面向安卓Malware逆向分析用例自動生成的研究

焦　健,肖　慶

(1.北京信息科技大學 計算機學院,北京　100101;2.廣西師范大學 歷史文化與旅游學院,廣西 桂林　541004)

?

面向安卓Malware逆向分析用例自動生成的研究

焦健1,肖慶2

(1.北京信息科技大學 計算機學院,北京100101;2.廣西師范大學 歷史文化與旅游學院,廣西 桂林541004)

摘要:文章提出了一種針對安卓惡意代碼的逆向分析用例自動生成系統,系統從XML敏感權限分析入手,使用程序切片技術從惡意代碼中獲取調用序列,再利用逆向用例生成技術獲得其對應的用例圖,幫助分析人員準確獲知代碼的真實意圖。實驗結果表明,該系統對基于安卓的系統惡意代碼有較為準確的用例還原效果,使用該系統還可以對安卓惡意代碼家族的相似性和演變實施深入分析。

關鍵詞:惡意代碼;逆向分析;程序切片;用例圖

0引言

惡意代碼近年來已經成為危害互聯網的主要威脅之一,特別是對移動互聯網的威脅尤為突出。以安卓系統為例,安天實驗室的移動安全報告[1]顯示,自2011—2015年,被發現代碼的增長速度呈現快速增長的態勢,惡意代碼的檢測和識別工作面臨著嚴峻的挑戰。

目前針對網絡惡意代碼檢測最有效的技術是基于特征碼的檢測方式[2],分析人員通過手工的方式識別出源程序中的惡意代碼,并提取特征值存入惡意代碼特征庫,以此為基礎對未知軟件實施檢測。但該方法一直面臨惡意代碼混淆和變種的挑戰[3],因此近年來針對惡意代碼檢測的技術開始逐漸向代碼行為和語義方向發展[4]。研究者試圖通過污點傳播技術[5]、系統調用[6]和動態分析[7]等技術對惡意代碼實現深層次的挖掘,并取得了一定的進展,但這些技術的介入也極大地增加了惡意代碼識別過程的資源開銷,特別是面向動態代碼的分析技術,始終無法避免執行監控過程中的單一路徑問題[8]。

文獻[9]針對APP中特殊的操作行為,通過對代碼實施語義分析給出了一種可視化的檢驗方法,但惡意代碼的分析人員仍然需要對大量的源代碼實施人工分析,從中找出可疑樣本并完成分析工作。對此本文研究了一種實現惡意代碼逆向分析的提取系統,借助程序切片和逆向工程的方法,從源程序中快速發現匹配的可疑樣本,而后對該代碼實施用例一級的逆向分析和描述。

1模型描述

本文系統分為初始化、切片生成、用例逆向生成等幾個主要階段。系統的工作過程描述如圖1所示。

由于安卓系統對系統訪問權限有嚴格的要求,目前已知的安卓惡意代碼的主要種類可分為惡意扣費、信息竊取、遠程控制等8類內容。分析可知這些行為都涉及外部通信調用、敏感信息訪問等調用操作,因此可以從系統的敏感行為(Supicious Action)入手,構建行為數據庫,主要記錄可能用于實現惡意功能的系統函數調用,從目前已有的資料顯示來看,大部分惡意代碼的實現是依靠系統函數的調用。

圖1　系統結構圖

在系統初始化階段,為保證檢測的準確性,對Andorid系統中XML文檔做初步解析。XML文檔對于APP系統的訪問權限有著比較明確的規定,而網絡APP的實現需要大量API的支持,因此針對不同的訪問權限和API之間具備對應的映射關系,獲取其中的敏感函數,使用針對此類調用的程序切片方法獲得其具體的程序切片序列。

程序切片[10]是指程序中與某個輸出有關的部分語句和控制謂詞及相關內容的集合,因此對于JAVA代碼而言,其程序切片應該是針對惡意操作而引發的一系列程序語句以及相關的變量內容,其切片的主要表示形式如下:

(1)

其中,fun(par1,par2，…)為需要執行的特權信息的API;CallFuni(par1,par2，…)為調用該API的有關函數,該相關函數被其他函數進一步調用的結果可以表示為:

(2)

在切片的生成過程中,XML中的訪問權限可能會涉及多個敏感API操作,因此會生成多個程序切片,其程序切片之間存在交叉的可能,因此需要使用相關的生成規則獲取。為描述方便,進一步構造調用序列圖(ISG)來表征系統的實現過程,調用序列圖可以形式化表示為:

ISG=〈F,I,R〉；

其中,F為系統調用組成的集合,該集合中包含若干敏感API和相關的調用函數;I為系統調用涉及的輸入和輸出內容,可記作:

R為函數和輸入輸出集合組成的邊集,記作R?IF。

程序切片到ISG的生成規則如下:

