Tự Động Phân Tích Phần Mềm Độc Hại Android với Cuckoo Sandbox - GSOC 2016

Tự Động Phân Tích Phần Mềm Độc Hại Android với Cuckoo Sandbox - GSOC 2016

Edit
Cuckoo Sandbox là ?

Cuckoo Sandbox là một Automated Malware hệ thống phân tích mã nguồn mở. Cuckoo ra mắt và thực hiện phân tích khác nhau trên mỗi chương trình trong một máy ảo (sandbox). Đến nay, Cuckoo đã được hỗ trợ Windows, Linux, OS X và các ứng dụng Android. Sự hỗ trợ Android trong Cuckoo thương hiệu mới trong phiên bản 2.0 và công việc của tôi trên GSOC 2016 là bước đầu tiên để cải thiện mã số bảo hiểm của phân tích năng động cho các ứng dụng Android.


Google Summer of Code 2016
Đối với Google Summer of Code 2016, một trong những dự án tại The Honeynet Project được tích hợp vào DroidBot Cuckoo Sandbox. Tôi đã được làm việc trên dự án này trong 3 tháng với các cố vấn của tôi: Jurrian Bremer và Hanno Lemoine.
Tôi đã dành toàn bộ thời gian để reimplement DroidBot như một module phụ trợ cho máy phân tích Cuckoo Android, trong đó bao gồm:

    Refactoring DroidBot để làm cho nó tương thích với các thiết kế hiện tại của Cuckoo Sandbox. DroidBot trong Cuckoo Sandbox sẽ chỉ làm việc với chính sách sự kiện năng động bởi vì nó là sự lựa chọn tốt nhất để phân tích phần mềm độc hại và tất cả các tương tác phải được tự động.
    Cải thiện thư viện API. Cuckoo Sandbox đã có một thư viện API nghèo mà chỉ hỗ trợ cài đặt và thực hiện mẫu, chụp ảnh màn hình, bán phá giá các bản ghi và thực hiện các trình duyệt. Bởi vì DroidBot sử dụng một thư viện AndroidViewClient thứ 3 và chúng tôi không muốn mang lại cho toàn bộ thư viện vào phân tích Android, tôi đã thu thập các API được yêu cầu của DroidBot, reimplement chúng trong thư viện Cuckoo API. Những API có thể được sử dụng bởi các module khác trong tương lai.
Và một sự thay đổi lớn mà tác động đến hệ thống Cuckoo Sandbox: cấu hình phân tích bây giờ hỗ trợ định dạng JSON. Sự thay đổi này làm cho Cuckoo Sandbox phân tích trở nên linh hoạt hơn. DroidBot mất advatange của sự thay đổi này để vượt qua kết quả phân tích tĩnh để phân tích bên trong máy ảo.
Với DroidBot, Cuckoo hiện nay có khả năng tự động tương tác với các ứng dụng Android bằng cách mô phỏng nhiều sự kiện:

    Broadcasting intents.
    Pressing keys.
    Touching, dragging.
    Typing.

 Nhưng đó cũng là một hạn chế mà chúng ta đang phải đối mặt:

    Chúng tôi không thể mô phỏng các cuộc gọi đến điện thoại, tin nhắn SMS, vv trong các môi trường ảo. Trước đây, DroidBot có thể mô phỏng các sự kiện bằng cách sử dụng dịch vụ GSM, nhưng nó đòi hỏi DroidBot để kết nối với các thiết bị thông qua kết nối telnet. Bởi vì DroidBot nay được thực hiện bên trong các máy ảo, chúng ta không thể làm cho nó làm việc.


cài đặt 
Phiên bản mới nhất của Cuckoo Sandbox có sẵn trên Github.

The improvement

Để đánh giá sự cải thiện của các phân tích năng động, malware Android được chọn làm mẫu. Ảnh chụp màn hình và các bản ghi xác định tính hiệu quả của xâm nhập.
Sample 1
Figure 1. Sandbox is started
Figure 1. Sandbox is started
Figure 2. The sample is installed and launched with a fake Adobe Flash Player screen
Figure 2. The sample is installed and launched with a fake Adobe Flash Player screen
Figure 3. The sample pops up a message box
Figure 3. The sample pops up a message box
Figure 4. Cuckoo clicked OK button
Figure 4. Cuckoo clicked OK button
Figure 5. The sample asks for administration perrmision
Figure 5. The sample asks for administration perrmision
Figure 6. After Cuckoo automatically clicked Activate button
Figure 6. After Cuckoo automatically clicked Activate button
Figure 7. A fraudulent screen
Figure 7. A fraudulent screen
Figure 8. Cuckoo scrolls the view
Figure 8. Cuckoo scrolls the view
Sensitive behaviours of the sample are logged :
Decode URL and HTTP parameters
Decode URL and HTTP parameters
Get device and network operator information
Get device and network operator information
Get SIM information
Get SIM information
Sample 2:
Figure 9. The sample starts with a message box
Figure 9. The sample starts with a message box
Figure 10. After clicked OK, a screen with pornographies is executed
Figure 10. After clicked OK, a screen with pornographies is executed
Figure 11. Cuckoo automatically scrolls the view
Figure 11. Cuckoo automatically scrolls the view
Figure 12. Cuckoo automatically interacts with the application
Figure 12. Cuckoo automatically interacts with the application
Collected sensitive behaviours :
The application finds a native library named libus.so
The application finds a native library named libus.so
Get information about the device and network operator
Get information about the device and network operator
Open files
Open files
Register receivers
Register receivers
Leak sensitive information
Leak sensitive information
 
Bài viết được dịch từ blog tinduong
 
Share on Google Plus

About Vo Uu

Tác Giả là người chuyên nghiên cứu về các kỹ thuật hacking, security, marketing, là người có góc nhìn lạ và đi sâu vấn đề cũng như là một con người thẳng thắn góp ý. Nếu sử dụng bài trên blog mong các bạn dẫn lại nguồn tác giả!!! Tác Giả rất mong có sự đóng góp hội ý từ cộng đồng để cho an toàn an ninh mạng việt nam ngày càng được an toàn hơn!!

1 nhận xét:

  1. Anonymous13 March 2022 at 01:35

    Tự Động Phân Tích Phần Mềm Độc Hại Android Với Cuckoo Sandbox - Gsoc 2016 - Blog Vô Ưu Hacking And Security >>>>> Download Now

    >>>>> Download Full

    Tự Động Phân Tích Phần Mềm Độc Hại Android Với Cuckoo Sandbox - Gsoc 2016 - Blog Vô Ưu Hacking And Security >>>>> Download LINK

    >>>>> Download Now

    Tự Động Phân Tích Phần Mềm Độc Hại Android Với Cuckoo Sandbox - Gsoc 2016 - Blog Vô Ưu Hacking And Security >>>>> Download Full

    >>>>> Download LINK

    ReplyDelete

Subscribe to: Post Comments ( Atom )