Mục lục:
- Một bước ngoặt mới cho cách tiếp cận cũ
- Phát hiện bất thường
- Ngăn chặn phần mềm độc hại
- Kết quả kiểm tra
- Lợi ích của PREC
- Các thách thức
Thị trường ứng dụng Android là một cách thuận tiện cho người dùng để tải ứng dụng. Các thị trường cũng là một cách thuận tiện cho kẻ xấu cung cấp phần mềm độc hại. Chủ sở hữu thị trường, theo tín dụng của họ, cố gắng phát hiện các ứng dụng xấu bằng các biện pháp bảo mật như Google Bouncer. Đáng buồn thay, hầu hết - bao gồm cả Bouncer - không theo kịp nhiệm vụ. Những kẻ xấu gần như ngay lập tức tìm ra cách nhận biết khi Bouncer, một môi trường giả lập, đang kiểm tra mã của họ. Trong một cuộc phỏng vấn trước đó, Jon Oberheide, đồng sáng lập Duo Security và là người đã thông báo cho Google về vấn đề này, đã giải thích:
"Để làm cho Bouncer hoạt động hiệu quả, nó phải không thể phân biệt được với thiết bị di động của người dùng thực. Nếu không, một ứng dụng độc hại sẽ có thể xác định nó đang chạy với Bouncer và không thực hiện tải trọng độc hại của nó."
Một cách khác kẻ xấu đánh lừa Bouncer là sử dụng bom logic. Trong suốt lịch sử của họ, bom logic đã tàn phá các thiết bị điện toán. Trong trường hợp này, mã bom logic lặng lẽ ngăn chặn các trình kiểm tra phần mềm độc hại, giống như việc Bouncer không kích hoạt tải cho đến khi ứng dụng độc hại cài đặt trên thiết bị di động thực tế.
Điểm mấu chốt là thị trường ứng dụng Android, trừ khi chúng trở nên hiệu quả trong việc phát hiện tải trọng phần mềm độc hại trong ứng dụng, trên thực tế, là một hệ thống phân phối chính cho phần mềm độc hại.
Một bước ngoặt mới cho cách tiếp cận cũ
Nhóm nghiên cứu của Đại học bang Bắc Carolina gồm Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu và William Enck có thể đã tìm ra giải pháp. Trong bài báo PREC: Ngăn chặn khai thác gốc thực tế cho các thiết bị Android, nhóm nghiên cứu đã giới thiệu phiên bản của họ về sơ đồ phát hiện bất thường. PREC bao gồm hai thành phần: một thành phần hoạt động với trình phát hiện phần mềm độc hại của cửa hàng ứng dụng và một thành phần được tải xuống cùng với ứng dụng cho thiết bị di động.
Thành phần cửa hàng ứng dụng là duy nhất ở chỗ nó sử dụng cái mà các nhà nghiên cứu gọi là "giám sát cuộc gọi hệ thống được phân loại". Cách tiếp cận này có thể tự động xác định các cuộc gọi hệ thống từ các thành phần có rủi ro cao như thư viện của bên thứ ba (những thư viện không có trong hệ thống Android, nhưng đi kèm với ứng dụng đã tải xuống). Logic ở đây là nhiều ứng dụng độc hại sử dụng thư viện của riêng họ.
Các cuộc gọi hệ thống từ mã bên thứ ba có rủi ro cao thu được từ giám sát này, cộng với dữ liệu thu được từ quy trình phát hiện cửa hàng ứng dụng, cho phép PREC tạo mô hình hành vi bình thường. Mô hình được tải lên dịch vụ PREC, so với các mô hình hiện có về độ chính xác, chi phí chung và độ mạnh mẽ đối với các cuộc tấn công bắt chước.
Mô hình cập nhật sau đó đã sẵn sàng để được tải xuống cùng với ứng dụng bất cứ khi nào ứng dụng được yêu cầu bởi ai đó truy cập vào cửa hàng ứng dụng.
Đó được coi là giai đoạn giám sát. Khi mô hình và ứng dụng PREC được tải xuống thiết bị Android, PREC bước vào giai đoạn thực thi - nói cách khác là phát hiện bất thường và ngăn chặn phần mềm độc hại.
Phát hiện bất thường
Khi ứng dụng và mô hình PREC được cài đặt sẵn trên thiết bị Android, PREC sẽ giám sát mã của bên thứ ba, cụ thể là các cuộc gọi hệ thống. Nếu chuỗi cuộc gọi hệ thống khác với chuỗi được theo dõi trong cửa hàng ứng dụng, PREC xác định khả năng hành vi bất thường là khai thác. Khi PREC xác định rằng hoạt động đó là độc hại, nó sẽ chuyển sang chế độ ngăn chặn phần mềm độc hại.Ngăn chặn phần mềm độc hại
Nếu hiểu chính xác, việc ngăn chặn phần mềm độc hại làm cho PREC trở nên độc đáo khi nói đến phần mềm chống phần mềm độc hại Android. Do bản chất của hệ điều hành Android, các ứng dụng chống phần mềm độc hại Android không thể xóa phần mềm độc hại hoặc đặt phần mềm cách ly vì mọi ứng dụng đều nằm trong hộp cát. Điều này có nghĩa là người dùng phải xóa ứng dụng độc hại theo cách thủ công bằng cách trước tiên xác định vị trí phần mềm độc hại trong phần Ứng dụng của Trình quản lý hệ thống của thiết bị, sau đó mở trang thống kê của ứng dụng phần mềm độc hại và nhấn "gỡ cài đặt".
Điều làm cho PREC trở nên độc đáo là cái mà các nhà nghiên cứu gọi là "cơ chế ngăn chặn hạt mịn dựa trên độ trễ". Ý tưởng chung là làm chậm các cuộc gọi hệ thống đáng ngờ bằng cách sử dụng một nhóm các luồng riêng biệt. Điều này buộc phải khai thác hết thời gian., Dẫn đến trạng thái "Ứng dụng không phản hồi" trong đó ứng dụng cuối cùng bị hệ điều hành Android tắt.
PREC có thể được lập trình để tiêu diệt các luồng cuộc gọi hệ thống, nhưng nó có thể phá vỡ các hoạt động ứng dụng thông thường nếu trình phát hiện bất thường gây ra lỗi. Thay vì mạo hiểm, các nhà nghiên cứu chèn một độ trễ trong quá trình thực thi của luồng.
"Các thí nghiệm của chúng tôi cho thấy rằng hầu hết các khai thác gốc trở nên không hiệu quả sau khi chúng tôi làm chậm luồng gốc độc hại đến một điểm nhất định. Cách tiếp cận dựa trên độ trễ có thể xử lý các báo động sai một cách duyên dáng hơn vì ứng dụng lành tính sẽ không bị lỗi hoặc chấm dứt do sai tạm thời báo động, "tờ báo giải thích.
Kết quả kiểm tra
Để đánh giá PREC, các nhà nghiên cứu đã xây dựng một nguyên mẫu và thử nghiệm nó với 140 ứng dụng (80 với mã gốc và 60 không có mã gốc) - cộng với 10 ứng dụng (bốn ứng dụng khai thác gốc được biết đến từ dự án Malware Genome và sáu ứng dụng khai thác gốc được đóng gói lại) - có chứa phần mềm độc hại. Phần mềm độc hại bao gồm các phiên bản của DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich và GingerBreak.
Kết quả:
- PREC đã phát hiện thành công và dừng tất cả các khai thác gốc được thử nghiệm.
- Nó không đưa ra cảnh báo sai trên các ứng dụng lành tính mà không có mã gốc. (Các chương trình truyền thống tăng cảnh báo sai cho mỗi ứng dụng 67-92%.)
- PREC đã giảm tỷ lệ báo động sai trên các ứng dụng lành tính với mã gốc hơn một bậc so với các thuật toán phát hiện bất thường truyền thống
Lợi ích của PREC
Bên cạnh việc thực hiện tốt các thử nghiệm và chuyển tiếp một phương pháp khả thi để chứa phần mềm độc hại Android, PREC đã quyết định số lượng tốt hơn khi nói đến dương tính giả và mất hiệu suất. Về hiệu suất, bài báo tuyên bố rằng "sơ đồ giám sát được phân loại của PREC áp đặt dưới 1% chi phí và thuật toán phát hiện bất thường SOM áp đặt lên tới 2% trên tổng thể. Nhìn chung, PREC rất nhẹ, điều này thực tế cho các thiết bị điện thoại thông minh."
Các hệ thống phát hiện phần mềm độc hại hiện tại được sử dụng bởi các cửa hàng ứng dụng là không hiệu quả. PREC cung cấp mức độ chính xác cao về phát hiện, tỷ lệ báo động sai thấp và ngăn chặn phần mềm độc hại - thứ hiện không tồn tại.
Các thách thức
Chìa khóa để khiến PREC hoạt động là mua vào từ các chợ ứng dụng. Đây chỉ là vấn đề tạo cơ sở dữ liệu mô tả cách ứng dụng hoạt động bình thường. PREC là một công cụ có thể được sử dụng để thực hiện điều đó. Sau đó, khi người dùng tải xuống một ứng dụng mong muốn, thông tin hiệu suất (hồ sơ PREC) sẽ đi cùng với ứng dụng và sẽ được sử dụng để làm cơ sở cho hành vi của ứng dụng trong khi ứng dụng được cài đặt trên thiết bị Android.
