Современные методы обработки и алгоритмы детектирования вредоносного программного обеспечения.Краткий обзор угроз для мобильной платформы Android


The Presentation inside:

Slide 0

Современные методы обработки и алгоритмы детектирования вредоносного программного обеспечения. Краткий обзор угроз для мобильной платформы Android


Slide 1

Количество добавленных угроз в вирусные базы


Slide 2

Источники вирусов Система регистрации вирусных заявок Пользователи Партнеры лицензирующие модуль поиска вирусов Система мониторинга вредоносных ссылок Система honeypot’ов Системы мульти-сканеров (virustotal, jotti, virscan..) Ежедневный обмен среди антивирусных вендоров)


Slide 3


Slide 4


Slide 5

Алгоритмы детектирования вредоносных программ Оценка похожести файлов на основе вейвлет анализа Оценка похожести файла на основе анализа графа передачи управления (Origin Tracing, Origin Tracing for Android)


Slide 6

Оценка похожести файлов на основе вейвлет анализа Экспоненциальный рост количества файлов присылаемых в лабораторию. Более 60000 уникальных файлов в день. Сложные техники для предотвращения детектирования антивирусами (полиморфиз, обфускация) BackDoor.Tdss.based (TDL3/4) ~2000 в месяц Win32.HLLW.Autoruner (Win32/Rimecud,Palevo) ~3000 в месяц


Slide 7

Подсчет энтропии методом скользящего окна


Slide 8

Вейвлет анализ


Slide 9

Вейвлет анализ


Slide 10

Вейвлет анализ


Slide 11

Вейвлет анализ


Slide 12

Вейвлет анализ


Slide 13

Оценка похожести файла на основе вейвлет анализа


Slide 14

Оценка похожести файла на основе вейвлет анализа


Slide 15

Оценка похожести файлов на основе вейвлет анализа Быстрый алгоритм не требующий больших вычислительных ресурсов (эмуляция файла, дизассемблирование) Компактная запись для вирусной базы


Slide 16

Технология Origin Tracing Статический анализ кода Построение графа управления программы Выделение подозрительных вершин графа Составление записи детектирования вредоносного семейства


Slide 17

Мобильные угрозы для Android OS


Slide 18

Рост количества угроз


Slide 19

Типы угроз Вредоносные приложения не несущие полезной нагрузки Android.SmsSend Android.SpyEye.1 Платные шпионские программы Flexispy, Mobile Spy, Mobistealth Легитимные инфицированные приложения распространяющиеся на сторонних маркетах Android.Plankton Android.Gongfu (Android.DreamExploid) Android.GoldDream Android.AntaresSpy.1


Slide 20

Android.SmsSend


Slide 21

Пример схемы мошенничества


Slide 22

Пример схемы мошенничества


Slide 23

Пример схемы мошенничества


Slide 24

Пример схемы мошенничества


Slide 25

Пример схемы мошенничества


Slide 26

Пример схемы мошенничества


Slide 27

Количество модификаций Android.SmsSend


Slide 28

Детектирования новых угроз с помощью технологии Origin Tracing


Slide 29

Android.SpyEye.1


Slide 30

Android.SpyEye.1


Slide 31


Slide 32


Slide 33


Slide 34

Android.Plankton.1


Slide 35

Android.Plankton.1 150000 загрузок с официального Android Market Сбор и передача информации о зараженном устройстве Выполнение различные команды, получаемые от удаленного центра


Slide 36

Android.Gongfu.1 Повышает привилегии до пользователя root Скрыто устанавливает дополнительные вредоносные приложения


Slide 37

Android.GoldDream.1


Slide 38

Cобирает информацию об инфицированном устройстве, включая телефонный номер абонента и номер IMEI Отслеживает все входящие СМС-сообщения Отслеживает входящие и исходящие телефонные звонки Осуществляет несанкционированную рассылку СМС-сообщений по комманде от сервера Android.GoldDream.1


Slide 39

Android.AntaresSpy.1


Slide 40

Android.AntaresSpy.1 Передает на сервер злоумышленника Фотографии хранящиеся на телефоне СМС-сообщения Текст набранный на виртуальной клавиатуре GPS координаты


Slide 41

Вопросы ??? ?


×

HTML:





Ссылка: