The amount of mobile devices around the world has surpassed the range of 7 billion, and the distribution ratio of malicious applications has also increased significantly. However, researches of threat detection methods on these devices did not follow the same pace. This paper presents a proposal for a distributed detection methodology, optimized for large volumes of malicious programs for mobile devices stored in the cloud using the framework Apache Hadoop. This method has as target application installers for the Android operating system. The results indicate a success rate of 76.13 % to malicious files and 83 % non malicious files.
Detecção Distribuída de Programas Maliciosos para Dispositivos Móveis em Ambientes de Computação em Nuvem
1. Detecção Distribuída de Programas Maliciosos
para Dispositivos Móveis em Ambientes de
Computação em Nuvem
ERAD-SP
08/2016
Emanuel Valente, Henrique Shishido, Júlio Cézar Estrella
1
2. Roteiro da Apresentação
● Introdução
○ Relação Cloud x Malware
○ Objetivos
● Desenvolvimento
○ Análise das Amostras
○ Classificador
○ Hadoop
● Resultados
● Conclusões 2
7ᵅ ESCOLA REGIONAL DE ALTO DESEMPENHO DE SÃO PAULO
3. Introdução - Crescimento de usuários de dispositivos móveis
3
7ᵅ ESCOLA REGIONAL DE ALTO DESEMPENHO DE SÃO PAULO
Fonte: IDC, 2015
● 7.2 bilhões de dispositivos móveis no
mundo (2015);
● 80% dos smartphones são equipados com o
Sistema Operacional Android (2015);
● Um em cada três aplicativos móveis hospedados
em lojas não oficiais são maliciosos;
4. Distribuição de Malware
4
7ᵅ ESCOLA REGIONAL DE ALTO DESEMPENHO DE SÃO PAULO
● Malware é um commodity;
● Vendido como um serviço (DeepWeb ou Web);
● Exige pouco conhecimento para utilizá-lo;
● 86% do total de malware na Internet está
hospedado na Nuvem.
Ecossistema PPI.- Fonte: PC Magazine, 2015
5. Distribuição de Malware
5
7ᵅ ESCOLA REGIONAL DE ALTO DESEMPENHO DE SÃO PAULO
● Malware é um commodity;
● Vendido como um serviço (DeepWeb ou Web);
● Exige pouco conhecimento para utilizá-lo;
● 86% do total de malware na Internet está
hospedado na Nuvem.
Ecossistema PPI.- Fonte: PC Magazine, 2015
6. Objetivos
● Propor método de detecção para grandes volumes de
arquivos maliciosos para o sistema Android;
● Adaptá-lo ao Apache Hadoop;
○ Flexível em ambientes de Computação em Nuvem;
○ Detectar perfis de usuários mal-intencionados.
6
7ᵅ ESCOLA REGIONAL DE ALTO DESEMPENHO DE SÃO PAULO
7. Desenvovimento - Modelagem para três permissões
7
7ᵅ ESCOLA REGIONAL DE ALTO DESEMPENHO DE SÃO PAULO
Passos para a modelagem:
● Para cada permissão listada no arquivo
AndroidManifest.xml cria-se um nó de grafo;
● Cria-se um grafo completo dos nós criados
para cada arquivo;
● Sobrepõem-se todos os grafos como um grafo
geral. Para cada aresta repetida, soma-se um
ao peso.
Modelagem para três permissões
8. Desenvolvimento - Análise das Amostras
Amostras Maliciosas
8
7ᵅ ESCOLA REGIONAL DE ALTO DESEMPENHO DE SÃO PAULO
Amostras Maliciosas Amostras Não Maliciosas
9. Desenvolvimento - Análise das Amostras Filtradas
9
7ᵅ ESCOLA REGIONAL DE ALTO DESEMPENHO DE SÃO PAULO
Amostras Maliciosas Filtradas Amostras Não Maliciosas Filtradas
10. Desenvolvimento - Classificador
● Permissões foram divididas em dois grupos;
● Para cada amostra:
○ Para cada match de permissão maliciosa, soma-se um (ponto);
○ Para cada match de permissão não maliciosa, subtrai-se um (ponto);
● Ao final, se a soma > 0 => arquivo malicioso. Caso contrário, não é;
● Classificador é portado para o Hadoop.
10
7ᵅ ESCOLA REGIONAL DE ALTO DESEMPENHO DE SÃO PAULO
11. Desenvolvimento - Classificador (Hadoop)
● Duas fases de MapReduce (1 reducer para cada fase):
○ Fase1: Extração do arquivo AndroidManifest.xml de cada arquivo
APK; conversão para o formato ASCII e armazenamento no HDFS.
