更高的系统版本: 系统版本升级至Android 9,兼容当前绝大多数APK样本。
更强的分析能力: 基于全新的虚拟化分析引擎,更有效率地分析更大的APK样本。
更大的并发数量: 资源占用更低,并发数量达到当前版本的2倍。
二、新版本使用步骤
天穹沙箱开箱即用,只需将可疑样本拖入投递窗口即可上传,沙箱会自动选择合适的环境进行分析,如下图所示:
三、关键技术指标解读
3.1 更高的系统版本
随着Android系统的迭代更新,基于Android 7.1系统版本的Android分析系统无法满足用户的全部分析需求。例如,一些样本的minSdkLevel高于25(Android 7.1),使得现有分析环境无法正常运行目标App。此外,Android 7.1系统已逐渐远离Android主流操作系统版本,现有样本中的一些行为无法触发。因此,升级Android分析系统版本是亟待解决的需求。
经过调研,我们选定了Android 9作为新版本Android分析系统的构建基础。一方面提升了Android分析系统运行的Android系统版本,另一方面能够适配当前大多数的Android样本,避免了因为系统版本过高而引起的样本兼容性问题。
3.2 更强的分析能力
在新版本Android分析系统实现过程中,我们对虚拟化分析引擎进行了重构优化,既提升了Android分析系统中的Hook点数量,也提升了Android分析系统的分析效率,使其能够分析超过100M的APK大文件。以某主流搜索引擎App(108M)为例,我们在两个版本的Android分析系统中运行相同的分析时间,进行能力对比展示。
如下表,从表格所展示的结果中可以看出,新版本Android分析系统的分析能力全面优于当前Android分析系统。
| 当前Android分析系统 | 新版本Android分析系统 | |
|---|---|---|
| 系统版本 | 7.1 | 9 |
| 系统hook点数量 | 227 | 410 |
| APP动态行为数量 | 39 | 43 |
| APP联网活动数量 | 1038 | 1609 |
| APP智能点击交互数量 | 11 | 63 |
如下图,从某App动态行为的结果对比中可以看出,新版本Android分析系统捕获的动态行为更多,并且动态行为中的风险行为比例也更高。说明新版本Android分析系统具备更强的行为捕获能力。
如下图,从某App联网活动的结果对比中可以看出,新版本Android分析系统监听到的网络行为更多。在pcap包未完全解析的情况下,联网活动数量大幅领先于当前版本的监听结果。说明新版本Android分析系统具备更强的网络行为监听能力。
如下图,从某App智能点击交互的结果对比中可以看出,新版本Android分析系统能够触发App中更多的功能界面。说明新版本Android分析系统具备更流畅的运行环境和更高效的分析能力。
3.3 更大的并发数量
得益于全新的虚拟化分析引擎,新版本Android分析系统的资源开销更低。在相同配置的服务器中,新版本Android分析系统的并发数量能够达到当前Android分析系统的2倍,极大地提升了Android分析系统对大规模样本的处理能力。
四、总结
新版本的天穹沙箱的Android分析系统基于全新的虚拟化分析引擎,升级了Android系统版本;添加了更多的Hook点,具备更强大的分析能力;系统资源开销更低,并发量提升到当前版本的2倍。
原文始发于微信公众号(奇安信技术研究院):天穹 | Android 沙箱新版本来了
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论