Obsah:
- Nový smer k starému prístupu
- Detekcia anomálie
- Odstraňovanie škodlivého softvéru
- Výsledky testu
- Výhody PREC
- Výzva
Trhy aplikácií pre Android sú pre používateľov pohodlným spôsobom na získavanie aplikácií. Trhy sú tiež vhodným spôsobom, ako môžu zlí ľudia dodávať malware. Majitelia trhov sa na svoj kredit snažia vyčarovať zlé aplikácie pomocou bezpečnostných opatrení, ako je napríklad Google Bouncer. Bohužiaľ, väčšina - vrátane Bouncera - nie je na túto úlohu. Zlí chlapci takmer okamžite prišli na to, ako zistiť, kedy Bouncer, emulačné prostredie, testoval ich kód. V predchádzajúcom rozhovore vysvetlil Jon Oberheide, spoluzakladateľ Duo Security a osoba, ktorá spoločnosti Google oznámila tento problém:
„Aby bol nástroj Bouncer efektívny, musí byť nerozoznateľný od mobilného zariadenia skutočného používateľa. V opačnom prípade bude škodlivá aplikácia schopná zistiť, či je spustená s programom Bouncer a nevykonať škodlivé užitočné zaťaženie.“
Ďalším spôsobom, ako zlí chlapci oklamajú Bouncera, je použitie logickej bomby. Logické bomby v celej svojej histórii spôsobili zmätok na počítačových zariadeniach. V tomto prípade logický bombový kód potichu zmarí kontrolu škodlivého softvéru, podobne ako zlyhanie Bouncera pri aktivácii užitočného zaťaženia, kým sa škodlivá aplikácia nenainštaluje na skutočné mobilné zariadenie.
Pointa je, že trhy aplikácií pre Android, pokiaľ nie sú účinné pri zisťovaní obsahu škodlivého softvéru v aplikáciách, sú v skutočnosti hlavným distribučným systémom pre malware.
Nový smer k starému prístupu
Výskumný tím North Carolina State University v Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu a William Enck mohli nájsť riešenie. Vo svojom príspevku PREC: Praktické vykorisťovanie koreňov pre zariadenia s Androidom predstavil výskumný tím svoju verziu systému detekcie anomálií. PREC pozostáva z dvoch komponentov: jednej, ktorá pracuje s detektorom škodlivého softvéru v obchode s aplikáciami, a druhej, ktorá sa stiahne pomocou aplikácie do mobilného zariadenia.
Komponent obchodu s aplikáciami je jedinečný v tom, že zamestnáva to, čo vedci nazývajú „klasifikované monitorovanie systémových hovorov“. Tento prístup môže dynamicky identifikovať systémové volania z vysoko rizikových komponentov, ako sú knižnice tretích strán (tie, ktoré nie sú súčasťou systému Android, ale prichádzajú so stiahnutou aplikáciou). Logika je taká, že veľa škodlivých aplikácií používa svoje vlastné knižnice.
Systémové volania z vysokorizikového kódu tretej strany získaného z tohto monitorovania plus údaje získané z procesu detekcie v obchode s aplikáciami umožňujú PREC vytvoriť normálny model správania. Model sa odovzdáva do služby PREC v porovnaní s existujúcimi modelmi z hľadiska presnosti, režijných nákladov a odolnosti voči napodobňovaniu útokov.
Aktualizovaný model je potom pripravený na stiahnutie pomocou aplikácie kedykoľvek, keď o to požiada niekto, kto navštívi obchod s aplikáciami.
To sa považuje za fázu monitorovania. Po stiahnutí modelu a aplikácie PREC do zariadenia Android vstúpi PREC do fázy presadzovania - inými slovami, zisťovanie anomálií a obmedzovanie škodlivého softvéru.
Detekcia anomálie
Po získaní modelu aplikácie a modelu PREC na zariadení Android monitoruje PREC kód tretej strany, konkrétne systémové volania. Ak sa postupnosť systémových volaní líši od sledovania v obchode s aplikáciami, PREC určí pravdepodobnosť zneužitia abnormálneho správania. Keď PREC zistí, že aktivita je škodlivá, prejde do režimu zadržania malvéru.Odstraňovanie škodlivého softvéru
Ak sa pochopí správne, obmedzovanie malvéru robí PREC jedinečným, pokiaľ ide o anti-malware v systéme Android. Vzhľadom na povahu operačného systému Android nedokážu anti-malware aplikácie Android odstrániť malware alebo ho umiestniť do karantény, pretože každá aplikácia je umiestnená v karanténe. To znamená, že používateľ musí manuálne odstrániť škodlivú aplikáciu tak, že najprv nájde škodlivý softvér v časti Aplikácia v Správcovi systému zariadenia, potom otvorí stránku so štatistikou aplikácie škodlivého softvéru a klepne na „odinštalovať“.
Čo robí PREC jedinečným je to, čo vedci nazývajú „jemnozrnný zadržiavací mechanizmus založený na oneskorení“. Všeobecnou myšlienkou je spomaliť podozrivé systémové volania pomocou skupiny samostatných vlákien. To vynúti zneužitie vypršania časového limitu. Výsledkom bude stav „Aplikácia neodpovedá“, v ktorej je aplikácia v konečnom dôsledku ukončená operačným systémom Android.
Program PREC by mohol byť naprogramovaný tak, aby zabíjal vlákna systémového volania, ale ak detektor anomálie urobí chybu, môže to prerušiť normálne činnosti aplikácie. Skôr než riziko, že vedci vložiť oneskorenie počas vykonávania vlákna.
„Naše experimenty ukazujú, že väčšina zneužívaní root sa stáva neúčinnou potom, čo spomalíme škodlivé natívne vlákno do určitého bodu. Prístup založený na oneskorení dokáže falošné poplachy zvládnuť elegantnejšie, pretože benígna aplikácia nebude trpieť zlyhaním alebo ukončením v dôsledku prechodného nepravdivého alarmy, “vysvetľuje papier.
Výsledky testu
Na vyhodnotenie PREC vyvinuli vedci prototyp a otestovali ho na 140 aplikáciách (80 s natívnym kódom a 60 bez natívneho kódu) - plus 10 aplikácií (štyri známe aplikácie využívajúce root root z projektu Malware Genome a šesť aplikácií prebalených root root) - ktoré obsahovali škodlivý softvér. Malvér obsahoval verzie DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich a GingerBreak.
Výsledky:
- PREC úspešne zistil a zastavil všetky testované koreňové exploity.
- Na benígnych aplikáciách bez natívneho kódu vyvolala nulové falošné poplachy. (Tradičné schémy zvyšujú 67-92% falošných poplachov na aplikáciu.)
- PREC znížil mieru falošných poplachov na benígnych aplikáciách s natívnym kódom o viac ako jednu rádovú hodnotu v porovnaní s tradičnými algoritmami na detekciu anomálií.
Výhody PREC
Okrem dobrých výsledkov v testoch a odovzdávania funkčnej metódy obsahujúcej malware malware pre Android, PREC mal rozhodne lepšie čísla, pokiaľ ide o falošné poplachy a stratu výkonu. Pokiaľ ide o výkon, v dokumente sa uvádza, že „klasifikovaný monitorovací systém PREC ukladá režijné náklady na menej ako 1% a algoritmus detekcie anomálie SOM ukladá až 2% režijné náklady. PREC je celkovo ľahký, čo z praktického hľadiska robí smartfóny praktickými“.
Súčasné systémy detekcie škodlivého softvéru používané obchodmi s aplikáciami sú neúčinné. PREC poskytuje vysoký stupeň presnosti detekcie, nízke percento falošných poplachov a kontrolu škodlivého softvéru - niečo, čo v súčasnosti neexistuje.
Výzva
Kľúčom k tomu, aby PREC fungoval, je vstup z trhovísk s aplikáciami. Ide iba o vytvorenie databázy, ktorá popisuje, ako aplikácia funguje normálne. PREC je jedným z nástrojov, ktoré sa dajú dosiahnuť. Keď potom používateľ stiahne požadovanú aplikáciu, informácie o výkone (profil PREC) idú s aplikáciou a použijú sa na porovnanie správania aplikácie, keď je nainštalovaná v zariadení Android.