common weaknesses of android malware analysis...
TRANSCRIPT
![Page 1: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/1.jpg)
Common Weaknesses of Android Malware Analysis Frameworks
Lars Richter
![Page 2: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/2.jpg)
● Android Malware● Analysis Frameworks● Schwachstellen
● Code Verschleierung● Fingerprinting● Verdeckte Kommunikation● Unerwartete Ereignisse
● Fazit
Aufbau
![Page 3: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/3.jpg)
Android Malware
Source: https://public.gdatasoftware.com/Presse/Publikationen/Malware_Reports/G_DATA_MobileMWR_Q1_2015_US.pdf
- 1Q15 >440.000 malware Proben bei GDATA- 21% mehr als im 1Q14
- >50% finanziell motiviert- e.g. Bank-, SMS-Trojaner
- andere Malware meist Spyware, Adware, Cryptolocker
![Page 4: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/4.jpg)
Malware Proben nach AppStore
Source: https://www.f-secure.com/en/web/labs_global/whitepapers
![Page 5: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/5.jpg)
Google Bouncer
● Aktiv seit 2012– 40% Rückgang von Malware im Play Store
● Statische + Dynamische Analyse● Fingerprinted:
– Standard QEMU emulator
– 5min Test
– Vorhersehbare Eingaben
● Reicht aus für normale Malware
Quelle: https://jon.oberheide.org/files/summercon12-bouncer.pdf
![Page 6: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/6.jpg)
Malware Analysis Frameworks
● Typen– Statisch
● Analyse von Meta-Informationen (Manifest, Services, etc)● Byte Code Weaving (Trace-Funktionen einbetten)● Decompilieren
– Dynamisch● Taint Tracking● Virtual machine introspection● Method tracing
– Hybrid● Statische Analyse zur Unterstützung der Dynamischen
![Page 7: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/7.jpg)
Android Sandbox Landschaft
Quelle: Sebastian Neuner, et al. Enter sandbox: Android sandbox comparison.
Abhängigkeiten der genutzen Tools und Dienste
Statische Analyse Dynamische Analyse
Taint Analyse
Native CodeByteCode Weaving
Tracing
![Page 8: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/8.jpg)
Schwachstellen
Code Verschleierung(Code Obfuscation)
Statische Analyse Dynamische Analyse
Fingerprinting
UnvorhergeseheneEreignisse
Application Collusion(verdeckte Kommunikation)
![Page 9: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/9.jpg)
Code Obfuscation / Verschleierung
– Triviale Transformationen● Neu Erstellen der APKs, Änderungen im Manifest● Gegen Erkennung basierend auf Hashwerten
– Erkennbare Transformationen● Umbenennung von Klassen / Methodennamen● Änderung des Datenflusses● Ausführen von verschlüsseltem Native Code
– Nicht Erkennbare Transformationen● Java Reflection API● Laden von verschlüsselten externen Anwendungsteilen
– Dynamisches Nachladen zur Laufzeit möglich
![Page 10: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/10.jpg)
Code Obfuscation - Beispiel
● Malware Android/BadAccents– Versand von Informationen via Email
– Auffälliger API Call: Versand von Email
– Nützliche Infos: Empfänger, Email Body
– Obfuscation:● sensitive Informationen in Native Code verschlüsselt● Nicht auffindbar mit statischer Analyse
![Page 11: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/11.jpg)
Fingerprinting
– Problem● Im Gegensatz zum PC Sensoren nicht modular
– GPS, Helligkeits-, Beschleinigungs-, Temperatursensor, ...– Müssen ansprechbar sein!
– Fingerprinting Möglichkeiten● Auffälligkeiten der Sensoren● Virtualisierte Smartphones● Nutzerinteraktion● Protokoll Implementierungen● persönliche Informationen● ...
![Page 12: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/12.jpg)
Fingerprinting - Gegenmaßnahmen
● Bestimmte, bekannte Instruktionen ersetzen● Simulieren normaler Benutzung● BareCloud Ansatz
– Kombination aus „bare-metal“, transparenter und einfacher Analyse
– Erkennen von Verhaltensunterschieden
![Page 13: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/13.jpg)
Verdeckte Kommunikation
Hauptproblem: Analyse einzelner Apps, abgeschirmt von ein ander
Quelle: Claudio Marforio et al. Analysis of the communication between colluding applications on modern smartphones. In Proceedings of the 28th
Annual Computer Security Applications Conference, pages 51–60. ACM, 2012.
![Page 14: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/14.jpg)
Verdeckte Kommunikation
– Offene Kanäle● Shared configuration● Broadcast Intents
– Verdeckte Kanäle● Lautstärke Einstellungen (150bps)● Datei Sperren (685bps)● Intent-Typen (4324bps)● Nachteil: Synchronisationszeit, bei Intent-Typen 716ms
![Page 15: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/15.jpg)
Verdeckte Kommunikation - XManDroid
– Erweitert Berechtigungs Framework von Android
– Erkennt Privileg Eskalation auf App Ebene
Quelle: Sven Bugiel et al. Technische Universität Darmstadt, Technical Report TR-2011-04, 2011
![Page 16: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/16.jpg)
Unvorhergesehene Ereignisse
– Externe Ereignisse● Intent-Filter auf ankommende SMS, Anruf, ...● Können Malware aktivieren● Verdeckte Kanäle
– Zeitliche Ereignisse● Aktivierung der Malware nach bestimmter Zeit
– Überlistet z.B. Google Bouncer● Bsp.: Durak Game – 5-10Mio. Installationen
– Bösartiges Verhalten nach 30 Tagen
– Statische Analyse kann Intent-Filter und Timer erkennen
![Page 17: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/17.jpg)
Unvorhergesehene Ereignisse - Harvester
● Robust gegen unvorhergesehene Ereignisse und nicht erkennbare Code Transformationen
● Zerteilt Programm in Abschnitte● Simuliert alle möglichen Zustände● Erzeugt analysierbare APK ohne Anti-Analysis Methoden
Quelle: Siegfried Rasthofer et al. Harvesting runtime data in android applications for identifying malware and enhancing code analysis. 2015.
![Page 18: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:](https://reader031.vdocuments.site/reader031/viewer/2022022501/5aa876e77f8b9a95188b9619/html5/thumbnails/18.jpg)
Fazit
Code Verschleierung(Code Obfuscation)
Statische Analyse Dynamische Analyse
Fingerprinting
UnvorhergeseheneEreignisse
Application Collusion(verdeckte Kommunikation)
Spezialisierte Frameworks
XManDroid
Harvester
BareCloud