Verwendung von Klonerkennung zum Auffinden von Signaturen von Malware-Familien: Eine Fallstudie über FinSpy

Scheidweiler, Nils und Schäfer, André und Amme, Wolfram und Heinze, Thomas (2021) Verwendung von Klonerkennung zum Auffinden von Signaturen von Malware-Familien: Eine Fallstudie über FinSpy. In: Tagungsband zum 21. Kolloquium Programmiersprachen und Grundlagen der Programmierung, KPS 2021 (2021/7), Seite 75. 21. Kolloquium Programmiersprachen und Grundlagen der Programmierung, 2021-09-27 - 2021-09-29, Kiel, Deutschland. ISSN ISSN 2194-6639.

PDF
37kB

Offizielle URL: https://www.uni-kiel.de/journals/receive/jportal_jparticle_00000382

Kurzfassung

Bei der Entwicklung von Malware wird oftmals existierender Code wiederverwendet. Die Suche nach Code, der bekannter Malware ähnelt, kann daher für die Malwaredetektion eine vielversprechende Strategie sein. Nach einer Vorstellung verschiedener Techniken zur Malwaredetektion analysieren wir die Verwendung des Klon-Detektors StoneDetector zum Auffinden von Android-Malware. StoneDetector erzeugt aus Quellcode die Kontrollflussgraphen und wandelt diese in Dominatorbäume um. Durch die Extraktion derPfade von den Blättern zur Wurzel eines Dominatorbaums werden Beschreibungsmengen gebildet. Mithilfe von bösartigen Samples einer Malwarefamilie und gutartigen Samples werden Beschreibungsmengen gesucht, die in den meisten bösartigen Samples, aber nicht in den Gutartigen vorkommen und diese Beschreibungsmengen als Signatur der Malwarefamilie extrahiert. Die Machbarkeit des Ansatzes wird anhand einer Fallstudie mit Android-Samples der FinSpy-Malwarefamilie gezeigt. Es werden 31 FinSpy und 20 gutartige Samples in eine Trainings- und eine Testmenge unterteilt und die Signatur mithilfe der Samples der Trainingsmenge gebildet. Für die Beurteilung wird die FinSpySignatur in bösartigen und gutartigen Samples der Testmenge gesucht. Es kann gezeig twerden, dass mit dem Ansatz alle getesteten bösartigen und gutartigen Samples richtig klassifiziert werden.

elib-URL des Eintrags:

https://elib.dlr.de/144490/

Dokumentart:

Konferenzbeitrag (Vortrag)

Titel:

Verwendung von Klonerkennung zum Auffinden von Signaturen von Malware-Familien: Eine Fallstudie über FinSpy

Autoren:

Autoren	Institution oder E-Mail-Adresse	Autoren-ORCID-iD	ORCID Put Code
Scheidweiler, Nils	nils.scheidweiler (at) uni-jena.de	NICHT SPEZIFIZIERT	NICHT SPEZIFIZIERT
Schäfer, André	Friedrich-Schiller-Universität Jena	NICHT SPEZIFIZIERT	NICHT SPEZIFIZIERT
Amme, Wolfram	wolfram.amme (at) uni-jena.de	NICHT SPEZIFIZIERT	NICHT SPEZIFIZIERT
Heinze, Thomas	thomas.heinze (at) dlr.de	NICHT SPEZIFIZIERT	NICHT SPEZIFIZIERT

Datum:

2021

Erschienen in:

Tagungsband zum 21. Kolloquium Programmiersprachen und Grundlagen der Programmierung, KPS 2021

Referierte Publikation:

Open Access:

Gold Open Access:

Nein

In SCOPUS:

Nein

In ISI Web of Science:

Nein

Seitenbereich:

Seite 75

Name der Reihe:

Kiel Computer Science Series

ISSN:

ISSN 2194-6639

Status:

veröffentlicht

Stichwörter:

Malware, Klonerkennung, FinSpy

Veranstaltungstitel:

21. Kolloquium Programmiersprachen und Grundlagen der Programmierung

Veranstaltungsort:

Kiel, Deutschland

Veranstaltungsart:

Andere

Veranstaltungsbeginn:

27 September 2021

Veranstaltungsende:

29 September 2021

HGF - Forschungsbereich:

Luftfahrt, Raumfahrt und Verkehr

HGF - Programm:

Raumfahrt

HGF - Programmthema:

Technik für Raumfahrtsysteme

DLR - Schwerpunkt:

Raumfahrt

DLR - Forschungsgebiet:

R SY - Technik für Raumfahrtsysteme

DLR - Teilgebiet (Projekt, Vorhaben):

R - Intelligente Analysen und Methoden zur sicheren Softwareentwicklung

Standort:

Jena

Institute & Einrichtungen:

Institut für Datenwissenschaften > Sichere Digitale Systeme

Hinterlegt von:

Heinze, Thomas

Hinterlegt am:

18 Okt 2021 08:31

Letzte Änderung:

24 Apr 2024 20:43

Nur für Mitarbeiter des Archivs: Kontrollseite des Eintrags