[論文レビュー] Enter Sandbox: Android Sandbox Comparison
本稿では、マルウェア、特にマスターキー脆弱性のような回避技術を念頭に、15の動的Androidサンドボックス分析プラットフォームの有効性を評価している。研究では、コード再利用によるプラットフォーム間の顕著な重複が明らかになり、特にマスターキーバグを悪用することでマルウェアが検出を回避できることを示している。これは、より多様で強固な分析手法の導入が急務であることを示唆している。
Expecting the shipment of 1 billion Android devices in 2017, cyber criminals have naturally extended their vicious activities towards Google's mobile operating system. With an estimated number of 700 new Android applications released every day, keeping control over malware is an increasingly challenging task. In recent years, a vast number of static and dynamic code analysis platforms for analyzing Android applications and making decision regarding their maliciousness have been introduced in academia and in the commercial world. These platforms differ heavily in terms of feature support and application properties being analyzed. In this paper, we give an overview of the state-of-the-art dynamic code analysis platforms for Android and evaluate their effectiveness with samples from known malware corpora as well as known Android bugs like Master Key. Our results indicate a low level of diversity in analysis platforms resulting from code reuse that leaves the evaluated systems vulnerable to evasion. Furthermore the Master Key bugs could be exploited by malware to hide malicious behavior from the sandboxes.
研究の動機と目的
- 動的Androidサンドボックス分析プラットフォームのマルウェア検出効果を評価すること。
- 既存のサンドボックスプラットフォーム間でのコード再利用の程度を調査すること。
- マスターキーバグを含む既知のAndroid脆弱性が、サンドボックス検出を回避するために悪用可能かどうかを評価すること。
- 現在のサンドボックスソリューションにおける検出能力と多様性のギャップを同定すること。
- サンドボックス設計と多様性の向上により、マルウェア検出を改善するための知見を提供すること。
提案手法
- 著者は、公開されたコーパスからの既知のマルウェアサンプルを用いて、15の動的分析プラットフォームを評価した。
- マスターキー脆弱性に対するプラットフォームの挙動を分析した。これは、署名を変更せずにAPKを操作できる既知のAndroidバグである。
- プラットフォーム間での検出率と行動分析の結果を比較した。
- 特徴対応、分析深度、および変種化やオブスクリューブされたマルウェアの検出能力に基づいて、プラットフォームを評価した。
- 検出精度を測定するために、静的および動的分析の両方のコンponentを含めた。
- 実装および検出論理の類似性と相違点を特定するために、比較分析を実施した。
実験結果
リサーチクエスチョン
- RQ1既存のAndroidサンドボックスプラットフォームは、公開コーパスからの既知のマルウェアサンプルをどの程度検出できるか?
- RQ2これらのプラットフォームは、マスターキー脆弱性による回避に対してどの程度脆弱か?
- RQ3サンドボックスプラットフォーム間でのコード再利用の度合いはどの程度で、それが多様性と検出効果に悪影響を与えているか?
- RQ4評価されたプラットフォーム間で、特徴対応と分析能力にどのような主な差異があるか?
- RQ5サンドボックス固有の挙動や制限を悪用することで、マルウェアが検出を回避できるか?
主な発見
- 多くのサンドボックスプラットフォームが同一またはほぼ同一の検出行動を示しており、コード再利用が顕著であることが判明した。
- マスターキー脆弱性により、機能に変更を加えずにも、複数のサンドボックスプラットフォームでマルウェアが検出回避できた。
- 検出率はプラットフォームによって大きくばらつきを示し、一部のプラットフォームは動的分析を用いても既知のマルウェアを検出できなかった。
- 研究では、大多数のプラットフォームが分析ヒューリスティクスに十分な多様性を欠いており、集団的に標的型の回避攻撃に対して脆弱であることが判明した。
- 多くのプラットフォームが、既知のAndroidバグを悪用する変種化や改変マルウェアを検出できず、設計上の欠陥が浮き彫りになった。
- 結果から、現在のサンドボックス手法は、実装固有の挙動を悪用する洗練された標的型攻撃に対しては十分に強固ではないことが示唆された。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。