NOTÍCIAS

[ANONYMOUS][grids]

Quark-Engine – An Obfuscation-Neglect Android Malware Scoring System

Tempo de leitura: 1min

Leia também






An Obfuscation-Neglect Android Malware Scoring System




Conceitos

O mecanismo de análise de malware do Android não é uma história nova. Cada empresa de antivírus tem seus próprios segredos para construí-lo. Com curiosidade, desenvolvemos um sistema de pontuação de malware sob a perspectiva do Direito Penal de Taiwan de uma forma fácil, mas sólida.

Temos uma teoria da ordem do criminoso que explica os estágios da prática de um crime. Por exemplo,

crime de homicídio consiste em cinco etapas, eles são determinados, conspiração, preparação, início e prática. Quanto mais a última fase, mais temos certeza de que o crime é praticado.

De acordo com o princípio acima,we developed our order theory of android malware

Desenvolvemos cinco etapas para verificar se a atividade maliciosa está sendo praticada. Eles são 1. Permissão solicitada. 2. Chamada de API nativa. 3. Certa combinação de API nativa. 4. Sequência de chamada da API nativa. 5. APIs que tratam do mesmo registro.

Não apenas definimos atividades maliciosas e seus estágios, mas também desenvolvemos pesos e limites para calcular o nível de ameaça de um malware.

O malware evoluiu com novas técnicas para obter dificuldades para a engenharia reversa. A ofuscação é uma das técnicas mais comumente usadas. Nesta palestra,

Apresentamos um carregador de bytecode Dalvik com a teoria da ordem do malware Android para negligenciar certos casos de ofuscação.

Nosso carregador de bytecode Dalvik consiste em funcionalidades como 1. Encontrar referência cruzada e sequência de chamada da API nativa. 2. Rastreando o registro de bytecode. A combinação dessas funcionalidades (sim,

a teoria da ordem) não só pode negligenciar a ofuscação, mas também se adequar perfeitamente ao design de nosso sistema de pontuação de malware.


Relatório de Detalhe

É assim que examinamos um malware real de Android (milho doce) com uma única regra (crime).

$ quark -a sample/14d9f1a92dd984d6040cc41ed06e273e.apk 
  -r rules/ 
  --detail
Relatório de Resumo

Examine com regras.

quark -a sample/14d9f1a92dd984d6040cc41ed06e273e.apk 
  -r rules/ 
--easy
Instalação
$ git clone https://github.com/quark-engine/quark-engine.git; cd quark-engine/quark
$ pipenv install
$ pipenv shell
$ python setup.py install
Certifique-se de que sua versão do python seja 3.7, ou você pode alterá-lo de Pipfile para o que você tem.

Uso
$ quark --help
usage: quark [-h] [-e] [-d] -a APK -r RULE

optional arguments:
  -h, --help            show this help message and exit
  -e, --easy            show easy report
  -d, --detail          show detail report
  -a APK, --apk APK     APK file
  -r RULE, --rule RULE  Rules need to be checked


Tags: