Android app保护及破解面面观

作者:张跃骞

关键词:Android,加固,脱壳;

一、保护技术的意义及现状

Android平台自发布以来受到了广大消费者的欢迎,已经占到81%的市场份额,也吸引了大量的开发者,带来了巨大的收益。然而巨大的成功也使得Android系统成为了黑客的一大战场。由于Android app自身的机制,使得其很容易遭到破解。通过使用简单的反编译工具,基本上能够达到阅读源代码的程度,进而再进行二次修改、重新打包并发布。由此可见,恶意软件可以很容易地附加在正常的app中伪装自己,竞争对手间可以很容易地获得对方app中的技术信息,这种严峻的形势催生了Android app保护技术的出现并不断地提高完善。

Continue reading

软件漏洞自动利用研究进展

作者:和亮,苏璞睿/中科院软件所; 关键词:软件漏洞利用,自动化,符号执行,污点分析;   论文PDF下载

1.引言

软件漏洞发掘是当前的热点问题。尽管模糊测试技术帮助我们解决了程序漏洞的自动发现问题,并行模糊测试平台已经可以高效的发现大量的程序错误,但无论是防御者还是攻击者,都更关心这些程序漏洞或错误是否可能被利用。如何快速分析、评估漏洞的可利用性是当前漏洞发掘与分析的关键问题之一[1-2]。传统软件漏洞利用主要以手工方式构造,该过程不仅需要具备较为全面的系统底层知识(包括文件格式,汇编代码,操作系统内部机理以及处理器架构等),同时还需要对漏洞机理深入、细致的分析,才可能构造成功的利用。在软件功能越来越复杂,漏洞越来越多样化的趋势下,传统利用方式已难以应对上述挑战。 Continue reading

Perplexed Messengers from the Cloud: Automated Security Analysis of Push-Messaging Integrations

Title: Perplexed Messengers from the Cloud: Automated Security Analysis of Push-Messaging Integrations
Time: 2016年1月27日(周三), 上午10:00-11:30
Speaker: 陈恺, 中科院信工所
Venue: 中科院计算所446会议室,北京市海淀区科学院南路6号
Organizer: 中科院计算所 武成岗老师,wucg[AT]ict.ac.cn
Kang

报告摘要

We report a large-scale, systematic study on the security qualities of emerging push-messaging services, focusing on their app-side service integrations. We identified a set of security properties different push messaging services (e.g., Google Cloud Messaging) need to have, and automatically verified them in different integrations using a new tool, called Seminal. Using this tool, we studied 30 leading services around the world, and scanned 35,173 apps. Our findings are astonishing: over 20% apps in Google Play and 50% apps in mainstream Chinese app markets are riddled with security-critical loopholes, putting a huge amount of sensitive user data at risk. Also, our research brought to light new types of security flaws never known before, which can be exploited to cause serious confusions among popular apps and services (e.g., Facebook, Skype, Yelp, Baidu Push). Taking advantage of such confusions, the adversary can post his content to the victim’s apps in the name of trusted parties and intercept her private messages.

Continue reading

MalGen: 自动提取恶意代码躲避检测的签名

自动动态分析是用于检测恶意软件的常用方法。然而,许多恶意软件在辨认出软件分析环境后,便不再执行恶意行为,从而骗过分析环境的扫描。为了检测出这样的恶意软件,一种可行的方法是将恶意软件在多种环境(其中包括裸机环境)下运行,通过比对它在不同环境下的行为序列,来判断恶意软件是否会躲避检测。但是,在应用这样的方法后,还需要人工地去分析恶意软件为了躲避检测所采用的技术。同时,一些分析工具需要手动地去输入许多多余的信息。因此,该方法不适合批量处理大量恶意代码样本。
为此,2015年ACM CCS大会上Kirat和Vigna在论文“MalGene: Automatic Extraction of Malware Analysis Evasion Signature”中提出了一个自动提取恶意代码躲避检测签名的系统MalGene,其中躲避检测签名指的是恶意代码运行时系统调用事件和比较事件(CMP指令的执行)的集合。该系统利用数据挖掘、数据流分析技术实现自动化提取躲避检测签名。

Continue reading

控制流完整性的发展历程

作者:武成岗,李建军  单位:中科院计算所 全文下载:控制流完整性的发展历程.pdf

关键字:控制流完整性 控制流劫持 安全保障

1、引言

控制流劫持是一种危害性极大的攻击方式,攻击者能够通过它来获取目标机器的控制权,甚至进行提权操作,对目标机器进行全面控制。当攻击者掌握了被攻击程序的内存错误漏洞后,一般会考虑发起控制流劫持攻击。早期的攻击通常采用代码注入的方式,通过上载一段代码,将控制转向这段代码执行。为了阻止这类攻击,后来的计算机系统中都基本上都部署了DEP(Data Execution Prevention)机制,通过限定内存页不能同时具备写权限和执行权限,来阻止攻击者所上载的代码的执行。为了突破DEP的防御,攻击者又探索出了代码重用攻击方式,他们利用被攻击程序中的代码片段,进行拼接以形成攻击逻辑。代码重用攻击包括Return-to-libc、ROP(Return Oriented Programming)、JOP(Jump Oriented Programming)等。研究表明,当被攻击程序的代码量达到一定规模后,一般能够从被攻击程序中找到图灵完备的代码片段。

