Skip to main content
QUICK REVIEW

[论文解读] Enter Sandbox: Android Sandbox Comparison

Sebastian Neuner, Victor van der Veen|arXiv (Cornell University)|Oct 28, 2014
Advanced Malware Detection Techniques参考文献 29被引用 28
一句话总结

本文评估了15个动态Android沙箱分析平台,以评估其在检测恶意软件方面的有效性,特别关注如主密钥漏洞等逃避技术。研究发现,由于代码重用,各平台之间存在显著冗余,并且恶意软件可通过利用沙箱限制(尤其是主密钥漏洞)实现逃避检测,表明亟需采用更多样化和更强大的分析技术。

ABSTRACT

Expecting the shipment of 1 billion Android devices in 2017, cyber criminals have naturally extended their vicious activities towards Google's mobile operating system. With an estimated number of 700 new Android applications released every day, keeping control over malware is an increasingly challenging task. In recent years, a vast number of static and dynamic code analysis platforms for analyzing Android applications and making decision regarding their maliciousness have been introduced in academia and in the commercial world. These platforms differ heavily in terms of feature support and application properties being analyzed. In this paper, we give an overview of the state-of-the-art dynamic code analysis platforms for Android and evaluate their effectiveness with samples from known malware corpora as well as known Android bugs like Master Key. Our results indicate a low level of diversity in analysis platforms resulting from code reuse that leaves the evaluated systems vulnerable to evasion. Furthermore the Master Key bugs could be exploited by malware to hide malicious behavior from the sandboxes.

研究动机与目标

  • 评估动态Android沙箱分析平台在检测恶意软件方面的有效性。
  • 调查现有沙箱平台之间代码重用的程度。
  • 评估已知Android漏洞(如主密钥漏洞)是否可被利用以逃避沙箱检测。
  • 识别当前沙箱解决方案在检测能力与多样性方面的差距。
  • 为通过改进沙箱设计与多样性来提升恶意软件检测能力提供见解。

提出的方法

  • 作者使用公开数据集中已知的恶意软件样本评估了15个动态分析平台。
  • 他们分析了平台在主密钥漏洞(一种允许在不改变签名的情况下修改APK的已知Android漏洞)下的行为。
  • 该研究比较了各平台在检测率和行为分析结果方面的表现。
  • 平台根据功能支持、分析深度以及检测混淆或修改后恶意软件的能力进行评估。
  • 评估同时包含静态和动态分析组件,以衡量检测准确性。
  • 进行了对比分析,以识别实现方式与检测逻辑上的异同。

实验结果

研究问题

  • RQ1现有Android沙箱平台在多大程度上能检测到来自公开数据集的已知恶意软件样本?
  • RQ2这些平台在多大程度上容易因主密钥漏洞而被逃避检测?
  • RQ3沙箱平台之间在多大程度上存在代码重用,从而降低其多样性与检测有效性?
  • RQ4所评估平台在功能支持与分析能力方面存在哪些关键差异?
  • RQ5是否可以设计恶意软件以利用沙箱特定行为或局限性来绕过检测?

主要发现

  • 大量沙箱平台表现出完全相同或近乎相同的检测行为,表明存在高度的代码重用。
  • 主密钥漏洞使恶意软件能够通过在不改变功能的前提下修改APK签名,逃避多个沙箱平台的检测。
  • 各平台的检测率差异显著,部分平台即使使用动态分析也未能检测到已知恶意软件。
  • 研究发现,大多数平台在分析启发式方法上缺乏足够多样性,使其整体易受针对性逃避攻击。
  • 许多平台未能检测到利用已知Android漏洞的混淆或修改后恶意软件,凸显设计缺陷。
  • 结果表明,当前沙箱方法在应对利用实现特定行为的复杂、针对性攻击时并不具备鲁棒性。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。