(1)fun(),CallFun()→F,表示將程序切片中的調用函數轉換成ISG中F的元素。

(2){par1,par2,…}→I,表示將程序切片中函數所需要的參數轉換成為ISG中I的元素。

假定在調用函數過程中,某惡意函數的調用集合F表示為:

F={init,start-B,start-C,start-D,download,install};

輸入和輸出內容I可以記作:

I={para,null,url,apk.nothing}。

根據轉換規則可得到ISG樣例，如圖2所示。

圖2　ISG樣例

由圖2可以看出從初始化函數開始整個函數的調用過程。該過程中系統運行的初始狀態分別為初始化和定時,經過不同的序列變換,分別進入start-B、start-C和start-D 3個線程,其中后2個線程分別執行程序安裝和調用的組合功能。

2用例還原算法

根據ISG圖中所蘊含的信息,可將圖中的節點分成3類,即源節點、中間節點和端節點。

源節點表示只有匯出數據而無匯入數據的節點;中間節點指既有匯出信息又有匯入信息的節點;端節點指只有匯入信息的節點,根據匯入的路徑又可以劃分為sink節點和end節點,其中sink型節點表示有多條信息匯入的節點,end則表示有1條信息匯入的節點。根據不同的節點類型,調用序列的描述可以分為2類。

(1)對于從源點出發,到達任意一個end節點的路徑,記作:

link-end={(s,m1,m2,…，mi,d)|s∈S,m∈M,d∈Dend}。

(2)對于從源點出發到達每一條經不同信息匯入sink節點的路徑,記作：

從圖2中的ISG樣例可抽取出序列1到序列6的調用序列,具體內容見表1所列。

表1　調用序列表

在獲取序列之后,系統借助M-M的原理[8]需要完成逆向還原,該過程主要目的是從已經獲得的序列圖中獲取相關片段,并根據各個片段構造相關的用例。

主要內容如下:

(2)序列圖交叉和匯總節點解析。從序列圖分析可知,多個序列存在交叉和匯總節點。例如節點NULL中匯集了1、2、3等多條序列,該節點可以作為一個歷程節點,從歷程節點之后的序列作為單獨的片段;當多個序列匯集到某一個節點并且序列終結時,該節點可以記作匯聚節點。

構造用例還原算法如下:

Algorithm abstract-case

Input:G={n,link}

while ?qi(qi(end)≠terminal)

Q←qi,G←G-qi

J←joint-end(Q)

E←terminal-end(Q-J)

J∪E

其中,G為輸入的序列集合;輸出為用例集合J∪E。

算法中的函數joint-end()從多個序列中找出重疊的序列片段并將其作為獨立片段存在,輸出則由集合J表示。函數terminal-end()則對序列中具有環路的節點實施消解,獲得非重疊區域內的獨立片段內容。算法中的J∪E是分解后獲得的程序片段,即還原的用例部分,各用例由一系列操作構成,各個片段之間依據各自的關系確定彼此的調用關系。其中,集合J中的用例由于會在多條序列中重疊出現，需要表明被其他序列調用的結果,因此集合中元素可以表示為〈e,s〉,e∈E;集合E中的元素表示為〈s,j〉,j∈J;合集J∪E根據元素調用的前后順序,決定彼此功能用例的先后順序。

3系統驗證

本實驗系統以惡意代碼的樣例為基礎,通過對其實現分析,最終產生描述惡意代碼功能的用例圖功能分析報告。驗證過程首先從權限分析入手,針對敏感調用信息,完成ISG建模和用例生成,同時對算法的性能實施有效分析。

3.1實例分析

木馬Trojan-Spy.AndroidOS.Zitmo.a主要用來實現對移動終端客戶隱私信息的收集和向服務器端的發送過程,涉及后臺程序的安裝、線程廣播監聽等多種敏感程序的調用,其XML如圖3所示。從圖3中可以看出,木馬涉及了發送調用SMS和截獲SMS的權限。

圖3　Trojan-Spy.AndroidOS.Zitmo.a XML

從發送和監聽SMS等敏感性操作入手,系統Suspicious action 數據庫中存儲有相應的記錄信息,內容見表2所列。系統使用切片算法,構造對應圖描述可疑行為的ISG,如圖4所示。

表2　木馬敏感系統調用信息

圖4　Trojan-Spy.AndroidOS.Zitmo.a ISG

由圖4可知,切片結果顯示在可疑的API調用時分別在該軟件中產生了4條分支流程。

從圖4中抽取出調用序列,使用算法abstract-case實現用例的還原,可得到用例圖，如圖5所示。從圖5中可以得出該惡意軟件的調用過程為:主用例為系統的激活函數,負責啟動有關后臺功能(線程)；4個子用例分別表示激活后惡意代碼竊取各種隱私信息并傳輸的行為。

圖5　恢復用例圖

3.2系統性能測試

本系統以北卡羅萊納Malware數據庫[11]提供的惡意代碼數據庫為例,對其中主要的幾類惡意代碼進行了相關分析。設定其相似度計算公式為:

