英语原文共 11 页,剩余内容已隐藏,支付完成后下载完整资料
揭露Android勒索软件的面貌:表征和实时检测
摘 要:近年来,我们目睹了勒索软件的急剧增加,尤其是在包括Android在内的流行移动平台上。勒索软件通过控制受害者的设备或文件来勒索受害者金钱。考虑到它们的快速增长,迫切需要开发有效的对策解决方案。但是,研究社区仍然受到缺乏全面数据集的限制,并且在野外对移动勒索软件没有深入的了解。在本文中,我们专注于Android平台,旨在表征现有的Android勒索软件。具体来说,我们已经成功收集了2,721个勒索软件样本,涵盖了大多数现有的Android勒索软件系列。基于这些样本,我们从多个方面(包括时间轴和恶意功能)对它们进行系统地表征。此外,现有防病毒工具的检测结果令人失望,这显然需要定制的防移动勒索软件解决方案。为了检测通过加密数据来勒索用户的勒索软件,我们提出了一种新颖的实时检测系统,称为RansomProber。通过分析相关活动的用户界面小部件以及用户手指移动的坐标,RansomProber可以推断出文件加密操作是否由用户发起。实验结果表明,RansomProber可以以高精度和可接受的运行时性能有效地检测加密勒索软件。
索引词-勒索软件,Android,实时检测,用户界面(UI)指示器。
2017年5月21日收到手稿;于2017年10月17日修订2017年12月7日;2017年12月8日接受。发布日期2017年12月28日;当前版本的日期为2018年1月30日。这项工作部分得到了中国国家自然科学基金的资助,资助项目为61572380、61772383、61702379,U1536106、61728209和61628202,部分获得了国家重点研究的支持。 2016QY04W0805赠款的中国发展与发展计划,部分由2014CB340600赠款的国家重点基础研究项目计划,部分由中国国家青年杰出人才计划,部分由中青年创新促进协会提供,由北京新星计划(North Beijing Program),部分由亚利桑那州立大学网络安全和数字取证中心以及信息与通信技术促进研究所(IITP)根据Grant MSIT-2017-0-00168进行。协调该稿件的审查并批准出版的副编辑是David Starobinski教授。(通讯作者:王驰恒)
陈洁现任航空航天信息安全重点实验室
武汉大学计算机学院教育部可信计算与信任计算中心,武汉430072,通信安全科学与技术实验室,四川成都610041(电子邮件:chenjing@whu.edu.cn)。
C. Wang是武汉大学计算机学院航空航天信息安全与可信计算教育部重点实验室,武汉430072(电子邮件:chwang@whu.edu.cn)。
Z. Zhao在亚利桑那州坦佩市亚利桑那州立大学计算机,信息学和决策系统工程学院任职,美国亚利桑那州85287(电子邮件:zmzhao@asu.edu)。
Chen K.曾就职于中国科学院北京信息工程学院SKLOIS,北京100049,还曾就职于中国科学院大学网络安全学院,北京100190(电子邮件:chenkai @ iie。 ac.cn)。
- 杜先生在中国武汉市空间技术协同创新中心工作,武汉430079(电子邮件:duraying@whu.edu.cn)。
G.-J.Ahn在亚利桑那州坦佩市亚利桑那州立大学(亚利桑那州85287)以及韩国首尔三星研究公司(电子邮件:gahn@asu.edu)。
本白皮书中一个或多个附图的彩色版本可在线获得,网址为:http://ieeexplore.ieee.org.
