Оглавление:
- Новый поворот в старом подходе
- Обнаружение аномалий
- Сдерживание вредоносных программ
- Результаты теста
- Преимущества PREC
- Соревнование
Рынки приложений для Android - это удобный способ получения приложений пользователями. Рынки также являются удобным способом для злоумышленников распространять вредоносное ПО. К счастью, владельцы торговых площадок пытаются выявлять плохие приложения, используя такие меры безопасности, как Google Bouncer. К сожалению, большинство - включая Bouncer - не справляются с этой задачей. Плохие парни почти сразу поняли, как определить, когда Bouncer, среда эмуляции, тестирует свой код. В более раннем интервью Джон Оберхайде, соучредитель Duo Security и человек, который уведомил Google о проблеме, объяснил:
«Чтобы сделать Bouncer эффективным, он должен быть неотличим от мобильного устройства реального пользователя. В противном случае вредоносное приложение сможет определить, что оно работает с Bouncer, а не выполнять свою вредоносную полезную нагрузку».
Еще один способ, которым плохие парни обманывают Bouncer, - используя логическую бомбу. На протяжении всей своей истории логические бомбы наносили ущерб вычислительным устройствам. В этом случае код логической бомбы незаметно препятствует проверке вредоносных программ, подобно тому, как Bouncer не активирует полезную нагрузку до тех пор, пока вредоносное приложение не будет установлено на реальном мобильном устройстве.
Суть в том, что рынки приложений для Android, если они не станут эффективными в обнаружении вредоносных программ в приложениях, на самом деле являются основной системой распространения вредоносных программ.
Новый поворот в старом подходе
Исследовательская группа Университета штата Северная Каролина Тсунг-Сюань Хо, Даниэль Дин, Сяохуэй Гу и Уильям Энк, возможно, нашли решение. В своей статье PREC: Практическое ограничение использования эксплойтов для устройств Android исследовательская группа представила свою версию схемы обнаружения аномалий. PREC состоит из двух компонентов: один, который работает с детектором вредоносных программ в магазине приложений, и один, который загружается с приложением на мобильное устройство.
Компонент магазина приложений уникален тем, что в нем используется то, что исследователи называют «мониторинг системных вызовов». Этот подход может динамически определять системные вызовы от компонентов высокого риска, таких как сторонние библиотеки (те, которые не включены в систему Android, но поставляются с загруженным приложением). Логика здесь в том, что многие вредоносные приложения используют свои собственные библиотеки.
Системные вызовы из стороннего кода высокого риска, полученного из этого мониторинга, плюс данные, полученные в процессе обнаружения в магазине приложений, позволяют PREC создать нормальную модель поведения. Модель загружена в службу PREC по сравнению с существующими моделями по точности, накладным расходам и устойчивости к атакам с имитацией.
Затем обновленная модель готова к загрузке вместе с приложением в любое время, когда кто-то посещает магазин приложений по запросу приложения.
Это считается этапом мониторинга. Как только модель и приложение PREC загружены на устройство Android, PREC вступает в стадию применения - другими словами, обнаружение аномалий и сдерживание вредоносного ПО.
Обнаружение аномалий
Как только приложение и модель PREC установлены на устройстве Android, PREC контролирует сторонний код, в частности системные вызовы. Если последовательность системных вызовов отличается от отслеживаемой в магазине приложений, PREC определяет вероятность того, что ненормальное поведение является эксплойтом. Как только PREC определяет, что действие является вредоносным, оно переходит в режим сдерживания вредоносного ПО.Сдерживание вредоносных программ
При правильном понимании защита от вредоносных программ делает PREC уникальной в отношении защиты от вредоносных программ для Android. Из-за особенностей операционной системы Android приложения для защиты от вредоносных программ Android не могут удалять вредоносные программы или помещать их в карантин, поскольку каждое приложение находится в изолированной программной среде. Это означает, что пользователь должен вручную удалить вредоносное приложение, сначала обнаружив вредоносное ПО в разделе «Приложение» системного менеджера устройства, затем открыв страницу статистики вредоносного приложения и нажав «удалить».
Что делает PREC уникальным, так это то, что исследователи называют «механизмом мелкозернистого сдерживания, основанного на задержке». Общая идея состоит в том, чтобы замедлять подозрительные системные вызовы, используя пул отдельных потоков. Это заставляет эксплойт истечь, что приводит к состоянию «Приложение не отвечает», в котором приложение в конечном итоге закрывается операционной системой Android.
PREC может быть запрограммирован на уничтожение потоков системных вызовов, но он может нарушить нормальные операции приложения, если детектор аномалий совершит ошибку. Вместо того чтобы рисковать, исследователи вставляют задержку во время выполнения потока.
«Наши эксперименты показывают, что большинство эксплойтов root становятся неэффективными после того, как мы замедляем вредоносный собственный поток до определенной точки. Подход, основанный на задержке, может обрабатывать ложные тревоги более изящно, поскольку безопасное приложение не будет подвержено сбоям или завершению из-за кратковременных ложных сообщений. тревоги ", объясняет газета.
Результаты теста
Чтобы оценить PREC, исследователи создали прототип и протестировали его на 140 приложениях (80 с собственным кодом и 60 без собственного кода) - плюс 10 приложений (четыре известных приложения с корневым эксплойтом из проекта Malware Genome и шесть переупакованных приложений с корневым эксплойтом) - это содержало вредоносное ПО. В число вредоносных программ входили версии DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich и GingerBreak.
Результаты:
- PREC успешно обнаружил и остановил все проверенные эксплойты root.
- Это подняло ноль ложных тревог на доброкачественных приложениях без собственного кода. (Традиционные схемы повышают ложную тревогу на приложение на 67-92%.)
- PREC снизил частоту ложных тревог в доброкачественных приложениях с собственным кодом более чем на один порядок по сравнению с традиционными алгоритмами обнаружения аномалий
Преимущества PREC
Помимо хороших результатов в тестах и направления работоспособного метода для сдерживания вредоносного ПО Android, PREC определенно улучшил показатели, когда дело дошло до ложных срабатываний и потери производительности. Что касается производительности, в документе говорится, что «классифицированная схема мониторинга PREC накладывает накладные расходы менее 1%, а алгоритм обнаружения аномалий SOM накладывает накладные расходы до 2%. В целом, PREC легок, что делает его практичным для устройств смартфонов».
Современные системы обнаружения вредоносного ПО, используемые в магазинах приложений, неэффективны. PREC обеспечивает высокую степень обнаружения, низкий процент ложных срабатываний и защиту от вредоносных программ, чего в настоящее время не существует.
Соревнование
Ключом к тому, чтобы заставить PREC работать, является вступительный взнос с торговых площадок приложений. Это просто вопрос создания базы данных, которая описывает, как приложение работает нормально. PREC - это один из инструментов, который можно использовать для достижения этой цели. Затем, когда пользователь загружает желаемое приложение, информация о производительности (профиль PREC) передается вместе с приложением и будет использоваться для определения поведения приложения, когда оно установлено на устройстве Android.