết đến 2) Phân tích dựa thành phần: Để thực đánh giá phân tích chi tiết ứng dụng an ninh, ứng dụng tháo rời để trích xuất nội dung quan trọng AndroidManifest.xml, nguồn lực bytecode cửa hàng siêu liệu quan trọng Manifest danh sách thành phần (ví dụ: hoạt động, dịch vụ, thu nhận vv) yêu cầu quyền giải pháp ứng dụng bảo mật đánh giá phân tích thành phần sử dụng định nghĩa bytecode tương tác họ để xác định lỗ hổng [8], [84], [85] 3) Phân tích Permission-based: Thiết kế trung tâm mô hình bảo mật Android yêu cầu cho phép để truy cập vào nguồn tài nguyên nhạy cảm Không có ứng dụng sử dụng cho phép làm ảnh hưởng đến an ninh Xác định yêu cầu cho phép nguy hiểm không đủ để khai báo ứng dụng malware Tuy nhiên, quyền lập đồ yêu cầu quyền sử dụng nhận dạng nguy quan trọng techniquesarma2012android, Barrera:2010:MEA:1866307.1866317 Sanz Borja et al [86] sử dụng thẻ AndroidManifest.xml để phadt malware Tác giả sử dụng thuật toán máy học Naive Bayes, Random Forest, J48 and Bayes-Net số liệu 249 malware 357 ứng dụng lành tính Trong [87] tác giả vẽ đồ quyền yêu cầu sử dụng từ biểu API tương ứng họ bytecode Dalvik Các thuộc tính ánh xạ sử dụng với thuật toán học máy 125.249 malware ứng dụng liệu lành tính Enck et al [88] phát triển công cụ xác nhận Kirin để xác định tập hợp quy tắc để xác định kết hợp phép nguy hiểm cụ thể để xác định thuộc tính malware trước cài đặt ứng dụng thiết bị 4) Phân tích Dalvik Bytecode: Dalvik bytecode ngữ nghĩa giàu có chứa thông tin kiểu lớp, phương pháp hướng dẫn Các loại thông tin sử dụng để xác minh hành vi ứng dụng Phân tích chi tiết dựa điều khiển lưu lượng liệu cung cấp cho nhìn sâu sắc vào chức nguy hiểm rò rỉ riêng tư dịch vụ điện thoại sử dụng sai [30], [80], [89] Kiểm soát phân tích dòng liệu hữu ích để xây dựng lại bytecode de-obfuscated, ví dụ làm vô hiệu hóa tác dụng kỹ thuật chuyển đổi tầm thường [90] Phân tích bytecode kiểm soát dòng chảy xác định đường dẫn ứng dụng, thực thi Dalvik bytecode chứa jump, branch method hướng dẫn gọi làm 17 thay đổi thứ tự thực Để tạo điều kiện phân tích thêm, nội thủ tục (nghĩa thủ tục nhất) liên thủ tục (nghĩa trải rộng khắp thủ tục) đồ thị controlflow bytecode (CFG) tạo Karlsen et al [90] thức hóa bytecode Dalvik để thực phân tích kiểm soát dòng chảy dựa chữ ký ngữ nghĩa để phát ứng dụng malware Phân tích bytecode lưu lượng liệu để dự đoán tập giá trị thời điểm thực khác CFG sử dụng để qua đường thực xác định điều khiển liệu phụ thuộc Phân tích số liệu dòng chảy thực phương pháp (nội thủ tục) phương pháp khác (liên thủ tục) để nâng cao xấp xỉ đầu mong muốn Đặc biệt, phân tích lưu lượng liệu đặc gọi "tuyên truyền liên tục" thực để xác định tham số liên tục gọi API nhạy cảm gọi thực ứng dụng Ví dụ, tốc độ gửi tin nhắn SMS cao cấp malware cho số khó mã hoá xác định trước phát phân tích tuyên truyền dataflow liên tục [80] Phân tích dạng vết nhơ khác phương pháp phân tích lưu lượng liệu để xác định biến giữ thông tin nhạy cảm Ví dụ, phân tích vết nhơ xác định rò rỉ riêng tư mà sử dụng để đánh cắp thông tin người dùng ứng dụng nhạy cảm [89] Nhạy cảm API gọi theo dõi vòng bytecode hữu ích để xác định hành vi nguy hiểm [91] Nó hữu ích việc xác định dòng ứng dụng vô tính [92] Zhou et al [4] sử dụng trình tự opcodes hướng dẫn bytecode Dalvik để xác định ứng dụng malware đóng gọi lại 5) Mục tiêu Dalvik Bytecode nhắm đến Java bytecode: Sự sẵn có số phần mềm Java phần mềm ăn cắp [93] [94] [95] công cụ phân tích tĩnh dựa [96] - [98], thúc đẩy việc nghiên cứu lại mục tiêu Dalvik bytecode để bytecode Java Enck et al [99] phát triển công cụ “ded” sử dụng để chuyển đổi Dalvik bytecode thành source Java Sau đó, họ thực phân tích tĩnh kiểm soát dòng chảy, lưu lượng liệu, mã Java sử dụng Fortify SCA [98] Trong [100] tác giả phát triển công cụ Dare để chuyển đổi bytecode Dalvik thành Java bytecode với độ xác 99% Bartel et al [101] phát triển plugin Dexpler cho tảng phân tích tĩnh, Scoot [96] Dexpler chuyển đổi bytecode Dalvik vào mã Jimple Soot Tuy nhiên, xử lý tập tin tối ưu hóa dex (Odex) Gibler et al [102] dùng ded dex2jar [103] để chuyển đổi bytecode Dalvik vào Java bytecode mã nguồn tương ứng Tác giả thực phân tích tĩnh tảng Wala [97] để xác định rò rỉ riêng tư ứng dụng Android tập liệu lớn B Tiếp cận động Phương pháp phân tích tĩnh phương pháp phát phương pháp nhanh chóng, phương pháp không chống lại malware chuyển đổi mã hóa, đa hình mã số Phương pháp phân tích động thực thi ứng dụng môi trường bảo vệ, cung cấp tất nguồn lực mô cần thiết, học tập tương tác xác định hoạt động độc hại Một số phương pháp phân tích động thực hiện, gặp hạn chế giới hạn tài nguyên điện thoại thông minh Ứng dụng Android thực thi dựa việc đồng nhiều điểm để kích hoạt Giao diện cử người dùng (UI) chạm nhẹ, giữ, chạm mạnh, bàn phím nhấn phím quay lại phím menu phải tự động kích hoạt để bắt đầu tương tác ứng dụng với thiết bị SDK Android trang bị công cụ monkey [104] để tự động hóa số cử Để thực theo dỗi sâu hơn, cần phải sửa đổi tảng cách chèn mã theo dõi gọi Instrumentation Một nhược điểm nghiêm trọng cách tiếp cận động số đường thực độc hại bỏ qua, kích hoạt theo số kiện phức tạp Ví dụ, thời điểm cụ thể ngày chức malware thực thi, kiện không thực thi Kỹ thuật Anti-emulation Sandbox [39], [105] phát thời điểm phân tích môi trường, trì hoãn việc thực malware tránh phương pháp phân tích động Cách tiếp cận động chia thành ba loại sau 1) Hồ sơ dựa phát bất thường: Các ứng dụng độc hại tạo công từ chối dịch vụ (DoS) sử dụng tài nguyên phần cứng hạn chế Phạm vi thông số CPU, thống kê việc 18 sử dụng nhớ, mô hình lưu lượng mạng, sử dụng pin hệ thống gọi cho ứng dụng lành tính malware thu thập từ hệ thống phụ Android Kỹ thuật phân tích tự động với phương pháp học máy sử dụng để phân biệt hành vi bất thường [81], [106], [107] 2) Phát hành vi độc hại: hành vi độc hại cụ thể rò rỉ liệu nhạy cảm, gửi tin nhắn SMS / email, gọi thoại mà không cần đồng ý người sử dụng phát cách xác cách giám sát tính quan tâm cách đặc biệt[108] - [111] 3) Máy ảo tự quan sát: Nhược điểm việc giám sát hành vi ứng dụng từ giả lập (VM) giả lập dễ bị chống lại ứng dụng độc hại đánh bại mục đích phân tích Để chống lại điều này, phương pháp tiếp cận máy ảo tự quan sát sử dụng để phát hành vi ứng dụng cách quan sát hoạt động giả lập [112] VII TRIỂN KHAI ĐỂ ĐÁNH GIÁ PHÂN TÍCH VÀ PHÁT HIỆN Đánh giá an ninh, phân tích malware phương pháp phát triển khai địa điểm khác nhau, tùy thuộc vào yêu cầu, từ giải pháp từ On-Device đến Off-Device tảng công nghệ đám mây A On-Device Dựa chữ ký malware đơn giản hiệu Việc đánh giá, phân tích chi tiết hạn chế điện thoại di động so với phân tích chống malware máy tính Vì vậy, giải pháp đánh giá rủi ro nhẹ đề xuất cách phân tích thành phần quyền hạn giải pháp thiết bị [88] Sau số hạn chế thiết bị chống malware • Ứng dụng chống malware chạy ứng dụng bình thường mà ưu đãi đặc biệt Kết là, thuộc phạm vi trình cô lập Do đó, quét nhớ ứng dụng khác trực tiếp, đọc ghi tập tin văn tập tin riêng tư trình quét ứng dụng • Android cho phép thực dịch vụ ứng dụng Tuy nhiên, ngăn chặn dịch vụ ứng dụng chống malware chạy khỏi tài nguyên phần cứng Ứng dụng đặc quyền tương tự buộc dừng thực thi ứng dụng chống malware với đặc quyền thích hợp • Nếu đặc quyền root, ứng dụng chống malware tạo kết nối hệ thống để theo dõi tập tin hệ thống thực truy cập mạng • Nếu đặc quyền root, ứng dụng chống malware gỡ bỏ cài đặt ứng dụng khác Nó phải phụ thuộc vào người sử dụng để loại bỏ ứng dụng B Phân phối (Một số phần On-Device, Một số phần Off-Device) Phân tích phát từ xa thực thiết bị, chi tiết tính toán phân tích đắt tiền thực máy chủ từ xa để làm hạn chế tài nguyên thường dùng ứng dụng chống malware Trong trường hợp hồ sơ dựa phát bất thường, thông số sử dụng tài nguyên thu thập phía máy khách gửi lại cho máy chủ từ xa để phân tích chi tiết Kết cuối gửi lại cho thiết bị [81], [109] Tuy nhiên, vấn đề cần quan tâm liên tục băng thông Internet chi phí liên quan Trong trường hợp phương pháp phát hiện, tài nguyên mạng dựa máy chủ bảo vệ thiết bị khỏi bị công malware [107] C Off-Device Điều quan trọng để tự động phân tích tĩnh sâu vào mẫu malware cho phép nhà phân tích đưa định nhanh chóng xác định giảm thiểu malware Các giải pháp phân tích sâu tự động cần sức mạnh tính toán nhớ Do đó, thường triển khai với offdevice [30], [80], [89], [112] VIII CÔNG CỤ STATE-OF-THE-ART & KỸ THUẬT CHO ANDROID APP ĐÁNH GIÁ, PHÂN TÍCH VÀ PHÁT HIỆN Một số giải pháp đề phân tích phát Malware: Công cụ kỹ thuật đảo ngược phát phương pháp tiếp cận, phương pháp phát phân loại 19 theo điều sau đây: 1) Mục tiêu đánh giá ứng dụng bảo mật, phân tích phát malware; 2) Các phương pháp thảo luận Phần VI; 3) Triển khai thảo luận Phần VII A Kỹ thuật đảo ngược Nội dung gói Android (APK) lưu trữ định dạng nhị phân Trước đánh giá, phân tích bắt đầu nhiệm vụ phát hiện, điều quan trọng phải tháo rời để chế biến tiếp Có số công cụ để tháo rời biên soạn ứng dụng Android Trong phần đây, thảo luận số công cụ kỹ thuật đảo ngược biết cân nhắc điểm mạnh họ 1) apktool [70] giải mã nội dung nhị phân APK sang hình thức gần nguyên cấu trúc thư mục dự án Nó tháo rời nguồn tài nguyên nhị phân chuyển đổi bytecode classes.dex vào smali [113] bytecode cho dễ đọc thao tác Sau thực thay đổi, đóng gói lại thành gói ứng dụng Công cụ công cụ kỹ thuật đảo ngược mã nguồn mở tốt 2) dex2jar [103] phận phân tách để phân tích tối ưu hóa dex, cung cấp API nhẹ để truy cập dex2jar chuyển đổi dex thành file jar, cách nhắm lại mục tiêu bytecode Dalvik vào Java bytecode, cho nhiều thao tác Hơn nữa, tái lập lại jar vào dex sau sửa đổi 3) Dự án Dare [114] nhằm mục đích nhắm lại mục tiêu Dalvik bytecode classes.dex để file class truyền thống sử dụng thuật toán suy luận kiểu mạnh File class phân tích thêm cách sử dụng loạt kỹ thuật phát triển cho ứng dụng Java truyền thống bao gồm phần mềm ăn cắp Octeau et al [100] chứng minh Dare xác dex2jar 40% 4) Dedexer [115] phân tách classes.dex vào cú pháp Jasmin tương tự tạo file riêng biệt cho lớp, trì cấu trúc đóng gói thư mục để đọc dễ dàng thao tác Tuy nhiên, không giống apktool, tái lập lại phân tách file class trung gian 5) JEB [116] phần mềm chuyên nghiệp với kỹ thuật đảo ngược Android hàng đầu có sẵn tảng Windows, Linux Macintosh Nó trình biên dịch lại giao diện tương tác dựa phân tích nội dung đảo ngược ứng dụng malware Thông tin ứng dụng biểu hiện, resource, chứng nhận, chuỗi ký tự kiểm tra mã nguồn Java cách cung cấp chuyển hướng dễ dàng thông qua tham chiếu JEB chuyển đổi bytecode Dalvik trực tiếp vào nguồn Java cách sử dụng ngữ nghĩa Dalvik bytecode Đặc biệt, JEB xếp lại Dalvik bytecode để làm cho mã tháo rời dễ đọc so với đối tác [70], [103] JEB hỗ trợ bổ sung script Python cách cho phép truy cập vào mã Java Abstract Syntax Tree (AST) dịch ngược thông qua API Tính hữu ích việc tự động phân tích tùy chỉnh Theo chúng tôi, công cụ kỹ thuật đảo ngược tốt B Androguard Mục tiêu: Đánh giá rủi ro, phân tích phát Phương pháp: Tĩnh Triển khai: Off-Device Minh họa hình 7, Androguard [79] mã nguồn mở, công cụ phân tích tĩnh đảo ngược xếp để tháo rời biên soạn lại ứng dụng Android Nó tạo kiểm soát đồ thị luồng phương thức cung cấp truy cập thông qua Python-API dòng lệnh giao diện đồ họa Androguard Normalized Compression Distance (NCD) (NCD) Androguard Bình thường nén Khoảng cách (NCD) cách tiếp cận tìm thấy điểm tương đồng khác biệt hai nhân nghi ngờ đáng tin cậy, hữu ích để phát ứng dụng đóng gói lại Nó cung cấp API python để truy cập tài nguyên tháo rời phân tích tĩnh cấu trúc phân tích khối khối, kiểm soát luồng hướng dẫn APK Một nhà phân tích phát triển hệ thống phân tích tĩnh 20 riêng cách sử dụng API python Sau số giải thích tính năng: Hình Androguard 1) Ứng dụng mã tương tự: Androguard tìm thấy điểm tương đồng hai ứng dụng cách tính toán Normalized Compression Distance cặp phương pháp tính toán điểm giống 0-100, 100 có nghĩa ứng dụng giống hệt Nó hiển thị IDENTICAL, SIMILAR, NEW, DELETED and SKIPPED phương pháp hai nhân nghi ngờ Trong cách, hiển thị khác biệt hai phương pháp cách so sánh cặp khối Đặc biệt hơn, để tính toán khác biệt hai phương pháp tương tự, chuyển đổi dẫn lần khối thành chuỗi Sau đó, áp dụng thuật toán Longest Common Subsequence dãy chuỗi hai khối để tìm khác biệt chúng [117] 2) Chỉ số rủi ro: Chỉ số rủi ro tính toán điểm nguy mờ APK từ (nguy thấp) đến 100 (nguy cao) Nó xem xét thông số sau đây: • Native, Re ection, Cryptographic and Dynamic diện ứng dụng • Số lượng thực thi / chia sẻ-thư viện diện ứng dụng • Các yêu cầu cấp phép liên quan đến quyền riêng tư rủi ro tiền tệ • Yêu cầu quyền Dangerous / SystemOrSignature / Signature Chữ ký ứng dụng độc hại: Androguard quản lý sở liệu chữ ký cung cấp giao diện để thêm / xóa chữ ký từ sở liệu Chữ ký mô tả định dạng JSON Nó chứa tên (hoặc họ), thiết lập chữ ký phụ công thức Boolean để trộn chữ ký phụ khác Dưới hai loại chữ ký phụ: • METHSIM: Nó chứa ba thông số, CN - tên lớp, MN - tên phương thức D - mô tả • CLASSSIM: Nó chứa tham số nhất, CN - tên lớp Vì chữ ký phụ áp dụng phương pháp cụ thể toàn lớp Chữ ký phụ khác trộn với công thức Boolean (BF) C Andromaly Mục tiêu: Phát bất thường Phương pháp: Năng động Triển khai: Một nửa On-Device, Half Off-Device Trong [81], Shabtai et al đề xuất hệ thống phát phần mềm độc hại Android nhẹ dựa cách tiếp cận máy học Nó thực thời gian thực theo dõi để thu thập số liệu hệ thống khác nhau, chẳng hạn sử dụng CPU, số lượng liệu truyền qua mạng, số lượng trình hoạt động sử dụng pin Như thể hình 8, Andromaly có bốn thành phần chính: Hình • Tính gỡ bỏ: Họ thu thập số liệu tính năng, cách giao tiếp với hạt nhân Android tảng ứng dụng Tính gỡ bỏ kích hoạt đặn để thu thập phép đo tính việc quản lý tính Tính quản lý thực số tiền xử lý liệu tính thô • Bộ xử lý: Đây đơn vị phân tích phát Nó nhận vectơ tính từ dịch vụ chính, phân tích đánh giá thực mối đe dọa vượt qua để đe dọa Threat Weighting Unit (TWU) Bộ vi xử lý quy định dựa phân loại dựa tri thức phát bất thường sử dụng phương pháp máy học TWU áp dụng thuật toán quần thể kết phân tích nhận từ tất vi xử lý để đưa định cuối việc lây nhiễm thiết bị Quản lý cảnh báo làm mịn kết để giảm báo động sai • Dịch vụ chính: Nó phối hợp thu tập tính năng, phát phần mềm độc hại trình cảnh báo Nó có trách nhiệm yêu cầu đo tính mới, gửi số liệu tính cho vi xử lý nhận khuyến nghị cuối từ người quản lý cảnh báo Loggers đăng nhập thông tin để gỡ lỗi, hiệu 21 chuẩn thử nghiệm Configuration Manager quản lý cấu hình ứng dụng, ví dụ, vi xử lý hoạt động, ngưỡng cảnh báo, khoảng lấy mẫu vv Các nhiệm vụ kích hoạt hủy kích hoạt vi xử lý đưa chăm sóc Processor Manager Operation Mode Manager chuyển ứng dụng từ chế độ sang chế độ khác có kết việc kích hoạt / Chấm dứt kích hoạt vi xử lý tính gỡ bỏ Thay đổi chế độ hoạt động kết thay đổi mức độ tài nguyên • Graphical User Interface: Nó tương tác với người sử dụng để cấu hình thông số ứng dụng kích hoạt tắt ứng dụng, cảnh báo người dùng mối đe dọa cho phép khai thác liệu thu thập Các thí nghiệm tiến hành sử dụng số loại phần mềm độc hại nhân tạo, mô hình làm việc cần kiểm tra phần mềm độc hại thực D AndroSimilar Mục tiêu: Phát malware Phương pháp: Tĩnh Triển khai: Off-Device (Portable On-Device) Trong [83] tác giả đề xuất AndroSimilar, hệ chữ ký với phương pháp tự động chiết xuất tính cú pháp hiếm, thống kê để phát phần mềm độc hại Ngoài phần mềm độc hại có, AndroSimilar phát cách hợp lý phần mềm độc hại khó hiểu với kỹ thuật mã hóa chuỗi, phương pháp đổi tên, chèn phương pháp rác thay đổi dòng điều khiển, sử dụng rộng rãi để tránh cố định chữ ký chống phần mềm độc hại, phát biến thể chưa biết phần mềm độc hại có Cách tiếp cận AndroSimilar dựa Similarity Digest Hash (SDHash) [118] sử dụng pháp y kỹ thuật số để xác định tài liệu tương tự Bằng trực giác, ứng dụng không liên quan hoàn nên có xác suất thấp việc có đặc điểm chung Khi hai ứng dụng không liên quan chia sẻ số tính năng, tính coi yếu dẫn đến dương tính giả [119] Fixedsize tính chuỗi byte tách dựa xác suất thực nghiệm xuất giá trị liệu ngẫu nhiên, đặc tính sau phổ biến tìm kiếm số theo dạng quan hệ lân cận [118] Hình cho thấy làm việc AndroSimilar Sau bước liên quan: Hình • Gửi Google Play, bên thứ ba ứng dụng độc hại làm rắc rối đầu vào AndroSimilar • Tạo giá trị liệu ngẫu nhiên cho byte-chuỗi kích thước cố định file bình thường hóa phạm vi [0,1000] • Chọn tính mạnh mẽ mặt thống kê phân loại theo tương tự chương trình đại diện ứng dụng • Cất chiết xuất tính vào lọc Bloom Trình tự lọc Bloom chữ ký ứng dụng • So sánh chữ ký với sở liệu để phát phù hợp với họ malware biết đến Nếu số điểm tương đồng vượt ngưỡng định, đánh dấu mẫu độc hại (hoặc đóng gói) Do đó, họ tạo chữ ký họ malware biết đến sở liệu đại diện Nếu điểm giống ứng dụng không rõ với chữ ký họ malware có phù hợp vượt ngưỡng sau dán nhãn độc hại Chúng tin AndroSimilar cách tiếp cận đầy hứa hẹn để phát biến thể malware vô hình E Andrubis Mục tiêu: Phân tích malware phát Phương pháp: tĩnh động Triển khai: Off-Device Andrubis [120] tảng phân tích malware dựa web, xây dựng dựa số công cụ 22 tiếng Droidbox [121], TaintDroid [108], apktool [70] Androguard [79] Người dùng gửi ứng dụng đáng ngờ qua giao diện web Sau phân tích ứng dụng server từ xa, Andrubis trả báo cáo phân tích chi tiết tĩnh động trang web Andrubis cung cấp giá hành vi ứng dụng 0-10, lành tính 10 quy định giá độc hại Để nghiên cứu chức Andrubis, tin nhắn SMS tùy chỉnh dựa vào botnet đăng tải dịch vụ web Andrubis Điều nghiên cứu đánh giá tùy chỉnh SMS bot nguyên mẫu với số điểm 9,9 / 10 Tuy nhiên, không số anti-malware thương mại cổng thông tin VirusTotal phát malware vô hình Điều chứng minh tính hiệu Andrubis , đánh giá hành vi chống lại malware zero-day Tuy nhiên, Vidas et al [105] chứng minh môi trường ảo Andrubis phát với kỹ thuật chống phân tích xác định phân tích sand box F APKInspector Mục tiêu: Phân tích malware Phương pháp: Tĩnh Triển khai: Off-Device APKInspector [122] công cụ phân tích tĩnh Android thức, bao gồm Ded [123], smali / baksmali [113], apktool [70] Androguard [79] Nó cung cấp giao diện đồ họa phong phú có tính sau: • Ứng dụng siêu liệu • Phân tích quyền nhạy cảm • Hiển thị Dalvik bytecode nguồn mã Java • Hiển thị biểu đồ kiểm soát dòng chảy • Hiển thị gọi đồ thị, hiển thị gọi cấu trúc gọi • hỗ trợ thiết bị tĩnh cách cho phép sửa đổi để mã smali G Aurasium Mục tiêu: Phân tích phát Phương pháp: Động Triển khai: On-Device Aurasium [124] kỹ thuật mạnh mẽ kiểm soát thực ứng dụng cách tăng cường sách an ninh thời gian thực Để làm điều đó, Aurasium đóng gói lại Android với module thực thi sách Thành phần quản lý an ninh Aurasium áp dụng sách cá nhân ứng dụng Bất kỳ hành vi vi phạm an ninh riêng tư báo cáo cho người dùng Vì vậy, giúp loại bỏ cần thiết cho thao tác theo dõi hành vi ứng dụng hệ điều hành Android Nó can thiệp trường hợp ứng dụng truy cập thông tin nhạy cảm danh bạ, tin nhắn, định danh điện thoại thực vỏ lệnh cách yêu cầu người dùng xác nhận liên quan đến Aurasium bị hạn chế thực tế không chống lại phần mềm độc hại ẩn, tức phát ứng dụng dựa sửa đổi chữ ký diện thư viện có nguồn gốc xác định trước Malware không tiết lộ hành vi nguy hiểm nó xác định diện Aurasium, tránh phát Aurasium phụ thuộc vào đóng gói lại, tháo rời (hoặc lắp ráp) mã chuyển đổi ứng dụng H Bouncer Mục tiêu: Phát malware Phương