近日,天穹沙箱对Android分析系统进行了优化重构和系统升级,以满足Android系统版本的更新迭代和用户日益增长的分析需求。目前,新版本的Android分析系统已成功上线集成,用户可以立即体验。

一、关键技术指标变化

更高的系统版本: 系统版本升级至Android 9,兼容当前绝大多数APK样本。
更强的分析能力: 基于全新的虚拟化分析引擎,更有效率地分析更大的APK样本。
更大的并发数量: 资源占用更低,并发数量达到当前版本的2倍。

二、新版本使用步骤

天穹沙箱开箱即用,只需将可疑样本拖入投递窗口即可上传,沙箱会自动选择合适的环境进行分析,如下图所示:

image-20240131185702

样本上传页面

三、关键技术指标解读

3.1 更高的系统版本

随着Android系统的迭代更新,基于Android 7.1系统版本的Android分析系统无法满足用户的全部分析需求。例如,一些样本的minSdkLevel高于25(Android 7.1),使得现有分析环境无法正常运行目标App。此外,Android 7.1系统已逐渐远离Android主流操作系统版本,现有样本中的一些行为无法触发。因此,升级Android分析系统版本是亟待解决的需求。

经过调研,我们选定了Android 9作为新版本Android分析系统的构建基础。一方面提升了Android分析系统运行的Android系统版本,另一方面能够适配当前大多数的Android样本,避免了因为系统版本过高而引起的样本兼容性问题。

3.2 更强的分析能力

在新版本Android分析系统实现过程中,我们对虚拟化分析引擎进行了重构优化,既提升了Android分析系统中的Hook点数量,也提升了Android分析系统的分析效率,使其能够分析超过100M的APK大文件。以某主流搜索引擎App(108M)为例,我们在两个版本的Android分析系统中运行相同的分析时间,进行能力对比展示。

如下表,从表格所展示的结果中可以看出,新版本Android分析系统的分析能力全面优于当前Android分析系统。

当前Android分析系统 新版本Android分析系统
系统版本 7.1 9
系统hook点数量 227 410
APP动态行为数量 39 43
APP联网活动数量 1038 1609
APP智能点击交互数量 11 63

如下图,从某App动态行为的结果对比中可以看出,新版本Android分析系统捕获的动态行为更多,并且动态行为中的风险行为比例也更高。说明新版本Android分析系统具备更强的行为捕获能力。

20240222182103

如下图,从某App联网活动的结果对比中可以看出,新版本Android分析系统监听到的网络行为更多。在pcap包未完全解析的情况下,联网活动数量大幅领先于当前版本的监听结果。说明新版本Android分析系统具备更强的网络行为监听能力。

20240222182515

如下图,从某App智能点击交互的结果对比中可以看出,新版本Android分析系统能够触发App中更多的功能界面。说明新版本Android分析系统具备更流畅的运行环境和更高效的分析能力。

20240222190040

3.3 更大的并发数量

得益于全新的虚拟化分析引擎,新版本Android分析系统的资源开销更低。在相同配置的服务器中,新版本Android分析系统的并发数量能够达到当前Android分析系统的2倍,极大地提升了Android分析系统对大规模样本的处理能力。

四、总结

新版本的天穹沙箱的Android分析系统基于全新的虚拟化分析引擎,升级了Android系统版本;添加了更多的Hook点,具备更强大的分析能力;系统资源开销更低,并发量提升到当前版本的2倍。

五、 技术支持与反馈

星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们最求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。


天穹沙箱支持模拟14种CPU架构的虚拟机,环境数量50+,全面覆盖PC、服务器、智能终端、IoT设备的主流设备架构形态。在宿主机方面,除了Intel/AMD的x86架构CPU和CentOS操作系统之外,天穹沙箱支持海光、飞腾、鲲鹏等x86、ARM架构国产CPU和银河麒麟、中科方德等信创操作系统。

天穹沙箱系统以云沙箱、引擎输出、数据接口等多种形式服务于公司各个业务部门,包括天眼、终端安全、态势感知、ICG、锡安平台、安服等。

天穹内网地址(使用域账号登录):https://sandbox.qianxin-inc.cn
天穹公网地址(联系我们申请账号):https://sandbox.qianxin.com