Georg-August-Universität ISSN 1612-6793 Göttingen Nummer ZAI-MSC-2014-09 Zentrum für Informatik Masterarbeit im Studiengang "Angewandte Informatik" Automatische Erkennung von anormalen Android-Anwendungen Malte Hübner Forschungsgruppe für IT-Sicherheit Bachelor- und Masterarbeiten des Zentrums für Informatik an der Georg-August-Universität Göttingen 17. April 2014 Georg-August-Universität Göttingen Zentrum für Angewandte Informatik Informatik Goldschmidtstraße 7 37077 Göttingen Germany Tel. +49 (551) 39-172010 Fax +49 (551) 39-14693 Email [email protected] WWW www.informatik.uni-goettingen.de Ich erkläre hiermit, dass ich die vorliegende Arbeit selbständig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel verwendet habe. Göttingen, den 17. April 2014 Masterarbeit Automatische Erkennung von anormalen Android-Anwendungen Malte Hübner 17. April 2014 Betreut durch Prof. Dr. Rieck Forschungsgruppe für IT-Sicherheit Georg-August-Universität Göttingen Kurzfassung Während es inzwischen für die Erkennung von bereits bekannter ANDROID-Malware zu- verlässige Methoden gibt, sind zuverlässige Warnungen vor unbekannter - sogenannter Zero-Day-MalwarenocheinoffenesProblem.DievorliegendeMasterarbeitbeschreibtdie EntwicklungundAuswertungeinerneuenMethode,indermitAnomalieerkennungZero- DayMalwareerkanntwerdensoll.DazuwerdenzunächsteineReihevonMerkmalenaus gutartigen Apps extrahiert, die dann mithilfe einer One-Class Support-Vector Machine Mo- delle zur Vorhersage von Anomalien bilden. Zur Auswertung wird ein Datensatz von 13 Malware-Familien herangezogen, auf denen die Qualität der entstandenen Modelle ge- testet wurde, mit dem Ergebnis, dass für bestimmte Kategorien von Apps Vorhersagen von Zero-Day Malware möglich sind. Für andere Kategorien, deren Merkmale denen der Malwarezuähnlichsind,reichendieextrahiertenMerkmalefürzuverlässigeVorhersagen nichtaus. Abstract While detection techniques for already known ANDROID malware exist, the detection of unknown - so-called zero-day - malware is an open research issue. By using methods of anomaly detection this thesis shows the development and evaluation of a new detection- method for zero-day malware. Numerical features are extracted from app-archives of be- nignsoftwareandone-classsupportvectormachinesaretrainedtodetectanomalies.The approachisevaluatedonadatasetof13malwarefamilies.Theresultsshowthatitispos- sible to detect zero-day malware for certain app categories correctly. For other categories, theextractedfeaturesdonotcontainenoughinformationtoaccuratelydetectmalware. II „Securityisaprocess,notaproduct.“ (BRUCE SCHNEIER) Vorwort Smartphones sind zu einem festen Bestandteil unserer modernen Gesellschaft geworden undihreVerkaufszahlensteigenstetig.Mitihrem„alltäglichenBegleiter“wissendieMen- scheninnerhalbkürzesterZeit,wasinihremFreundeskreis,ihremHeimatlandoderinan- derenTeilenderWeltaktuellgeschieht.SiekönnensichinAlltagssituationenschnellHilfe bei Orientierungsproblemen beschaffen oder von unterwegs aus das abendliche Fernseh- programmaufnehmen,fallssieesnichtzurSendezeitaufdasheimischeSofaschaffen.Die Vorzüge der aufgeführten Beispiele, die mit der Entwicklung von Smartphones einherge- hensindoffensichtlichundspiegelnsichimihremErfolgwider. Die Kehrseite zu diesen Vorzügen bilden die Gefahren, die diese Entwicklung mit sich bringt.Wobeiich-nebendemSuchtpotenzialnachaktuellstenInformationenundderAb- hängigkeit der Gesellschaft von der Digitalisierung - vor allem die mangelnde Kenntnis imsicherenUmgangmitdenGerätensehe.VieleMenschenwissennicht,dasssiesichden GefahrenvonDiebstahlihrerDatenoderihresGeldes,BeeinträchtigungihrerPrivatsphä- reoderihrerIndividualitätdurchdieBenutzungdesSmartphonesaussetzen. Doch woher kommt diese Gefahr? Fest steht zunächst einmal, dass gezielte Angriffe, wie sie gegen Personen der Öffentlichkeit gerichtet werden, nicht jeden Smartphonebesitzer betreffen. Die eigentliche Gefahr für den „durchschnittlichen“ Benutzer besteht darin, in einedermassenhaftgestelltenFallenvonInternet-Kriminellenzutappen.DerenAngriffs- vektoren sind vielfältig und können z. B. auf Internetseiten, in Apps oder per E-Mail die Benutzer gefährden - der Kreativität solcher Angriffe sind hierbei kaum Grenzen gesetzt. Aus Sicht dieser Kriminellen geht die Kosten-Nutzen-Rechnung ihrer Angriffe dann auf, wenn möglichst viele Personen einem Angriff zum Opfer fallen.[1, S. 9] Das Positive an dieserArtvonAngriffenist,dassdiesesichmeistschondurchkritischeBegutachtungder IV VorgängeaufdemBildschirmverhindernlassen. Um möglichst jeden Benutzer dazu zu bewegen, sich mit den Gefahren und deren Ab- wehrmaßnahmenauseinanderzusetzen,mussesihnenerleichtertwerdenIT-Sicherheitin ihren Alltag zu integrieren.1 So müssen neue Wege eingeschlagen werden, da die größte SicherheitslückederuninformierteBenutzerist.2 1HierzusolldievorliegendeArbeitihrenTeilbeitragen. 2Stichwort:SocialEngineering[2] V Inhaltsverzeichnis Kurzfassung II Vorwort IV Danksagung IX Abkürzungsverzeichnis X Symbolverzeichnis XI 1 Einleitung 1 1.1 Zielsetzung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.2 AufbauderArbeit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 2 Grundlagen 5 2.1 MethodenzurAnomalieerkennung . . . . . . . . . . . . . . . . . . . . . . . 5 2.1.1 AnomalieerkennungalsTeilgebietdesmaschinellenLernens . . . . 5 2.1.2 EingabedatenfürSVMsinEingabe-,Vektor-undMerkmalsräumen. 8 2.1.3 Kernel-Trick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.1.4 AnomalieerkennungmitderOne-ClassSVM . . . . . . . . . . . . . . 14 2.1.5 AnomalieerkennungüberdenMassenschwerpunkt(CenterofMass) 17 2.2 Android . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 2.2.1 Betriebssystemarchitektur . . . . . . . . . . . . . . . . . . . . . . . . . 19 2.2.2 Applikationsarchitektur . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3 StandderForschung 26 3.1 ArbeitenausdemeigenenForschungsumfeld . . . . . . . . . . . . . . . . . . 26 VI