פיתוח ישראלי: זיהוי אפליקציות זדוניות והתגוננות מפניהן

פיתוח חדש שנולד באוניברסיטת בן גוריון מאפשר לזהות אפליקציות זדוניות על המכשיר שעוברות גם תוכנות אנטי וירוס. כיצד זה עובד?

הפוסט נכתב על ידי ד”ר אסף שבתאי מהמחלקה להנדסת מערכות מידע, אוניברסיטת בן גוריון בנגב אשר עורכת ביום שלישי הקרוב יום ייעוץ והכוונה ללימודי תואר שני ותואר שלישי במדעי ההנדסה, במדעי הטבע ובמדעי הבריאות, בננוטכנולוגיה, בביוטכנולוגיה ובחקר המדבר.

תמונה: flickr, cc-by, Uncalno

תמונה: flickr, cc-by, Uncalno

מחקר שנעשה במחלקה להנדסת מערכות מידע באוניברסיטת בן-גוריון בנגב מציג שיטה חדשה לזיהוי של תוכנות זדוניות בטלפון הסלולרי אשר אינן ניתנות לזיהוי בשיטות מקובלות, ועושה שימוש בשיטות מתקדמות של Machine learning – “למידת מכונה”

אבטחת טלפונים סלולרים חכמים הינו תחום שנחקר באינטנסיביות רבה על-ידי חברות אבטחה וגופי מחקר ברחבי העולם, מאז הפצת מכשירי G1 מבוססי מערכת ההפעלה אנדרואיד בשנת 2009.

לאחרונה נתגלה סוג חדש ומתוחכם של תוכנה זדונית (סוס טרויאני) בשם Android.Dropdialer, אשר הופצה בחנות האפליקציות של גוגל. תוכנה זדונית זו למעשה מותקנת כתוכנה לגיטימית לחלוטין על-ידי המשתמש. הקוד העוין מותקן למעשה מאוחר יותר באמצעות היכולת של “עדכון אוטומטי” שבה משתמשת התוכנה ומאפשרת לה “למשוך” עדכוני תוכנה באופן עצמאי משרת מרוחק. באופן זה יכולה התוכנה הזדונית להתפשט למספר רב של מכשירים מבלי שאפשר יהיה לזהות אותה. משיכת הקוד העוין יכולה להתרחש בזמן אקראי או מוגדר בעתיד, או כתוצאה מפקודה שמקבלת התוכנה משרת מרוחק. יכולת זו יכולה להיות מיושמת בכל אפליקציה זדונית.

עמידות בפני תוכנות אנטי וירוס

תוכנות אנטי וירוס סטנדרטיות אינן יכולות לזהות סוג זה של תוכנות זדוניות (self-updating malware) היות והאפליקציה המקורית הינה תמימה לחלוטין ולכן יכולה לחמוק מכל שיטת ניתוח סטאטי (ניתוח הקוד עצמו ללא הרצת הקוד) או ניתוח דינאמי (ניטור התוכנה בזמן ריצה). הקושי בזיהוי של תוכנה זדונית כזו נובע גם מהעובדה שהיכולת לעדכון עצמי (self-updating) משמשת מפתחי אפליקציות לצרכים לגיטימיים כגון שידרוג גרסת האפליקציה, הוספת שלבים במשחקים שונים, תיקוני באגים ועוד.

במחקר שנערך במחלקה להנדסת מערכות מידע באוניברסיטת בן-גוריון בנגב בהובלת ד”ר אסף שבתאי, מתארים החוקרים שיטה חדשה לזיהוי self-updating malware. שיטה זו משתמשת באלגוריתמים מתקדמים של למידת מכונה אשר לומדים את ההתנהגות הנורמאלית של האפליקציות ובכך מאפשרים לזהות חריגות בהתנהגות בזמן אמת אשר עלולות להצביע על כך שהאפליקציה היא זדונית. ניתוח של אפליקציות זדוניות למכשירי טלפון סלולרים חכמים מראה שכ-70% מהאפליקציות מתמקדות בגניבת מידע רגיש. לכן, במחקר זה אנו משתמשים במאפייני רשת על מנת ללמוד את ההתנהגות של האפליקציות היות והם יכולים להצביע על זליגת מידע.

השימוש במספר מצומצם של מאפיינים (מאפייני רשת) וסוג האלגוריתם המוצע מאפשר לבצע את למידת ההתנהגות הרשתית של אפליקציות ואת הניטור והזיהוי על המכשיר עצמו אשר מוגבל במשאבים (סוללה).

דוגמא למאפיינים אשר משמשים ללמידת התנהגות הרשתית של אפליקציות הם: כמות הבטים (Bytes) שנשלחו או התקבלו בחלונות זמן של 5 דקות, הזמן שעבר מאז שהאפליקציה הייתה פעילה רשתית ועוד (סה”כ 9 מאפיינים).

מתמטיקה למתקדמים

למידת ההתנהגות הרשתית של אפליקציה מבוצע ע”י שימוש באלגוריתם המבוסס על טכניקה שנקראת Cross-Feature Analysis אשר “לומדת” את הקשר של כל מאפיין ביחס לשאר המאפיינים מתוך ההתנהגות הרשתית הנורמאלית. בשלב הניטור, לכל דגימה בודקים לכל מאפיין האם אותו קשר עם שאר המאפיינים נשמר. במילים אחרות, לכל מאפיין מחשבים את ההסתברות שהוא נורמאלי בהינתן הערכים של שאר המאפיינים הנצפים, ומשקללים את ההסתברויות ביחד לערך שמייצג את המרחק של הדגימה מהתנהגות הנורמאלית. מרחק גדול יותר נותן אינדיקציה להתנהגות חריגה יותר. במידה ומזוהה התנהגות חריגה (כלומר מרחק הגבוה מערך סף שנקבע מראש) בשלוש או יותר דגימות מתוך העשר דגימות האחרונות, מועלת התראה למשתמש.

שיטה זו נבדקה עם חמש אפליקציות לגיטימיות וחמש אפליקציות זדוניות אשר למעשה הן אותן חמש אפליקציות לגיטימיות אשר הודבקו עם קוד עוין. בנוסף, השתמשנו בחמש אפליקציות לגיטימיות אשר הוספנו להם את היכולת של self-updating. עם הורדת הקוד העוין משרת מרוחק, האפליקציה גונבת את רשימת אנשי הקשר בטלפון ושולחת אותה לשרת מרוחק ובנוסף מדווחת על מיקום המשתמש ומספרי הטלפון שהוא מחייג כל שתי דקות.

אפליקציות אלו הופעלו על מספר טלפונים סלולרים כאשר ברקע רצה תוכנה שנכתבה במיוחד למחקר זה. תוכנה זו מנטרת את ההתנהגות הרשתית ושומרת אותם לתוך קובצי לוג אשר בעזרתם בדקנו את השיטה המוצעת.

בתמונה ניתן לראות את הקשר בין מספר זוגות של מאפיינים עבור הגרסה הלגיטימית והגרסה הזדונית של אפליקציה שנקראת ShotGun. ניתן לראות בבירור את ההבדל בין הדגימות של הגרסה הלגיטימית (בירוק) והדגימות של הגרסה הזדונית (באדום).

bla

תוצאות הבדיקה של האלגוריתם המוצע על האפליקציות שנבדקו מראות שבכל המקרים זוהה העדכון של האפליקציה הלגיטימית עם הקוד הזדוני, כאשר בכ-80% מהמקרים הזיהוי היה בפרק זמן של פחות מחמש דקות (הזמן המקסימלי 30 דקות). בנוסף רק שתי התראות שווא עלו במהלך הניסוי.

בדיקת צריכת המעבד והזיכרון של המכשיר עם ובלי תוכנת הניטור שפותחה עבור המחקר מראה צריכת זיכרון מינימלית המאפשרת הפעלת השיטה על המכשיר ללא השפעה מורגשת של המשתמש.


בחסות אוניברסיטת בן גוריון בנגב


Screen Shot 2013-04-21 at 10.08.36 AMבואו להכיר את התארים המתקדמים של אוניברסית בן-גוריון בנגב. אתם מוזמנים ליום ייעוץ והכוונה ללימודי תואר שני ותואר שלישי במדעי ההנדסה, מדעי הטבע ובמדעי הבריאות, בננוטכנולוגיה, בביוטכנולוגיה ובחקר המדבר. באוניברסיטת בן-גוריון בנגב תוכלו להשתלב בקבוצות מחקר בין-תחומיות וליהנות ממלגות נדיבות למחקר ולדוקטורנטים מצטיינים. הצטרפו לדרך והתקדמו לתארים שני ושלישי.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

4 תגובות על "פיתוח ישראלי: זיהוי אפליקציות זדוניות והתגוננות מפניהן"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
רם
Guest

אז מה שוירוסים עתידים לעשות הוא לנתח את אופי השימוש של המשתמש (בדיוק כמו שהתוכנה הזו עושה) ולחקות את הפעילות של התוכנה הלגיטימית.

יותם
Guest

הקרב הזה בין הגנה להתקפה תמיד יתרחש , עכשיו גם במובייל.
אבל ברור שיוצרי הרוגלות/וירוסים שיש להם גישה למחקר הזה… יבינו איפה הם טעו.

עזרא
Guest

זה רק עניין של זמן עד שהאפליקציות הזדוניות יוכלו להתגבר גם על ה’אנטיוירוס’ הזה.

רחל
Guest

משחקי החתול והעכבר הולכים ונעשים מתוחכמים יותר ויותר, בטח כשמדובר במליוני מכשירי סלולר…
תחשבו שרבים אפילו לא מתקינים אנטי וירוס על המכשיר שלהם.
לאנשי אבטחת המידע יש עבודה, הן במתן תשובות לאיומים השונים וכמובן לבנות אנטי וירוס שיתאים בצורה אופטימלית לסלולר.

wpDiscuz

תגיות לכתבה: