[논문 리뷰] Enter Sandbox: Android Sandbox Comparison
이 논문은 악성 소프트웨어 탐지 능력을 평가하기 위해 15개의 동적 안드로이드 샌드박스 분석 플랫폼을 평가하며, 특히 마스터 키 취약성과 같은 오버헤드 기법을 중심으로 분석한다. 연구 결과, 플랫폼 간 코드 재사용으로 인해 상당한 중복성이 존재하며, 샌드박스의 한계를 악용하여 악성 소프트웨어가 탐지 회피가 가능하다는 점을 입증한다. 특히 마스터 키 버그를 통해 탐지가 회피되는 경우가 많아, 더 다양한 및 강력한 분석 기법이 절실하게 필요하다는 점을 시사한다.
Expecting the shipment of 1 billion Android devices in 2017, cyber criminals have naturally extended their vicious activities towards Google's mobile operating system. With an estimated number of 700 new Android applications released every day, keeping control over malware is an increasingly challenging task. In recent years, a vast number of static and dynamic code analysis platforms for analyzing Android applications and making decision regarding their maliciousness have been introduced in academia and in the commercial world. These platforms differ heavily in terms of feature support and application properties being analyzed. In this paper, we give an overview of the state-of-the-art dynamic code analysis platforms for Android and evaluate their effectiveness with samples from known malware corpora as well as known Android bugs like Master Key. Our results indicate a low level of diversity in analysis platforms resulting from code reuse that leaves the evaluated systems vulnerable to evasion. Furthermore the Master Key bugs could be exploited by malware to hide malicious behavior from the sandboxes.
연구 동기 및 목표
- 동적 안드로이드 샌드박스 분석 플랫폼의 악성 소프트웨어 탐지 능력 평가
- 기존 샌드박스 플랫폼 간 코드 재사용 정도 분석
- 마스터 키 버그와 같은 알려진 안드로이드 취약성이 샌드박스 탐지 회피에 악용될 수 있는지 평가
- 현재 샌드박스 솔루션 간 탐지 능력 격차와 다양성 부족점 규명
- 샌드박스 설계 및 다양성 향상을 통해 악성 소프트웨어 탐지 능력을 향상시키는 데 기여하는 통찰 제공
제안 방법
- 저자는 공개된 데이터베이스에서 확보한 알려진 악성 소프트웨어 샘플을 사용하여 15개의 동적 분석 플랫폼을 평가하였다.
- 마스터 키 취약성에 대한 플랫폼 행동을 분석하였으며, 이는 서명을 변경하지 않고도 APK 파일을 수정할 수 있는 알려진 안드로이드 버그이다.
- 플랫폼 간 탐지율과 행동 분석 결과를 비교 분석하였다.
- 기능 지원, 분석 깊이, 오브스큐레이션 또는 수정된 악성 소프트웨어 탐지 능력 기반으로 플랫폼을 평가하였다.
- 탐지 정확도 측정을 위해 정적 및 동적 분석 요소를 모두 포함한 평가를 수행하였다.
- 유사성과 차이점을 규명하기 위해 비교 분석을 실시하였다.
실험 결과
연구 질문
- RQ1기존 안드로이드 샌드박스 플랫폼은 공개 데이터베이스에서 확보한 알려진 악성 소프트웨어 샘플을 어느 정도 탐지하는가?
- RQ2이 플랫폼들은 마스터 키 취약성을 통해 어떤 정도 회피 공격에 노출되어 있는가?
- RQ3샌드박스 플랫폼 간 코드 재사용 정도는 어느 정도이며, 이로 인해 다양성이 떨어지고 탐지 효율성이 저하되는가?
- RQ4평가된 플랫폼 간 주요 기능 지원 및 분석 능력의 차이는 무엇인가?
- RQ5샌드박스 전용 동작 방식이나 한계를 악용하여 탐지를 회피할 수 있도록 악성 소프트웨어를 제작할 수 있는가?
주요 결과
- 많은 수의 샌드박스 플랫폼이 동일하거나 거의 동일한 탐지 행동을 보이며, 높은 수준의 코드 재사용을 시사한다.
- 마스터 키 취약성을 통해 기능 변화 없이도 서명을 변경함으로써 여러 샌드박스 플랫폼에서 악성 소프트웨어 탐지를 회피할 수 있었다.
- 플랫폼 간 탐지율 격차가 뚜렷했으며, 일부 플랫폼은 동적 분석을 사용함에도 불구하고 알려진 악성 소프트웨어를 탐지하지 못했다.
- 대부분의 플랫폼이 분석 히ュ리스틱에서 충분한 다양성을 확보하지 못해, 종합적으로 표적이 되는 회피 공격에 취약하다는 점을 발견했다.
- 많은 플랫폼이 알려진 안드로이드 버그를 악용한 오브스큐레이션 또는 수정된 악성 소프트웨어를 탐지하지 못해 설계적 결함을 드러냈다.
- 결과적으로 현재의 샌드박싱 접근 방식은 특정 구현 방식의 행동을 악용하는 정교한 표적 공격에 대비해 충분히 견고하지 않다는 점을 시사한다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.