Innehållsförteckning:
- En ny vridning till en gammal strategi
- Anomali upptäckt
- Innehåll i skadlig programvara
- Testresultat
- Fördelarna med PREC
- Utmaningen
Android-applikationsmarknader är ett bekvämt sätt för användare att få appar. Marknaderna är också ett bekvämt sätt för onda killar att leverera skadlig programvara. Marknadsägare försöker, till deras kredit, snifta ut dåliga appar med säkerhetsåtgärder som Google Bouncer. Tyvärr är de flesta - inklusive Bouncer - inte upp till uppgiften. Dåliga killar räknade nästan omedelbart ut hur man skulle säga när Bouncer, en emuleringsmiljö, testade sin kod. I en tidigare intervju förklarade Jon Oberheide, grundare av Duo Security och personen som meddelade Google om problemet:
"För att göra Bouncer effektiv, måste den vara oskiljbar från en riktig användares mobila enhet. Annars kan en skadlig applikation fastställa att den körs med Bouncer och inte utföra sin skadliga nyttolast."
Ett annat sätt dåliga killar lurar Bouncer är genom att använda en logikbombe. Genom sin historia har logikbomber förödmjukat sina datorer. I det här fallet tolkar logisk bombkod tyst skadeprogram för skadlig programvara, precis som Bouncer misslyckades med att aktivera nyttolasten tills den skadliga appen installeras på en faktisk mobil enhet.
Sammanfattningen är att Android-appmarknaderna, om de inte blir effektiva att upptäcka nyttolast i skadlig programvara i appar, i själva verket är ett stort distributionssystem för skadlig programvara.
En ny vridning till en gammal strategi
North Carolina State University-forskarteamet för Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu och William Enck kan ha hittat en lösning. I sitt papper PREC: Practical Root Exploit Conception för Android-enheter introducerade forskarteamet sin version av ett system för detektering av avvikelser. PREC består av två komponenter: en som fungerar med app-butikens skadliga detektor, och en som laddas ner med applikationen till mobilenheten.
App store-komponenten är unik genom att den använder det forskarna kallar "klassificerad systemsamtalövervakning." Detta tillvägagångssätt kan dynamiskt identifiera systemsamtal från högriskkomponenter som tredjepartsbibliotek (de som inte ingår i Android-systemet, men som kommer med den nedladdade applikationen). Logiken här är att många skadliga appar använder sina egna bibliotek.
Systemsamtal från den högrisk-tredjepartskoden som erhållits från denna övervakning, plus data som erhållits från app-butiksdetekteringsprocessen gör det möjligt för PREC att skapa en normal beteendemodell. Modellen laddas upp till PREC-tjänsten jämfört med befintliga modeller för noggrannhet, omkostnader och robusthet mot mimikattacker.
Den uppdaterade modellen är sedan redo att laddas ner med applikationen när appen begärs av någon som besöker app store.
Det anses vara övervakningsfasen. När PREC-modellen och applikationen har laddats ner till Android-enheten går PREC in i verkställighetsstadiet - med andra ord anomalidetektering och inneslutning av skadlig programvara.
Anomali upptäckt
När appen och PREC-modellen är anslutna till Android-enheten övervakar PREC tredjepartskoden, speciellt systemsamtal. Om systemsamtalssekvensen skiljer sig från den som övervakas i app store, fastställer PREC sannolikheten för att det onormala beteendet är ett utnyttjande. När PREC har fastställt att aktiviteten är skadlig, flyttar den till läget för inneslutning av skadlig programvara.Innehåll i skadlig programvara
Om det förstås korrekt gör inneslutning av skadlig programvara PREC unik när det gäller Android-anti-malware. På grund av Android-operativsystemets karaktär kan inte Android-programvara mot skadlig programvara ta bort skadlig programvara eller placera det i karantän eftersom varje applikation finns i en sandlåda. Detta innebär att användaren måste ta bort den skadliga appen manuellt genom att först hitta skadlig programvara i avsnittet Applikation i enhetens systemhanterare, sedan öppna skadlig apps statistik sida och knacka på "avinstallera".
Det som gör PREC unik är vad forskarna kallar en "förseningsbaserad finkornig inneslutningsmekanism." Den allmänna idén är att bromsa misstänkta systemsamtal med en pool av separata trådar. Detta tvingar utnyttjandet till timeout, vilket resulterar i en "applikation som inte svarar" -status där appen till slut stängs av Android-operativsystemet.
PREC kan programmeras för att döda systemsamtalstrådarna, men det kan bryta normala applikationsoperationer om anomalidetektorn gör ett misstag. Istället för att riskera att forskarna sätter in en försening under trådens körning.
"Våra experiment visar att de flesta rotutnyttjanden blir ineffektiva efter att vi saktar ner den skadliga ursprungstråden till en viss punkt. Det förseningsbaserade tillvägagångssättet kan hantera de falska larmen mer graciöst eftersom den godartade applikationen inte kommer att drabbas av att krascha eller avbrytas på grund av övergående falska larm, ”förklarar papperet.
Testresultat
För att utvärdera PREC byggde forskarna en prototyp och testade den mot 140 appar (80 med inbyggd kod och 60 utan inbyggd kod) - plus 10 appar (fyra kända root exploit-applikationer från Malware Genome-projektet och sex ompaketerade root exploit-applikationer) - som innehöll skadlig programvara. Den skadliga programvaran inkluderade versioner av DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich och GingerBreak.
Resultaten:
- PREC upptäckte och stoppade alla testade rotutnyttjanden.
- Det gav noll falska larm på de godartade applikationerna utan inbyggd kod. (Traditionella system höjer 67-92% per falska larm per app.)
- PREC minskade den falska larmfrekvensen på de godartade applikationerna med inbyggd kod med mer än en storleksordning över traditionella anomalidetekteringsalgoritmer
Fördelarna med PREC
Förutom att ha presterat bra i testerna och vidarebefordrat en användbar metod för att innehålla Android-skadlig programvara, hade PREC definitivt bättre siffror när det kom till falska positiva resultat och förlust av prestanda. När det gäller prestanda uppgav rapporten att PREC: s "klassificerade övervakningssystem medför mindre än 1% omkostnader, och SOM-anomalidetekteringsalgoritmen sätter upp till 2% omkostnader. PREC är totalt sett lätt, vilket gör det praktiskt för smartphone-enheter."
Nuvarande system för detektering av skadlig programvara som används av appbutiker är ineffektiva. PREC tillhandahåller en hög grad av upptäcktsnoggrannhet, en låg procentandel av falska larm och inneslutning av skadlig programvara - något som för närvarande inte finns.
Utmaningen
Nyckeln till att få PREC att fungera är inköp från appmarknaderna. Det handlar bara om att skapa en databas som beskriver hur en applikation fungerar normalt. PREC är ett verktyg som kan användas för att uppnå det. Sedan, när en användare laddar ner en önskad applikation, går prestationsinformationen (PREC-profilen) med appen och kommer att användas för att basera appens beteende medan den är installerad på Android-enheten.
