基于蜜罐的Android惡意代碼動態分析

王力，萬園春，邱衛東

基于蜜罐的Android惡意代碼動態分析

王力，萬園春，邱衛東

針對目前Android平臺存在大量的惡意應用程序，設計并實現一種針對Android系統惡意代碼的動態檢測系統。該系統采用蜜罐的方式對惡意代碼進行觸發，大大提高了代碼覆蓋率，并且可以與其他檢測方法結合使用，對于惡意代碼分析具有很好的啟示作用。系統的實現則基于QEMU Android模擬器來進行深度定制開發，并實現相應的管理模塊，使多個蜜罐可以同時運行于一臺主機，多臺主機同時工作，進行大規模部署，提高檢測效率。該系統的設計為黑盒的方式，操作簡單，配置靈活，可以方便對其升級和維護。目前該系統已經在某大型互聯網公司進行部署，運行效果良好。

蜜罐；Android系統；惡意代碼檢測；動態分析

0 引言

自從2010年第一個Android平臺的木馬程序FakePlayer被發現之后，Android惡意代碼呈現快速的發展趨勢。特別是近年來，隨著移動安全領域的發展，一些安全分析工具和方法也逐漸被開發出來，比如反編譯、重打包等工具；而這些工具卻也被攻擊者來輕松地進行自動化、批量化的惡意代碼制作。惡意代碼給Android用戶帶來極大的危害，比如截取支付短信、自動發送短信訂閱增值服務等惡意行為，就會給用戶造成財產損失的威脅或后果。而且，隨著Android越來越復雜，碎片化的問題也愈加嚴重，導致很多已發現的系統漏洞無法得到及時修復，使得許多Android系統的惡意代碼能夠利用這些漏洞進行提權操作，危害性十分嚴重，這也導致Android平臺的惡意代碼問題一直處于高發態勢。

針對Android平臺嚴峻的安全形勢，安全研究人員也開發了一些惡意代碼檢測分析的工具和平臺，比如谷歌開發的一款名為Bouncer[1]的動態檢測系統，可以對Google Play上的應用使用沙盒技術進行分析。但是因為Android系統的開放性，如今 Android智能手機越來越受到歡迎，根據2015年Q2智能機市場份額報告可以看出，Android平臺的市場份額達82.8%。現在Android平臺上的應用數量以百萬計，據國外網站Statista統計，直到2015年11月份Google Play上可供下載的應用數量超過180萬[2]，此外還有其他各類應用市場，如安智市場、豌豆莢等。面對如此龐大的應用數量，檢測效率是一個瓶頸，而且針對本地的特殊情況，國外的一些檢測工具并不足以滿足國內用戶的需求，本文提出一種基于蜜罐的惡意應用動態檢測方案，并實現一套管理機制，可以將蜜罐進行大規模部署，從而提高針對一種或多種惡意行為的監測效率。

1 背景介紹

Android平臺的惡意代碼研究方向主要分為兩種：靜態分析和動態分析。也有一些檢測工具和平臺同時采用動靜態結合的分析方法，同時利用兩種方法各自的優點，實現更加精準和高效的惡意代碼檢測。

靜態分析是指在不安裝應用的條件下，使用軟件逆向的手段，對應用進行反編譯之后的代碼邏輯進行分析，判斷該

應用是否有惡意行為。這一領域的工具有很多，最典型的就是Androguard[3]，其他很多惡意代碼檢測系統都基于它開發。這些分析工具，主要是利用 Java代碼反編譯比較容易的特點，而且反編譯的代碼之后可閱讀性比較強，可以方便地在代碼片段中尋找惡意的邏輯。但是Android平臺的軟件保護技術越來越成熟，惡意代碼也利用這些技術對自己進行隱藏和保護，靜態分析的方法便顯得捉襟見肘。并且靜態分析的方法主要針對Java層的代碼，對于Native代碼的分析基本無能為力。

由于靜態分析的局限性，安全研究人員提出動態分析的方法。針對靜態分析難以突破代碼混淆、加密、反射調用等障礙，研究人員安裝并運行應用程序，通過運行期間的行為模式來判斷是否具有惡意行為。Android平臺的動態分析方法主要分為三種：一是基于系統關鍵API的調用監控技術，如本文設計的系統；二是基于指令流的動態分析技術，如DroidScope[4]、ParanoidAndroid[5]等；三是基于數據流的動態分析技術，如 TaintDroid[6]、DroidBox[7]等。但動態分析的方法也有自身局限性所帶來的問題，包括如何提升代碼覆蓋率[8]來觸發惡意邏輯，以及如何有效避免惡意應用檢測到自己運行在一個動態分析的環境中。

2 系統設計與實現

當前惡意代碼的動態檢測面臨的主要瓶頸就在于如何觸發惡意代碼，本文采用蜜罐這種方式來觸發惡意代碼，提高代碼覆蓋率，以期能夠減少惡意代碼的漏報率。

對于單個Android模擬器，動態監測模塊的配置框架如圖1所示：

圖1 動態檢測整體框架

如圖1所示，整個動態監測模塊分為蜜罐管理子模塊和行為監控子模塊。

2.1 蜜罐的設計

“蜜罐”是一種計算機安全機制，系統管理員通過對一個隔離的系統進行定制或者配置，給攻擊者造成迷惑，讓攻擊者以為自己運行在真實的主機環境，從而觸發自己的攻擊邏輯，然后系統管理員就可以通過蜜罐的監控模塊來對這些攻擊行為進行監控和分析。鑒于這樣的思路，并考慮到大規模部署的成本，本文選擇QEMU android模擬器作為基礎，結合API Hook技術和反-反模擬器技術對其進行定制，實現蜜罐環境。針對不同的情景，蜜罐的類型可以有多種，包括針對隱私竊取檢測的隱私蜜罐、針對root權限獲取的root蜜罐，以及針對漏洞利用相關的漏洞蜜罐等等。本文主要以短信蜜罐為例進行說明。

2.1.1 API Hook[9]框架

API Hook是通過控制應用對系統API的調用來達到監控應用行為的目的，涉及到Java Hook和Inline Hook，整體基于Cydia Substrate[10]框架實現。而且在這一層中我們設置過濾規則，將系統內置的應用過濾掉，將作用范圍集中到被檢測的樣本進程。這樣做的原因在于，既能提高系統的效率，同時也可以避免處理系統應用產生的信息所帶來的復雜性。

2.1.2 反-反模擬器

目前大多數Android應用都實現了反模擬器技術增加其安全性。模擬器與實體機器有很多不同，反模擬器技術就是通過檢測這些不同點來實現，通常有兩種方式：基于系統特殊文件的檢測和基于系統特殊屬性的檢測。在Android模擬器中有一些模擬器特有的文件，應用程序可以通過檢測當前運行系統中是否存在這些文件來判定自己是否運行在模擬器環境下；而且Android模擬器的一些特定的系統屬性也與實體機器有區別，應用程序也可以通過訪問系統屬性來檢測這些特定的屬性值來判斷自己的運行環境。惡意應用也會利用這些特點，從而針對模擬器環境隱藏自己的惡意邏輯，甚至不能運行。

而反-反模擬器技術就是通過對上面兩種檢測進行攔截，并返回實體機器環境下的正常值，以此避開應用程序的檢測。這一部分基本上也是通過Cydia Substrate框架實現。

2.2 短信蜜罐

目前Android平臺上大量的惡意行為主要以短信攔截和偷發為主，而且尤其針對銀行和支付軟件所發送的信息。我們設置的場景是：應用可能會攔截用戶收到的銀行或者支付軟件所發送的驗證信息，盜取用戶的資產，或者在用戶不知情的情況下向某些服務提供商發送訂閱短信，造成惡意扣費。這些都會給用戶的財產安全帶來很大的危害。

2.2.1 短信情景構造

蜜罐中的短信是由蜜罐的管理模塊向蜜罐模擬器發送的，為了檢測蜜罐中的應用對不同短信的反應和行為，我們構造了不同類型的短信，包括銀行和支付寶等金融相關的機構發送的驗證短信，也包括普通的會話短信。為了實現自動化處理，我們將這些短信寫入一個XML配置文件中，由管理模塊向蜜罐逐一發送。短信的配置文件內容如圖2所示：

圖2 短信情景構造

可以看到我們構造的短信內容涵蓋不同的類型，這樣就能夠更加精確地判斷待檢測應用程序攔截短信的行為。由于這些短信基本都是中文字符，用很多常用的短信發送命令都會導致亂碼。最終我們通過構建能夠正確傳輸中文的 PDU（protocol description unit）[11]數據，然后使用telnet連接作為蜜罐的 Android模擬器，再通過其自帶的短信發送命令“sms pdu {pdu}”[12]來發送短信。

2.2.2 評分細則和輸出格式

我們已經設置好了短信蜜罐，也能夠對應用程序進行檢測。接下來，就該對檢測結果進行評估。我們根據惡意行為發生的場景，預先對不同的行為設置不同的分值，分數越高代表對應行為危險程度越高，最后再將所有分數之和作為最終整體的評估標準。評分細則如表1所示：

表1 評分細則

access_calllog_data 訪問通話記錄3 access_bookmarks_data 訪問書簽數據 2

最終的動態分析結果以JSON[13]文件格式輸出，分為簡單報告和詳細報告兩種。詳細報告的格式如圖3和圖4所示：

圖3 JSON詳細報告（1）

圖4 JSON詳細報告（2）

其中score表示得分，0分表示沒有檢測出惡意行為，大于0分表示有惡意行為。items是一個映射表，key為惡意行為的名稱，如上圖中的 non_interactive_Root_Ac cess_Operation和non_interactive_Uninstalling_Silenced，分別表示root權限的獲取和靜默卸載。表中的每個value表示一條惡意行為，將其展開來看，繼續分為三個部分，score表示該行為的分值，type表示其所屬類型，logs保存了相關API的日志信息。

2.3. 行為檢測

各種蜜罐的檢測結果都依賴于系統能否準確地對各種惡意行為進行監控，所以我們需要一個行為檢測模塊來判斷應用的惡意行為是否被觸發。比如上文提到的短信蜜罐，因為Android系統是以廣播的形式來向所有正在運行的應用程序通知短信到達的信息，所以要判斷被測試的應用程序是否會攔截短信，就需要判斷其是否調用了android.content.Broad castReceiver.abortBroadcast()這個系統API；如果待檢測的應用搶先接收了短信廣播，并調用該API終止了短信的廣播消息，就能夠在用戶不知情的情況下攔截用戶的短信。因此我們對于行為檢測模塊主要是基于對系統敏感 API的監控來實現。

我們采用了可擴展的方式來對行為檢測模塊進行設計，以便于升級和維護，主要是將需要監控的系統敏感API分類寫入一個XML格式的配置文件中。對于待檢測的應用程序，系統會在其啟動之前預先讀取并分析該配置文件的內容，并對其中所列舉的系統API進行監控。

配置文件的內容如下圖所示：

圖4 行為檢測配置

該文件是按照層次化的組織形式來整理的，從高到低所對應的關鍵字表示的意義依次是：category表示API所屬類型，class表示API具體的類名，method表示API對應的方法名，item表示對惡意行為的描述。關于行為檢測模塊，我們也是通過打分機制來進行最終評估，不同惡意行為對應的打分細則如前文評分細則表所示。

2.4 系統的部署

前面已經詳細介紹了單個蜜罐的設計與實現。在本文中動態檢測系統被設計成為一個黑盒的形式，系統接收一個待檢測的應用，通過一系列內部處理獲得一個輸出報告，而黑盒主要是通過 Android模擬器對進行定制來實現。結合Android模擬器本身的特點，我們很容易能夠進行大量的部署。

同時，為了能夠提高系統的檢測效率，對于Android模擬器的啟動采用快照的方式。快照啟動的方式有兩個優點：一方面，可以消除前一被檢測應用程序在系統中留下的痕跡，從而每次分析待檢測的應用程序時能夠保證其運行在一個純凈的環境中避免干擾；另一方面，快照可以加快系統啟動速度，從而提高檢測效率。采用Android模擬器的方式可以在同一臺高性能的主機上同時運行多個Android模擬器，以并行的方式對應用程序進行檢測，這樣方便進行大規模部署。

但是這樣也會使管理變得比較復雜，本文采用了如圖5所示的架構設計：

圖5 部署架構

總體管理模塊負責管理各個主機，并從每個主機中定時獲取檢測結果；模擬器管理模塊負責對模擬器進行啟動和回收；模擬器通信模塊負責保證與每個模擬器之間的穩定鏈接，保證命令的正確傳輸。這三種模塊都是由Python開發。

3 實驗結果

本文在實現蜜罐動態檢測系統的基礎上，隨機選擇了10個樣本進行檢測，各個樣本的檢測時間如圖6所示：

圖6 動態檢測時間表

檢測時間包括：啟動動態檢測系統的時間、安裝樣本的時間和對樣本進行動態分析的時間。不同樣本之間的檢測時間也不相同，造成這一現象的主要原因有兩種：樣本的大小和具體申請的權限。樣本越大安裝時間越久，而樣本所申請的權限類型會影響到系統是否會啟動相關的蜜罐來對其進行監控。

從表中的數據可以得出，每個樣本的平均檢測時間為223.9 秒，每臺模擬器正常工作一天可以處理386個的樣本；若是有多臺主機，每臺主機上運行多個模擬器，這樣的處理效率相當可觀。

4 總結

本文針對Android平臺提出了一種基于蜜罐的惡意代碼動態檢測方法。通過試驗可以看出，這種檢測方法的效率比較理想，而且操作簡單，適合大規模部署；還具有配置靈活的特點，可以很容易進行升級和維護。并且，蜜罐可以與其他檢測方法結合使用，進而大大提高檢測效率和精度，這是值得后面研究借鑒的一種思路。但是本文的方法主要針對的是Java層的系統API的監控，而目前隨著開發人員技能的提升，很多惡意應用逐漸采用 native代碼進行開發，為Android平臺安全研究帶來新的挑戰。再者，通過蜜罐的方法雖然很大程度上提高了代碼的觸發率，但是針對很多情景效果依然不夠理想，比如惡意代碼的定時運行等，未來在這一方面也要進行更多的研究。

[1] Delosières L, García D. Infrastructure for detecting Android malware[M]//Information Sciences and Systems 2013. Springer International Publishing, 2013： 389-398.

[2] Statista. Number of available applications in the Google Play Store from December 2009 to November 2015 [EB/OL]. [2016-3-2]. http：//www.statista.com/statistics 266210/number-of-available-applications-in-the-google-pl ay-store/.

[3] Desnos A. Androguard： Reverse engineering, malware and goodware analysis of android applications... and more (ninja！)[EB/OL]. 2013-03-26]. http：//code.google.com/p/ androguard.

[4] Yan L K, Yin H. DroidScope： Seamlessly Reconstructing the OS and Dalvik Semantic Views for Dynamic Android malware analysis[C]//21st USENIX security symposium. Bellevue, USA. 2012： 569-584.

[5] Georgios Portokalidis, Philip Homburg, Kostas Anagnostakis, et al. Paranoid Android： versatile protection for smartphones[C]//Proceedings of the 26th Annual Computer Security Applications Conference. New York, USA. ACM ：2010.

[6] Enck W, Gilbert P, Han S, et al. TaintDroid： an information-flow tracking system for realtime privacy monitoring on smartphones[J]. ACM Transactions on Computer Systems (TOCS), 2014, 32(2)： 5.

[7] P Lantz, A Desnos, K Yang. DroidBox： An Android application sandbox for dynamic analysis [EB/OL]. (2014)[2016-3-2]. https：//code. google. com/p/droidbox.

[8] Chun-Ying Huang, Ching-Hsiang Chiu, Chih-Hung Lin, Han-Wei Tzeng. Code Coverage Measurement for Android Dynamic Analysis Tools[C]//Mobile Services (MS), 2015 IEEE International Conference on. New York, NY, USA： IEEE, 2015.

[9] Wikipedia. Hooking [EB/OL]. (2016-2-18)[2016-3-2]. https：//en.wikipedia.org/wiki/Hooking.

[10] Cydia Substrate [EB/OL]. [2016-3-2] http：//www.cydias ubstrate.com/.

[11] Advanced Wireless Planet. SMS PDU Mode [EB/OL]. (2009-04-18)[2016-3-2]. http：//www.gsm-modem.de/sms-pdu-mode.html.

[12] Matos V. Android Environment Emulator[J]. Cleveland State University, Jul, 2009, 20： 11.

[13] Tamada R. Android JSON Parsing Tutorial[J]. 2012.

Dynamic Analysis of Android Malware Based on Honeypot

Wang Li , Wan Yuanchun, Qiu Weidong
(School of Electronic Information and Electrical Engineering, Shanghai Jiao Tong University, Shanghai 200240, China)

A dynamic detection system is designed for detecting the increasing amounts of Android malwares. The system is innovatively implemented to trigger the malicious code with honeypots, which can efficiently expand the code coverage. Also, this method can work with other malware detection approaches, and it will be an important hint role in this field. QEMU Android emulator is used to develop the system with a deep customization. Meanwhile, a management model has been developed, which can make multi-emulators run on a host at the same time and many hosts liks this work together, so that the detection efficiency can be largely improved. Working just like a black box, the system can be operated easily and configured flexibly, and be allowed to maintain and update more conveniently. So far, this system has been deployed by an internet giant, and showed a good performance.

Honeypot； Android OS； Malware detection； Dynamic analysis

TP393

A

1007-757X(2016)11-0050-04

2016.10.13）

王 力（1993-），男，上海交通大學，電子信息與電氣工程學院，碩士研究生，研究方向：信息安全，移動平臺應用安全，上海 200240

萬園春（1991-），男，上海交通大學，電子信息與電氣工程學院，碩士研究生，研究方向：移動平臺應用安全，上海 200240

邱衛東（1973-），男，上海交通大學，電子信息與電氣工程學院，教授、博士，博士生導師，研究方向：計算機取證、密碼分析破解、

密鑰防護及電子信息對抗等，上海 200240