Digging deeper: hardware-supported dynamic analysis of Linux programs

Abstract

O malware, ao longo dos anos, tem vindo a evoluir e, atualmente, alm de computadores, est a comear a alcanar dispositivos mveis como smarphones e tablets. Esta evoluo ocorre porque os dispositivos mveis contm dados sensveis e so cada vez mais ubquos, o que representa uma enorme ameaa para os utilizadores. Tcnicas de anlise dinmica so us- adas para observar as aes tomadas por uma dada aplicao maliciosa e reconhecer as sequncias maliciosas nela inseridas. Tipicamente, estas tcnicas instrumentam ambientes virtualizados ou emulados para obser- var a execuo de uma aplicao sem que esta se aperceba que est a ser analisada. No entanto, existem algumas tcnicas que permitem que o malware se aperceba que est a executar num ambiente virtualizado, no executando assim, as suas sequncias maliciosas para ludibriar o uti- lizador. Propomos, para erradicar o problema supracitado, a criao de uma soluo baseada em hardware de modo a reconstruir chamadas ao sistema em tempo de execuo. O raciocnio passa por assumir que ao executar a anlise num ambiente real as tcnicas existentes de reconhecimento de ambientes virtualizados tero menos hipteses de ser bem-sucedidas. O objetivo do presente trabalho foca-se em tirar partido de placas de custo reduzido equipadas com interfaces JTAG que suportem Android. Ao reconstruir eventos de tempo de execuo de um processo, como chamadas ao sistema, atravs de informao extrada a partir de interfaces JTAG, estamos a adaptar tcnicas existentes com dados recolhidos di- retamente do hardware. Este deve ser o primeiro passo para a criao de uma ferramenta de anlise dinmica mais robusta.

Malware has been evolving and now, besides computers, is targeting smartphones and tablets. This evolution has occurred because mobile devices contain sensitive data and are becoming ubiquitous, which is a substantial threat for users. Dynamic program-analysis techniques are used to observe the actions taken by a malicious application, to recog- nize signs of malicious sequences. Typically, dynamic tracing leverages a virtualized or emulated environment to observe the execution while being invisible to the malware. However, there are several techniques that malware can exploit to gure out that it is running under a vir- tual environment, and show no malicious behavior, such as to appear benign to the observer. We propose to eradicate the aforementioned problem, by creating an hardware-based solution for runtime events reconstruction. The ratio- nale is that, being running on real hardware, the existing environment- ngerprinting techniques are less likely to succeed. Our idea is to lever- age the availability of low-cost development boards and smartphones, equipped with JTAG debugging interfaces, that run Android. Building upon the introspection data that can be extracted via the JTAG inter- faces (e.g., CPU instructions, hardware state, power consumption), we will adapt existing techniques to reconstruct the runtime events (e.g., system calls) of a process from hardware-derived instruction traces, which is the rst step for creating a more robust dynamic analysis tool.