Upload
phamdan
View
214
Download
0
Embed Size (px)
Citation preview
Kharon : Découvrir, comprendre etreconnaître des malware Android par suivi de
flux d’informationRendez-vous de la Recherche et de l’Enseignement de la
Sécurité des Systèmes d’Information, Troyes, 2015
Adrien Abraham & Radoniaina AndriatsimandefitraThomas Genet & Laurent Guillo
Jean François Lalande & David PichardieValérie Viet Triem Tong
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
2/15
Sécurité des tablettes et smarphones Android
Une application populaire,c’est
50 000 000 à 100 000 000téléchargementsfacile à soumettre surGoogle Playnoyée parmi tantd’autres : 800 000 appsdébut 2013 (Google Play)et donc éventuellementmalveillante : + 1200 %d’apps malveillantes en2012
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
3/15
Sécurité des tablettes et smarphones Android
Une application Android c’est aussidu bydecode Dalvikdes ressources : images, fichiers de config de l’appli . . .?
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
4/15
Que font les malware Android ?
Services payants à l’insu de l’utilisateurSMS surtaxés
Vol de donnéesrançon, publicité ciblée
Controle à distance du téléphone (RAT)pour la création de botnet
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
5/15
Que sont les malware Android ?
Souvent dissimulé dans une autre applicationpour augmenter la surface d’attaque
du bytecode dalvikobfusqué / chargé dynamiquement
du code natifobfusqué / chargé dynamiquement / auto-modifiant
On constate qu’il est difficile dereconnaitre statiquement un code malveillant inconnucomprendre ce que fait un code malveillant même reconnu
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
6/15
Néanmoins
Si deux applications sont infectées par le même malware alorsil y a des similarités dans leur comportements
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
7/15
Le projet labex CominsLabs Kharon (2015-2018)Construire une plateforme d’analyse en ligne
reconnaissant les apps infectéespermettant de découvrir de nouveaux malware
Calculer des signatures comportementalesqui caractérise avec précision ce que FAIT un malware
Proposer une bibliothèque de malware bien documentéeA disposition des chercheurs
Ressources humaines4 enseignants-chercheurs et un ingénieur (CentraleSulelec,ENS Rennes, INRIA, INSA Centre-Val de Loire, Univ. Rennes 1)
un ingénieur expert (1 an) et un doctorantDécouvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
8/15
Challenges
X Capturer le comportement de l’application dansson environnement
v Identifier statiquement du code malveillant
B Déclencher l’exécution du code malveillantB Executer tout le code malveillant
B Faire cela sur des millions d’applications
B Découvrir de nouveaux comportementsmalveillants
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
9/15
Capturer le comportement d’une application
Blare un moniteur de flux d’informationobserve comment une donnée marquée se propage dansle systèmeUtilise des techniques de taintinghttps://www.blare-ids.org/
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
10/15
Blare : Comment ça marche ?
1 On attache une marque aux données à surveiller2 Les marques sont propagées avec ces données
Marked data 1 cp file 2 cp Marked data
2
cp
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
10/15
Blare : Comment ça marche ?
1 On attache une marque aux données à surveiller2 Les marques sont propagées avec ces données
Marked data 1 cp file 2 cp Marked data
2
cp
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
10/15
Blare : Comment ça marche ?
1 On attache une marque aux données à surveiller2 Les marques sont propagées avec ces données
Marked data 1 cp file 2 cp Marked data
2
cp
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
10/15
Blare : Comment ça marche ?
1 On attache une marque aux données à surveiller2 Les marques sont propagées avec ces données
Marked data 1 cp file 2 cp Marked data
2
cp
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
10/15
Blare : Comment ça marche ?
1 On attache une marque aux données à surveiller2 Les marques sont propagées avec ces données
Marked data 1 cp file 2 cp Marked data
2
cp
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
10/15
Blare : Comment ça marche ?
1 On attache une marque aux données à surveiller2 Les marques sont propagées avec ces données
Marked data 1 cp file 2 cp Marked data
2
cp
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
10/15
Blare : Comment ça marche ?
1 On attache une marque aux données à surveiller2 Les marques sont propagées avec ces données
Marked data 1 cp file 2 cp Marked data
2
cp
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
11/15
Capturer le comportement avec BlareBlare produit des logs . . .
qui sont exactement l’histoire de l’information dans lesystème. . . mais ces logs sont longs. . . mais ces logs sont redondants
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong
12/15
System Flow Graph : visualiser les logs Blare ..
Logs become graphsNœuds sont des conteneurs d’information Fichiers,Processus, Sockets,Arcs indiquent des flux d’information
Les arcs et les nœuds sont étiquetésnœuds type, system id, nomArcs données impliquées, timestamps
Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong