移动恶意软件规避检测行为的机理与检测方法研究

Security analysts use program analysis as a mechanism to understand malicious mobile application behaviors and to detect malwares. However, new malware instances have emerged with the capability to evade the detection of anti-malware analysis techniques, called detection-evasion techniques. Because such behavior deactivates the program analysis techniques as well as malware detection/protection tools based on them, the effectiveness of malware detection is greatly limited. In this proposal, we plan to introduce a new behavioral model as well as analysis techniques for combating detection-evasion techniques with a novel perspective. Our observation is that malwares normally evade some of the program analysis methods, leaving others unaffected. Thus, we can sample the application behaviors under given analysis technique and environment, then compare them with the behaviors under other techniques and environments. The comparison results reveal the logic of evasion techniques. However, runtime behavior of an application maybe variable if its inputs are not fixed. Thus, in order to obtain a robust comparison, we consider recording the non-deterministic events during the execution of the given application, and replaying them in another execution. Moreover, to reactivate program analysis tools on mobile applications with evasive behaviors, we need to consider how to combat with the new malware techniques. In order to capture malicious behavior hidden behind dynamic classloading and program encoding, we tend to record application logic after the application code is decoded at runtime. Furthermore, considering that some new mobile malware decodes its code increasingly at runtime, causing it difficult to record runtime logic with enough code coverage, we propose to drive the recording process with symbolic execution. Besides, to analyze malwares which check the runtime environment and show a disguised behavior under dynamic analysis environments, we plan to obfuscate the return values of system calls, using the information collected from other analysis environments which are not targeted by the given malware.

移动平台的攻防博弈促使恶意软件对抗程序行为分析和检测方法，催生了旨在规避检测工具识别的新型攻击行为（规避检测行为），造成主流的恶意行为检测技术发生大范围、级联式失效。这对移动恶意软件安全威胁的感知和防御构成严峻挑战。缺乏对攻防博弈中移动恶意攻击机理的深入理解，尤其是缺乏适用于恶意软件规避检测行为的分析技术，直接制约了检测和防范技术的发展。本课题拟聚焦于移动恶意攻击的规避检测行为这一问题，研究该行为的表述模型和分析方法，以感知和反制规避检测技术，使行为分析方法作用于具有规避检测行为的恶意软件。为自动感知规避检测行为，将研究基于差异化程序行为的软件异常行为分析方法，还将研究如何利用确定性重现驱动规避检测行为采样的技术。为反制恶意软件规避检测行为，将针对增量式解码等技术，研究利用符号化执行驱动运行时代码提取的技术；并针对动态行为伪装技术，研究通过迁移程序分析过程的环境信息，解除行为伪装的技术。

移动平台的攻防博弈促使恶意软件对抗程序行为分析和检测方法，催生了旨在规避检测工具识别的新型攻击行为，造成主流的恶意行为检测技术失效。这对移动恶意软件安全威胁的感知和防御构成严峻挑战。本课题聚焦于移动恶意攻击的规避检测行为这一问题，研究该行为的表述模型和分析方法；研究如何反制恶意软件规避检测行为；研究解除行为伪装的技术；在此基础上研究攻防博弈环境下恶意软件的有效检测方法，取得了较大进展，累计发表 CCF A类论文4篇，并有3篇论文已被CCF A类会议录用，将在2020年发表。.我们在国际上首次提出面向“恶意挖矿”类新型恶意软件的行为分析和检测技术，大幅提高了软件恶意行为的检出率。论文发表于信息安全顶级会议 ACM CCS 2018，并被列为CCS Highlight焦点论文。此外，我们首次提出了“应用虚拟化”等多类恶意软件规避技术的分析和检测方法。提出了基于软件签名不一致性和权限申明相似性的应用虚拟化行为检测方法,并提出了结合静态代码分析、自然语言处理和信息检索的跨安全主体资源操作行为分析方法。论文发表于信息安全顶级会议 USENIX Security 2018和网络方向顶级会议 ACM SIGMETRICS 2019。.本项目取得的代表性成果还有：.（1）我们提出基于界面上下文的用户输入隐私识别和泄漏检测技术，并在此基础上，提出一系列以插件为粒度的隐私数据细化跟踪和分析方法，首次将用户隐私的保护范畴拓展到用户输入隐私和云端用户隐私，相关成果发表于信息安全顶级会议NDSS 2018和CCF A 类期刊 IEEE TIFS 2017。.（2）我们提出了基于迭代式约束求解的程序输入自动生成方法，进而形成更高效、更高覆盖率的移动应用软件行为分析能力。相关成果已被系统安全顶级会议IEEE S&P 2020收录。.（3）我们提出了基于语义理解的漏洞分析方法，发现了包括原生安卓系统和小米、华为、三星等知名手机厂商的数十个安全漏洞。相关成功发表于信息安全顶级会议 ACM CCS 2018。.2018年，项目组负责人作为联合申请人得到自然科学基金“多层次软件架构的漏洞感知及防利用技术研究”（重点项目）支持。

内容获取失败，请点击重试