近日,天穹沙箱对Android分析系统进行了优化重构和系统升级,以满足Android系统版本的更新迭代和用户日益增长的分析需求。目前,新版本的Android分析系统已成功上线集成,用户可以立即体验。
一、关键技术指标变化
更高的系统版本: 系统版本升级至Android 9,兼容当前绝大多数APK样本。
更强的分析能力: 基于全新的虚拟化分析引擎,更有效率地分析更大的APK样本。
更大的并发数量: 资源占用更低,并发数量达到当前版本的2倍。
二、新版本使用步骤
天穹沙箱开箱即用,只需将可疑样本拖入投递窗口即可上传,沙箱会自动选择合适的环境进行分析,如下图所示:
三、关键技术指标解读
3.1 更高的系统版本
随着Android系统的迭代更新,基于Android 7.1系统版本的Android分析系统无法满足用户的全部分析需求。例如,一些样本的minSdkLevel高于25(Android 7.1),使得现有分析环境无法正常运行目标App。此外,Android 7.1系统已逐渐远离Android主流操作系统版本,现有样本中的一些行为无法触发。因此,升级Android分析系统版本是亟待解决的需求。
经过调研,我们选定了Android 9作为新版本Android分析系统的构建基础。一方面提升了Android分析系统运行的Android系统版本,另一方面能够适配当前大多数的Android样本,避免了因为系统版本过高而引起的样本兼容性问题。
3.2 更强的分析能力
在新版本Android分析系统实现过程中,我们对虚拟化分析引擎进行了重构优化,既提升了Android分析系统中的Hook点数量,也提升了Android分析系统的分析效率,使其能够分析超过100M的APK大文件。以某主流搜索引擎App(108M)为例,我们在两个版本的Android分析系统中运行相同的分析时间,进行能力对比展示。
如下表,从表格所展示的结果中可以看出,新版本Android分析系统的分析能力全面优于当前Android分析系统。
| 当前Android分析系统 | 新版本Android分析系统 | |
|---|---|---|
| 系统版本 | 7.1 | 9 |
| 系统hook点数量 | 227 | 410 |
| APP动态行为数量 | 39 | 43 |
| APP联网活动数量 | 1038 | 1609 |
| APP智能点击交互数量 | 11 | 63 |
如下图,从某App动态行为的结果对比中可以看出,新版本Android分析系统捕获的动态行为更多,并且动态行为中的风险行为比例也更高。说明新版本Android分析系统具备更强的行为捕获能力。
如下图,从某App联网活动的结果对比中可以看出,新版本Android分析系统监听到的网络行为更多。在pcap包未完全解析的情况下,联网活动数量大幅领先于当前版本的监听结果。说明新版本Android分析系统具备更强的网络行为监听能力。
如下图,从某App智能点击交互的结果对比中可以看出,新版本Android分析系统能够触发App中更多的功能界面。说明新版本Android分析系统具备更流畅的运行环境和更高效的分析能力。
3.3 更大的并发数量
得益于全新的虚拟化分析引擎,新版本Android分析系统的资源开销更低。在相同配置的服务器中,新版本Android分析系统的并发数量能够达到当前Android分析系统的2倍,极大地提升了Android分析系统对大规模样本的处理能力。
四、总结
新版本的天穹沙箱的Android分析系统基于全新的虚拟化分析引擎,升级了Android系统版本;添加了更多的Hook点,具备更强大的分析能力;系统资源开销更低,并发量提升到当前版本的2倍。
五、 技术支持与反馈
星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们最求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。
天穹沙箱支持模拟14种CPU架构的虚拟机,环境数量50+,全面覆盖PC、服务器、智能终端、IoT设备的主流设备架构形态。在宿主机方面,除了Intel/AMD的x86架构CPU和CentOS操作系统之外,天穹沙箱支持海光、飞腾、鲲鹏等x86、ARM架构国产CPU和银河麒麟、中科方德等信创操作系统。
天穹沙箱系统以云沙箱、引擎输出、数据接口等多种形式服务于公司各个业务部门,包括天眼、终端安全、态势感知、ICG、锡安平台、安服等。
天穹内网地址(使用域账号登录):https://sandbox.qianxin-inc.cn
天穹公网地址(联系我们申请账号):https://sandbox.qianxin.com