Upload File

common weaknesses of android malware analysis...

  • Home
  • Documents
  • Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:
18
Common Weaknesses of Android Malware Analysis Frameworks Lars Richter

Upload: vobao

Post on 14-Mar-2018

226 views

Category:

Documents


2 download

Report

TRANSCRIPT

Page 1: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Common Weaknesses of Android Malware Analysis Frameworks

Lars Richter

Page 2: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

● Android Malware● Analysis Frameworks● Schwachstellen

● Code Verschleierung● Fingerprinting● Verdeckte Kommunikation● Unerwartete Ereignisse

● Fazit

Aufbau

Page 3: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Android Malware

Source: https://public.gdatasoftware.com/Presse/Publikationen/Malware_Reports/G_DATA_MobileMWR_Q1_2015_US.pdf

- 1Q15 >440.000 malware Proben bei GDATA- 21% mehr als im 1Q14

- >50% finanziell motiviert- e.g. Bank-, SMS-Trojaner

- andere Malware meist Spyware, Adware, Cryptolocker

Page 4: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Malware Proben nach AppStore

Source: https://www.f-secure.com/en/web/labs_global/whitepapers

Page 5: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Google Bouncer

● Aktiv seit 2012– 40% Rückgang von Malware im Play Store

● Statische + Dynamische Analyse● Fingerprinted:

– Standard QEMU emulator

– 5min Test

– Vorhersehbare Eingaben

● Reicht aus für normale Malware

Quelle: https://jon.oberheide.org/files/summercon12-bouncer.pdf

Page 6: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Malware Analysis Frameworks

● Typen– Statisch

● Analyse von Meta-Informationen (Manifest, Services, etc)● Byte Code Weaving (Trace-Funktionen einbetten)● Decompilieren

– Dynamisch● Taint Tracking● Virtual machine introspection● Method tracing

– Hybrid● Statische Analyse zur Unterstützung der Dynamischen

Page 7: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Android Sandbox Landschaft

Quelle: Sebastian Neuner, et al. Enter sandbox: Android sandbox comparison.

Abhängigkeiten der genutzen Tools und Dienste

Statische Analyse Dynamische Analyse

Taint Analyse

Native CodeByteCode Weaving

Tracing

Page 8: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Schwachstellen

Code Verschleierung(Code Obfuscation)

Statische Analyse Dynamische Analyse

Fingerprinting

UnvorhergeseheneEreignisse

Application Collusion(verdeckte Kommunikation)

Page 9: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Code Obfuscation / Verschleierung

– Triviale Transformationen● Neu Erstellen der APKs, Änderungen im Manifest● Gegen Erkennung basierend auf Hashwerten

– Erkennbare Transformationen● Umbenennung von Klassen / Methodennamen● Änderung des Datenflusses● Ausführen von verschlüsseltem Native Code

– Nicht Erkennbare Transformationen● Java Reflection API● Laden von verschlüsselten externen Anwendungsteilen

– Dynamisches Nachladen zur Laufzeit möglich

Page 10: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Code Obfuscation - Beispiel

● Malware Android/BadAccents– Versand von Informationen via Email

– Auffälliger API Call: Versand von Email

– Nützliche Infos: Empfänger, Email Body

– Obfuscation:● sensitive Informationen in Native Code verschlüsselt● Nicht auffindbar mit statischer Analyse

Page 11: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Fingerprinting

– Problem● Im Gegensatz zum PC Sensoren nicht modular

– GPS, Helligkeits-, Beschleinigungs-, Temperatursensor, ...– Müssen ansprechbar sein!

– Fingerprinting Möglichkeiten● Auffälligkeiten der Sensoren● Virtualisierte Smartphones● Nutzerinteraktion● Protokoll Implementierungen● persönliche Informationen● ...

Page 12: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Fingerprinting - Gegenmaßnahmen

● Bestimmte, bekannte Instruktionen ersetzen● Simulieren normaler Benutzung● BareCloud Ansatz

– Kombination aus „bare-metal“, transparenter und einfacher Analyse

– Erkennen von Verhaltensunterschieden

Page 13: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Verdeckte Kommunikation

Hauptproblem: Analyse einzelner Apps, abgeschirmt von ein ander

Quelle: Claudio Marforio et al. Analysis of the communication between colluding applications on modern smartphones. In Proceedings of the 28th

Annual Computer Security Applications Conference, pages 51–60. ACM, 2012.

Page 14: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Verdeckte Kommunikation

– Offene Kanäle● Shared configuration● Broadcast Intents

– Verdeckte Kanäle● Lautstärke Einstellungen (150bps)● Datei Sperren (685bps)● Intent-Typen (4324bps)● Nachteil: Synchronisationszeit, bei Intent-Typen 716ms

Page 15: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Verdeckte Kommunikation - XManDroid

– Erweitert Berechtigungs Framework von Android

– Erkennt Privileg Eskalation auf App Ebene

Quelle: Sven Bugiel et al. Technische Universität Darmstadt, Technical Report TR-2011-04, 2011

Page 16: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Unvorhergesehene Ereignisse

– Externe Ereignisse● Intent-Filter auf ankommende SMS, Anruf, ...● Können Malware aktivieren● Verdeckte Kanäle

– Zeitliche Ereignisse● Aktivierung der Malware nach bestimmter Zeit

– Überlistet z.B. Google Bouncer● Bsp.: Durak Game – 5-10Mio. Installationen

– Bösartiges Verhalten nach 30 Tagen

– Statische Analyse kann Intent-Filter und Timer erkennen

Page 17: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Unvorhergesehene Ereignisse - Harvester

● Robust gegen unvorhergesehene Ereignisse und nicht erkennbare Code Transformationen

● Zerteilt Programm in Abschnitte● Simuliert alle möglichen Zustände● Erzeugt analysierbare APK ohne Anti-Analysis Methoden

Quelle: Siegfried Rasthofer et al. Harvesting runtime data in android applications for identifying malware and enhancing code analysis. 2015.

Page 18: Common Weaknesses of Android Malware Analysis …ayeks.de/assets/blog/2015-06-16-android-analysis-frameworks/...Android Sandbox Landschaft Quelle: Sebastian Neuner, et al. Enter sandbox:

Fazit

Code Verschleierung(Code Obfuscation)

Statische Analyse Dynamische Analyse

Fingerprinting

UnvorhergeseheneEreignisse

Application Collusion(verdeckte Kommunikation)

Spezialisierte Frameworks

XManDroid

Harvester

BareCloud


Finding Triggered Malice in Android Apps - RSA … Triggered Malice in Android Apps ... vet applications before they enter store ... behavior in sandbox, but that infects the

Illustration by Sylvia Neuner - Arthur D. Little

Sandbox Helmets

Science Sandbox

Der Neuner-Kalender ist der Kalender für die … · 2 Die Anwendung des Neuner-Kalenders Der Neuner-Kalender beschreibt jene täglichen Zeitqualitäten, die wir zwar subtil spüren,

2011 01 06 10-45 rainer neuner

sandbox documento

sandbox informational

Android sandbox

Mobile Security Overview 23 April 2012. Agenda ‣ Mobile threat landscape ‣ Security/permissions model & the mythical sandbox ‣ Vulnerabilities ‣ Android

Andreas Neuner Steffen Schmortte - Markkleeberg Online · 2016. 5. 1. · Andreas Neuner * 31.05.1940 04.04.2016 Im stillen Schmerz Seine Töchter Annemarie und Ute mit Familien im

Neuner Preisl. DINA4 21 2...JOSEF NEUNER GmbH & Co. KG, Kies- & Betonwerk. Telefon 0 80 35 / 90 44 - 90 Weihererhof 5 . 83115 Neubeuern . Fax (0 80 35) 90 44 924 . . info@betonwerk-neuner…

Mike Arpaia Android Security Overview · Android Security Model Android is not the Java security model: - No Java Security Manager, no Java Sandbox - Dalvik NOT a security barrier

Regulatory Sandbox Framework Sandbox/Documents...Regulatory Sandbox Framework February 2019 1 Table of Contents 1. Introduction ..... SAMA�s Sandbox directly connects with ‘KSA’s

SANDBOX EXPERIMENTS

Magdalena Neuner

Enter Sandbox: Android Sandbox Comparison - … Sandbox: Android Sandbox Comparison Sebastian Neuner, Victor van der Veen, Martina Lindorfer, Markus Huber, Georg Merzdovnik, Martin

SEVENTH FRAMEWORK PROGRAMME - SysSec: … FRAMEWORK PROGRAMME Information & Communication Technologies Trustworthy ICT ... Enter Sandbox: Android Sandbox Comparison. In …

Cooperative Learning Lessons Julie Neuner EDUC 540 March ... · Cooperative Learning Lessons Julie Neuner EDUC 540 March 30, 2014 Dr. Vickie Cummings . COOPERATIVE LEARNING LESSONS

A semi-automatic product for mobile Apps. This product is a … Sandbox DM V2.pdf · 2018. 8. 29. · A semi-automatic product for mobile Apps. This product is a Sandbox for Android

Android 1.5 - Cupcakelinuxday.gulch.it/slides/2013/traccia-c/cortis-android.pdfSviluppare app per Android Android e i permessi Ogni applicazione viene eseguita in una sandbox. Normalmente

Oracle Sandbox

Chromium Sandbox

Escaping The Sandbox By Not Breaking It - PUT.AS · 2016-08-06 · Chromium Android Sandbox (3) • So even if code execution in the render process is achieved, we don’t have a

Neuner, Katrin · 2019. 4. 29. · Neuner, Katrin „Green Meetings“ - Nachhaltigkeit innerhalb der Meeting- und Eventbranche in Tirol eingereicht als BACHELORARBEIT an der HOCHSCHULE

Bruno Neuner MD MSE Charité – Universitätsmedizin Berlin

Sandbox workshop

Introduction: platforms and attacks Apple iOS security model Android … · 2014. 12. 3. · devices to a botnet, breached the Android security sandbox, installed additional software,

TEAM JOCH vs. Android › talks › shmoo11-teamjoch_v4.pdf · TEAM JOCH vs. Android - ShmooCon 2011 Slide # 12 Android Native Code • Dalvik VM != sandbox –Not limited to executing

Healthcare Services Platform Sandbox. The HSPC Sandbox HSPC Sandbox Architecture : Scot Post van der Burg Asthma Ally

Android Security - techiecheng.files.wordpress.com · Measuring exploitation difficulty: 0-day pricing $125,000.00 $75,000.00 $50,000.00 $25,000.00 $0.00 iPhone Nexus Sandbox Unuath

Elt sandbox

Sandbox Portfolio

Sandbox kiev

Sandbox Experimentacion