elib
DLR-Header
DLR-Logo -> http://www.dlr.de
DLR Portal Home | Imprint | Privacy Policy | Contact | Deutsch
Fontsize: [-] Text [+]

Verwendung von Klonerkennung zum Auffinden von Signaturen von Malware-Familien: Eine Fallstudie über FinSpy

Scheidweiler, Nils and Schäfer, André and Amme, Wolfram and Heinze, Thomas (2021) Verwendung von Klonerkennung zum Auffinden von Signaturen von Malware-Familien: Eine Fallstudie über FinSpy. In: Tagungsband zum 21. Kolloquium Programmiersprachen und Grundlagen der Programmierung, KPS 2021 (2021/7), p. 75. 21. Kolloquium Programmiersprachen und Grundlagen der Programmierung, 27.-29. September 2021, Kiel, Deutschland. ISSN ISSN 2194-6639.

[img] PDF
37kB

Official URL: https://www.uni-kiel.de/journals/receive/jportal_jparticle_00000382

Abstract

Bei der Entwicklung von Malware wird oftmals existierender Code wiederverwendet. Die Suche nach Code, der bekannter Malware ähnelt, kann daher für die Malwaredetektion eine vielversprechende Strategie sein. Nach einer Vorstellung verschiedener Techniken zur Malwaredetektion analysieren wir die Verwendung des Klon-Detektors StoneDetector zum Auffinden von Android-Malware. StoneDetector erzeugt aus Quellcode die Kontrollflussgraphen und wandelt diese in Dominatorbäume um. Durch die Extraktion derPfade von den Blättern zur Wurzel eines Dominatorbaums werden Beschreibungsmengen gebildet. Mithilfe von bösartigen Samples einer Malwarefamilie und gutartigen Samples werden Beschreibungsmengen gesucht, die in den meisten bösartigen Samples, aber nicht in den Gutartigen vorkommen und diese Beschreibungsmengen als Signatur der Malwarefamilie extrahiert. Die Machbarkeit des Ansatzes wird anhand einer Fallstudie mit Android-Samples der FinSpy-Malwarefamilie gezeigt. Es werden 31 FinSpy und 20 gutartige Samples in eine Trainings- und eine Testmenge unterteilt und die Signatur mithilfe der Samples der Trainingsmenge gebildet. Für die Beurteilung wird die FinSpySignatur in bösartigen und gutartigen Samples der Testmenge gesucht. Es kann gezeig twerden, dass mit dem Ansatz alle getesteten bösartigen und gutartigen Samples richtig klassifiziert werden.

Item URL in elib:https://elib.dlr.de/144490/
Document Type:Conference or Workshop Item (Speech)
Title:Verwendung von Klonerkennung zum Auffinden von Signaturen von Malware-Familien: Eine Fallstudie über FinSpy
Authors:
AuthorsInstitution or Email of AuthorsAuthor's ORCID iD
Scheidweiler, Nilsnils.scheidweiler (at) uni-jena.deUNSPECIFIED
Schäfer, AndréFriedrich-Schiller-Universität JenaUNSPECIFIED
Amme, Wolframwolfram.amme (at) uni-jena.deUNSPECIFIED
Heinze, Thomasthomas.heinze (at) dlr.deUNSPECIFIED
Date:2021
Journal or Publication Title:Tagungsband zum 21. Kolloquium Programmiersprachen und Grundlagen der Programmierung, KPS 2021
Refereed publication:Yes
Open Access:Yes
Gold Open Access:No
In SCOPUS:No
In ISI Web of Science:No
Page Range:p. 75
Series Name:Kiel Computer Science Series
ISSN:ISSN 2194-6639
Status:Published
Keywords:Malware, Klonerkennung, FinSpy
Event Title:21. Kolloquium Programmiersprachen und Grundlagen der Programmierung
Event Location:Kiel, Deutschland
Event Type:Other
Event Dates:27.-29. September 2021
HGF - Research field:Aeronautics, Space and Transport
HGF - Program:Space
HGF - Program Themes:Space System Technology
DLR - Research area:Raumfahrt
DLR - Program:R SY - Space System Technology
DLR - Research theme (Project):R - Intelligent analysis and methods for safe software development
Location: Jena
Institutes and Institutions:Institute of Data Science > Secure Digital Systems
Deposited By: Heinze, Thomas
Deposited On:18 Oct 2021 08:31
Last Modified:18 Oct 2021 08:31

Repository Staff Only: item control page

Browse
Search
Help & Contact
Information
electronic library is running on EPrints 3.3.12
Website and database design: Copyright © German Aerospace Center (DLR). All rights reserved.