Skip to main content
QUICK REVIEW

[논문 리뷰] DroidAnalytics: A Signature Based Analytic System to Collect, Extract, Analyze and Associate Android Malware

Min Zheng, Mingshen Sun|arXiv (Cornell University)|2013. 02. 28.
Advanced Malware Detection Techniques참고 문헌 9인용 수 80
한 줄 요약

DroidAnalytics는 오퍼코드 수준에서 악성코드 조각을 자동으로 수집, 분석 및 연관짓는 서명 기반 시스템으로, 재패키징 및 제로데이 악성코드 탐지를 가능하게 한다. 다중 수준 서명 생성 및 유사도 스코어링을 활용해 150,368개의 앱에서 악성코드 세그먼트를 식별하였으며, 102개의 가족으로부터 총 2,494개의 악성코드 샘플(중 342개는 제로데이 변종)을 성공적으로 탐지하였다.

ABSTRACT

Smartphones and mobile devices are rapidly becoming indispensable devices for many users. Unfortunately, they also become fertile grounds for hackers to deploy malware and to spread virus. There is an urgent need to have a "security analytic & forensic system" which can facilitate analysts to examine, dissect, associate and correlate large number of mobile applications. An effective analytic system needs to address the following questions: How to automatically collect and manage a high volume of mobile malware? How to analyze a zero-day suspicious application, and compare or associate it with existing malware families in the database? How to perform information retrieval so to reveal similar malicious logic with existing malware, and to quickly identify the new malicious code segment? In this paper, we present the design and implementation of DroidAnalytics, a signature based analytic system to automatically collect, manage, analyze and extract android malware. The system facilitates analysts to retrieve, associate and reveal malicious logics at the "opcode level". We demonstrate the efficacy of DroidAnalytics using 150,368 Android applications, and successfully determine 2,494 Android malware from 102 different families, with 342 of them being zero-day malware samples from six different families. To the best of our knowledge, this is the first reported case in showing such a large Android malware analysis/detection. The evaluation shows the DroidAnalytics is a valuable tool and is effective in analyzing malware repackaging and mutations.

연구 동기 및 목표

  • 대규모 Android 악성코드 수집 및 분석을 위한 자동화된 시스템 부족 문제를 해결하기 위해.
  • 세밀한 오퍼코드 수준 서명 생성을 통해 재패키징 및 제로데이 악성코드 탐지를 가능하게 하기 위해.
  • 권한 기반 또는 해시 기반의 악성코드 연관 방법의 한계를 극복하기 위해.
  • 메소드 수준 및 클래스 수준의 연관을 통해 악성 로직을 신뢰성 있게 추적함으로써 정밀 분석을 지원하기 위해.
  • 스케일러블하고 자동화된 플랫폼을 제공하여 악성코드 분석 및 동적 페이로드 분석을 지원하기 위해.

제안 방법

  • 공식 및 제3자 마켓에서 앱을 체계적으로 수확하기 위해 확장 가능한 크롤러를 Scrapy 기반으로 구축.
  • 오퍼코드 수준에서 앱 바이트코드로부터 의미적 특징을 추출하는 다중 수준 서명 알고리즘으로, 오브스큐레이션에 대한 강건성을 향상.
  • 오퍼코드 수준 패턴 기반의 유사도 스코어링 메커니즘을 통해 새로운 악성코드를 기존 알려진 가족과 연관.
  • 권한 재귀 및 클래스 연관 기법을 통해 메소드 및 클래스 간 권한과 악성 행동을 추적.
  • 동적 페이로드 분석 및 변형 탐지 기능을 지원하는 서명 생성 파이프라인.
  • 빠른 악성 로직 검색 및 관련성 분석을 가능하게 하기 위해 정보 검색 기법 통합.

실험 결과

연구 질문

  • RQ1어떻게 다양한 제3자 소스에서 대규모로 Android 악성코드를 체계적으로 수집할 수 있는가?
  • RQ2어떻게 오브스큐레이션 및 재패키징에 저항할 수 있는 오퍼코드 수준 서명을 생성할 수 있는가?
  • RQ3기존 악성코드 가족과 연관지켜 새로운 알려지지 않은 악성코드(제로데이)를 어떻게 탐지할 수 있는가?
  • RQ4어떻게 메소드 및 클래스 수준에서 애플리케이션 간 악성 로직을 신뢰성 있게 연관지을 수 있는가?
  • RQ5오퍼코드 수준 서명은 변형되거나 재패키징된 악성코드 탐지에 얼마나 향상된 성능을 보일 수 있는가?

주요 결과

  • DroidAnalytics는 총 150,368개의 Android 애플리케이션을 수집하였으며, 이 중 2,494개가 102개의 서로 다른 가족으로부터의 악성코드로 확인되었다.
  • 시스템은 6개의 다른 가족으로부터 342개의 제로데이 악성코드 샘플을 성공적으로 탐지하여, 알려지지 않은 위협에 대한 조기 탐지 능력을 입증하였다.
  • 오퍼코드 수준 서명 접근법은 악성코드 작성자가 사용하는 일반적인 오브스큐레이션 및 재패키징 기법에 대해 강건함을 입증하였다.
  • 시스템은 전통적인 권한 기반 또는 해시 기반 방법보다 정확도와 민감도 면에서 뛰어난 성능을 보이며, 메소드 및 클래스 수준의 악성코드 연관을 효과적으로 구현하였다.
  • 유사도 스코어링 메커니즘은 오브스큐레이션되거나 변형된 변종에서도 높은 정밀도로 악성 코드 세그먼트를 신속하게 식별하는 데 기여하였다.
  • 평가 결과 DroidAnalytics는 악성코드 분석 효율성을 크게 향상시키며, 확장 가능한 자동화된 포렌식 조사 지원에 기여함을 확인하였다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.