Inhaltsverzeichnis:
- Eine neue Wendung zu einem alten Ansatz
- Anomalieerkennung
- Malware-Eindämmung
- Testergebnisse
- Vorteile von PREC
- Die Herausforderung
Android-Anwendungsmärkte sind eine bequeme Möglichkeit für Benutzer, Apps abzurufen. Die Märkte sind auch eine bequeme Möglichkeit für Bösewichte, Malware auszuliefern. Marktbesitzer versuchen zu ihrem Recht, schlechte Apps mithilfe von Sicherheitsmaßnahmen wie Google Bouncer aufzuspüren. Leider sind die meisten - einschließlich Bouncer - der Aufgabe nicht gewachsen. Die Bösen haben fast sofort herausgefunden, wie sie feststellen können, wann Bouncer, eine Emulationsumgebung, ihren Code testet. In einem früheren Interview erklärte Jon Oberheide, Mitbegründer von Duo Security und der Person, die Google über das Problem informiert hatte:
"Damit Bouncer effektiv ist, muss es nicht von dem mobilen Gerät eines echten Benutzers zu unterscheiden sein. Andernfalls kann eine böswillige Anwendung feststellen, dass sie mit Bouncer ausgeführt wird, und ihre böswilligen Nutzdaten nicht ausführen."
Ein anderer Weg, Bösewicht Bouncer zu täuschen, ist die Verwendung einer Logikbombe. Im Laufe ihrer Geschichte haben Logikbomben die Computergeräte verwüstet. In diesem Fall verhindert der Logikbomben-Code leise Malware-Überprüfungen, ähnlich wie Bouncer es nicht geschafft hat, die Nutzlast zu aktivieren, bis die bösartige App auf einem tatsächlichen Mobilgerät installiert ist.
Das Fazit ist, dass die Android-App-Märkte, sofern sie nicht in der Lage sind, Malware-Nutzlasten in Apps effizient zu erkennen, in der Tat ein Hauptvertriebssystem für Malware sind.
Eine neue Wendung zu einem alten Ansatz
Das Forschungsteam der North Carolina State University von Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu und William Enck hat möglicherweise eine Lösung gefunden. In ihrer Arbeit PREC: Practical Root Exploit Containment für Android-Geräte stellten die Forscher ihre Version eines Anomalieerkennungsschemas vor. PREC besteht aus zwei Komponenten: Eine, die mit dem Malware-Detektor des App Stores zusammenarbeitet, und eine, die mit der Anwendung auf das Mobilgerät heruntergeladen wird.
Die App Store-Komponente ist insofern einzigartig, als sie das verwendet, was die Forscher als "klassifizierte Überwachung von Systemanrufen" bezeichnen. Mit diesem Ansatz können Systemaufrufe von Hochrisikokomponenten wie Bibliotheken von Drittanbietern (die nicht im Android-System enthalten sind, aber mit der heruntergeladenen Anwendung geliefert werden) dynamisch identifiziert werden. Die Logik hier ist, dass viele bösartige Apps ihre eigenen Bibliotheken verwenden.
Systemaufrufe aus dem risikoreichen Code von Drittanbietern, der aus dieser Überwachung stammt, sowie die Daten aus dem App Store-Erkennungsprozess ermöglichen es PREC, ein normales Verhaltensmodell zu erstellen. Das Modell wird in den PREC-Dienst hochgeladen, verglichen mit vorhandenen Modellen, um Genauigkeit, Overhead und Robustheit gegenüber Mimikry-Angriffen zu gewährleisten.
Das aktualisierte Modell kann dann jederzeit mit der Anwendung heruntergeladen werden, wenn die App von einer Person angefordert wird, die den App Store besucht.
Dies wird als Überwachungsphase angesehen. Sobald das PREC-Modell und die Anwendung auf das Android-Gerät heruntergeladen wurden, tritt PREC in die Durchsetzungsphase ein, dh die Erkennung von Anomalien und die Eindämmung von Malware.
Anomalieerkennung
Sobald die App und das PREC-Modell auf dem Android-Gerät eingerichtet sind, überwacht PREC den Code von Drittanbietern, insbesondere Systemaufrufe. Wenn sich die Systemaufrufsequenz von der im App Store überwachten unterscheidet, ermittelt PREC die Wahrscheinlichkeit, dass das anormale Verhalten ein Exploit ist. Sobald PREC feststellt, dass die Aktivität bösartig ist, wechselt es in den Malware-Eindämmungsmodus.Malware-Eindämmung
Wenn es richtig verstanden wird, macht die Eindämmung von Malware PREC einzigartig, wenn es um Android-Anti-Malware geht. Aufgrund der Beschaffenheit des Android-Betriebssystems können Android-Anti-Malware-Anwendungen Malware nicht entfernen oder in die Quarantäne verschieben, da sich jede Anwendung in einer Sandbox befindet. Dies bedeutet, dass der Benutzer die bösartige App manuell entfernen muss, indem er zuerst die Malware im Abschnitt "Anwendung" des System-Managers des Geräts findet, dann die Statistikseite der Malware-App öffnet und auf "Deinstallieren" tippt.
Was PREC einzigartig macht, ist das, was die Forscher als "verzögerungsbasierten feinkörnigen Einschlussmechanismus" bezeichnen. Die allgemeine Idee ist, verdächtige Systemaufrufe mithilfe eines Pools separater Threads zu verlangsamen. Dies erzwingt eine Zeitüberschreitung des Exploits und führt zu einem Status "Anwendung reagiert nicht", bei dem die App vom Android-Betriebssystem endgültig heruntergefahren wird.
PREC kann so programmiert werden, dass die Systemaufrufthreads abgebrochen werden. Wenn der Anomaliedetektor einen Fehler macht, kann dies jedoch zu einer Unterbrechung des normalen Anwendungsbetriebs führen. Anstatt zu riskieren, dass die Forscher eine Verzögerung während der Ausführung des Threads einfügen.
"Unsere Experimente zeigen, dass die meisten Root-Exploits unwirksam werden, nachdem wir den böswilligen systemeigenen Thread auf einen bestimmten Punkt verlangsamt haben. Der verzögerungsbasierte Ansatz kann die Fehlalarme eleganter behandeln, da die gutartige Anwendung nicht durch vorübergehende Fehler abstürzt oder beendet wird Alarme ", erklärt das Papier.
Testergebnisse
Zur Evaluierung von PREC erstellten die Forscher einen Prototyp und testeten ihn mit 140 Apps (80 mit nativem Code und 60 ohne nativem Code) - plus 10 Apps (vier bekannte Root-Exploit-Anwendungen aus dem Malware Genome-Projekt und sechs neu gepackte Root-Exploit-Anwendungen) - das enthielt Malware. Die Malware enthielt Versionen von DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich und GingerBreak.
Die Ergebnisse:
- PREC hat alle getesteten Root-Exploits erfolgreich erkannt und gestoppt.
- In den gutartigen Anwendungen ohne systemeigenen Code wurden keine Fehlalarme ausgelöst. (Traditionelle Schemata lösen pro App 67-92% Fehlalarme aus.)
- PREC reduzierte die Falschalarmrate bei gutartigen Anwendungen mit nativem Code gegenüber herkömmlichen Anomalieerkennungsalgorithmen um mehr als eine Größenordnung
Vorteile von PREC
PREC schnitt nicht nur in den Tests gut ab und leitete eine funktionierende Methode zur Eindämmung von Android-Malware weiter, sondern hatte auch deutlich bessere Zahlen, wenn es um Fehlalarme und Leistungseinbußen ging. In Bezug auf die Leistung heißt es in der Veröffentlichung, dass PRECs "klassifiziertes Überwachungsschema weniger als 1% Overhead und der Algorithmus zur Erkennung von SOM-Anomalien bis zu 2% Overhead verursacht. Insgesamt ist PREC leicht und daher praktisch für Smartphones."
Aktuelle Malware-Erkennungssysteme, die von App Stores verwendet werden, sind unwirksam. PREC bietet ein hohes Maß an Erkennungsgenauigkeit, einen geringen Prozentsatz an Fehlalarmen und die Eindämmung von Malware - etwas, das derzeit nicht vorhanden ist.
Die Herausforderung
Der Schlüssel, um PREC zum Laufen zu bringen, ist das Buy-in von den App-Marktplätzen. Es geht nur darum, eine Datenbank zu erstellen, die beschreibt, wie eine Anwendung normal funktioniert. PREC ist ein Werkzeug, mit dem dies erreicht werden kann. Wenn ein Benutzer eine gewünschte Anwendung herunterlädt, werden die Leistungsinformationen (PREC-Profil) mit der App verknüpft und verwendet, um das Verhalten der App zu bestimmen, während sie auf dem Android-Gerät installiert ist.