数字对象标识符10.1109 / TIFS.2017.2787905
Ⅰ介绍
顾名思义,RANSOMWARE是任何类型的恶意软件,都需要通过阻止受影响的用户访问其设备或数据来要求他们提供一定的资金。勒索软件采用的方法包括但不限于加密文件和锁定屏幕。在执行恶意行为之后,勒索软件通常会显示有关受害者如何通过付费来获取其数据的消息(称为勒索)。为了恐吓受害者获得更高的赎金成功率,勒索软件还显示了一系列威胁性消息或指责。
仅在2014年8月,《纽约时报》报道说,有超过900,000部Android手机被名为ScarePackage [1]的勒索软件家族感染,并且情况继续恶化。2017年5月,全世界目睹了一个名为WannaCry [2]的可怕勒索软件,在前三天中已感染了150个国家/地区的35,000台设备。WannaCry通过加密他们的文件(例如,临床病史,论文和帐户),以300-600美元的高价勒索了许多组织(例如,学校,医院和加油站)的受害者。2017年6月,迈克菲实验室(McAfee Lab)声称勒索软件的总数已达到1000万,勒索软件将在不久的将来成为最致命的威胁之一[3]。
在本文中,我们重点讨论Android勒索软件的问题。最近,已经设计了几种独立的系统来检测勒索软件[4] – [9]。例如,ShieldFS监视低级文件系统活动,以检测一个或多个进程是否违反了一组自适应模型[5]。但是,如果没有供应商的帮助,以特权内核模式运行的条件将ShieldFS部署在移动设备中。UNVEIL提出了一种基于行为的方法,该方法利用动态分析来大规模检测新的PC勒索软件[6]。CryptoDrop是一个基于行为的预警系统,用于检测Windows平台上的加密勒索软件[7]。尽管这些勒索软件检测系统在识别PC勒索软件方面非常有效,但无法确定加密行为是否来自用户的良心。另外,HelDroid是一种离线检测系统,它通过利用静态分析方法针对Android勒索软件[8]。即使达到很高的检测精度,它也处于非实时模式,并且无法及时检测智能手机上的恶意软件。
不幸的是,研究社区仍然受到缺乏全面的Android勒索软件数据集的限制。结果,在野外对Android勒索软件缺乏深入的了解,这使得研究人员难以开发有效的缓解方案。此外,在移动设备上运行的检测方法应轻巧以便为用户提供良好的体验,这使得将现有PC解决方案直接应用于移动设备的做法不可行。
因此,在第一步中,我们对Android勒索软件进行了全面的评估,包括对其发现的时间表进行分析,并根据其详细行为对其进行全面表征。该分析基于真实的数据集,该数据集包含从15个不同的家庭中收集的2,721个样本,这似乎是Android勒索软件的第一个大型集合。我们详细阐述了Android勒索软件的特定恶意功能,例如屏幕锁定,文件加密,权限滥用,威胁文字和付款。具体来说,在我们的2,721个勒索软件样本中,我们发现其中879个通过加密文件来勒索用户。请注意,没有解密密钥几乎不可能检索加密文件,这表明需要直接在移动设备中检测加密勒索软件。
在第二步中,我们提出了一种动态分析方案来检测通过加密私有数据来勒索用户的Android勒索软件。具体来说,我们设计了一种新颖的方法来区分良性应用程序(apps)和勒索软件样本之间的用户界面(UI)差异。为了隐藏自身,勒索软件通常不会在攻击过程中向受害者显示加密过程。相反,良性应用程序通常在活动中提供明显的符号(称为UI窗口小部件),例如突出显示文本和显式按钮。这激发了我们对文件加密的自动用户意图分析的工作,这是通过分析相关活动的UI小部件以及用户手指运动的坐标来实现的。
第三步,我们构建了一个实时检测系统RansomProber。通过监视敏感资源上的操作,RansomProber利用三个UI指示器来检查加密操作是否符合用户的期望。与非实时模式相比,实时模式可以报告运行时发生的可疑行为。此功能对最终用户具有吸引力,可以避免勒索软件的不可逆转的破坏。
本文的主要贡献如下:
我们对15个不同系列的2,721个Android勒索软件样本进行了大规模分析,包括时间表和恶意功能。据我们所知,我们的工作涵盖了大多数现有的Android恶意软件,并反映出对它们的首次系统研究。我们计划将数据集发布给研究社区。
我们开发了一种自动UI分析技术来判断加密操作的合法性。通过从相关活动和执行文件加密时用户手指移动的坐标中提取三个典型的UI指标(即文件列表,提示文本和按钮),我们的技术可以有效地确定操作是否有害。
我们实施了一个实时检测系统,并在收集的数据集上评估了其有效性。实验表明,我们的系统能够高精度,高效地检测类似加密勒索软件的行为。此外,运行时性能分析还证明了RansomProber的可用性。
本文的其余部分安排如下。第二部分介绍了现有Android勒索软件的时间表分析,并详细说明了其恶意功能。之后,第三部分详细介绍了RansomProber的设计,第四部分详细介绍了我们的原型实现。第五节和第六节讨论了RansomProber的评估结果和局限性。第七节介绍了相关工作,第八节总结了本文。
Ⅱ背景:Android勒索软件的特征
为了了解Android中的勒索软件行为,我们首先介绍一些Android的背景知识。在Android中,每个程序都包含在一个apk文件中,该文件包含所有程序的代码,资源,资产,证书和清单文件。用户可以从许多渠道安装应用程序,包括官方市场(例如Google Play商店)和第三方市场(例如Amazon App Store)。此外,用户可以从任何网站下载应用程序并将apk文件复制到设备,这进一步促进了Android的普及。不幸的是,这种流行也吸引了恶意软件作者的注意力。即使官方市场和第三方市场都部署了安全机制来防止恶意软件的传播,网络的开放性仍然为攻击者提供了很多可能性,例如通过电子邮件和网络钓鱼站点进行传播。
Android应用程序可以具有四种类型的组件:活动,服务,广播接收器和内容提供者。活动定义了图形用户界面及其与用户动作的交互。不同地,服务是在后台运行的组件,执行长时间运行的操作。为了避免引起用户的注意,恶意软件作者始终将服务组件用于非法行为。广播接收器是允许应用程序注册系统或应用程序事件的组件。内容提供程序提供了一种机制,通过该机制,一个应用程序存储的数据可以被其他应用程序访问。
为了执行敏感的操作(例如,可能要花钱或访问私人数据的任务),应用需要特定的权限。必需的权限在清单文件(即AndroidManifest.xml)中定义,该清单文件存储在应用程序的apk文件中。此外,Android调试桥(ADB)是Android SDK软件包中包含的工具包。它由相互通信的客户端程序(即PC)和服务器端程序(即移动设备)组成。通过ADB的命令行界面,用户可以控制移动设备执行许多操作,例如,安装或卸载应用程序,传输数据甚至生根设备。
A.勒索软件时间表
我们已经从相关的安全公告,威胁报告中收集了2,435个Android勒索软件样本来自现有防病毒公司的1来自活跃研究人员的博客[10] – [15]。此外,我们从Heldroid [7]获得了另一个数据集,其中包含675个勒索软件样本。根据MD5值,我们进一步删除了重复的应用程序,总共检索了2,721个样本。据我们所知,我们的收集被认为反映了最新的技术水平,并表明对现有的Android勒索软件系列的覆盖范围非常大。
表1 Android勒索软件功能摘要(hdagger;:劫持活动; sdagger;:设置特定参数;ddagger;:禁用某些按钮)
|
勒索 软件 |
样品 |
锁定屏幕 |
加密 |
付款方式 |
恐吓信函 |
发现月 |
||||
|
H |
S |
D |
标准 |
自我设计 |
传统的 |
电子的 |
||||
|
Fakedefender |
1 |
radic; |
radic; |
2013-6 |
||||||
|
Jisut |
613 |
radic; |
radic; |
radic; |
radic; |
radic; |
radic; |
2014-6 |
||
|
Simplocker |
427 |
radic; |
lt;
剩余内容已隐藏,支付完成后下载完整资料 资料编号:[238559],资料为PDF文档或Word文档,PDF文档可免费转换为Word |
|||||||
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