其中,e、e′為2個需要進行比較的用例圖;函數case(e,e′)為用例圖中用例不重合的個數;函數rel(e,e′)為用例圖中用例關系不一致的個數。

目前惡意代碼可以根據其功能的相似性分成若干家族類,采用本系統可以對某家族的惡意代碼實現用例的相似性比較,以母本的惡意代碼為基準,對生成的用例圖進行同構比較,每個家族選取5個比較樣本,計算其平均同構相似度值,比較結果如圖6所示。

圖6　惡意代碼用例相似度比較

由圖6可以看出,由于目前惡意代碼家族普遍采用軟件包復制的方式實現惡意功能,因此大部分惡意代碼還原后的用例圖具有比較高的相似性,基本相似度在90%以上。但也存在例外,例如ADRD家族代碼相似度偏低,通過比較發現在該家族的惡意代碼樣本中,存在個別惡意代碼樣本有較大變化(其特征值為4de0d89979-49265a4b5647bb9f9d42926bd88191)，改變了以往傳統模式下HTTP協議通信基礎,而采用SMS方式。雖然這一情況目前還屬于個例,但通信手段的日益多樣化和編程技術的普及將會對惡意代碼家族的變異特征帶來新的不確定因素。

4結束語

本文構造了一種用于分析安卓惡意代碼的自動化系統,從XML文檔中的權限入手,對敏感函數的調用進行序列化分析,并依據API功能逆向分析還原出整個惡意代碼用例圖。通過對惡意代碼的逆向還原用例過程,幫助分析人員較快地實現惡意代碼的定位。

[參考文獻]

[1]安天AVL Team.2011年信息安全威脅綜合報告[EB/OL].[2015-12-01].http://blog.avlyun.com/2016/02/2759/2015report/.

[2]Yin H,Song D,Egele M,et al.Panorama:capturing system-wide information flow for malware detection and analysis[C]//Proceedings of the 2007 ACM Conference on Computer and Communications Security.ACM,2007:116-127.

[3]Christodorescu M,Jha S.Testing malware detectors[C]//Proceedings of the 2004 ACM SIGSOFT International Symposium on Software Testing and Analysis.ACM,2004:34-44.

[4]王蕊,馮登國,楊軼,等.基于語義的惡意代碼行為特征提取及檢測方法[J].軟件學報,2012,23(2):378-393.

[5]Newsome J,Song D.Dynamic taint analysis for automatic detection,analysis,and signature generation of exploits on commodity software[C]//Proceedings of the 12th Annual Network and Distributed System Security Symposium.Intemet Society,2005:18-35.

[6]Kirda E,Kruegel C,Banks G,et al.Behavior-based spyware detection[C]//Proceedings of the 15th Conference on USENIX Security Symposium.Berlin:Springer-Verlag,2006:273-288.

[7]Willems C,Holz T,Freiling F.Toward automated dynamic malware analysis using CWSandbox[J].IEEE Security and Privacy,2007,5(2):32-39.

[8]Lucca G A D,Fasolino A R,Carlini U D.Recovering use case models from object-oriented code:a thread-based approach[C]//Proceedings of the Seventh Working Conference on Reverse Engineering.IEEE,2000:108-117.

[9]Zhan Y,Yan Y,Xu B,et al.Vetting undesirable behaviors in Android apps with permission use analysis[C]//Proceedings of the 2013 ACM SIGSAC conference on Computer and Communications Security.ACM,2013:611-622.

[10]Mark W.Program slicing:formal,psychological and practical investigations of an automatic program abstraction method[D].Ann Arbor:University of Michigan,1979.

[11]Zhou Y,Jiang X.Android malware genome project[EB/OL].[2015-02-16].http://www.malgenomeproject.org/.

(責任編輯胡亞敏)

On case auto generation using reverse analysis for Android malware

JIAO Jian1,XIAO Qing2

(1.School of Computer Science,Beijing Information Science and Technology University,Beijing 100101,China;2.College of History,Culture and Tourism,Guangxi Normal University,Guilin 541004,China)

Abstract:In this paper,a case auto generation system using reverse analysis for Android malware is presented.The system extracts the sensitive access from the XML,obtains the calling sequences using the program slicing technique,and generates the corresponding case diagrams by reverse generation techniques,which helps analysts accurately acquire the true intentions of malware.The experimental results show that the system has good accuracy in reversing case,and it can be used to analyze the similarity among the samples in Android malware family and their evolution.

Key words:malware;reverse analysis;program slice;use case diagram

收稿日期：2015-06-23；修回日期：2016-02-09

基金項目：國家自然科學基金資助項目(61370065)

作者簡介：焦健(1978-),男,,河北滄州人,博士,北京信息科技大學副教授.

doi:10.3969/j.issn.1003-5060.2016.04.007

中圖分類號:TP393.08

文獻標識碼：A

文章編號：1003-5060(2016)04-0466-05