Erkennung von Android Malware. Daniel Arp

Transkript

1 Daniel Arp

2 Überblick: Android-Malware 1

3 Android-Malware Ø Smartphones sind mittlerweile ein beliebtes Angriffsziel Bieten verschiedene Bezahlmöglichkeiten für Dienste Enthalten meist sensible Daten des Nutzers New Malware (Quelle: Kasperksy) H H H H H

4 Motivation & Profit Ø Verhalten der Malware Versand von SMS an Premium-Dienste Diebstahl sensibler Daten (z.b. mtan) Ø Verbreitung der Malware Schadcode versteckt in legitimen Applikationen Download von alternativen Märkten oder Webseiten 2

5 Evolution von Android-Malware Ø Verschleierung Malware ist zur Zeit noch sehr primitiv Trend zu komplexer Malware jedoch erkennbar Malware versucht aktiv ihre Entdeckung zu verhindern Entwicklung aus der Desktopwelt bereits bekannt Ø Polymorphe Malware Einsatz von Laufzeitpackern Verschlüsselung des schädlichen Payloads Verwendung verschiedener Schlüssel 3

6 Beispiel: Backdoor.AndroidOS.Obad Ø Trojaner, der.... SMS versendet.. Befehle von externem Server entgegennimmt.. andere Malware automatisch nachlädt.. sie automatisch installiert und via Bluetooth verbreitet Ø Die Malware verhindert aktiv ihre Entdeckung Nutzt dazu Schwachstellen in dex2jar, dem Android Manifest Parser und Android-System aus 4

7 Methoden zur Malware-Erkennung 1

8 Antiviren Scanner Ø Signaturbasierte Erkennung von Schadsoftware Für jedes neue Malwaresample wird eine Signatur erzeugt Schnell und effizient, solange Signatur in Datenbank existiert Unbekannte Malware kann nicht erkannt werden Ø Probleme: Polymorphe Malware kann schnell erzeugt und verbreitet werden AV Hersteller stellen neue Signaturen nicht rechtzeitig bereit 5

9 Analyse von Malware Ø Statische Analyse Analyse des Quellcodes eines Programms Zur Laufzeit nachgeladener Schadcode kann nicht erkannt werden Ø Dynamische Analyse Programm wird in kontrollierter Umgebung ausgeführt Verhalten des Programms wird zur Laufzeit analysiert Erlaubt nur Aussage über Verhalten des Programms in einer festgelegten Umgebung mit bestimmten Eingaben 6

10 Analyse-Tools Ø Statisch: Androguard Ermöglicht statische Analyse von Android-Apps Disassemblierung/Decompilierung des Dexcodes Extraktion verwendeter API-Funktionen, Berechtigungen etc. Webseite: Ø Dynamisch: DroidBox Ermöglicht dynamische Analyse von Android-Apps Netzwerkverkehr, versendete SMS, Dateizugriffe uvm.. Weitere Informationen: 7

11 Static Android Analysis Framework Ø Statische Analyse des Datenflusses Dabei wird nach schädlichem Verhalten gesucht u.a. nach Funktionen mit konstanten Parametern Konstanter Parameter = hart kodierte Telefonnummer/Textnachricht Ø Weitere Informationen: 8

12 TaintDroid Ø Viele Apps verlangen Zugriff auf sensible Daten In vielen Fällen erscheint der Zugriff zunächst plausibel Häufig werden die Daten jedoch noch anderweitig verwendet Daten werden etwa an einen externen Server geschickt Ø Analyse des Datenflusses von Android-Apps Sensible Daten werden als Quellen markiert Methoden zum Versand von Daten werden als Senken markiert Es wird überprüft, ob Daten einer Quelle eine Senke erreichen Ø Weitere Informationen: 9

13 Mobile Sandbox Ø Statische Analyse von Apps Apps können über Webinterface hochgeladen werden Benutzer erhält nach Analyse ausführlichen Bericht Ø Dynamische Analyse in Vorbereitung Verwendet modifizierte Version von DroidBox & TaintDroid Überwachung von Funktionen in nativen Bibliotheken Ø VirusTotal-Integration Apps werden von über 40 AV-Engines analysiert Ø Webinterface: 10

14 Mobile Sandbox 11

15 Mobile Sandbox 12

16 Drebin 1

17 Drebin Ø Ziel: Erkennung von neuen Malware-Samples Analyse des Verhaltens bekannter Malware Erzeugung eines Klassifikationsmodells, das Verhalten beschreibt Ø Effektiver Schutz nur auf dem Endgerät möglich Verbreitung von Malware über alternative Märkte / Webseiten Ø Technische Herausforderungen Kein Eingriff in das Betriebssystem Geringe Rechenleistung und Speicherressourcen 13

18 Drebin Server Dataset Feature Extraction Embedding into Vector Space Learning Model Transmission Client App Feature Extraction Embedding into Vector Space Classification Explanation 14

19 Drebin Server Dataset Feature Extraction Embedding into Vector Space Learning Model Transmission Client App Feature Extraction Embedding into Vector Space Classification Explanation 15

20 Statische Analyse Ø Leichtgewichtige Analyse von Android-Apps Linearer Zeitaufwand beim Auslesen der Informationen Extraktion der Merkmale (Strings) aus 8 verschiedenen Kategorien App Components Filtered Intents Hardware Components Requested Permissions Manifest APK File Protected API Calls Used Permissions Suspicious API Calls Network Addresses Dexcode 16

21 Drebin Server-Side Dataset Feature Extraction Embedding into Vector Space Learning Model Transmission Client-Side App Feature Extraction Embedding into Vector Space Classification Explanation 17

22 Einbettung im Vektorraum Ø Jedes Merkmal wird auf eine Dimension abgebildet Insgesamt mehr als Merkmale Ø Vektorrepräsentation einer App Extrahierte Merkmale werden auf 1 gesetzt Geringe Distanz zwischen ähnlichen Apps x ϕ(x)! # # # # # # # # " $ & & & & & & & & % android.hardware.wifi android.hardware.telephony SEND _ SMS DELETE _ PACKAGES malicious benign 18

23 Drebin Server Dataset Feature Extraction Embedding into Vector Space Learning Model Transmission Client App Feature Extraction Embedding into Vector Space Classification Explanation 19

24 Lernphase Ø Datensatz Trainieren und Testen des Lernalgorithmus auf Datensatz Besteht aus gutartigen und Malware Samples Ø Lineare 2-Klassen Support Vektor Maschine Lernt Hyperebene, die Klassen mit größtmöglichem Abstand trennt Kann beschrieben werden durch Gewichtsvektor w benign malicious w 20

25 Drebin Server Dataset Feature Extraction Embedding into Vector Space Learning Model Transmission Client App Feature Extraction Embedding into Vector Space Classification Explanation 21

26 Klassifizierung Ø Klassifizierungsscore Inneres Produkt aus Modell- und Appvektor Vorzeichen beschreibt Klasse des Samples f ( x) = w, x +2,5 w -1,8 22

27 Klassifizierung Ø Kalibrierung des Detektors FP-Rate sollte nicht größer als 1% sein Wahl eines Schwellwertes ungleich 0 23

28 Klassifizierung Ø Kalibrierung des Detektors FP-Rate sollte nicht größer als 1% sein Wahl eines Schwellwertes ungleich 0 23

29 Erkennungsleistung 94% % 60 47% 40 12% 20 0 Drebin AV-Scanner 24

30 Drebin Server Dataset Feature Extraction Embedding into Vector Space Learning Model Transmission Client App Feature Extraction Embedding into Vector Space Classification Explanation 25

31 Erklärbarkeit Ø Interpretation des Ergebnisses Erlaubt Einblicke in das Verhalten von Malware Hilft bei der Analyse von Falschklassifikationen Ø Jedes Merkmal erhält von SVM ein Gewicht Gewichtung beschreibt Auftrittswahrscheinlichkeit in Klasse Hoch gewichtete Merkmale à charakteristisch für Klasse Daher betrachten wir nur Merkmale mit hohem Gewicht Erlaubt Rekonstruktion des Verhaltens vieler Malware-Familien 26

32 Beispiel 1: FakeInstaller Feature Feature Set Average Weight sendsms() Suspicious Calls 1,12 SEND_SMS Requested Permissions 0,84 android.hardware.telephony Hardware Components 0,57 sendtextmessage() Restricted API Calls 0,52 READ_PHONE_STATE Requested Permissions 0,4 27

33 Beispiel 2: DroidKungFu Feature Feature Set Average Weight SIG_STR Filtered Intents 2,02 system/bin/su Suspicious Calls 1,30 BATTERY_CHANGED_ACTION Filtered Intents 1,26 READ_PHONE_STATE Requested Permissions 0,54 getsubscriberid() Suspicious Calls 0,49 28

34 Beispiel 2: DroidKungFu Feature Feature Set Average Weight SIG_STR Filtered Intents 2,02 system/bin/su Suspicious Calls 1,30 BATTERY_CHANGED_ACTION Filtered Intents 1,26 READ_PHONE_STATE Requested Permissions 0,54 getsubscriberid() Suspicious Calls 0,49 Service is triggered by intent messages 28

35 Beispiel 2: DroidKungFu Feature Feature Set Average Weight SIG_STR Filtered Intents 2,02 system/bin/su Suspicious Calls 1,30 BATTERY_CHANGED_ACTION Filtered Intents 1,26 READ_PHONE_STATE Requested Permissions 0,54 getsubscriberid() Suspicious Calls 0,49 Malware tries to gain root access on the device 29

36 Beispiel 2: DroidKungFu Feature Feature Set Average Weight SIG_STR Filtered Intents 2,02 system/bin/su Suspicious Calls 1,30 BATTERY_CHANGED_ACTION Filtered Intents 1,26 READ_PHONE_STATE Requested Permissions 0,54 getsubscriberid() Suspicious Calls 0,49 Malware steals sensitive data 30

37 Laufzeitanalyse Ø Laufzeitmessung mit Hilfe eines Prototyps Smartphones: Nexus 4, Galaxy S3, Xperia Mini Pro, Nexus i9250 Tablets: Nexus 7 60 sec 10 sec 1 sec 31

38 Verbesserungen Ø Statische Analyse zur Laufzeit Komplette dynamische Analyse zu rechenaufwändig Abfangen von Methodenaufrufen, die dynamisch Code nachladen Geladener Code kann anschließend statisch analysiert werden 32

39 Wie kann der Benutzer sich schützen? Ø Kein Download von Apps aus alternativen Märkten Ø Berücksichtigung der angeforderten Berechtigungen Ø Verwendung der neuesten Android-Version Ø Verwendung von AV-Scannern 33

40 Referenzen Ø [1] Dissecting Android malware: Characterization and evolution (Zhou and Jiang) (Oakland 2012) Ø [2] A study of Android application security (Enck et al.) (USENIX 2011) Ø [3] Using probabilistic generative models for ranking risks of Android apps (Peng et al.) (CCS 2012) Ø [4] Android permissions: a perspective combining risks and benefits (Sarma et al.) (SACMAT 2012) Ø [5] Mobile sandbox: having a deeper look into android applications (Spreitzenbarth et al.) (SAC 2013) 34

41 Vielen Dank für eure Aufmerksamkeit! Fragen? 35