Kharon : Découvrir, comprendre et reconnaître des malware ... file2/15 Sécurité des tablettes et...

Kharon : Découvrir, comprendre etreconnaître des malware Android par suivi de

flux d’informationRendez-vous de la Recherche et de l’Enseignement de la

Sécurité des Systèmes d’Information, Troyes, 2015

Adrien Abraham & Radoniaina AndriatsimandefitraThomas Genet & Laurent Guillo

Jean François Lalande & David PichardieValérie Viet Triem Tong

Découvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong

2/15

Sécurité des tablettes et smarphones Android

Une application populaire,c’est

50 000 000 à 100 000 000téléchargementsfacile à soumettre surGoogle Playnoyée parmi tantd’autres : 800 000 appsdébut 2013 (Google Play)et donc éventuellementmalveillante : + 1200 %d’apps malveillantes en2012


3/15

Sécurité des tablettes et smarphones Android

Une application Android c’est aussidu bydecode Dalvikdes ressources : images, fichiers de config de l’appli . . .?


4/15

Que font les malware Android ?

Services payants à l’insu de l’utilisateurSMS surtaxés

Vol de donnéesrançon, publicité ciblée

Controle à distance du téléphone (RAT)pour la création de botnet


5/15

Que sont les malware Android ?

Souvent dissimulé dans une autre applicationpour augmenter la surface d’attaque

du bytecode dalvikobfusqué / chargé dynamiquement

du code natifobfusqué / chargé dynamiquement / auto-modifiant

On constate qu’il est difficile dereconnaitre statiquement un code malveillant inconnucomprendre ce que fait un code malveillant même reconnu


6/15

Néanmoins

Si deux applications sont infectées par le même malware alorsil y a des similarités dans leur comportements


7/15

Le projet labex CominsLabs Kharon (2015-2018)Construire une plateforme d’analyse en ligne

reconnaissant les apps infectéespermettant de découvrir de nouveaux malware

Calculer des signatures comportementalesqui caractérise avec précision ce que FAIT un malware

Proposer une bibliothèque de malware bien documentéeA disposition des chercheurs

Ressources humaines4 enseignants-chercheurs et un ingénieur (CentraleSulelec,ENS Rennes, INRIA, INSA Centre-Val de Loire, Univ. Rennes 1)

un ingénieur expert (1 an) et un doctorantDécouvrir, comprendre et reconnaître des malware Android Valérie Viet Triem Tong

8/15

Challenges

X Capturer le comportement de l’application dansson environnement

v Identifier statiquement du code malveillant

B Déclencher l’exécution du code malveillantB Executer tout le code malveillant

B Faire cela sur des millions d’applications

B Découvrir de nouveaux comportementsmalveillants


9/15

Capturer le comportement d’une application

Blare un moniteur de flux d’informationobserve comment une donnée marquée se propage dansle systèmeUtilise des techniques de taintinghttps://www.blare-ids.org/


https://www.blare-ids.org/

10/15

Blare : Comment ça marche ?

1 On attache une marque aux données à surveiller2 Les marques sont propagées avec ces données

Marked data 1 cp file 2 cp Marked data

2

cp


11/15

Capturer le comportement avec BlareBlare produit des logs . . .

qui sont exactement l’histoire de l’information dans lesystème. . . mais ces logs sont longs. . . mais ces logs sont redondants


12/15

System Flow Graph : visualiser les logs Blare ..

Logs become graphsNœuds sont des conteneurs d’information Fichiers,Processus, Sockets,Arcs indiquent des flux d’information

Les arcs et les nœuds sont étiquetésnœuds type, system id, nomArcs données impliquées, timestamps


13/15


14/15

Un aperçu


15/15

Conclusion

La suiteidentifier statiquement du code suspicieuxexécuter et surveiller ce code suspicieuxêtre completpasser à l’échellerépertorier de nouveaux malwareoffrir un service en ligne


Kharon : Découvrir, comprendre et reconnaître des malware ... file2/15 Sécurité des tablettes et...

Documents

Transcript of Kharon : Découvrir, comprendre et reconnaître des malware ... file2/15 Sécurité des tablettes et...