pháp: Động Triển khai: Off-Device 23 Google Play bảo vệ ứng dụng cửa hàng riêng mình, với hệ thống gọi Bouncer Nó máy ảo dựa tảng phân tích động để thử nghiệm ứng dụng nhà phát triển bên thứ ba tải lên, trước chúng để người dùng tải Nó thực thi ứng dụng để tìm kiếm hành vi nguy hiểm so sánh với ứng dụng độc hại phân tích trước tài liệu hoạt động nội có sẵn, Oberheide et al [39] trình bày phân tích môi trường Bouncer cách thực lệnh tùy chỉnh ứng dụng điều khiển Mã động tải né tránh Bouncer [125] xem xét kỹ lưỡng I CopperDroid Mục tiêu: Phân tích malware phát Phương pháp: Động Triển khai: Off-Device Reina et al đề xuất CopperDroid [106], hệ thống, thực phân tích hệ thống động, gọi trung tâm ứng dụng Android, sử dụng Virtual Machine Introspection Để giải vấn đề phạm vi đường dẫn họ ủng hộ kích thích kiện theo đặc điểm kỹ thuật có mặt ứng dụng file manifest Các tác giả thể thực nghiệm hệ thống gọi phân tích trung tâm hiệu phát hành vi nguy hiểm Họ cung cấp giao diện web cho người dùng khác để phân tích ứng dụng [126] Tuy nhiên, Vidas et al [105] chứng minh nhận dạng môi trường ảo CopperDroid cách sử dụng kỹ thuật chống phân tích tiên tiến J Crowdroid Mục tiêu: Phát malware Phương pháp: Năng động Triển khai: Một nửa On-Device, Half Off-Device Crowdroid [109] hệ thống phát malware dựa hành vi Nó có hai thành phần, ứng dụng đám đông tìm nguồn cung ứng mà cần phải cài đặt thiết bị sử dụng máy chủ từ xa để phát malware Các ứng dụng đông đảo gửi liệu hành vi (tức là, hệ thống chi tiết gọi) hình thức ứng dụng log-file đến máy chủ từ xa Strace, hệ thống tiện ích thiết bị sử dụng để thu thập thông tin chi tiết hệ thống gọi ứng dụng Các ứng dụng log- file bao gồm thông tin thiết bị bản, danh sách ứng dụng cài đặt liệu hành vi Ở máy chủ từ xa, liệu xử lý để tạo vector mà sau phân tích phương tiện phân vùng clustering để dự đoán ứng dụng lành tính hay ác ý Một báo cáo ứng dụng tạo lưu trữ sở liệu máy chủ từ xa Hình 10 Kết Crowdroid xác cho malware tự viết đầy hứa hẹn cho số malware thực Nếu malware tích cực, sau có khác biệt lớn gọi hệ thống, giúp việc phát cho giống Tuy nhiên, chịu giả tích cực, minh chứng tác giả sử dụng Monkey Jump2, ứng dụng với HongTouTou malware Giới hạn Crowdroid, ứng dụng đám đông tìm nguồn cung ứng phải luôn có sẵn để theo dõi, lấy nước từ nguồn tài nguyên thiết bị có sẵn Ngoài ra, kỹ thuật chưa thử nghiệm họ malware biết đến để xác định hiệu K Droidbox Mục tiêu: Phân tích taint Giám sát Phương pháp: Động Triển khai: Off-Device Hình 11 Droidbox [121] minh họa hình 11 công cụ phân tích động phát triển TaintDroid [108] Nó làm thay đổi khuôn khổ Android để phân tích gọi API Hình 11 hiển thị hoạt động 24 phân tích tĩnh động Droidbox phân tích ứng dụng bắt đầu với kiểm tra tĩnhtrước, bao gồm quyền phân tích, hoạt động đầu thu Ứng dụng theo phân tích thực môi trường mô để thực phân tích vết nhở giám sát API phân tích vết nhơ liên quan đến liệu cá nhân ghi nhãn nhạy cảm ghi nhãn lan truyền thông qua biến chương trình, files truyền thông interprocess Taint phân tích theo dõi liệu bị nhiễm độc mà rời khỏi hệ thống thông qua mạng, file (s) tin nhắn SMS ứng dụng truyền có trách nhiệm lọc, giám sát liên quan đến API, API đăng nhập với thông số trả giá trị Các kết bao gồm thông số sau: • Giá trị băm App • Dữ liệu Mạng chuyển nhận • File đọc ghi hoạt động • rò rỉ liệu • quyền phá vỡ • thu phát sóng • Dịch vụ bắt đầu lớp nạp thông qua DexClassLoader • SMS gửi gọi • Các hoạt động mật mã thực với API Android • Các hoạt động Temporal đặt hàng • Tree-bản đồ để phân tích tương tự Giới hạn: Droidbox theo dõi nhiệm vụ thực khung Android Nếu mã nguồn gốc rò rỉ liệu nhạy cảm, hệ thống phát liệu cũ qua màng lọc mà người sử dụng L DroidMOSS Mục tiêu: Phát repackaged App Phương pháp: Tĩnh Triển khai: Off-Device DroidMOSS [4] ứng dụng đóng gói lại nguyên mẫu phát có sử dụng biện pháp tập tin tương tự ngữ nghĩa Cụ thể hơn, trích opcode chuỗi DEX ứng dụng tạo chữ ký băm mờ [127] chữ ký từ opcode Nó cho biết thêm thông tin phát triển certi fi cate, ánh xạ vào unique32-bit identi fi er chữ ký tính ứng dụng bị nghi ngờ xác minh lại với ứng dụng ban đầu cách sử dụng thuật toán chỉnh sửa khoảng cách để xác định số điểm tương đồng phương pháp đề xuất thảo luận minh họa Hình 12 Hình 12 Bằng trực giá, bên cạnh DroidMOSS sử dụng tính opcodes dễ dàng cho kẻ thù để sửa đổi toán hạng, khó để thay đổi opcodes thực tế [4] Cách tiếp cận có số nhược điểm Đầu tiên, xem xét DEX bytecode, bỏ qua mã tự nhiên mã nguồn ứng dụng Thứ hai, mã theo trình tự không bao gồm thông tin ngữ nghĩa mức độ cao tạo âm tính giả Kẻ thù thông minh dễ dàng tránh kỹ thuật cách sử dụng kỹ thuật biến đổi mã chèn bytecode rác, tái cấu phương pháp thay đổi kiểm soát luồng để tránh nguyên mẫu DroidMOSS M DroidScope Mục tiêu: Phân tích Phương pháp: Năng động Triển khai: Off-Device 25 DroidScope [112] Virtual Machine Introspection (VMI) phân tích động dựa tảng Android Không giống tảng phân tích động khác, giả lập giám sát hệ điều hành ngữ nghĩa Dalvik Do đó, phát công leo thang đặc quyền hạt nhân Android Nó làm cho công với nhiệm vụ gây rối khó phân tích DroidScope xây dựng dựa mô QEMU với tập hợp phong phú API để tùy chỉnh phân tích nguyên mẫu malware họ malware Android DroidKungFu DroidDream phân tích phát với công nghệ Tuy nhiên,vẫn cần phải kiểm tra hiệu DroidScope chống lại họ malware khác N Drozer Mục tiêu: Đánh giá rủi ro sử dụng khai thác Phương pháp: tĩnh động Triển khai: Một nửa On-Device nửa Off-Device Hình 13 Drozer [128] công đánh giá an ninh khuôn khổ toàn diện cho thiết bị Android, có sẵn mã nguồn mở phiên chuyên nghiệp Nó cho phép quan thực thi giải pháp an ninh để khai thác từ xa thiết bị Android để xác định lỗ hổng mối đe dọa hệ điều hành Android Hình 13 hiển thị chức Drozer Sau danh sách tính hỗ trợ Drozer: • Nó cài đặt ứng dụng chất độc thiết bị thực module khai thác sử dụng Java Re ection API Tại serverside, người ta tạo mô-đun tùy chỉnh riêng họ Python gửi cho ứng dụng Agent để thực hoạt động khai thác thiết bị • Nó tương tác với Dalvik VM để khai thác gói cài đặt thành phần ứng dụng liên quan Nó cho phép tương tác với thành phần ứng dụng dịch vụ, nhà cung cấp nội dung thu phát sóng để xác định lỗ hổng • Nó tạo vỏ để tương tác từ xa với hệ điều hành Android • Nó có khả tạo khai thác biết lợi dụng lỗ hổng rễ biết đến O Kirin Mục tiêu: Đánh giá rủi ro Phương pháp: Static Triển khai: On-Device [88] tác giả đề xuất chế thực thi sách an ninh, Kirin, thiết bị khung ứng dụng rà soát Kirin định nghĩa tập hợp quy tắc dựa kết hợp số quyền nguy hiểm theo yêu cầu ứng dụng Nếu ứng dụng không đáp ứng quy tắc bảo mật Kirin, việc cài đặt bị ngăn chặn Vì vậy, phương pháp đề xuất định dựa quy tắc, thay mặt người sử dụng P TaintDroid Mục tiêu: Phân tích taint Phương pháp: Năng động Android Instrumentation Triển khai: Off-Device TaintDroid [108] mở rộng tảng Android để theo dõi rò rỉ thông tin nhạy cảm bảo mật ứng dụng phát triển bên thứ ba Các liệu tự bị nhiễm độc (hoặc gán nhãn) để theo dõi cho dù liệu gán nhãn rời khỏi thiết bị Khi liệu nhạy cảm rời khỏi hệ thống, TaintDroid ghi nhãn liệu cụ thể ứng dụng gửi liệu với địa đích Tuyên truyền taint theo dõi bốn cấp độ chi tiết, 1) Cấp biến, 2) Cấp phương thức, 3) cấp tin nhắn 4) cấp tập tin Theo dõi cấp biến sử dụng ngữ nghĩa biến, cung cấp bối cảnh cần 26 thiết để tránh lan truyền vết nhơ Trong việc kiểm tra cấp tin nhắn, vết bẩn thông điệp theo dõi để tránh IPC cao theo dõi mức phương thức sử dụng cho thư viện Android mà truy cập trực tiếp vào ứng dụng mà thông qua sử đổi firmware Cuối theo dõi cấp tập tin đảm bảo tính toàn vẹn tập tin hoạt động truy cập cách kiểm tra xem dấu vết nhơ giữ lại Hình 14 Chúng ta xem xét hoạt động TaintDroid nơi liệu ứng dụng đáng tin cậy truy cập số ứng dụng không tin cậy gửi qua mạng Kịch hiển thị Hình 14 Đầu tiên, thông tin ứng dụng đáng tin cậy dán nhãn theo ngữ cảnh Một phương pháp có nguồn gốc giao diện với thông dịch Dalvik VM để lưu trữ dấu vết nhơ đồ vết nhơ ảo Mỗi phiên dịch đồng thời tuyên truyền thẻ taint theo quy tắc luồng liệu Thư viện Binder TaintDroid sửa chữa để đảm bảo liệu bị nhiễm độc ứng dụng đáng tin cậy gửi bưu kiện có thẻ vết nhơ phản ánh dấu vết nhơ kết hợp tất liệu Việc chuyển hạt nhân bưu kiện minh bạch để đánh lừa thư viện Binder ứng dụng không tin cậy Thẻ làm bẩn lấy từ bưu kiện đánh dấu vào tất liệu chứa ví dụ thư viện Binder Dalvik bytecode thông dịch chuyển thẻ vết nhơ với liệu yêu cầu thành phần ứng dụng không tin cậy Khi ứng dụng gọi thư viện taint sink (ví dụ, mạng), lấy thẻ vết nhơ đánh dấu hoạt động độc hại Q Kỹ thuật đầy hứa hẹn khác Các nhà phát triển ứng dụng bên thứ ba có nguồn thu ứng dụng miễn phí cách sử dụng thư viện quảng cáo ứng dụng Một số công ty quảng cáo cung cấp thư viện để quảng cáo cho nhà phát triển ứng dụng để đưa vào ứng dụng AdRisk [129] phát vài thư viện quảng với mục tiêu nhắm vào chi phí người sử dụng Đã có trường hợp mạng quảng cáo liên kết phân loại dạng nghi ngờ hai mục tiêupha lẫn quảng cáo gửi quảng cáo độc hại làm hại đến người sử dụng [3] Vì vậy, không phần quan trọng để phát thư viện quảng cáo phạm vi ứng dụng để thực định AdDetect [130] cách tiếp cận ngữ nghĩa đầy hứa hẹn để phát diện ứng dụng đính kèm quảng cáo với độ xác hợp lý so với phương pháp có Damopoulos et al [107] đề xuất kết hợp máy chủ đám mây dựa hệ thống phát xâm nhập (IDS) Đặc biệt, tác giả làm bật tầm quan trọng hệ thống để bảo vệ điện thoại thông minh băng thông mạng thấp, trường hợp thực việc phát dựa host Trong pin điện thoại bị rút ra, giao thức thông minh opts cho việc phát dựa đám mây để tận dụng tiến trình nhớ Trong [131], tác giả đề xuất hướng cho người khiếm thị điều kiện ánh sáng khác Đề xuất giao thức PERCEPT-V, giao diện người dùng dựa điện thoại thông minh sử dụng thẻ trực quan với thuật toán lấy mẫu với môi trường khác nhau, ánh sáng, không khí góc độ sử dụng Vidas et al [105] đề xuất hệ thống để xác định môi trường Android mô dựa khác biệt hành vi, đánh giá hiệu suất, có mặt / vắng mặt phần cứng điện thoại thông minh chức dựa khả phần mềm Một hệ thống làm bật tầm quan trọng sử dụng kỹ thuật chống phân tích môi trường sandbox Faruki et al [132] đề xuất tảng trung lập chống cạnh tranh sandbox để phát phần mềm độc hại Android tàng hình Tác giả đề xuất mô hình máy học để dự đoán tài nguyên hoggers Hơn nữa, [133], tác giả đề xuất giải pháp dựa mô hình hành vi gây ngẫu nhiên để phát mục tiêu, phần mềm độc hại tiên tiến Trojan SMS có khả gửi tin nhắn đến số cao cấp phát triển để tối đa hóa lợi ích tiền tệ Elish et al [110] phát minh phương pháp phát bất thường tĩnh để xác định phụ thuộc liệu bất hợp pháp lập luận người dùng nhập vào gọi lại đến chức nhạy cảm Sử dụng phương pháp họ chứng minh phát số phần mềm độc hại Android gửi tin nhắn mà không cần nhận thức người sử dụng đồng ý Tuy nhiên, cách tiếp cận họ không đưa vào API tài khoản không đồng Android, giao tiếp thành phần liên lạc, mà 27 không phát trojan SMS tinh vi Dendroid [134] AsDroid [111] công cụ phân tích tĩnh thú vị mà phát hành vi tàng hình cách tìm ngữ nghĩa không phù hợp văn giao diện người dùng sử dụng tương ứng họ tính nhạy cảm Portokalidis et al [53] đề xuất thay off-device phương pháp phát malware cách nhân điện thoại thông minh máy chủ từ xa Các máy chủ từ xa có sức mạnh tính toán cao, nhớ nhiều nguồn cung cấp điện liên tục thực nhiều kỹ thuật phát song song Giao thức đề xuất khả mở rộng, thiết thực phải gánh chịu chi phí mạng thấp Trong [135], tác giả đề xuất so sánh tảng khác phân tích động sandbox để xác định hạn chế khuôn khổ phân tích malware tự động dựa web biết đến Tác giả kết luận phương pháp tiếp cận có sandbox không chống lại phần mềm độc hại tiên tiến mục tiêu Tuy nhiên, Faruki et al [132] đề xuất cách minh bạch, khả mở rộng Android phiên sandbox bất biến để phát mối đe dọa Android cao cấp Rattazi et al [136] đề xuất cách tiếp cận có hệ thống để xác định nơi quan trọng, nơi kiểm soát truy cập mặt không xác định đối tượng đối tượng định Tác giả thực thí nghiệm cụ thể để kiểm tra giả thuyết họ kết luận khả cần phải phát triển sử dụng môi trường chia sẻ thiết bị Internet di động Petsas et al [137] chứng minh ứng dụng malware tiên tiến cản trở môi trường ảo / mô để cản trở phân tích động Tác giả vá ứng dụng phần mềm độc hại có với tính chống phân tích để chứng minh yếu đa số khuôn khổ thảo luận [126], [138], [139], [140], [141] [142] Tuy nhiên, Faruki et al đề xuất tảng Android bất biến Android Sandbox để phát phần mềm độc hại tiên tiến không web phân tích dựa sandbox thảo luận R So sánh trang web dựa phân tích Sandbox Ở đây, thảo luận nguyên mẫu Sandbox thực có sẵn dịch vụ web để hỗ trợ cho nhà phân tích người bắt kịp với gia tăng theo cấp số nhân malware Android Andrubis Copperdroid thực phía Taintdroid Droidbox, cách tiếp cận phát rò rỉ riêng tư kỹ thuật phân tích động tương ứng Bảng II so sánh dựa cách tiếp cận web sandbox khác sử dụng nhà nghiên cứu để kiểm tra tự động hoá phân tích malware Mobile Sandbox phương pháp tự động phân tích phát malware kết hợp phân tích mã nguồn gốc, sở sẵn với mẫu có Droidanalyst chống phân tích sandbox để phát malware phản ứng môi trường Các ứng dụng phân loại tài nguyên hoggers dựa liệu truyền/nhận Các phương pháp tiếp cận sử dụng Taintdroid Droidbox phải thay đổi phiên Android, DroidAnalyst tảng trung lập sandbox android IX KẾT LUẬN VÀ THẢO LUẬN Android tảng cung cấp dịch vụ phổ biến cho mô hình kết nối điện thoại thông minh, lợi nhuận tài khiến tác giả malware sử dụng vectơ khác để công nhắm mục tiêu Android Do gia tăng chữ ký malware lớn, độc đáo khả hạn chế môi trường Android, phương pháp dựa chữ ký không đủ chống lại mã vô hình, mã hóa chuyển đổi Các nhà nghiên cứu đề xuất phương pháp tiếp cận hành vi khác để bảo vệ thị trường ứng dụng tập trung theo mục tiêu tác giả malware nhắm đến theo chế phân phối trực tuyến dễ tiếp cận người dùng Trong khảo sát này, thảo luận kiến trúc Android an ninh vấn đề mình, thâm nhập malware kỹ thuật tàng hình Trong Phần VI, thảo luận phương pháp tĩnh động để phân tích phát malware Cả hai phương pháp sử dụng riêng rẽ, phương pháp có hạn chế riêng Phân tích tĩnh cản trở cách sử dụng mã hóa / kỹ thuật chuyển đổi thảo luận Phần V-D Phân tích động tránh số kỹ thuật chống giả lập Phần VI-B Chúng phân tích malware bật phát phương pháp tiếp cận tóm tắt Bảng I theo mục tiêu, phương pháp triển khai chúng Tóm tắt hiển thị giải pháp để giải vấn đề Để 28 giải nhiều loại malware mới, cần tảng đánh giá toàn diện kết hợp phương pháp tĩnh động mạnh mẽ đề xuất tảng Android Phân tích thủ công trở nên không khả thi gia tăng theo cấp số nhân số mẫu malware chưa biết Dựa đánh giá nay, viết đề xuất cách tự động, phương pháp lai để phân tích malware Android Kiến trúc phương pháp đề xuất hình 15 hướng nghiên cứu tương lai Như minh họa tập tin apk ban đầu chia cắt với module phân tích tĩnh Trong trường hợp thất bại chống lại mã mã hóa, môđunphân tích động thực phát hành vi Phân tích tĩnh động sử dụng để tạo báo cáo hoạt động ứng dụng phép nhà phân tích malware xác định mẫu nghi ngờ Cuối cùng, kết luận cách nêu bật thực tế phương pháp phát lai đạt bật phân tích malware [...]... trang như avast! [69] chống Malware và hiển thị cảnh báo Malware giả mạo để lừa người sử dụng cài đặt Malware trò này Ngoài ra, nó khóa thiết bị và đòi tiền chuộc để mở khóa thiết bị V KỸ THU T XÂM NHẬP VÀ TỒN TẠI CỦA MALWARE Trong phần này, tác giả tóm tắt việc xâm nhập của các Malware xâm nhập và đưa ra bài toán về kỹ thu t tàng hình được sử dụng bởi các ứng dụng Malware Android A Đóng gói lại ứng... cho ba bộ dữ liệu Malware khác nhau báo cáo 0,26% và 0,28% đối với McAfee và Mobile Sandbox với bộ dữ liệu tương ứng Như vậy, nhận thức mối đe dọa Android hiện tại và tỷ lệ lây nhiễm Malware có một biến thể rất lớn giữa các nghiên cứu chống Malware và độc lập thương mại Trong đoạn dưới đây, chúng tôi thảo luận các Malware Android phân loại và đặc điểm của nó Hình 5 Các họ Android Malware theo niên... động Kỹ thu t như vậy có thể dễ dàng tránh được các phương pháp phân tích tĩnh VI PHƯƠNG PHÁP ĐÁNH GIÁ PHÂN TÍCH VÀ PHÁT HIỆN Phương pháp bảo mật của Android như đánh giá tổn thương, phân tích malware và phát hiện kỹ thu t được chia thành: 1) Kỹ thu t phân tích tĩnh: là kỹ thu t phân tích mã mà không cần chạy nó, vì thế kỹ thu t này nhanh chóng, nhưng phải đối phó với dương tính giả 2) Kỹ thu t phân... động kỹ thu t như vậy không bị phát hiện bằng các phương pháp phân tích tĩnh D Kỹ thu t Stealth Malware Hệ điều hành Android được phát triển cho các tài nguyên trong môi trường có nguồn năng lượn (pin) hạn chế Vì vậy, ứng dụng chống malware không thể thực hiện các phân tích sâu theo thời gian thực trên smartphone giống như máy tính để bàn Malware khai thác những hạn chế phần cứng, hạn chế sự chống Malware. .. bytecode tự động để tạo ra các biến thể vô hình của Malware đã được biết đến với các kỹ thu t bytecode gây rối khác nhau Ngoài ra, họ cũng đánh giá các mẫu Malware vô hình 15 chống lại các phần mềm chống Malware thương mại hàng đầu và kỹ thu t phân tích tĩnh Các tác giả cho rằng, ngay cả các kỹ thu t chuyển đổi tầm thường có thể thất bại trong phần mềm chống Malware thương mại hiện có Sau đây, là các phương... từ các Malware Genome Dataset được đóng gói lại [4] các ứng dụng từ thị trường chính thức hợp pháp Đóng gói lại và kỹ thu t đóng gói lại có thể được sử dụng tạo ra số lượng lớn các biến thể malware Nó cũng có thể được sử dụng để tạo ra một số biến thể vô hình của các Malware đã được biết đến Chữ ký của mỗi biến thể Malware khác nhau, phần mềm thương mại chống Malware không phát hiện thấy các Malware. .. phiên bản Android, trong khi DroidAnalyst là một nền tảng trung lập sandbox android IX KẾT LUẬN VÀ THẢO LUẬN Android là một nền tảng cung cấp dịch vụ phổ biến cho mô hình kết nối điện thoại thông minh, do đó lợi nhuận tài chính đã khiến tác giả malware sử dụng vectơ khác nhau để tấn công nhắm mục tiêu Android Do sự gia tăng chữ ký malware lớn, độc đáo và khả năng hạn chế trong môi trường Android, phương... là malware Tuy nhiên, quyền lập bản đồ các yêu cầu và quyền sử dụng là một nhận dạng các nguy cơ quan trọng techniquesarma201 2android, Barrera:2010:MEA:1866307.1866317 Sanz Borja et al [86] sử dụng thẻ và trong AndroidManifest.xml để phadt hiện các malware Tác giả sử dụng các thu t toán máy học Naive Bayes, Random Forest, J48 and Bayes-Net trên số liệu của 249 malware. .. trên hạt nhân Android Nó cũng làm cho những cuộc tấn công với nhiệm vụ gây rối khó phân tích DroidScope được xây dựng dựa trên mô phỏng QEMU với một tập hợp phong phú các API để tùy chỉnh các phân tích nguyên mẫu malware các họ malware Android DroidKungFu và DroidDream đã được phân tích và phát hiện với công nghệ này Tuy nhiên,vẫn cần phải kiểm tra hiệu quả DroidScope chống lại các họ malware khác N... chống Malware kỹ thu t tàng hình như mã hóa mã, hoán vị chủ chốt, nạp động, mã phản ánh và thực thi mã nguồn gốc vẫn là một vấn đề quan tâm đối với các giải pháp chống Malware dựa trên chữ ký Theo các xu hướng của nền tảng máy tính để bàn, mã obfuscation cũng được phát triển trên Android [73], [74] kỹ thu t Obfuscation được thực hiện cho một hoặc nhiều hơn các mục đích sau đây • Để bảo vệ các thu t

Ngày đăng: 27/05/2016, 15:47

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w