Пополнение в звездных рядах ZeroNights

Пополнение в звездных рядах ZeroNights

Наша интернациональная звездная команда растет – в программе появляется все больше известных специалистов по ИБ со всего мира. Исследователи, пентестеры, разработчики из разных стран готовы не только поделиться своими знаниями, но и показать, как применять их на практике.

В основной программе - известные имена:

  1. Петр Каменский (Россия) приведет примеры того, как и когда использование hardware assisted virtualization в антивирусном ПО не доводит до добра;
  2. Далее, Nicolas Gregoire/ Николя Грегуар (Франция) расскажет, как можно отлично зарабатывать на топовых bug bounty программах;
  3. Fabien DUCHENE/ Фабьен Дюшен (Франция) расскажет об эволюционном подходе при black-box фазинге и его результатах;
  4. Peter Hlavaty/Петер Хлаваты (Словакия) поиграет в гонки в ядре Android;
  5. Rene Freingruber/Рене Фрайнгрубер (Австрия) расскажет, как обстоят дела c EMET 5.0;
  6. Marco Grassi/Марко Грасси (Италия) поделится опытом использования стероидов (модификации приложений в runtime) при оценке безопасности приложения для iOS и Android.

Также с гордостью представляем три авторских WorkShops, которые состоятся в рамках ZeroNights:

  1. Workshop от Андрея Беленко (Россия) научит извлекать данные с iOS-устройств (с jailbrake и без него) с помощью open-source инструментов;
  2. Во время workshop "Фаззинг: практическое приложение" исследователь Omair/Омар (Индия) расскажет, как заниматься фаззингом с любовью, но не терять головы;
  3. Антон Кочков (Россия) и Julien Voisin/Жульен Войсин (Франция) на своем workshop'е прольют свет на использование фреймворка radare2 при реверсе и отладке malware и firmware.
Наша интернациональная звездная команда растет – в программе появляется все больше известных специалистов по ИБ со всего мира. Исследователи, пентестеры, разработчики из разных стран готовы не только поделиться своими знаниями, но и показать, как применять их на практике." />

DROIDBREAKER обходит ML-детекторы Android-вредоносов без поломки APK

Машинное обучение в антивирусах снова получило неприятный привет. Исследователи представили DROIDBREAKER — фреймворк для создания модифицированных Android-приложений, которые могут обходить ML-детекторы вредоносных приложений и при этом сохранять работоспособность.

Авторы работы отмечают, что многие прежние атаки на Android-детекторы выглядели красиво в статьях, но плохо жили в реальности.

Одни методы добавляли в APK целые доброкачественные модули, из-за чего приложение обрастало лишними признаками и часто ломалось еще на этапе сборки. Другие меняли байт-код слишком грубо: формально APK получался валидным, но нормально работать уже не мог.

Отдельная претензия исследователей была к проверке успешности таких атак. По их словам, в прошлых работах часто ограничивались тестами: приложение установилось, запустилось — значит, всё хорошо. Но это не доказывает, что после модификаций оно сохранило исходную функциональность.

 

DROIDBREAKER пытается решить именно эту проблему. Фреймворк меняет только те компоненты APK, которые сильнее всего влияют на решение целевой ML-модели. Для этого используются более точечные и безопасные манипуляции: изменение API-вызовов, модулей приложения, разрешений, URL и элементов обфускации.

Главная фишка — проверка сохранения поведения. DROIDBREAKER сравнивает журналы выполнения и API-трейсы исходного и измененного приложения, чтобы убедиться: APK не просто собрался и запустился, а действительно продолжает делать то, что должен.

В экспериментах на свежем наборе Android-приложений фреймворк показал высокую эффективность обхода как в сценариях white-box, так и в black-box. При этом ему требовалось относительно мало запросов к модели, а побочных изменений в приложении было меньше, чем у прежних подходов.

Более того, модифицированные APK заметно реже детектировались коммерческими сканерами, представленными на VirusTotal.

RSS: Новости на портале Anti-Malware.ru