Aufbau intelligenterer Cyber-Übungsumgebungen mit containerisiertem Android

:::info Autoren:

(1) Daniele Capone, SecSI srl, Napoli, Italien (daniele.capone@secsi.io);

(2) Francesco Caturano, Abteilung für Elektrotechnik und Information, Technologische Universität Napoli Federico II, Napoli, Italien (francesco.caturano@unina.i)

(3) Angelo Delicato, SecSI srl, Napoli, Italien (angelo.delicato@secsi.io);

(4) Gaetano Perrone, Abteilung für Elektrotechnik und Informationstechnologie, Universität Napoli Federico II, Napoli, Italien (gaetano.perrone@unina.it)

(5) Simon Pietro Romano, Abteilung für Elektrotechnik und Informationstechnologie, Universität Napoli Federico II, Napoli, Italien (spromano@unina.it).

:::

Inhaltsverzeichnis

Abstract und I. Einleitung

II. Verwandte Arbeiten

III. Dockerized Android: Design

IV. Dockerized Android Architektur

V. Evaluation

VI. Fazit und zukünftige Entwicklungen, und Referenzen

VI. FAZIT UND ZUKÜNFTIGE ENTWICKLUNGEN

In dieser Arbeit haben wir Dockerized Android beschrieben, eine Plattform, die Cyber-Range-Designer bei der Realisierung mobiler virtueller Szenarien unterstützt. Die Anwendung basiert auf Docker, d.h. einem Container-basierten Virtualisierungsframework, das im Cyber-Range-Bereich aufgrund der bereits erwähnten Vorteile umfassend eingesetzt wird. Wir haben die Hauptkomponenten beschrieben und gezeigt, wie es möglich ist, ein komplexes Cyber-Kill-Chain-Szenario zu realisieren, das die Verwendung von Bluetooth-Komponenten beinhaltet. Die Architektur wurde von Anfang an als erweiterbar konzipiert. Ihr Funktionsumfang kann über den Docker-Compose-Creator dynamisch aktiviert oder deaktiviert werden, und einige detaillierte Optionen können konfiguriert werden, um die Szenarien anzupassen. Die Stärke dieses Systems liegt in seiner Fähigkeit, eine mobile Komponente schnell über Docker auszuführen, mit vielen interessanten Funktionen direkt einsatzbereit. Darüber hinaus erhöht die Zentralisierung mehrerer Komponenten die allgemeine Benutzerfreundlichkeit. Die Nachteile beziehen sich alle auf Kompatibilitätsprobleme mit Windows und OS X beim Ausführen des Core for Emulator. Während ersteres wahrscheinlich mit den nächsten Updates gelöst wird, ist letzteres ohne signifikante Änderungen an der OS X-Implementierung nicht lösbar. Eine weitere Einschränkung ist die fehlende Unterstützung für die Emulation einiger Hardware-Komponenten, z.B. Bluetooth. Aus diesen Gründen wird die Linux-Umgebung als Host-Maschine dringend empfohlen. Wir werden in zukünftigen Arbeiten auch die potenziellen Vorteile der Verwendung von Dockerized Android in Cloud-basierten Umgebungen bewerten. Weitere Verbesserungen umfassen die vollständige Integration von sicherheitsbasierten Funktionen in den Android Emulator. Zum Beispiel könnte der GPS-Standort nützlich sein, um eine realistische Route zu simulieren, die von einem simulierten Benutzer zurückgelegt wird. In neueren Arbeiten werden Cyber Ranges mithilfe der High-Level-SDL-Darstellung (Specification and Description Language) konfiguriert [8]. Die Integration dieser Sprache in Dockerized Android ist relativ einfach, da jede Funktion über Docker-Umgebungsvariablen eingestellt wird. Zusätzliche Anstrengungen werden sich auf die Verbesserung von Automatisierungsfunktionen konzentrieren, wie z.B. das Design einer ereignisbasierten Architektur zur Simulation komplexer sequentieller Aktionen mit menschlicher Interaktion.

REFERENZEN

[1] Jan Vykopal et al. "Lessons learned from complex hands-on defence exercises in a cyber range". In: 2017 IEEE Frontiers in Education Conference (FIE). 2017, pp. 1–8. DOI: 10.1109/FIE.2017.8190713.

\ [2] Adam McNeil and W. Stuart Jones. Mobile Malware is Surging in Europe: A Look at the Biggest Threats. https://www.proofpoint.com/us/blog/email-and-cloudthreats/mobile-malware- surging-europe-look- biggestthreats. Online; 14.05.2022. 2022.

\ [3] René Mayrhofer et al. "The Android Platform Security Model". In: ACM Transactions on Privacy and Security 24.3 (Aug. 2021), pp. 1–35. DOI: 10 . 1145/ 3448609. URL: https://doi.org/10.1145/3448609.

\ [4] Ryotaro Nakata and Akira Otsuka. "CyExec*: A HighPerformance Container-Based Cyber Range With Scenario Randomization". In: IEEE Access 9 (2021), pp. 109095–109114. DOI: 10 . 1109 / ACCESS . 2021 . 3101245.

\ [5] Ryotaro Nakata and Akira Otsuka. Evaluation of vulnerability reproducibility in container-based Cyber Range. 2020. DOI: 10.48550/ARXIV.2010.16024. URL: https: //arxiv.org/abs/2010.16024.

\ [6] Francesco Caturano, Gaetano Perrone, and Simon Pietro Romano. "Capturing flags in a dynamically deployed microservices-based heterogeneous environment". In: 2020 Principles, Systems and Applications of IP Telecommunications (IPTComm). 2020, pp. 1–7. DOI: 10.1109/IPTComm50535.2020.9261519.

\ [7] Muhammad Mudassar Yamin, Basel Katt, and Vasileios Gkioulos. "Cyber ranges and security testbeds: Scenarios, functions, tools and architecture". In: Computers & Security 88 (Jan. 2020), p. 101636. DOI: 10. 1016/ J. COSE.2019.101636.

\ [8] Enrico Russo, Luca Verderame, and Alessio Merlo. "Enabling Next-Generation Cyber Ranges with Mobile Security Components". In: IFIP International Conference on Testing Software and Systems. Springer, 2020, pp. 150–165.

\ [9] Giuseppe Trotta Andrea Pierini. From APK to Golden Ticket. https://www.exploit-db.com/docs/english/44032- from- apk-to- golden-ticket.pdf. [Online; abgerufen am 01.03.2021]. 2017.

\ [10] Genymotion. Android as a Service. https : / / www . genymotion.com/. [Online; abgerufen am 01.03.2021].

\ [11] Corellium. ARM Device Virtualization. https : / / corellium.com/. [Online; abgerufen am 10.03.2021].

\ [12] Android Emulator. https : / / developer . android . com / studio/run/emulator. Abgerufen: 11.01.2021.

\ [13] thyrlian. AndroidSDK. https : / / github . com / thyrlian / AndroidSDK. [Online; abgerufen am 10.03.2021].

\ [14] budtmo. docker-android. https:// github. com/ budtmo/ docker-android. [Online; abgerufen am 10.03.2021].

\ [15] bitrise-io. android. https://github.com/bitrise-io/android. [Online; abgerufen am 10.03.2021].

\ [16] MobSF. Mobile Security Framework. https : / / www . github . com / MobSF / Mobile - Security - Framework - MobSF. [Online; abgerufen am 01.03.2021].

\ [17] Dockerfile best practices. https : / / docs . docker. com / develop / develop - images / dockerfile _ best - practices/. Abgerufen: 13.02.2021.

\ [18] Flaticon. Free vector icons. https://www.flaticon.com/. [Online; abgerufen am 17.04.2021].

\ [19] Frida. Frida. https://frida.re/. Online; 13.05.2022.

\ [20] Anonymized authors. Dockerized Android github repo. . Um dem Double-Blind-Review-Prinzip zu entsprechen, wurden die Github-Repo-Informationen verschleiert und werden verfügbar gemacht, wenn und sobald das Paper akzeptiert wird.

\ [21] Android-Exploits. https : / / github . com / sundaysec / Android - Exploits / blob / master / remote / 44242 . md. [Online; abgerufen am 19.04.2021].

\ [22] Ben Seri and Gregory Vishnepolsky. BlueBorne - The dangers of Bluetooth implementations: Unveiling zero day vulnerabilities and security flaws in modern Bluetooth stacks. Tech. rep. Armis, 2017.

\ [23] Armis Security. BlueBorne. https://www.armis.com/ research/blueborne/. Online; 13.05.2022. 2017.

\

:::info Dieses Paper ist auf arxiv unter CC by-SA 4.0 Deed (Attribution-Sahrealike 4.0 International license) verfügbar.

:::

\