○ Fase2: Aplicação do Classificador nos arquivos AndroidManifest.xml
recém extraídos.
■ Saída: Lista dos hashes e a somatória dada pelo classificador.
11
7ᵅ ESCOLA REGIONAL DE ALTO DESEMPENHO DE SÃO PAULO
12. Experimento
● 42 mil amostras maliciosas: ⅓ (14 mil) para testes
○ Virus Share (https://virusshare.com).
● 40 mil amostras não maliciosas: ⅓ (13.333) para testes
○ Quatro repositórios da Internet;
■ Validados pela API do serviço Virus Total
(https://www.virustotal.com) .
12
7ᵅ ESCOLA REGIONAL DE ALTO DESEMPENHO DE SÃO PAULO
13. Resultados
Acurácia: 79,5% Precisão: 82,5% Recall:76,1%
13
7ᵅ ESCOLA REGIONAL DE ALTO DESEMPENHO DE SÃO PAULO
Tipo das
Amostras
Classificada
como
maliciosa
Classificada
Como não
maliciosa
Maliciosas 10658 3342
Não
Maliciosas
2267 11066
Experimento para amostras maliciosas Matriz de Confusão
14. Conclusões
● Desenvolvimento de um método para treinamento e classificacão
de arquivos maliciosos e não maliciosos para Android;
○ Planos de disponibilizar um serviço de submissão de APK online.
● Adaptação para o Hadoop possibilitou sua utilização em grandes
redes e em ambientes de Computação em Nuvem.
○ Detecção de usuários mal-intencionados na Nuvem.
14
7ᵅ ESCOLA REGIONAL DE ALTO DESEMPENHO DE SÃO PAULO
15. Referências
● ARMBRUST, M.; FOX, A.; GRIFFITH, R.; JOSEPH, A. D.; KATZ, R.; KONWINSKI, A.; LEE, G.; PATTERSON, D.; RABKIN, A.; STOICA, I.; ZAHARIA, M. A view of cloud computing. Commun. ACM, ACM, New York, NY,
USA, v. 53, n. 4, p. 50–58, apr 2010. ISSN 0001-0782. Disponível em:<http://doi.acm.org/10.1145/1721654.1721672>.
● CABALLERO, J.; GRIER, C.; KREIBICH, C.; PAXSON, V. Measuring pay-per-install: The commoditization of malware distribution. In: Proceedings of the 20th USENIX Security
Symposium.[S.l.]:Usenix,2011.p.187–203.ISBN978-1-931971-87-4.
● ERICSSON, I. Ericsson Mobility Report. 2015. Http://www.ericsson.com/res/docs/2015/mobility- report/ericsson-mobility-report-nov-2015.pdf. (Acessado em 21 de maio de 2016).
● GENS, F. IT Cloud Services User Survey, pt.2: Top Benefits and Challenges. 2008. <http: //hadoop.apache.org>. (Acessado em 14 de março de 2013).
● HERN, A. One in three Android apps on non-Google stores are malicious, study finds. 2014. (Acessado em 13 de fevereiro de 2016). Disponível em:
<https://www.theguardian.com/technology/2014/apr/18/ one-in-three-android-apps-on-non-google-stores-are-malicious-study-finds>.
● IDC. Worldwide Quarterly Mobile Phone Tracker. 2015. Http://www.idc.com/prodserv/smartphone-os-market-share.jsp. (Acessado em 23 de maio de 2016).
● RAGAN, R.; SALAZAR, O. CloudBots: Harvesting Crypto Coins like a Botnet Farmer. [S.l.],2014.
● SOLUTIONARY. Security Engineering Research Team (SERT) Quarterly Threat Intelligence Report-Q42014.[S.l.],2015.
● STORM, D. 98% of mobile malware targets Android platform. 2014. (Acessado em 12 de fevereiro de 2016). Disponível em: <http://www.computerworld.com/article/2475964/
mobile-security/98--of-mobile-malware-targets-android-platform.html>.
● TSIDULKO, J. The 10 Coolest Cloud Startups Of 2015 (So Far). 2015. Http://www.crn.com/slide-shows/cloud/300077491/the-10-coolest-cloud-startups-of-2015-so- far. htm.(Acessado em 18 de
dezembro de 2015).
15
7ᵅ ESCOLA REGIONAL DE ALTO DESEMPENHO DE SÃO PAULO