Continue reading

Baidu X-Lab: Wormhole 前后一百天

006g08HXjw1ezy0cr9ozyj30sv0lmdj8你知道么?有阵营在第一个Wormhole公布之前就已经在同时大规模利用BAT3的Wormholes了。总体上攻击者阵营有着超前、快速响应、月活的特性,反应速度显著超前于安全公司的分析速度,请参看首发在BASec Christmas’15的《Wormhole前后一百天》,此报告是百度安全实验室和长安通信在威胁情报领域的第一次联手之作。
Slides 下载:wormhole_external_final
原文出处:Wormhole 前后一百天

陈恺:面向海量软件的未知恶意代码检测方法

DSC_1655安卓设备的不断增加促进了移动应用市场的繁荣,安卓用户从世界各地的应用市场下载应用并安装(如典型的应用市场Google Play、Amazon Appstore等)。随着这些第三方应用市场的不断发展,整个安卓生态系统正在不断地被恶意软件所影响。这些恶意软件通过对合法的应用进行重打包,伪装成正常的应用出现在第三方市场上,其恶意行为包括窃取短信与个人信息、发送付费短信等。然而,阻止这些恶意软件并不容易,尤其对于Android软件:最近的一份报告指出99%的恶意软件应用运行在安卓设备上。

应用审查面临的挑战 当前的应用市场都会采取必要的审查手段对上传的应用进行分析,鉴定其行为是否可疑。例如,Google Play的审查引擎Bouncer通过静态扫描匹配已知的恶意代码,并在谷歌云提供的一个虚拟环境中执行应用以判断是否存在潜在的恶意行为。但其问题在于静态扫描不能检测未知的恶意行为。另外,应用可以通过识别虚拟环境的特征,从而在动态执行的时候隐藏恶意行为。此外,动态分析通常很难覆盖到应用所有的执行路径。 Continue reading

Where can HTTPS Connections be Broken ?

作者:万涛;单位:华为加拿大;全文下载:Taowan-where-can-HTTPS-connections-be-broken.pdf

1 Introduction

HTTPS is intended to establish an end to end secure channel between a browser and a website (namely origin website thereafter), providing origin authentication, data confidentiality, and data integrity. Billion of users depend on HTTPS on a daily basis for email, online banking, and online shopping, among other activities, expecting their communications to be private between themselves and the origin websites. However, the reality is far from satisfactory.

HTTPS connection is often broken into two or more segments with or without end user’s awareness, introducing one or more middle mans into a communication intended to be end-to-end secure. Such segmentation of HTTPS could be by design (i.e., agreed by an end user or the origin website) or by accident (i.e., unilateral action by a third party without being agreed by either end user or the origin website).

Selection_010

Figure 1: Is HTTPS truely end to end secure ?
Continue reading

张源:安卓软件漏洞�修复与检测技术研究

DSC_1736随着安卓生态系统的发展,安卓软件的安全性不容忽视。安卓软件的漏洞会导致重大的危害,例如隐私泄露、金钱丢失、钓鱼攻击等。本报告介绍安卓软件漏洞修复和检测的相关工作。漏洞修复是一个困难的过程,并且在漏洞被修复后经常需要花大量的时间去更新具有漏洞的软件。本次报告提出了一个基于规则进行漏洞修复的系统,可以及时的修复软件中存在的权限泄露漏洞。通过对安卓系统进行改造,本报告介绍如何使用规则去主动的修复具有漏洞的软件并且演示这些规则是如何被自动化生成的。此外,本次报告还介绍了一些关于如何使用自动化分析技术去检测安卓软件漏洞的工作。通过将漏洞检测逻辑和静态分析解耦,本报告将演示如何快速开发一个漏洞检测的插件。

Continue reading

网络安全学术名师&新秀面对面——记网安国际(InForSec)论坛开幕

作者:陈星曼

2016年1月9日下午,网络安全研究国际学术论坛(InForSec,简称网安国际)在清华大学举行了论坛启动暨学术报告会。开幕仪式以“网络安全学术名师&新秀面对面”为主题,首先通过视频会议与美国、新加坡和上海等地的学者连线,然后请陈恺、张源、郑晓峰三位嘉宾为我们带来了精彩的报告,最后论坛技术委员会和演讲人和现场与线上观众展开了热烈的讨论。活动全程向全球提供视频直播,同时通过微信提供线上参与方式。会议现场90多人、在线110人(来自世界多个国家和地区)的安全研究者共同参加了这次的会议。

 DSC_1596 DSC_1603 Continue reading