信息來源:FreeBuf
1 序言
安天從2005年開始����,每年年初公布年報(bào),對(duì)上一年度網(wǎng)絡(luò)威脅狀況進(jìn)行總結(jié),對(duì)威脅演進(jìn)趨勢(shì)做出預(yù)測(cè)。早期安天威脅年報(bào)以后臺(tái)病毒樣本捕獲分析系統(tǒng)的數(shù)據(jù)統(tǒng)計(jì)為主要支撐�。而后我們放棄了羅列數(shù)據(jù)的風(fēng)格�����,走向觀點(diǎn)型年報(bào)�,并分成“基礎(chǔ)威脅年報(bào)”和“移動(dòng)安全年報(bào)”發(fā)布����。
安天移動(dòng)安全團(tuán)隊(duì)在本次年度移動(dòng)安全報(bào)告中繼續(xù)以觀點(diǎn)的方式來組織內(nèi)容,用威脅的概念表達(dá)歸納安全事態(tài)的現(xiàn)象和趨勢(shì)����,并新增“反思”和“應(yīng)對(duì)”兩個(gè)版塊,探尋觀點(diǎn)和現(xiàn)象背后的原因��,提出應(yīng)對(duì)建議����。我們希望通過這份年度報(bào)告�,向移動(dòng)安全行業(yè)從業(yè)者、移動(dòng)互聯(lián)網(wǎng)相關(guān)企業(yè)以及大眾用戶分享和傳達(dá)我們的所見、所為及所思。同時(shí)這也是安天“移動(dòng)安全年報(bào)”第一次先于“基礎(chǔ)威脅年報(bào)”公開����,本年度的安天“基礎(chǔ)威脅年報(bào)”承載了更多相對(duì)系統(tǒng)而沉重的思考��,歷經(jīng)了多個(gè)版本的修改,將稍后發(fā)布��。
2016年����,安天移動(dòng)安全團(tuán)隊(duì)面對(duì)嚴(yán)峻的移動(dòng)安全對(duì)抗形勢(shì)�����,堅(jiān)持以對(duì)抗新興惡意威脅為己任��,砥礪前行����。安天移動(dòng)安全團(tuán)隊(duì)研發(fā)的移動(dòng)反病毒引擎(AVL SDK for mobile)防護(hù)的手機(jī)終端���,從年初的兩億部已經(jīng)發(fā)展到年底超過六億部�����,安天移動(dòng)安全團(tuán)隊(duì)為手機(jī)廠商提供了AVL Inside解決方案�,包括了惡意代碼檢測(cè)防護(hù)、Wi-Fi安全�、URL安全性檢測(cè)、支付安全����、漏洞跟蹤修補(bǔ)等體系化的安全模塊。安天移動(dòng)安全團(tuán)隊(duì)堅(jiān)持“安全技術(shù)必須服務(wù)客戶安全價(jià)值”的原則�,拒絕互聯(lián)網(wǎng)變現(xiàn)方式。加強(qiáng)和推動(dòng)更廣闊的產(chǎn)業(yè)鏈協(xié)作,以移動(dòng)終端安全為起點(diǎn)���,將防護(hù)邊界延展包括到移動(dòng)應(yīng)用商店、APP安全鑒定等在內(nèi)的整個(gè)產(chǎn)業(yè)鏈全程體系中去�。安天移動(dòng)安全團(tuán)隊(duì)以國(guó)內(nèi)首個(gè)移動(dòng)威脅情報(bào)平臺(tái)“AVL Insight”為不同行業(yè)提供威脅告知��、趨勢(shì)預(yù)測(cè)�、針對(duì)性木馬深度分析等安全服務(wù)���,AVL Insight移動(dòng)威脅情報(bào)平臺(tái)旨在提高銀行、政府等大型機(jī)構(gòu)對(duì)威脅事件的感知����、預(yù)警、分析�、取證、響應(yīng)和處置能力���,以達(dá)到降低IT安全成本���,提高資產(chǎn)和信息安全保障的最終目的。
在這些安全實(shí)踐中���,我們不斷調(diào)整自身的視角�,加深對(duì)威脅的認(rèn)知和理解����。過去十年間,以智能手機(jī)為端點(diǎn)�����,以3G/4G等網(wǎng)絡(luò)為信道,移動(dòng)互聯(lián)網(wǎng)迅猛發(fā)展�,移動(dòng)商務(wù)、移動(dòng)社交�����、移動(dòng)支付等移動(dòng)應(yīng)用快速占據(jù)生活的方方方面��,把人和設(shè)備�、人和人、設(shè)備和設(shè)備的距離越拉越近�����。在這個(gè)激動(dòng)人心的過程中����,中國(guó)扮演了用戶基數(shù)增長(zhǎng)、新業(yè)務(wù)實(shí)踐和新模式探索的火車頭角色���。移動(dòng)產(chǎn)業(yè)的發(fā)展帶來巨大變革帶來巨大變革的同時(shí)��,移動(dòng)安全和威脅對(duì)抗��,也逐漸進(jìn)入新的階段����。針對(duì)移動(dòng)網(wǎng)絡(luò)����,更為精準(zhǔn)的電信詐騙帶來更嚴(yán)重的社會(huì)威脅;短信攔截馬�����、短信蠕蟲等成為一種常態(tài)化的威脅�����,手機(jī)勒索軟件也不再是個(gè)案���,而成為一種業(yè)務(wù)模式�。這些威脅造成一個(gè)個(gè)日常資產(chǎn)受損案例�,為大眾所深惡痛絕,也為公共安全敲響警鐘���。從過去幾年的數(shù)據(jù)對(duì)比來看��,PC和傳統(tǒng)惡意代碼的整體規(guī)模逐漸下降�,威脅事件的數(shù)量也在逐年減少,傳統(tǒng)威脅和惡意代碼逐漸走向了新的模式(例如“勒索模式”)和更高對(duì)抗的場(chǎng)景(例如“APT場(chǎng)景”)�,在這背后則是整個(gè)移動(dòng)威脅的全面遷徙和規(guī)模化增長(zhǎng)以及爆發(fā)�。可以說2016年��,移動(dòng)威脅已經(jīng)成為個(gè)人���、企業(yè)和整個(gè)社會(huì)都繞不過的一個(gè)存在�。
在2015年年報(bào)中我們意識(shí)到了移動(dòng)威脅多元化的跡象���,因此使用移動(dòng)威脅全面泛化作為全年的核心觀點(diǎn)�,這一觀點(diǎn)同樣延續(xù)到2016年����,而且不僅僅是泛化而是全面的遷徙和大密度的出現(xiàn)。這也是我們2016年的主題“威脅的全面遷徙”的由來�,在背后我們看到的是整個(gè)威脅戰(zhàn)場(chǎng)和重心的持續(xù)發(fā)酵和轉(zhuǎn)化的慣性已然成形。與此同時(shí)���,2016年的移動(dòng)威脅呈現(xiàn)出了一些新特點(diǎn):伴隨移動(dòng)的快速發(fā)展����,企業(yè)和組織逐漸引入移動(dòng)辦公和移動(dòng)政務(wù),終端數(shù)據(jù)的商業(yè)價(jià)值日益凸顯���,移動(dòng)威脅正在從個(gè)人向企業(yè)組織遷移;針對(duì)移動(dòng)終端的APT攻擊也將隨之高發(fā)��;伴隨移動(dòng)云服務(wù)等新興技術(shù)模式的興起���,業(yè)務(wù)欺詐類的安全問題也開始成為移動(dòng)安全的關(guān)注點(diǎn)���;從技術(shù)演進(jìn)上看,Root型惡意代碼����、勒索軟件、色情應(yīng)用等也在進(jìn)行快速的技術(shù)演進(jìn)�����,給技術(shù)對(duì)抗帶來了新的挑戰(zhàn)�;Android系統(tǒng)需扮演攻防的主要戰(zhàn)場(chǎng),同時(shí)iOS����、嵌入式Linux以及各種IoT設(shè)備也出現(xiàn)新的威脅趨勢(shì)和特點(diǎn)�����,增加了移動(dòng)威脅全局對(duì)抗的深度和戰(zhàn)線的廣度���。
從全球看,移動(dòng)安全基礎(chǔ)設(shè)施(終端��、系統(tǒng)�����、網(wǎng)絡(luò)���、網(wǎng)絡(luò)協(xié)議)的設(shè)定具有一定的全球普適性����,因此面臨的威脅在技術(shù)形態(tài)上具有相通性��,全球在移動(dòng)支付安全����、移動(dòng)應(yīng)用市場(chǎng)審查、移動(dòng)企業(yè)辦公等場(chǎng)景的威脅對(duì)抗和防御中,可以考慮以威脅情報(bào)為體系進(jìn)行協(xié)同防御�����。同時(shí)也可以看到�,中國(guó)與其他國(guó)家相比,由于移動(dòng)互聯(lián)網(wǎng)的后發(fā)優(yōu)勢(shì)����,業(yè)務(wù)體量更大���,環(huán)境更復(fù)雜���,面臨的移動(dòng)威脅形態(tài)也更復(fù)雜,這一方面使得中國(guó)面臨著巨量的威脅壓力�����,另一方面也使其積累了大量的具有世界領(lǐng)先水平的對(duì)抗經(jīng)驗(yàn)���。
2 觀點(diǎn)和現(xiàn)象
2.1 移動(dòng)威脅規(guī)模保持穩(wěn)定增長(zhǎng)
2016年移動(dòng)威脅依然嚴(yán)峻���,嚴(yán)重困擾著每個(gè)移動(dòng)用戶的資產(chǎn)和數(shù)據(jù)安全。移動(dòng)惡意代碼作為重要的移動(dòng)威脅手段,經(jīng)過近幾年的迅猛發(fā)展在技術(shù)手段上已趨近成熟��,并保持著穩(wěn)定的增長(zhǎng)�����。2016年�,惡意代碼樣本總量在2015年總數(shù)的基礎(chǔ)上翻了一番,新增惡意代碼變種大幅增加�����,同比增長(zhǎng)近40%�����。與2015年相比�,移動(dòng)威脅在新型惡意代碼的演變上保持平穩(wěn)的線性增長(zhǎng),既有的惡意代碼仍在持續(xù)的進(jìn)化與對(duì)抗��。下圖以半年為時(shí)間周期統(tǒng)計(jì)了近兩年移動(dòng)惡意代碼數(shù)量���,從中我們可以看到每半年新增惡意樣本在新增總樣本中的占比仍呈現(xiàn)逐步上升趨勢(shì)����,可見攻擊者仍在繼續(xù)加大對(duì)惡意代碼的投入,移動(dòng)威脅并未受到外界環(huán)境的影響�����,保持著持續(xù)穩(wěn)定增長(zhǎng)����。
圖1 2015年-2016年移動(dòng)惡意代碼增長(zhǎng)趨勢(shì)
通過2016年惡意代碼家族Top10排行(如下圖所示),我們可以看到以色情應(yīng)用�、流氓推送為代表的惡意家族所占比重較大,這表明惡意代碼開始轉(zhuǎn)向與其他傳統(tǒng)的灰色產(chǎn)業(yè)鏈結(jié)合的形式謀取利益和生存���,由于這類應(yīng)用大多具有擦邊球行為,也給移動(dòng)威脅的治理帶來了很大的附加成本和判定難度�。
圖2 2016 年惡意代碼家族Top10
從惡意行為類型來看,2016年流氓行為類型的惡意代碼同比增長(zhǎng)15%���,占比高達(dá)57%�,依然保持在第一位�����,是最值得關(guān)注的惡意行為�。資費(fèi)消耗和惡意扣費(fèi)類型的惡意代碼數(shù)量依然較多���,排位依然靠前,分列第二位和第三位���,這與其能夠帶來直接的金錢收益有關(guān)���。
圖3 2015年和2016年惡意代碼行為分布圖
從上述數(shù)據(jù)統(tǒng)計(jì)可以看出,流氓行為的惡意代碼開始大量投入����,不斷困擾著用戶;對(duì)用戶隱私竊取和誘騙欺詐的攻擊也開始加?。淮蟛糠忠苿?dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)和普通用戶遭受的現(xiàn)實(shí)威脅仍然以大量高頻的弱威脅為主���,這些威脅由于危害程度較弱��,存在大量灰色空間��,在數(shù)據(jù)統(tǒng)計(jì)中占據(jù)了絕對(duì)地位���。此外,隨著地下產(chǎn)業(yè)鏈的發(fā)展�,這類弱威脅所依托的“流量模式“或“個(gè)人隱私倒賣”的變現(xiàn)路徑逐漸完備�����,低投入高收益的盈利模式已經(jīng)形成�����,更進(jìn)一步地加劇了這類威脅����,使其成為普遍現(xiàn)象����。
2.2 移動(dòng)威脅技術(shù)持續(xù)進(jìn)化
2.2.1 攻擊者加強(qiáng)Root技術(shù)使用
Root型惡意代碼自帶Root功能,利用公開Root工具的提權(quán)代碼��,直接對(duì)手機(jī)進(jìn)行Root操作���,獲取系統(tǒng)最高權(quán)限,將惡意代碼寫入只讀文件系統(tǒng)�,難以被用戶清除,能夠頑固存活于受害用戶手機(jī)�。由于其制作有一定難度,不太常在公眾視野出現(xiàn)����,但一直是一類危害程度嚴(yán)重的威脅�。2015年發(fā)現(xiàn)的Root型惡意代碼家族及變種數(shù)為21個(gè)��,2016年Root型惡意代碼家族變種數(shù)量增長(zhǎng)迅速�,新增Root型惡意代碼變種為73個(gè),是2015年的3倍多�。從下圖的統(tǒng)計(jì)數(shù)據(jù),我們可以看到2016年Root型惡意代碼樣本數(shù)量Q1����、Q2季度增長(zhǎng)緩慢,Q3��、Q4季度迅猛增長(zhǎng)�,僅Q3季度總量就超過了2015年全年Root型惡意代碼樣本數(shù)量的5倍,可見Root型惡意代碼在2016年進(jìn)入了一個(gè)爆發(fā)期��。
圖4 2015年-2016年Root型惡意代碼樣本增長(zhǎng)趨勢(shì)
2015年Root型惡意代碼主要配合惡意廣告推廣謀取利益���,其中最具有代表性的是PermAd [1] (又稱“GhostPush“)家族����。從2016年的Root型惡意代碼的惡意行為來看主要有以下3類��,會(huì)對(duì)用戶造成極大危害:
l 私自對(duì)用戶手機(jī)提權(quán)獲取Root權(quán)限后靜默安裝、卸載應(yīng)用或者將惡意應(yīng)用推送到系統(tǒng)目錄中長(zhǎng)期潛伏����,使用戶無法徹底清除病毒;
l 利用Root權(quán)限運(yùn)行惡意腳本強(qiáng)行禁用反病毒軟件�����,修改反病毒軟件白名單逃避殺毒軟件的檢測(cè)����;
l 利用Root權(quán)限對(duì)用戶手機(jī)重要的系統(tǒng)進(jìn)程(如phone,zygote進(jìn)程)進(jìn)行注入造成用戶手機(jī)功能異常并且在用戶無感知的情況下完成私自扣費(fèi)和隱藏運(yùn)行惡意代碼等行為�。
圖5 Root型惡意代碼功能進(jìn)化
2016年攻擊者加強(qiáng)了對(duì)Root技術(shù)的使用,Root型惡意代碼不僅在數(shù)量上有了大幅度的攀升��,在惡意功能上也有了比較明顯的進(jìn)化�����,具備了與反病毒引擎的對(duì)抗能力�����,對(duì)用戶造成的影響也在不斷的擴(kuò)大����。
客觀的來說,在移動(dòng)終端上����,由于操作系統(tǒng)的設(shè)定特點(diǎn),一定程度上導(dǎo)致了應(yīng)用安全軟件并不具備權(quán)限上的優(yōu)勢(shì)����,往往在與采用了Root技術(shù)的惡意代碼對(duì)抗當(dāng)中處于下風(fēng)。也正是從對(duì)抗需要的角度出發(fā)�,安天移動(dòng)安全團(tuán)隊(duì)目前選擇了和國(guó)內(nèi)知名移動(dòng)終端OEM廠商進(jìn)行合作,希望通過我們的專業(yè)安全能力���,對(duì)其進(jìn)行賦能�����,通過協(xié)作的方式讓移動(dòng)終端OEM廠商在這場(chǎng)越發(fā)不平等的對(duì)抗當(dāng)中盡可能發(fā)揮產(chǎn)業(yè)位置的優(yōu)勢(shì)��,重新扭轉(zhuǎn)對(duì)抗局面��。
2.2.2 攻擊者熱衷使用開源技術(shù)方案
2016年惡意代碼在技術(shù)實(shí)現(xiàn)上也得到了一定程度的進(jìn)化����,出現(xiàn)了多例惡意利用開源技術(shù)方案來實(shí)現(xiàn)惡意攻擊的新型移動(dòng)惡意代碼。被惡意利用的開源技術(shù)方案主要集中在“多開”����、“熱補(bǔ)丁”和“插件”這3個(gè)技術(shù)領(lǐng)域。2016年出現(xiàn)的利用這類開源技術(shù)的移動(dòng)威脅從家族和數(shù)量上來講不多����,整體來看還屬于一個(gè)新型惡意攻擊形態(tài)的萌芽期。
圖6 利用開源技術(shù)方案惡意代碼案例
借助開源技術(shù)方案帶來的技術(shù)積累��,不僅方便了惡意開發(fā)者制作攻擊武器�����,還能夠有效的逃避反病毒引擎的檢測(cè)�;此外,還能夠有效地減少受害用戶對(duì)惡意程序的感知能力��,起到更好的潛伏和攻擊效果���,這也是攻擊者熱衷于使用這類開源技術(shù)方案的主要原因���。
2.2.3 攻擊者利用社工欺詐手段繞過安全權(quán)限
Google在Android 6.0及以上的系統(tǒng)版本中推出了眾多新特性以增加系統(tǒng)安全性和提升用戶體驗(yàn)���。其中在安全性方面有所提升的特性主要涉及系統(tǒng)權(quán)限�����、應(yīng)用間文件共享���,而在用戶體驗(yàn)方面則引入了Doze機(jī)制用于節(jié)省系統(tǒng)電量�、延長(zhǎng)電池使用時(shí)間�����。這些新特性的引入在抑制惡意代碼對(duì)系統(tǒng)的侵害上發(fā)揮了不錯(cuò)的效果�。
2016年9月國(guó)外安全廠商“卡巴斯基”公開揭露了一款利用社會(huì)工程學(xué)的惡意代碼[2]。該惡意代碼針對(duì)安全性較強(qiáng)的Android6.0版本系統(tǒng)進(jìn)行攻擊,它通過頻繁彈出確認(rèn)權(quán)限請(qǐng)求窗口的方法強(qiáng)制繞過系統(tǒng)新增的應(yīng)用程序覆蓋權(quán)限和對(duì)危險(xiǎn)應(yīng)用程序活動(dòng)的動(dòng)態(tài)權(quán)限請(qǐng)求的安全功能����,導(dǎo)致用戶的手機(jī)陷入惡意代碼的控制中。在12月底����,出現(xiàn)了偽裝成正常應(yīng)用Chrome,并通過發(fā)送Intent誘使用戶將其加入白名單這種欺騙手段繞過Doze機(jī)制[3]的惡意應(yīng)用����。從Google官方對(duì)Android系統(tǒng)安全機(jī)制的更新上可以看出Google對(duì)于規(guī)范Android生態(tài)圈的決心和態(tài)度���,但惡意攻擊者并沒有因此停下腳步,反而是進(jìn)一步尋求繞過新增安全機(jī)制的技術(shù)手段�,并已經(jīng)開始制造出相應(yīng)的惡意代碼。
2016年移動(dòng)惡意代碼新變種增長(zhǎng)迅速��,Root型惡意代碼無論從數(shù)量和功能上都呈現(xiàn)出較為迅猛的增長(zhǎng)和進(jìn)化趨勢(shì)����。使用開源解決方案的惡意代碼開始萌芽,惡意開發(fā)者對(duì)于繞過Android系統(tǒng)新增安全機(jī)制的進(jìn)一步嘗試等�����,這些真實(shí)存在的威脅案例從側(cè)面可以反映出移動(dòng)威脅技術(shù)正在持續(xù)的進(jìn)化���。
2.3 電信詐騙高度體系化
電信詐騙通過近幾年的不斷演變����,已經(jīng)從純粹的技術(shù)威脅演變?yōu)橐苿?dòng)安全的重要威脅���,甚至有成為社會(huì)公共威脅的趨勢(shì)��,給人民群眾生命財(cái)產(chǎn)造成了嚴(yán)重傷害和巨大損失����。2016年電信詐騙特別是詐騙電話犯罪持續(xù)高發(fā),媒體也公開披露過多起涉案金額巨大甚至致人死亡的電話詐騙案件����。
詐騙短信是電信詐騙當(dāng)中重要的威脅形態(tài)之一����,也是移動(dòng)惡意代碼進(jìn)入用戶手機(jī)中的重要入口。詐騙短信持續(xù)泛濫���,偽基站是罪魁禍?zhǔn)?,?015年移動(dòng)安全年報(bào)中提到的短信攔截馬威脅的攻擊模式在2016年依舊活躍��,給受害用戶造成了巨大的財(cái)產(chǎn)損失��。針對(duì)電信詐騙的權(quán)威數(shù)據(jù)顯示�����,2015年全國(guó)公安機(jī)關(guān)共立電信詐騙案件59萬起�����,同比上升32.5%,共造成經(jīng)濟(jì)損失222億元[4]��。下圖展示了四例常見詐騙短信示例�����。
圖7 詐騙短信示例
電信詐騙形式和手段呈現(xiàn)出多樣化的發(fā)展趨勢(shì)�。隨著互聯(lián)網(wǎng)的普及和發(fā)展,移動(dòng)相關(guān)的電信詐騙開始與互聯(lián)網(wǎng)結(jié)合�����,從最開始單純給受害人撥打電話的傳統(tǒng)電信詐騙發(fā)展成為網(wǎng)絡(luò)電信詐騙��。近年來�,隨著移動(dòng)智能終端的迅速發(fā)展,網(wǎng)絡(luò)電信詐騙不斷進(jìn)化����,出現(xiàn)利用移動(dòng)終端惡意代碼結(jié)合釣魚攻擊來實(shí)施電信詐騙的新型技術(shù)手段。
圖8 電信詐騙進(jìn)化圖
為提高詐騙的成功率����,詐騙者需要搜集各方面的情報(bào)��。網(wǎng)絡(luò)電信詐騙情報(bào)體系由三大塊組成:詐騙目標(biāo)相關(guān)情報(bào)�����、詐騙手法相關(guān)情報(bào)和資金相關(guān)情報(bào)���。詐騙者通過黑市購(gòu)買、網(wǎng)絡(luò)搜索�、木馬回傳等手段對(duì)這些情報(bào)進(jìn)行搜集���,然后進(jìn)行篩選����、吸收�,最后實(shí)施詐騙。在移動(dòng)終端場(chǎng)景���,已經(jīng)出現(xiàn)具備完整詐騙功能的移動(dòng)惡意代碼���,例如偽裝成“最高人民檢察院”的惡意應(yīng)用,以涉嫌犯罪為由恐嚇受害者���,并進(jìn)行電信詐騙��。其主要攻擊流程如下圖所示����,詳細(xì)的技術(shù)分析可以參考安天移動(dòng)安全官方技術(shù)博客2016年12月12日發(fā)布的《病毒四度升級(jí):安天移動(dòng)安全揭露一例跨期兩年的電信詐騙進(jìn)化史》[5]分析報(bào)告。
圖9 移動(dòng)終端場(chǎng)景的電信詐騙流程圖
移動(dòng)相關(guān)的網(wǎng)絡(luò)電信詐騙已經(jīng)形成上下游產(chǎn)業(yè)鏈并且高度體系化����,甚至分為了4類專業(yè)的團(tuán)伙以進(jìn)行密切的分工與協(xié)作,這在極大程度上助長(zhǎng)了移動(dòng)相關(guān)的詐騙泛濫成災(zāi)��。
圖10 電信詐騙產(chǎn)業(yè)鏈
電信詐騙給受害用戶帶來了經(jīng)濟(jì)損失和其它嚴(yán)重后果��,以其中比較普遍的詐騙電話為例�,據(jù)公開的研究報(bào)告[6]顯示,在2016年前3個(gè)季度共9個(gè)月份中全國(guó)平均每月被用戶標(biāo)記的詐騙電話多達(dá)1500多萬次�����,詐騙類的電話在騷擾電話中占比高達(dá)27%�,從量級(jí)和占比足以看出移動(dòng)相關(guān)的電信詐騙已經(jīng)泛濫化。從另外一個(gè)角度來看�����,根據(jù)2016年1-9月趨勢(shì)圖中可以看出在2016年3月后詐騙電話數(shù)趨于緩和,并在2016年9月����,最高人民法院、最高人民檢察院���、公安部��、工業(yè)和信息化部�����、中國(guó)人民銀行�����、中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)六部門聯(lián)合發(fā)布《防范和打擊電信網(wǎng)絡(luò)詐騙犯罪的通告》后有下降的趨勢(shì)。
圖11 2016年1-9月詐騙電話標(biāo)記數(shù)每月趨勢(shì)
2.4 移動(dòng)威脅正從個(gè)人向企業(yè)組織遷移
移動(dòng)威脅最直接的受害群體是普通個(gè)人用戶����,詐騙電話、釣魚短信����、手機(jī)病毒已經(jīng)成為危害用戶手機(jī)安全的三類主要威脅���。從手機(jī)病毒這個(gè)層面來看,針對(duì)個(gè)人用戶的移動(dòng)威脅當(dāng)前主要是借助于仿冒�、惡意植入等技術(shù)手段,通過小眾的應(yīng)用市場(chǎng)����、論壇,網(wǎng)盤�����、社交應(yīng)用群等渠道以及惡意代碼自身的推送能力來進(jìn)行傳播�����,從而進(jìn)入到受害用戶手機(jī)��,對(duì)用戶造成危害�。
2016年安天移動(dòng)安全團(tuán)隊(duì)聯(lián)合合作伙伴對(duì)外發(fā)布過多篇移動(dòng)威脅相關(guān)的技術(shù)分析文章(典型案例節(jié)選部分如下表所示),面向個(gè)人用戶揭露不同類型移動(dòng)威脅的發(fā)展形式以及對(duì)用戶的危害和影響��。從對(duì)用戶造成的威脅來看�����,誘騙欺詐、隱私竊取����、惡意扣費(fèi)是個(gè)人用戶遭受的最主要的三類手機(jī)安全威脅。
圖12 安天移動(dòng)安全技術(shù)報(bào)告節(jié)選
除了大量的個(gè)人用戶遭受到移動(dòng)威脅的侵蝕�,由于企業(yè)對(duì)移動(dòng)威脅的重視程度普遍不足,導(dǎo)致移動(dòng)威脅造成的企業(yè)資產(chǎn)受損的事件近年有上升趨勢(shì)����。其中具有代表性的威脅案例是2016年8月由國(guó)外安全廠商首先公開披露的惡意代碼“DressCode” [7],該病毒利用SOCKS代理反彈技術(shù)突破內(nèi)網(wǎng)防火墻限制��,竊取內(nèi)網(wǎng)數(shù)據(jù)��,能夠以手機(jī)終端作為跳板實(shí)現(xiàn)對(duì)企業(yè)內(nèi)網(wǎng)的滲透(具體的攻擊流程如下圖所示)����?!癉ressCode”惡意代碼的出現(xiàn)表明移動(dòng)惡意代碼已經(jīng)具備對(duì)企業(yè)進(jìn)行滲透攻擊的能力。
圖13 DressCode攻擊流程圖
截止到2016年9月底��,這類竊取企業(yè)內(nèi)網(wǎng)信息的惡意應(yīng)用在數(shù)量上已經(jīng)超過3000�,其中有400多款應(yīng)用曾經(jīng)上架過GooglePlay應(yīng)用市場(chǎng),部分應(yīng)用的安裝量在10萬到50萬之間。通過這類統(tǒng)計(jì)數(shù)據(jù)雖然無法直接有效地評(píng)估企業(yè)遭受的損失��,但從側(cè)面上可以反映出移動(dòng)惡意攻擊者已經(jīng)開始將移動(dòng)威脅的攻擊向企業(yè)級(jí)場(chǎng)景切換����。
在另外一個(gè)場(chǎng)景中,則是通過篡改DNS實(shí)現(xiàn)對(duì)企業(yè)的滲透和攻擊���,2016年底在移動(dòng)平臺(tái)出現(xiàn)的“Switcher”惡意代碼家族能夠借助移動(dòng)終端接入Wi-Fi對(duì)連入的路由器DNS服務(wù)進(jìn)行攻擊[8]�����,惡意篡改DNS服務(wù)器地址從而實(shí)現(xiàn)受害用戶網(wǎng)絡(luò)流量劫持�����。
圖14 DNS劫持流程圖
“Switcher”主要通過暴力破解登錄的方式進(jìn)入路由器DNS并篡改成惡意的DNS服務(wù)器地址�����,其攻擊能力主要依賴于破解字典的強(qiáng)度���。當(dāng)前從“Switcher”自帶的字典來看主要以常見的弱密碼為主,可見其攻擊能力并不是很強(qiáng)�����,但是從整體的攻擊流程和目標(biāo)來看,移動(dòng)威脅當(dāng)前已經(jīng)具備了對(duì)DNS這類網(wǎng)絡(luò)服務(wù)進(jìn)行惡意利用的能力����。
由于近幾年企業(yè)在終端安全防護(hù)領(lǐng)域的投入和重視度不足, PC勒索軟件近兩年在企業(yè)環(huán)境中造成了巨大威脅和資產(chǎn)損失��。從前文案例可以看出�,就威脅攻擊的整個(gè)鏈條而言,個(gè)人用戶����、企業(yè)用戶以及網(wǎng)絡(luò)服務(wù)供應(yīng)商等都遭受到了不同程度移動(dòng)威脅的惡意利用或攻擊,移動(dòng)威脅也正在從個(gè)人向企業(yè)組織遷移�����,值得企業(yè)安全管理人員關(guān)注和預(yù)警�����。
2.5 移動(dòng)終端已成為APT的新戰(zhàn)場(chǎng)
2013年3月�����,卡巴斯基披露了首個(gè)移動(dòng)終端上的針對(duì)性攻擊事件[10]�,其結(jié)合了傳統(tǒng)網(wǎng)絡(luò)攻擊下的郵件釣魚攻擊模式和移動(dòng)終端的木馬程序完成對(duì)特定目標(biāo)人物移動(dòng)設(shè)備的攻擊和控制。這個(gè)事件的公開披露意味著移動(dòng)威脅的攻擊動(dòng)機(jī)已不局限于利用黑色產(chǎn)業(yè)鏈牟取直接的經(jīng)濟(jì)利益�,在攻擊目標(biāo)群體的選擇上也不局限于泛化的移動(dòng)終端用戶。
截止到2016年末���,公開揭露的針對(duì)移動(dòng)終端的APT攻擊事件已有十幾例����,其不僅針對(duì)Android平臺(tái)����,也覆蓋了iOS、黑莓等其他智能平臺(tái)�����。而移動(dòng)APT事件主要的攻擊目的為收集和竊取智能終端上的隱私數(shù)據(jù)��,包括短信����、通訊錄、定位信息等����。其中部分移動(dòng)APT事件長(zhǎng)達(dá)數(shù)年���,例如2016年3月被公開披露的針對(duì)印度軍方的“OperationC-Major”行動(dòng)[11]就是從2013年開始持續(xù)了3年多的時(shí)間。
2016年8月����,在Pegasus間諜木馬[12]攻擊一名阿聯(lián)酋社會(huì)活動(dòng)家的事件中,使用了三個(gè)針對(duì)iOS的0-day漏洞實(shí)現(xiàn)攻擊����,表明在移動(dòng)攻擊場(chǎng)景下也可以和CyberAPT一樣將高級(jí)攻擊技術(shù)應(yīng)用到APT攻擊過程。同時(shí)也表明移動(dòng)終端已經(jīng)成為APT組織進(jìn)行持續(xù)化攻擊的新戰(zhàn)場(chǎng)���,并重點(diǎn)以對(duì)特定目標(biāo)人物的情報(bào)搜集和信息竊取為目的��。
2.6 全球移動(dòng)支付安全正遭受威脅
隨著移動(dòng)互聯(lián)網(wǎng)和移動(dòng)支付技術(shù)的迅速發(fā)展����,越來越多的用戶使用智能手機(jī)�、平板電腦等移動(dòng)終端訪問網(wǎng)上銀行,進(jìn)行便捷支付��。與此同時(shí)����,惡意攻擊者也在持續(xù)加大對(duì)移動(dòng)金融的攻擊力度�����。2015年12月Android銀行木馬GMBot的源代碼在網(wǎng)上泄露[13],其中包括Bot組件和控制面板的源代碼�。惡意攻擊者能夠直接從網(wǎng)絡(luò)獲取到源碼并進(jìn)行修改,快速的制作出大批量的Android銀行木馬��。
Android平臺(tái)2016年在移動(dòng)金融威脅上新增了Svpeng����、GBanker、Gugi���、Slocker���、FakeBank、Marcher等16個(gè)銀行木馬家族����,52個(gè)銀行木馬變種,其中感染量較大的為Svpeng�����、GBanker、Gugi�、Slocker、FakeBank等木馬家族�,如下圖所示。
圖15 2016年銀行木馬家族Top5及感染量
從攻擊的技術(shù)手段和目標(biāo)來看���,國(guó)外的銀行木馬大多都會(huì)請(qǐng)求激活設(shè)備管理器��,使受害用戶無法通過正常的應(yīng)用卸載方式進(jìn)行卸載���,在用戶使用金融APP或者GooglePlay時(shí),該木馬會(huì)彈出虛假的綁定銀行卡界面或者付費(fèi)界面欺騙用戶輸入自己的銀行賬戶相關(guān)信息(主要包含VISA卡賬號(hào)��、MasterCard的賬號(hào)和CVV)�����,然后通過短信轉(zhuǎn)發(fā)或者遠(yuǎn)程控制服務(wù)器上傳的形式完成竊取�,部分家族還會(huì)對(duì)用戶接收的短信進(jìn)行攔截、上傳�����,對(duì)用戶手機(jī)短信功能造成影響。而國(guó)內(nèi)移動(dòng)金融威脅相關(guān)的銀行木馬���,主要通過仿冒國(guó)內(nèi)主流銀行APP誘導(dǎo)用戶輸入賬號(hào)信息的方式來完成對(duì)受害用戶銀行賬號(hào)�����、銀行賬號(hào)密碼、銀行預(yù)留手機(jī)號(hào)����、身份證號(hào)碼、開戶行名稱等高價(jià)值信息的竊取��。
2016年新增的移動(dòng)銀行木馬對(duì)全球50多家銀行造成了不同程度的影響��,其中影響的地域包括了俄羅斯�����、中國(guó)�����、美國(guó)、加拿大���、澳大利亞�����、德國(guó)�、法國(guó)���、波蘭�����、土耳其等國(guó)家和地區(qū)���,涉及到有QIWI、Sberbank�����、Alfa-Bank����、 PayPal、Citibank、BawagP.S.K.���、BankAustria���、DeutscheBank、ING-DiBa���、INGDirect等國(guó)際知名銀行和支付平臺(tái)�����。而國(guó)內(nèi)的移動(dòng)銀行木馬攻擊的目標(biāo)主要是建設(shè)銀行、工商銀行�����、招商銀行����、農(nóng)業(yè)銀行、中國(guó)銀行�、交通銀行等國(guó)內(nèi)用戶較多的銀行。對(duì)國(guó)內(nèi)銀行木馬我們?cè)诎蔡煲苿?dòng)安全官方技術(shù)博客2016年8月24日發(fā)布的DarkMobile Bank報(bào)告[14]中已經(jīng)做了詳細(xì)深入的剖析����。從下圖可以看出2016年新增的移動(dòng)銀行木馬主要針對(duì)俄羅斯�����、中國(guó)的移動(dòng)終端用戶�����。
圖16 2016年移動(dòng)銀行木馬主要感染區(qū)域分布圖
2.7 隱私泄露成為移動(dòng)威脅重要幫兇
2016年各類信息及數(shù)據(jù)泄露的安全事件依舊層出不窮�����、愈演愈烈�?��!靶煊裼瘛卑傅入娦旁p騙事件的報(bào)道���,也引發(fā)了公眾的思考,并對(duì)個(gè)人信息泄露帶來的惡劣社會(huì)影響有了深刻認(rèn)識(shí)����。
圖17 2016年部分重大數(shù)據(jù)泄露事件
上圖列舉的只是隱私泄露事件當(dāng)中的極小部分,近年來����,針對(duì)各類網(wǎng)站系統(tǒng)的脫庫(kù)�����、撞庫(kù)攻擊頻繁發(fā)生�,大量用戶的高價(jià)值隱私數(shù)據(jù)信息被泄露�。隱私的大面積泄露,已經(jīng)成為移動(dòng)威脅當(dāng)中重要的幫兇和支撐性的環(huán)節(jié)��,這個(gè)大趨勢(shì)不可避免會(huì)導(dǎo)致移動(dòng)威脅朝著長(zhǎng)尾化����、精準(zhǔn)化和碎片化的方向發(fā)展。隱私泄露已經(jīng)成為普遍的安全威脅和問題��,它助長(zhǎng)了移動(dòng)威脅的增長(zhǎng)�����,并把移動(dòng)威脅引導(dǎo)向了精準(zhǔn)化���、碎片化、高價(jià)值轉(zhuǎn)化的方向上�����,使得移動(dòng)威脅的長(zhǎng)尾現(xiàn)象更加顯著。這使得每個(gè)用戶遇到都是高精準(zhǔn)的���、難以大面積出現(xiàn)����、具有普適性的威脅�,惡意攻擊者不需要通過大面積的攻擊來實(shí)現(xiàn)價(jià)值轉(zhuǎn)化。
移動(dòng)供應(yīng)鏈的復(fù)雜性和終端服務(wù)的碎片化�,導(dǎo)致隱私泄露這類移動(dòng)威脅難以被用戶和社會(huì)所感知,難以喚起社會(huì)普遍的重視���。但最終這些重隱私和輕隱私的泄漏���,由于其產(chǎn)生的長(zhǎng)尾效應(yīng)最終會(huì)對(duì)整個(gè)移動(dòng)安全乃至身份安全體系產(chǎn)生巨大影響。
2.8 移動(dòng)勒索軟件種類迅速增長(zhǎng)
移動(dòng)平臺(tái)的勒索軟件最早于2014年出現(xiàn)在東歐地區(qū)�,2015年國(guó)內(nèi)開始出現(xiàn)濫用Android系統(tǒng)功能的鎖屏類惡意勒索軟件,并活躍至今�����,已經(jīng)成為了一種成熟的惡意代碼攻擊模式�。對(duì)比近2年移動(dòng)勒索軟件數(shù)量�,我們發(fā)現(xiàn)2016年4個(gè)季度與2015年同期相比樣本數(shù)量都有不同程度的倍增�����,其中第1季度增長(zhǎng)了近7倍�����,可見移動(dòng)勒索軟件在2016年得到了迅猛的發(fā)展���。
圖18 近兩年移動(dòng)勒索軟件數(shù)量變化情況
2016年移動(dòng)勒索軟件表現(xiàn)形態(tài)主要有三種:軟件自身頻繁地強(qiáng)制置頂自身頁(yè)面導(dǎo)致手機(jī)無法切換操作界面���、私自設(shè)置手機(jī)PIN鎖屏密碼導(dǎo)致用戶無法解鎖手機(jī)、屏蔽用戶手機(jī)虛擬按鍵或者觸摸部分����。
我們對(duì)勒索軟件影響的地域進(jìn)行了統(tǒng)計(jì),發(fā)現(xiàn)東歐或俄羅斯的占比為54.8%����,其次是中國(guó)占據(jù)了38.65%��,英美占據(jù)2.95%����,中東地區(qū)的伊朗占據(jù)了3.6%�,這表明俄羅斯和中國(guó)是2016年移動(dòng)勒索軟件檢測(cè)和感染率最高的國(guó)家�����。
圖19 勒索軟件在全球范圍內(nèi)分布情況占比
在2016年6月份�����,國(guó)外某安全公司發(fā)現(xiàn)了勒索軟件“Flocker”[15]家族能夠感染智能電視��?���!癋locker”家族的一個(gè)變種會(huì)偽裝成美國(guó)網(wǎng)警或者其他的執(zhí)法機(jī)構(gòu),當(dāng)用戶不小心運(yùn)行勒索軟件時(shí)�,界面會(huì)以英文提示“你被通緝了,需要交付一定的贖金���,贖金是價(jià)值200美元的iTunes禮品卡”��。智能電視之所以受到攻擊者的利用與廠商本身有一定的關(guān)系���。由于廠商不積極更新系統(tǒng)安全補(bǔ)丁導(dǎo)致大部分的Android智能電視系統(tǒng)都停留在Android4.4版本以下����,容易遭受勒索以及其它移動(dòng)威脅的攻擊����。
當(dāng)前移動(dòng)終端的勒索軟件雖然在數(shù)量上有明顯的增長(zhǎng),并同時(shí)開始轉(zhuǎn)向?qū)χ悄茈娨暤仍O(shè)備的攻擊�����,但與PC端相比其攻擊對(duì)象依舊以普通用戶為主�,并且在“贖金”要求上相對(duì)較低,加之移動(dòng)終端系統(tǒng)不斷更新的系統(tǒng)安全機(jī)制能夠在一定程度上抵御勒索應(yīng)用的攻擊���。從這個(gè)角度來看��,移動(dòng)勒索軟件對(duì)用戶的威脅影響相對(duì)有限���。
2.9 iOS自成體系但并非安全神話
iOS系統(tǒng)因?yàn)槠湎到y(tǒng)封閉性以及安全封閉性,安全生態(tài)體系基本依賴Apple自行解決�����。從2009年到2016年,iOS系統(tǒng)上公開的惡意代碼家族一共40多個(gè)����,其中絕大部分家族的惡意功能依賴于越獄后的iOS系統(tǒng)�����。從2016年全年來看�����,iOS系統(tǒng)上公開的惡意代碼主要是“AceDeceiver” [16]和“Pegasus”[12]兩個(gè)家族�,它們能夠在非越獄iOS設(shè)備上實(shí)施惡意行為。因此從iOS的實(shí)際威脅現(xiàn)狀看�,惡意代碼的影響力相對(duì)受限。
2016年針對(duì)iOS從9.0到10.x版本的系統(tǒng)公開了不少可以利用的漏洞及利用方法[17]���,其中比較典型的有針對(duì)iOS 10.1.1對(duì)mach_portal攻擊鏈的利用方法�����,以及具有較高影響力的針對(duì)iOS 9.3.4系統(tǒng)定向攻擊竊取阿聯(lián)酋的一位人權(quán)活動(dòng)家隱私的“三叉戟”漏洞����。同時(shí)為了提取特定Apple手機(jī)的數(shù)據(jù),F(xiàn)BI和Apple公司也進(jìn)行了長(zhǎng)達(dá)數(shù)月的司法紛爭(zhēng)�。最終通過第三方公司,對(duì)手機(jī)中的數(shù)據(jù)進(jìn)行破解和提取[18]��。這也側(cè)面反映出���,iOS體系中Apple處于絕對(duì)的攻防核心地位��,控制著所有安全命脈���,但是iOS系統(tǒng)并非堅(jiān)不可摧,在高級(jí)漏洞抵御層面并不占據(jù)優(yōu)勢(shì)����。
根據(jù)CVE Details統(tǒng)計(jì)的有關(guān)移動(dòng)操作系統(tǒng)的漏洞信息(如下圖所示),iOS系統(tǒng)2016年公開漏洞數(shù)量為Android的三分之一左右��,主要風(fēng)險(xiǎn)集中在拒絕服務(wù)����、代碼執(zhí)行、堆棧溢出���、內(nèi)存破壞等高危漏洞方面��。但考慮到Android系統(tǒng)的碎片化以及開放性�����,這樣的統(tǒng)計(jì)數(shù)據(jù)并不能說明iOS更加安全��。
圖20 2016年Android和iOS系統(tǒng)漏洞類型及數(shù)量對(duì)比
圍繞iOS系統(tǒng)的封閉性與安全性之爭(zhēng)預(yù)計(jì)還將持續(xù)�。但值得深思的是����,因?yàn)閕OS的安全封閉性,安全廠商�����、政府機(jī)構(gòu)���、普通用戶等參與者難以建立有效的安全應(yīng)對(duì)機(jī)制�,雖然Apple在iOS系統(tǒng)漏洞的遏制和響應(yīng)上具備一些優(yōu)勢(shì)和經(jīng)驗(yàn)���,在安全上的投入也取得了一些成績(jī)�����,但用戶在遭遇到新型威脅或高級(jí)攻擊時(shí)即使是專業(yè)的安全團(tuán)隊(duì)也難以有效地配合跟進(jìn)并幫助用戶解決威脅問題��。與Android這類開放的移動(dòng)操作系統(tǒng)相比���,iOS系統(tǒng)由于高封閉的模式在反APT工作以及與高階對(duì)手的競(jìng)爭(zhēng)中可能處于劣勢(shì)��,并在一定程度上局限了其商務(wù)應(yīng)用的有效發(fā)展�。
與iOS相比����,Android系統(tǒng)的生態(tài)體系更加繁榮,潛在威脅更多����,因此也對(duì)Android安全提出更高要求,Android系統(tǒng)的開放性和可定制化給安全廠商有效的防御策略提供了積極的支撐作用���,能夠讓安全廠商在移動(dòng)威脅的防御上大有作為�。從Android整個(gè)安全體系看�����,需要通過供應(yīng)鏈加強(qiáng)安全協(xié)同���,從設(shè)備��、系統(tǒng)�����、應(yīng)用���、環(huán)境等多層面加強(qiáng)漏洞檢測(cè)、系統(tǒng)加固�、安全增強(qiáng)和內(nèi)置安全引擎等工作,從而最大限度的保障整個(gè)安全體系的有效性�����。
3 反思
3.1 移動(dòng)威脅檢測(cè)核心作用有待進(jìn)一步發(fā)揮
面對(duì)移動(dòng)威脅規(guī)模的持續(xù)增長(zhǎng)�����、威脅技術(shù)持續(xù)進(jìn)化和電信詐騙泛濫等現(xiàn)實(shí)威脅狀況��,惡意代碼檢測(cè)無疑是一種核心安全防御手段�����。
下圖是全球主流的移動(dòng)反病毒引擎在2016年11月份AV-TEST[19]的測(cè)評(píng)中的結(jié)果對(duì)比圖,從中我們可以看到絕大部分廠商的檢出率都在90%以上�。值得一提的是,近5年來����,安天移動(dòng)安全團(tuán)隊(duì)自主研發(fā)的AVL移動(dòng)反病毒引擎在AV-TEST,AV-C等國(guó)際權(quán)威反病毒認(rèn)證機(jī)構(gòu)的測(cè)評(píng)中均以極高的檢出率名列前茅�。
圖21 2016年11月AV-TEST測(cè)評(píng)成績(jī)
面對(duì)持續(xù)爆發(fā)的威脅,手機(jī)制造商�����、系統(tǒng)供應(yīng)商等關(guān)鍵環(huán)節(jié)需要進(jìn)一步加強(qiáng)移動(dòng)威脅檢測(cè)能力的引入��,從系統(tǒng)深層次提供對(duì)移動(dòng)威脅的檢測(cè),為用戶提供深層次安全防御。
通過進(jìn)一步的威脅情報(bào)體系建設(shè)和產(chǎn)業(yè)協(xié)同工作�,我們也看到移動(dòng)惡意代碼檢測(cè)能力將會(huì)成為一種安全基本能力,通過不同行業(yè)和技術(shù)領(lǐng)域的不斷使用,逐漸展現(xiàn)出超過移動(dòng)惡意代碼檢測(cè)原有內(nèi)涵的綜合防御效果。
3.2 Android應(yīng)用市場(chǎng)問題亟待重視
Android應(yīng)用市場(chǎng)作為Android應(yīng)用和用戶手機(jī)直接連接的重要橋梁,是移動(dòng)生態(tài)環(huán)節(jié)當(dāng)中重要的組成部分��。Google的官方應(yīng)用市場(chǎng)GooglePlay以及國(guó)內(nèi)外的各類應(yīng)用市場(chǎng)都擁有大量的用戶群體�,一旦出現(xiàn)惡意代碼極有可能會(huì)導(dǎo)致大量用戶受到威脅����。
2016年安全廠商多次在Google Play應(yīng)用市場(chǎng)發(fā)現(xiàn)惡意代碼����。出現(xiàn)在GooglePlay上的惡意代碼感染用戶多�,影響廣泛,部分惡意代碼能夠攻擊企業(yè)內(nèi)網(wǎng)�����,甚至控制受害用戶手機(jī)進(jìn)行DDOS攻擊���。從這些公開的事件來看�����,單一來源市場(chǎng)加上嚴(yán)格的商家審計(jì),雖然是一種有效的安全思路���,但依然不能保證軟件供應(yīng)鏈?zhǔn)前踩?����,仍然需要建立起個(gè)體用戶���、手機(jī)廠商和企業(yè)用戶各自的安全邊界����。
圖22 2016年安全廠商在Google Play應(yīng)用市場(chǎng)發(fā)現(xiàn)惡意代碼案例節(jié)選
由于無法像Google一樣承擔(dān)巨大的安全審核成本���,國(guó)內(nèi)應(yīng)用市場(chǎng)的安全問題比GooglePlay更加嚴(yán)重�。我們通過對(duì)國(guó)內(nèi)的一些應(yīng)用市場(chǎng)進(jìn)行定期檢測(cè)�,發(fā)現(xiàn)過多例包含有“百腦蟲”[20]和“JMedia”[21]等高級(jí)惡意代碼的應(yīng)用,相關(guān)的應(yīng)用市場(chǎng)對(duì)于這類能夠被反病毒引擎檢出的惡意應(yīng)用并沒有及時(shí)進(jìn)行下架處理�����,可見此類安全問題并沒有引起足夠的關(guān)注���。
應(yīng)用市場(chǎng)和應(yīng)用分發(fā)問題在安全策略和安全防護(hù)上沒有得到普遍重視�。當(dāng)前的應(yīng)用市場(chǎng)����,包括GooglePlay這樣的一級(jí)分發(fā)市場(chǎng)、國(guó)內(nèi)的二三級(jí)分發(fā)市場(chǎng)以及與用戶聯(lián)系最緊密的移動(dòng)應(yīng)用市場(chǎng)服務(wù)商����,對(duì)于自身在安全上扮演的角色是不夠重視的。國(guó)內(nèi)外應(yīng)用分發(fā)市場(chǎng)都存在上述安全問題����,說明應(yīng)用市場(chǎng)本身的審核機(jī)制存在一定的問題��。相比而言�,Apple應(yīng)用市場(chǎng)在這方面做的較好���,Apple系統(tǒng)閉源�����、應(yīng)用下載市場(chǎng)統(tǒng)一���、審核流程更加嚴(yán)格,發(fā)現(xiàn)惡意App后能夠進(jìn)行及時(shí)響應(yīng)和下架處置��,Android的應(yīng)用市場(chǎng)與Apple的應(yīng)用市場(chǎng)相比仍有較大的差距�����。2016年Android應(yīng)用市場(chǎng)頻頻出現(xiàn)惡意代碼并非偶然����,從根本上來看是因?yàn)锳ndroid應(yīng)用市場(chǎng)的安全問題依然沒有得到重視�,也沒有引入有效的安全檢測(cè)和防護(hù)方案��。
3.3 漏洞碎片化未得到有效遏制
由于Android系統(tǒng)的開源以及定制化造成的Android系統(tǒng)不可控的碎片化��,同時(shí)也導(dǎo)致了Android系統(tǒng)漏洞的碎片化��。根據(jù)CVEDetails公開的數(shù)據(jù)顯示����,在2016年Android系統(tǒng)一共被收錄了523個(gè)漏洞����,其中包含有99個(gè)信息泄露相關(guān)的漏洞,2015年這類漏洞只有19個(gè)���。值得注意的是2016年新增了250個(gè)可以提升權(quán)限的安全漏洞����,2015年這類漏洞只有17個(gè)�����,增長(zhǎng)超過13倍����。
特別是像DirtyCow[22]和Drammer[23]這類能夠影響從Android1.0及以后幾乎所有Android系統(tǒng)版本的通用性漏洞���,對(duì)用戶的傷害性不言而喻。DirtyCow(又稱“臟牛漏洞”)是由安全研究員PhilOester首先發(fā)現(xiàn)的��。DirtyCow利用Linux內(nèi)核的內(nèi)存子系統(tǒng)在處理寫時(shí)拷貝(Copy-on-Write)時(shí)存在的條件競(jìng)爭(zhēng)漏洞���,導(dǎo)致私有只讀內(nèi)存映射可以被破壞���。一個(gè)低權(quán)限的本地用戶能夠利用此漏洞獲取其他只讀內(nèi)存映射的寫權(quán)限,有可能進(jìn)一步導(dǎo)致提權(quán)漏洞�。Drammer漏洞由國(guó)外安全公司VUSec發(fā)現(xiàn)并公開,是一種針對(duì)Android設(shè)備的攻擊方式���,該漏洞利用內(nèi)存芯片設(shè)計(jì)上的一個(gè)缺陷不斷的訪問某個(gè)位置上的內(nèi)存����,就可能造成相鄰的內(nèi)存進(jìn)行位翻轉(zhuǎn)�,如果攻擊者訪問足夠多次就可以控制它指向內(nèi)存中特定的高權(quán)限空間,從而獲取Root權(quán)限��。
圖23 近兩年Android系統(tǒng)漏洞類型及數(shù)量對(duì)比
當(dāng)前移動(dòng)操作系統(tǒng)漏洞的有效利用點(diǎn)依然集中在提升權(quán)限漏洞上��,還沒有擴(kuò)大到比較復(fù)雜的應(yīng)用和攻擊場(chǎng)景����。但是,這種局面并沒有得到有效的遏制�,給整個(gè)攻擊鏈的防御上帶來了極大的風(fēng)險(xiǎn)和控制難度。2016年出現(xiàn)的大量手機(jī)Root型惡意代碼充分印證了這一點(diǎn)��。
3.4 移動(dòng)威脅的體系化應(yīng)對(duì)尚需時(shí)日
2016年11月�����,我國(guó)正式出臺(tái)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》���,從法律法規(guī)層面加強(qiáng)了對(duì)安全體系化建設(shè)的指導(dǎo)��。從網(wǎng)絡(luò)安全建設(shè)來看���,全天候的態(tài)勢(shì)感知才能發(fā)現(xiàn)威脅并應(yīng)對(duì)威脅,這就需要積極開展對(duì)各種關(guān)鍵基礎(chǔ)設(shè)施的安全防護(hù)和保障����。從早期出現(xiàn)在國(guó)外的能夠攔截歐洲國(guó)家相關(guān)銀行支付驗(yàn)證碼的Zitmo木馬家族,到FakeInst“吸費(fèi)”木馬在俄羅斯及東歐地區(qū)的廣泛傳播�,再到近幾年國(guó)內(nèi)電信詐騙等威脅的泛濫����,我們一方面看到的是國(guó)家�����、行業(yè)����、企業(yè)、個(gè)人積極開展安全防護(hù)和對(duì)抗��,在一定程度上遏制了相關(guān)威脅的不斷泛濫�。另一方面,也可以看到由于缺少全局?jǐn)?shù)據(jù)和情報(bào)支持����,缺少對(duì)全局安全威脅的及時(shí)感知能力,對(duì)威脅的遏制效果并不理想�。目前可以看到,大部分移動(dòng)服務(wù)供應(yīng)商和用戶對(duì)移動(dòng)安全的重視仍然停留在威脅預(yù)警早期階段����,對(duì)移動(dòng)威脅的廣度和深度關(guān)注不足?��?梢婓w系化防御不是一朝一夕之事��,只有盡早盡快落實(shí)相關(guān)的體系化建設(shè)����,才能真正有效地感知和防御相關(guān)安全威脅�����。
圖24 短信攔截馬數(shù)量變化情況
3.5 全球移動(dòng)安全協(xié)作共識(shí)有待達(dá)成
在移動(dòng)通信和移動(dòng)互聯(lián)網(wǎng)領(lǐng)域�����,與國(guó)外相比����,國(guó)內(nèi)已經(jīng)呈現(xiàn)同步乃至超前的發(fā)展態(tài)勢(shì)。從移動(dòng)應(yīng)用來看����,社交、電商����、支付�����、出行等各種緊貼用戶生活的行業(yè)需求在移動(dòng)端逐漸成型����;從應(yīng)用生態(tài)鏈條來看��,國(guó)內(nèi)MIUI�����、阿里云����、百度手機(jī)助手、騰訊應(yīng)用寶��、360手機(jī)助手等應(yīng)用商店與GooglePlay��、 App Store等應(yīng)用分發(fā)體系相呼應(yīng)��;從全球范圍來看���,以華為�、OPPO、VIVO����、小米等為代表的眾多本土優(yōu)秀手機(jī)終端品牌強(qiáng)勢(shì)崛起,并在國(guó)際市場(chǎng)中占據(jù)愈加重要的位置����;從系統(tǒng)供應(yīng)鏈來看�����,ARM��、高通����、三星等廠商仍然占據(jù)主流地位,但也可以看到國(guó)內(nèi)廠商通過自主研發(fā)���、海外并購(gòu)等方式逐漸進(jìn)入IC設(shè)計(jì)和制造的優(yōu)秀行列�����。
在這種背景下����,傳統(tǒng)的樣本交換體系愈加難以滿足如今移動(dòng)威脅應(yīng)對(duì)的需求,全球性的安全共識(shí)需要加強(qiáng) ����。傳統(tǒng)網(wǎng)絡(luò)領(lǐng)域,由于產(chǎn)生時(shí)間較早����,基礎(chǔ)模式設(shè)計(jì)缺少安全考量,安全體系難以有效協(xié)同����,增加了不同組織之間摩擦的風(fēng)險(xiǎn)。在移動(dòng)安全領(lǐng)域�,可以通過威脅情報(bào)共享體系的設(shè)計(jì),讓全球擁有共同的威脅描述語言�,加強(qiáng)面對(duì)威脅的協(xié)同抵抗和防御能力,并增強(qiáng)全球安全共識(shí)�。這個(gè)過程有賴于安全行業(yè)自身的努力和移動(dòng)產(chǎn)業(yè)整體的規(guī)劃,也需要國(guó)家����、國(guó)際組織的倡導(dǎo)和推動(dòng)。
4 應(yīng)對(duì)
4.1 監(jiān)管者
從習(xí)近平總書記4.19講話提出“樹立正確網(wǎng)絡(luò)安全觀” “安全發(fā)展同步推進(jìn)”到《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式表決通過,國(guó)家增加了多項(xiàng)促進(jìn)網(wǎng)絡(luò)安全的措施�����,推進(jìn)了網(wǎng)絡(luò)安全的發(fā)展�����。這些指示和立法推動(dòng)�����,無疑給包括移動(dòng)安全在內(nèi)的網(wǎng)絡(luò)安全領(lǐng)域提供了頂層設(shè)計(jì)指導(dǎo)����。
安全領(lǐng)域建設(shè)離不開合理的立法和標(biāo)準(zhǔn)的指導(dǎo)�����。在完善網(wǎng)絡(luò)法律法規(guī)的同時(shí)�����,監(jiān)管部門應(yīng)同時(shí)對(duì)互聯(lián)網(wǎng)相關(guān)的法律法規(guī)進(jìn)行大力宣傳�����,培養(yǎng)網(wǎng)民的法制觀念,提高防范意識(shí)�,并提倡規(guī)范辦網(wǎng)、文明用網(wǎng)��,推動(dòng)全民共同維護(hù)移動(dòng)安全環(huán)境���,從根源上有效遏制移動(dòng)威脅�。
在體系建設(shè)上�,應(yīng)積極建立和落實(shí)移動(dòng)互聯(lián)網(wǎng)整體安全態(tài)勢(shì)感知和預(yù)警體系,實(shí)現(xiàn)對(duì)移動(dòng)安全領(lǐng)域全局態(tài)勢(shì)的感知��,加強(qiáng)對(duì)威脅情況的預(yù)警�;加大對(duì)移動(dòng)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的安全防御體系建設(shè),提升對(duì)關(guān)鍵基礎(chǔ)設(shè)施包括移動(dòng)設(shè)備供應(yīng)鏈�����、網(wǎng)絡(luò)服務(wù)商�����、應(yīng)用提供商等的安全督導(dǎo)�����;加強(qiáng)移動(dòng)安全在網(wǎng)絡(luò)安全全局體系中的角色和比重,對(duì)新型安全威脅給予必要的關(guān)注����,爭(zhēng)取通過防治結(jié)合的手段在威脅發(fā)展的早期予以撲滅。
在行業(yè)協(xié)作和技術(shù)手段引進(jìn)上���,以技術(shù)和管理結(jié)合來治理移動(dòng)威脅問題����。積極推動(dòng)和引導(dǎo)安全企業(yè)提供更好的技術(shù)手段�,參與行業(yè)安全的共同治理。以移動(dòng)“釣魚”和移動(dòng)詐騙這類威脅應(yīng)對(duì)為例�����,多部門聯(lián)合打擊“釣魚網(wǎng)站”����,引導(dǎo)相關(guān)部門��、企業(yè)建立聯(lián)合的“反釣魚”�,“反欺詐”平臺(tái)并形成互動(dòng)對(duì)接和信息共享機(jī)制。實(shí)現(xiàn)官方“打釣” 與非官方“打釣”的優(yōu)勢(shì)互補(bǔ),達(dá)到快速���、及時(shí)的應(yīng)對(duì)和處置效果�。鼓勵(lì)更多的移動(dòng)互聯(lián)網(wǎng)企業(yè)加入來促進(jìn)聯(lián)合平臺(tái)的發(fā)展���。同時(shí)�����,還應(yīng)加強(qiáng)運(yùn)營(yíng)商�����、金融機(jī)構(gòu)等行業(yè)與執(zhí)法機(jī)關(guān)的合作與聯(lián)動(dòng)��。
4.2 安全企業(yè)
移動(dòng)安全領(lǐng)域作為安全領(lǐng)域中一塊相對(duì)較新的領(lǐng)域�,經(jīng)過了6年多的行業(yè)發(fā)展��,逐漸成為安全領(lǐng)域的重要組成部分�。在惡意威脅檢測(cè)等核心技術(shù)領(lǐng)域,一大批安全企業(yè)持續(xù)加強(qiáng)投入��,不斷應(yīng)對(duì)新型惡意代碼��、新型漏洞和新型攻擊手段的挑戰(zhàn)。在安全管理等泛安全領(lǐng)域�,逐漸形成了設(shè)備管理、應(yīng)用管理����、用戶管理等多層次的安全管理方案,安全加密�����、安全加固等方案也在移動(dòng)安全領(lǐng)域被廣泛使用��。通過近幾年的努力�,諸多安全技術(shù)已經(jīng)運(yùn)用到移動(dòng)領(lǐng)域,為用戶創(chuàng)造了較大的安全價(jià)值����。
但正如前文反思,移動(dòng)安全領(lǐng)域的諸多技術(shù)還需要進(jìn)一步和個(gè)人的安全需求��、企業(yè)組織的業(yè)務(wù)和數(shù)據(jù)安全需求相結(jié)合��,才能讓安全能力真正滿足用戶的安全訴求�����,最大程度的對(duì)抗安全威脅����。目前在相對(duì)熱門的威脅情報(bào)服務(wù)領(lǐng)域,安天移動(dòng)安全自主研發(fā)了全球首個(gè)AVLInsight移動(dòng)威脅情報(bào)服務(wù)平臺(tái)�,借助10年的移動(dòng)威脅知識(shí)庫(kù)積累、6億多終端的覆蓋�,形成了定制化移動(dòng)威脅情報(bào)的輸出能力。我們堅(jiān)持認(rèn)為威脅情報(bào)需要與客戶的真實(shí)安全訴求相結(jié)合����,為客戶提供符合其需要的、高價(jià)值��、定制化的威脅情報(bào)����。
隨著移動(dòng)安全重要性的日益提升,安全企業(yè)之間應(yīng)借助威脅情報(bào)���、產(chǎn)業(yè)合作等方式形成行業(yè)整體的安全協(xié)作和應(yīng)對(duì)姿態(tài)�����,共同打擊移動(dòng)安全威脅�����。同時(shí)通過更多的產(chǎn)業(yè)合作��,與職能部門�����、移動(dòng)供應(yīng)鏈�����、企業(yè)和個(gè)人用戶等建立更加深入的合作和信任關(guān)系�����,共同維護(hù)移動(dòng)安全環(huán)境��。
4.3 供應(yīng)鏈
從2012年到2016年移動(dòng)安全威脅發(fā)展軌跡來看�,攻擊者對(duì)移動(dòng)供應(yīng)鏈從早期的App應(yīng)用拓展到了如今的芯片、系統(tǒng)���、網(wǎng)絡(luò)等多個(gè)層面���,移動(dòng)安全威脅的烏云早已籠罩了整個(gè)移動(dòng)供應(yīng)鏈的上空。
從移動(dòng)領(lǐng)域的自身特點(diǎn)來看�,供應(yīng)鏈安全是一個(gè)值得特別關(guān)注的問題。三星Note 7安全事件雖然不是一個(gè)信息安全問題���,但其安全模型值得深思�����。韓國(guó)產(chǎn)品安全監(jiān)管機(jī)構(gòu)“技術(shù)標(biāo)準(zhǔn)局”對(duì)受損的Note7的分析發(fā)現(xiàn)���,Note 7手機(jī)爆炸是因?yàn)殡姵貑栴}而引發(fā)的。電池存在設(shè)計(jì)缺陷����,即陽極凸起。該突起導(dǎo)致分離層破裂���,并接觸陰極材料����,然后起火[24]�����。該事件最大的威脅在于移動(dòng)設(shè)備的特性,導(dǎo)致類似安全威脅會(huì)對(duì)人�、航空等周邊環(huán)境造成危害。供應(yīng)鏈的安全威脅可能經(jīng)由移動(dòng)設(shè)備進(jìn)一步擴(kuò)散����。
供應(yīng)鏈不同層次的移動(dòng)威脅呈現(xiàn)不同的特點(diǎn),整體來看���,越底層威脅能力越強(qiáng)�、事后處置鏈條越長(zhǎng)���、最終防御效果越差�。從威脅防護(hù)來看�,供應(yīng)鏈不同層次廠商基于自身威脅特性建立針對(duì)性的防護(hù)方案。芯片和系統(tǒng)級(jí)的安全防護(hù)方案已經(jīng)得到廠商的重視和采納����,并在實(shí)際生產(chǎn)中起到有效的防護(hù)效果。移動(dòng)網(wǎng)絡(luò)服務(wù)供應(yīng)商作為供應(yīng)鏈中重要的支撐環(huán)節(jié)����,需要加強(qiáng)對(duì)于移動(dòng)網(wǎng)絡(luò)服務(wù)這類基礎(chǔ)設(shè)施的防護(hù)能力,同時(shí)提高對(duì)于惡意利用移動(dòng)網(wǎng)絡(luò)服務(wù)行為的監(jiān)測(cè)和處置能力。移動(dòng)互聯(lián)網(wǎng)服務(wù)供應(yīng)商應(yīng)結(jié)合自身業(yè)務(wù)特點(diǎn)���,加強(qiáng)安全審查和管控���,防范移動(dòng)威脅對(duì)用戶造成的損害�����。
供應(yīng)鏈和服務(wù)提供商�����,可考慮通過對(duì)威脅展開前置防御和針對(duì)性防御��,及早的在供應(yīng)鏈和服務(wù)各環(huán)節(jié)引入安全解決方案����,包括但不限于威脅檢測(cè)、行為攔截和阻斷��、漏洞檢測(cè)和補(bǔ)丁技術(shù)���、系統(tǒng)加固和數(shù)據(jù)加密和網(wǎng)絡(luò)檢測(cè)等��。通過安全解決方案的前置����、早置,最大限度的輻射整個(gè)供應(yīng)鏈環(huán)節(jié)�����,降低整體安全防御成本����,提升整個(gè)供應(yīng)鏈的安全性和安全效率。
4.4 個(gè)人
隨著黑產(chǎn)從業(yè)者攻擊策略和武器的進(jìn)步�,個(gè)人用戶面臨的移動(dòng)安全威脅呈現(xiàn)頻率逐漸上升、維度日益豐富��、攻擊愈加定制化的趨勢(shì)����,同時(shí)攻擊的危害從早期的小金額話費(fèi)扣除、流量損耗逐漸演變?yōu)槟壳暗拇蠼痤~現(xiàn)金損失�����、金融相關(guān)隱私泄露��,移動(dòng)終端用戶的安全狀況十分惡劣。
個(gè)人用戶作為移動(dòng)安全威脅最終危害的主體��,對(duì)其所面臨的移動(dòng)安全威脅并不具備足夠的認(rèn)識(shí)���,并具有安全意識(shí)弱����、情報(bào)來源窄�、防護(hù)手段弱的特點(diǎn)�。基于個(gè)人移動(dòng)安全威脅應(yīng)對(duì)的難點(diǎn)�,安天移動(dòng)安全團(tuán)隊(duì)建議個(gè)人用戶養(yǎng)成日常主動(dòng)進(jìn)行安全檢測(cè)的習(xí)慣,同時(shí)建立安全的密碼管理體系�,避免因單點(diǎn)移動(dòng)威脅造成大規(guī)模資金損失的情況。此外個(gè)人用戶需要提高對(duì)移動(dòng)安全事件的關(guān)注度和敏感度����,對(duì)與個(gè)人關(guān)聯(lián)的威脅事件進(jìn)行緊急響應(yīng),做好事后止損的工作���。
4.5 企業(yè)
隨著移動(dòng)辦公��、移動(dòng)服務(wù)等業(yè)務(wù)的加強(qiáng)���,各類企業(yè)����、廠商在移動(dòng)威脅的整體對(duì)應(yīng)上����,需要全面加強(qiáng)企業(yè)整體安全防控中對(duì)于移動(dòng)安全的重視。
針對(duì)IT安全��,要逐步將移動(dòng)設(shè)備帶來的威脅應(yīng)對(duì)納入企業(yè)安全威脅防控體系中�����,預(yù)防移動(dòng)設(shè)備對(duì)原有企業(yè)IT安全帶來的沖擊�。針對(duì)應(yīng)用層風(fēng)險(xiǎn)加強(qiáng)應(yīng)用管控,加強(qiáng)對(duì)正常應(yīng)用的仿冒審查�,加強(qiáng)對(duì)應(yīng)用隱私泄漏的防范。針對(duì)系統(tǒng)層風(fēng)險(xiǎn)�����,加強(qiáng)系統(tǒng)權(quán)限管理����,引入行為異常監(jiān)測(cè)�����,防范未知安全風(fēng)險(xiǎn)��。針對(duì)網(wǎng)絡(luò)層風(fēng)險(xiǎn)�,加強(qiáng)傳統(tǒng)網(wǎng)絡(luò)威脅向移動(dòng)威脅的遷移���,預(yù)防潛在的移動(dòng)安全高級(jí)威脅���。
需要特別說明的是�,目前有不少企業(yè)的對(duì)外服務(wù)和核心業(yè)務(wù)主要以移動(dòng)互聯(lián)網(wǎng)為場(chǎng)景,目前這類企業(yè)遭受的移動(dòng)威脅的影響也頗為嚴(yán)重���,建議結(jié)合移動(dòng)終端身份識(shí)別�、移動(dòng)終端環(huán)境安全檢測(cè)以及積極建設(shè)面向業(yè)務(wù)的風(fēng)控系統(tǒng)持續(xù)加強(qiáng)威脅對(duì)抗和響應(yīng)能力����。
5 預(yù)見
5.1 移動(dòng)威脅進(jìn)入APT時(shí)代
APT攻擊的一個(gè)基本規(guī)律是:攻擊是否會(huì)發(fā)生只與目標(biāo)承載的資產(chǎn)價(jià)值和與更重要目標(biāo)的關(guān)聯(lián)度有關(guān),而與攻擊難度無關(guān)�����。這就使得當(dāng)移動(dòng)設(shè)備承載更多資產(chǎn),當(dāng)智能終端的使用者覆蓋敏感人群或他們的親朋好友時(shí)�,面向智能終端的設(shè)備的APT系統(tǒng)性的產(chǎn)生就成為一種必然。
在移動(dòng)互聯(lián)網(wǎng)時(shí)代�,移動(dòng)智能終端已經(jīng)高度映射和展現(xiàn)人的重要資產(chǎn)信息和身份信息,其中在移動(dòng)終端上存儲(chǔ)的短信���、通訊錄�、照片�����、IM工具的聊天語音記錄信息等等能夠高度表現(xiàn)和描述人的身份��、職務(wù)����、社交圈、日常生活等信息�,所以針對(duì)移動(dòng)智能終端的攻擊威脅是能夠具備高度目標(biāo)指向性的。在過去�,諸如移動(dòng)攔截馬之類的威脅攻擊都重點(diǎn)以手機(jī)用戶的短信、手機(jī)聯(lián)系人列表為竊取對(duì)象���,并在地下黑色產(chǎn)業(yè)鏈形成了龐大的和身份高度映射的社工知識(shí)庫(kù)����,其中包括了姓名、手機(jī)號(hào)碼���、職務(wù)�、日常信息�����、活動(dòng)區(qū)域軌跡以及其社會(huì)關(guān)系����,從而為移動(dòng)APT攻擊的前置準(zhǔn)備和更精準(zhǔn)的投放手段提供了極高的戰(zhàn)術(shù)價(jià)值,并且對(duì)于整個(gè)APT戰(zhàn)役的前置階段來說����,對(duì)攻擊的重點(diǎn)目標(biāo)人物或組織的情報(bào)收集和持久化監(jiān)控也是具有高度戰(zhàn)術(shù)意義的����。
除此之外,移動(dòng)設(shè)備同時(shí)還具備極高的便攜性和跨網(wǎng)域的穿透能力�����。從2016年出現(xiàn)的一些不同動(dòng)機(jī)的攻擊技術(shù),包括DressCode[7]通過移動(dòng)設(shè)備形成對(duì)內(nèi)網(wǎng)的攻擊滲透能力和Switcher通過對(duì)終端所在網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備的攻擊從而形成對(duì)網(wǎng)絡(luò)的劫持能力��,預(yù)示著通過移動(dòng)設(shè)備作為攻擊跳板��,可以實(shí)現(xiàn)對(duì)企業(yè)內(nèi)網(wǎng)���、物聯(lián)網(wǎng)甚至基礎(chǔ)設(shè)施的攻擊�。
移動(dòng)威脅會(huì)綜合移動(dòng)的高級(jí)攻擊技術(shù)��、移動(dòng)互聯(lián)網(wǎng)絡(luò)的戰(zhàn)略意義以及針對(duì)重點(diǎn)目標(biāo)的戰(zhàn)術(shù)價(jià)值為APT攻擊組織提供更加豐富的攻擊能力���、攻擊資源和戰(zhàn)術(shù)思路�。
5.2 隱私泄露導(dǎo)致移動(dòng)威脅進(jìn)一步加深
隨著物聯(lián)網(wǎng)�����、智慧城市的推進(jìn)��,攝像頭���、手機(jī)�、可穿戴設(shè)備等智能硬件的普及��,以及關(guān)系到大眾民生的各種信息系統(tǒng)的互聯(lián)互通,人們的生活方式都會(huì)網(wǎng)絡(luò)化����,所有主體的信息都會(huì)數(shù)字化,與此同時(shí)移動(dòng)終端系統(tǒng)�、物聯(lián)網(wǎng)系統(tǒng)不斷的被挖掘出高危漏洞,信息和數(shù)據(jù)泄露事件短期內(nèi)看不到下降的趨勢(shì)�,個(gè)人隱私相關(guān)的數(shù)據(jù)泄露也將導(dǎo)致網(wǎng)絡(luò)攻擊威脅泛濫并且進(jìn)一步的加深。
隱私泄露和移動(dòng)攻擊的泛濫和融合還會(huì)進(jìn)一步加深����,帶來普遍的欺詐泛濫、威脅碎片的長(zhǎng)尾化�,對(duì)整個(gè)移動(dòng)威脅的商業(yè)價(jià)值帶來的長(zhǎng)遠(yuǎn)影響。
對(duì)于這一問題�,安天將在后續(xù)發(fā)布的“基礎(chǔ)威脅年報(bào)”給予更多解讀。
5.3 企業(yè)級(jí)場(chǎng)景的移動(dòng)威脅會(huì)大量出現(xiàn)
當(dāng)前面向個(gè)人的欺詐出現(xiàn)垂直化的增長(zhǎng)��、碎片化的攻擊�����,顯示惡意攻擊者開始往垂直化和高價(jià)值方向的挖掘和轉(zhuǎn)型���。企業(yè)由于承載大量高價(jià)值信息和資產(chǎn)必然是惡意攻擊者轉(zhuǎn)型中瞄準(zhǔn)的重要目標(biāo)��。
2016年出現(xiàn)了以移動(dòng)應(yīng)用作為中間跳板嘗試對(duì)內(nèi)網(wǎng)進(jìn)行滲透�,竊取內(nèi)網(wǎng)的重要信息的惡意代碼���,同時(shí)�,在年底出現(xiàn)了篡改用戶手機(jī)連接的Wi-Fi路由器DNS進(jìn)行流量劫持的移動(dòng)惡意代碼���。移動(dòng)終端�、Wi-Fi路由都是當(dāng)前針對(duì)企業(yè)場(chǎng)景攻擊的重要的支撐點(diǎn)��,當(dāng)前大多企業(yè)對(duì)于移動(dòng)威脅的檢測(cè)和防御并沒有引入有效的解決方案�����。從移動(dòng)威脅的發(fā)展趨勢(shì)來看��,基于移動(dòng)終端設(shè)備或應(yīng)用的跳板攻擊傾向性非常明顯����,將移動(dòng)終端、應(yīng)用當(dāng)成關(guān)鍵的攻擊載體����,在不同場(chǎng)景下配合實(shí)施更有力的攻擊是一種行之有效的思路�。伴隨著各種BYOD設(shè)備在企業(yè)辦公中開始普及并廣泛使用�����,2017年移動(dòng)威脅在企業(yè)級(jí)場(chǎng)景中可能會(huì)出現(xiàn)一定規(guī)模的增長(zhǎng)�。
5.4 移動(dòng)勒索應(yīng)用或?qū)⒊掷m(xù)進(jìn)化和遷移
針對(duì)勒索軟件,Google在Android6.0和7.0版本的系統(tǒng)中進(jìn)行了安全性改進(jìn)���,現(xiàn)階段的移動(dòng)勒索軟件當(dāng)中使用到的技術(shù)手段在未來可能會(huì)逐步退出舞臺(tái)�。只要用戶更新到最新的Android系統(tǒng)�,即可在很大程度上抵御勒索軟件產(chǎn)生的威脅。Google從系統(tǒng)源頭上阻止了勒索軟件的發(fā)展但是無法阻止惡意攻擊者對(duì)攻擊技術(shù)的進(jìn)化升級(jí)�����。2017年移動(dòng)勒索軟件可能會(huì)向3個(gè)方向進(jìn)化:與其它惡意攻擊方式結(jié)合����、通過蠕蟲形式讓勒索軟件進(jìn)行大面積傳播、結(jié)合遠(yuǎn)程控制指令對(duì)更加精確性的攻擊�����。Android端的勒索軟件會(huì)包含PC端勒索程序或者攜帶物聯(lián)網(wǎng)惡意軟件�����,進(jìn)行跨平臺(tái)發(fā)展�,嘗試感染PC或者智能設(shè)備。攻擊者信息更加匿名�����,此外���,類似PC端的勒索軟件惡意勒索時(shí)使用比特幣作為貨幣���,通過匿名網(wǎng)絡(luò)支付比特幣這種形態(tài)會(huì)向Android平臺(tái)遷移。
5.5 業(yè)務(wù)欺詐威脅損害凸顯
2016年的“3.15晚會(huì)”上�,“刷單”等網(wǎng)絡(luò)黑灰產(chǎn)進(jìn)入公眾視野。從今年公開報(bào)道的一些案例來看�����,“刷單”已經(jīng)對(duì)電商行業(yè)�����、O2O平臺(tái)、運(yùn)營(yíng)商以及各類商家的業(yè)務(wù)造成了一些影響���,同時(shí)也對(duì)相關(guān)企業(yè)造成較大的經(jīng)濟(jì)損失�����。
圖25 業(yè)務(wù)欺詐案例
2016年在移動(dòng)終端出現(xiàn)了不少“刷榜”��、“刷單”類的惡意程序����,也在一定程度上促長(zhǎng)了“刷單”這類業(yè)務(wù)欺詐給企業(yè)帶來的危害��。
2016年7月出現(xiàn)了一類惡意推廣刷榜的移動(dòng)惡意代碼“刷榜僵尸”[25]����。該病毒在設(shè)備鎖屏?xí)r對(duì)其進(jìn)行Root,Root成功后向系統(tǒng)目錄植入“刷榜僵尸”病毒���,“刷榜僵尸”對(duì)指定應(yīng)用在GooglePlay商店上進(jìn)行惡意刷量,同時(shí)還會(huì)誘騙用戶安裝“下載者”病毒��,“下載者”病毒會(huì)在設(shè)備屏幕亮起狀態(tài)下彈出廣告頁(yè)面�,若用戶觸碰廣告頁(yè)面�����,推廣的應(yīng)用將會(huì)自動(dòng)安裝運(yùn)行。
2016年雙十一之際�����,騰訊手機(jī)管家查獲5款病毒刷單APP[26]�����。這批惡意應(yīng)用屬于外掛類軟件��,啟動(dòng)后會(huì)申請(qǐng)手機(jī)root權(quán)限��,讓賣家根據(jù)需要設(shè)置寶貝搜索���,如關(guān)鍵字、瀏覽器�、掌柜ID等,以及瀏覽時(shí)間�����、貨比三家等瀏覽設(shè)置�����,同時(shí)還被植入其它類型的惡意病毒。
以上只是公開的“薅羊毛”案例當(dāng)中的極少數(shù)代表案例�,惡意“刷單”主要使用機(jī)器大規(guī)模的自動(dòng)完成垃圾注冊(cè)和登錄,通過大量的惡意賬號(hào)��、手機(jī)號(hào)碼�、IP地址進(jìn)行虛假交易,通過刷信用���,買家套現(xiàn)等技術(shù)手段來套取利潤(rùn)�����?���!八巍碑a(chǎn)業(yè)鏈已經(jīng)逐步職業(yè)化����、專業(yè)化,在虛假交易產(chǎn)業(yè)鏈上�,上下游分工明確,分工涉及手機(jī)服務(wù)商的驗(yàn)證���、快遞公司甚至欺詐團(tuán)伙����。互聯(lián)網(wǎng)企業(yè)遭受的業(yè)務(wù)欺詐威脅問題已經(jīng)開始凸顯出來�����。
6 總結(jié)
過去幾年��,是中國(guó)移動(dòng)網(wǎng)絡(luò)產(chǎn)業(yè)高速領(lǐng)跑發(fā)展的時(shí)代�����。以移動(dòng)支付�����、移動(dòng)社交����、移動(dòng)商務(wù)等為代表的移動(dòng)互聯(lián)網(wǎng)應(yīng)用水平已經(jīng)走到世界前列����,移動(dòng)基礎(chǔ)設(shè)施建設(shè)也正經(jīng)歷高速發(fā)展和更新?lián)Q代的階段���,中國(guó)自主品牌的手機(jī)產(chǎn)量也已經(jīng)躍居全球第一,中國(guó)手機(jī)品牌正在獲得全球用戶認(rèn)可�。伴隨著中國(guó)移動(dòng)產(chǎn)業(yè)和應(yīng)用的高速發(fā)展,移動(dòng)威脅快速滋長(zhǎng)�。巨大的用戶基數(shù)、較高的應(yīng)用水平�、全新的業(yè)務(wù)探索都必然導(dǎo)致中國(guó)用戶面臨的移動(dòng)安全威脅風(fēng)險(xiǎn)規(guī)模前所未有,手段持續(xù)泛化演化�,模式關(guān)聯(lián)復(fù)雜深遠(yuǎn),受損范圍廣闊深遠(yuǎn)�����。我國(guó)移動(dòng)產(chǎn)業(yè)的發(fā)展速度和覆蓋廣度已經(jīng)決定了在移動(dòng)安全體系的整體推進(jìn)上我們已經(jīng)沒有可以全面師法的對(duì)象����,也已經(jīng)沒有必要跟著硅谷的所謂創(chuàng)新實(shí)踐亦步亦趨。我們一方面需要加強(qiáng)全球移動(dòng)安全共識(shí)和協(xié)作���,一方面更需要走出自己的科學(xué)化���、體系化移動(dòng)安全發(fā)展道路。
在2015年年報(bào)中,我們提出面對(duì)威脅精確化和離散化的現(xiàn)狀���,進(jìn)一步加強(qiáng)用戶側(cè)對(duì)威脅的感知能力�,可能是安全廠商的必由之路�。通過威脅情報(bào)的分析、加工和分享�����,從而對(duì)威脅進(jìn)行準(zhǔn)確定性�、定位、定量����,來滿足和解決特定用戶群體所面對(duì)的特定安全威脅�,提供對(duì)用戶比較有效,甚至一勞永逸式的解決方案���,這樣的體系或許是未來的發(fā)展方向��。過去的一年��,我們繼續(xù)致力于移動(dòng)安全領(lǐng)域����,加強(qiáng)對(duì)移動(dòng)領(lǐng)域威脅的觀察、感知���、分析���、追溯、處置和反思�����,持續(xù)以體系化的方式加強(qiáng)與移動(dòng)威脅的對(duì)抗�����。這份年報(bào)也是我們持續(xù)觀察和感知過程中的一些所見��、所為和所思�����。
移動(dòng)互聯(lián)網(wǎng)在過去一年仍然面臨著惡意應(yīng)用的持續(xù)威脅����,新增威脅繼續(xù)涌現(xiàn),威脅手段持續(xù)進(jìn)化,攻擊者加強(qiáng)仿冒�����、社工欺詐��、勒索手段�、權(quán)限冒用、開源組件惡意利用等攻擊手段的使用�����。同時(shí)存量威脅依然泛濫�,電信詐騙攔截馬、扣費(fèi)�����、流氓����、色情等威脅仍在持續(xù)演化和進(jìn)化�。這些惡意應(yīng)用威脅在當(dāng)前整個(gè)傳播鏈條監(jiān)管尚不十分完善的安全防護(hù)背景下,依然會(huì)造成巨大的安全風(fēng)險(xiǎn)和資產(chǎn)損失��,大多時(shí)候只能依靠普通用戶的自我安全意識(shí)提升來抵御威脅。面對(duì)這些威脅��,在威脅檢測(cè)���,工程化對(duì)抗和基于海量數(shù)據(jù)的威脅情報(bào)作業(yè)上�,我們已經(jīng)有了比較充分的準(zhǔn)備����,能夠在威脅早期甚至威脅出現(xiàn)之前形成可防御的能力,但這些能力手段����,與我國(guó)龐大的網(wǎng)絡(luò)資產(chǎn)規(guī)模和用戶體量相比,還有賴于通過和產(chǎn)業(yè)����、用戶的進(jìn)一步聯(lián)動(dòng)更好的發(fā)揮作用,同時(shí)仍需要持續(xù)地與市場(chǎng)需求���、商業(yè)規(guī)律結(jié)合以找到自身獨(dú)特的價(jià)值和生存空間���。
移動(dòng)互聯(lián)網(wǎng)系統(tǒng)也正經(jīng)歷著快速發(fā)展,網(wǎng)絡(luò)制式�、操作系統(tǒng)在短短幾年間����,發(fā)生多次代際升級(jí)和版本更新��。沙盒��、權(quán)限等安全機(jī)制的持續(xù)引入一定程度上對(duì)原有安全體系起到了增強(qiáng)作用����,但由于威脅方式和手段的復(fù)雜多樣,種類繁多�,很多原有威脅手段依然有效,并進(jìn)一步利用系統(tǒng)和網(wǎng)絡(luò)的新特性新功能進(jìn)行自我演進(jìn)��,比如傳統(tǒng)惡作劇手段逐漸升級(jí)為勒索威脅��、0-day甚至N-day漏洞攻擊依然有效�。從系統(tǒng)層面看,更多的還是依賴于更完善����、全面、有效的整體安全規(guī)劃和體系建設(shè)�����。在這個(gè)過程中需要系統(tǒng)規(guī)劃和建設(shè)者與安全廠商密切協(xié)作�����,在系統(tǒng)的設(shè)計(jì)�、實(shí)踐中引入多種檢測(cè)、防護(hù)�����、加固和阻斷等安全手段和機(jī)制�,在系統(tǒng)的使用中持續(xù)不斷進(jìn)行檢測(cè)、阻斷和升級(jí)完善�����。同時(shí)由于不同版本�、地域、模式帶來的碎片化問題�����,我們也在積極地通過歸一化和定制化相結(jié)合�、數(shù)據(jù)驅(qū)動(dòng)和手段創(chuàng)新相適應(yīng)的理念完善系統(tǒng)安全手段。
移動(dòng)設(shè)備與傳統(tǒng)設(shè)備的一個(gè)關(guān)鍵的不同是信息承載的類型和價(jià)值——移動(dòng)設(shè)備上有著與人更直接關(guān)聯(lián)的數(shù)據(jù)信息���。在互聯(lián)網(wǎng)�、通信網(wǎng)、物聯(lián)網(wǎng)甚至工控網(wǎng)不斷連接和融合的時(shí)代�����,不論是移動(dòng)設(shè)備�、移動(dòng)系統(tǒng)、移動(dòng)應(yīng)用中對(duì)個(gè)人信息的泄漏��,還是來自個(gè)人PC�����、企業(yè)組織內(nèi)部信息系統(tǒng)���、互聯(lián)網(wǎng)服務(wù)信息等渠道的個(gè)人信息泄漏��,這些數(shù)據(jù)和信息流最終都有可能經(jīng)由黑色產(chǎn)業(yè)鏈對(duì)移動(dòng)安全中的個(gè)人和組織造成威脅�����。因此對(duì)移動(dòng)安全而言�,進(jìn)一步加強(qiáng)信息流中的安全監(jiān)管和防范非常必要����。通過對(duì)短信釣魚、應(yīng)用隱私泄漏�、網(wǎng)絡(luò)隱私泄漏、電信詐騙等威脅檢測(cè)手段和管控制度的加強(qiáng)�,可以在移動(dòng)終端這個(gè)信息流的最終環(huán)節(jié)起到有效的威脅防范作用,這對(duì)個(gè)人隱私安全乃至移動(dòng)APT防御都將大有裨益�����。
移動(dòng)安全體系的構(gòu)建離不開移動(dòng)產(chǎn)業(yè)供應(yīng)鏈體系的協(xié)同���。在供應(yīng)鏈的設(shè)計(jì)����、制造�����、銷售����、使用、回收等各個(gè)過程中�����,都有可能被引入安全威脅。每個(gè)環(huán)節(jié)被引入的安全威脅既有可能造成自身的安全損失�,也有可能進(jìn)一步造成其他環(huán)節(jié)的安全損失。因此通過芯片�、設(shè)備、系統(tǒng)�����、應(yīng)用����、服務(wù)、網(wǎng)絡(luò)等供應(yīng)鏈中的各個(gè)環(huán)節(jié)加強(qiáng)安全手段�����,一方面可以有效對(duì)抗自身環(huán)節(jié)面對(duì)的安全威脅���,另一方面也可以對(duì)其他環(huán)節(jié)的安全威脅起到防范作用�。從威脅防護(hù)來看�,安全廠商應(yīng)該積極參與供應(yīng)鏈的防護(hù),為供應(yīng)鏈中不同層次不同角色廠商提供基于威脅特性的針對(duì)性防護(hù)方案。針對(duì)芯片�����、系統(tǒng)等應(yīng)該引入具有基礎(chǔ)防御作用的安全方案��,加強(qiáng)全局安全體系輻射作用�;針對(duì)服務(wù)���、網(wǎng)絡(luò)等關(guān)鍵信息基礎(chǔ)設(shè)施�,應(yīng)該加強(qiáng)對(duì)自身安全和信息流的防護(hù)����,提供穩(wěn)定安全的基礎(chǔ)服務(wù)體系;針對(duì)應(yīng)用���、個(gè)人等�����,應(yīng)該面向更具象的威脅提供檢測(cè)和防護(hù)能力�����;通過不同環(huán)節(jié)的安全協(xié)作�,增強(qiáng)整個(gè)供應(yīng)鏈體系及其全生命周期的安全性,提升移動(dòng)生態(tài)體系安全�����。
由于安全威脅的復(fù)雜性���,安全體系建設(shè)的艱巨性��,這份報(bào)告中的部分觀點(diǎn)可能并不成熟�����,但我們會(huì)持續(xù)在移動(dòng)安全領(lǐng)域耕耘�����,為更加安全的移動(dòng)安全環(huán)境貢獻(xiàn)自己的力量��。在這個(gè)過程中����,我們不僅會(huì)堅(jiān)持對(duì)關(guān)鍵�����、基礎(chǔ)、共性�����、領(lǐng)先技術(shù)手段的持續(xù)創(chuàng)新����,也會(huì)更加積極的開展產(chǎn)業(yè)協(xié)作,同信息流和供應(yīng)鏈中的所有角色一起建設(shè)更加完善的移動(dòng)安全體系�。
通過這些協(xié)作�,我們堅(jiān)信領(lǐng)先的安全技術(shù)能夠轉(zhuǎn)化為堅(jiān)實(shí)的用戶安全價(jià)值。我們將為用戶提供更加有效的安全威脅情報(bào)����,幫助用戶掌握和感知威脅態(tài)勢(shì),同時(shí)為用戶提供更加精準(zhǔn)的安全解決方案���,用領(lǐng)先的移動(dòng)威脅檢測(cè)和安全防護(hù)產(chǎn)品和服務(wù)����,保護(hù)更多的用戶�。
7 典型的移動(dòng)威脅事件時(shí)間軸
圖 26 2016典型的移動(dòng)威脅事件表
[1] 提權(quán)廣告件PermAd分析報(bào)告http://blog.avlyun.com/?p=2228
[2] 利用社會(huì)工程學(xué)繞過Android安全機(jī)制的銀行木馬https://securelist.com/blog/mobile/75971/banking-trojan-gugi-evolves-to-bypass-android-6-protection/
[3] Android Doze機(jī)制與木馬的繞過方式http://bobao.#/learning/detail/3328.html
[4] 2015年電信詐騙損失高達(dá)222億 打擊犯罪需要各方合力http://science.china.com.cn/2016-10/03/content_9070699.htm
[5] 病毒四度升級(jí):安天AVL Team揭露一例跨期兩年的電信詐騙進(jìn)化史http://blog.avlsec.com/?p=4248
[6] 騰訊移動(dòng)安全實(shí)驗(yàn)室2016年第三季度手機(jī)安全報(bào)告http://slab.qq.com/news/authority/1520.html
[7] DressCode以手機(jī)終端作為跳板實(shí)現(xiàn)對(duì)企業(yè)內(nèi)網(wǎng)滲透http://blog.trendmicro.com/trendlabs-security-intelligence/dresscode-potential-impact-enterprises/
[8] switcher對(duì)移動(dòng)終端通過Wi-Fi接入的路由器進(jìn)行暴力破解登錄并實(shí)現(xiàn)流量劫持https://securelist.com/blog/mobile/76969/switcher-android-joins-the-attack-the-router-club/
[9] 圖片來源:Switcher攻擊流程圖https://securelist.com/blog/mobile/76969/switcher-android-joins-the-attack-the-router-club/
[10] 首個(gè)移動(dòng)終端上的針對(duì)性攻擊事件https://securelist.com/blog/incidents/35552/android-trojan-found-in-targeted-attack-58/
[11] 針對(duì)印度軍方的“OperationC-Major”行動(dòng)http://blog.trendmicro.com/trendlabs-security-intelligence/operation-c-major-actors-also-used-android-blackberry-mobile-spyware-targets/
[12] 針對(duì)iOS設(shè)備的APT攻擊https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/
[13] Android銀行木馬GM Bot源碼已泄露,可免費(fèi)在線下載http://bobao.#/news/detail/2846.html
[14] 針對(duì)移動(dòng)銀行和金融支付的持續(xù)黑產(chǎn)行動(dòng)披露http://blog.avlsec.com/2016/04/3006/darkmobilebank/
[15] Flocker移動(dòng)勒索軟件感染智能電視http://blog.trendmicro.com/trendlabs-security-intelligence/flocker-ransomware-crosses-smart-tv/
[16] 第一個(gè)利用AppleDRM設(shè)計(jì)漏洞的iOS木馬http://researchcenter.paloaltonetworks.com/2016/03/acedeceiver-first-ios-trojan-exploiting-apple-drm-design-flaws-to-infect-any-ios-device/
[17] 2016年iOS公開可利用漏洞總結(jié)https://jaq.alibaba.com/community/art/show?articleid=687
[18] 第三方公司解鎖iPhonehttp://thehackernews.com/2016/03/unlock-terrorist-iPhone.html
[19] AVTEST官網(wǎng)https://www.av-test.org/en/antivirus/mobile-devices/android/
[20] 百腦蟲”手機(jī)病毒分析報(bào)告http://blogs.#/360mobile/2016/01/06/analysis_of_bainaochong/
[21] 手機(jī)游戲之殤:被仿冒的不只是Pokemon Gohttp://blog.avlsec.com/2016/07/3381/pokemon-go/
[22] 臟牛漏洞https://dirtycow.ninja/
[23] Drammer漏洞https://www.vusec.net/projects/drammer/
[24] 韓監(jiān)管機(jī)構(gòu)認(rèn)可Note 7爆炸原因 都是電池惹的禍
http://tech.sina.com.cn/t/2017-02-06/doc-ifyafcyw0422049.shtml
[25] 擁有300萬安裝量的應(yīng)用是如何惡意推廣刷榜的?http://jaq.alibaba.com/community/art/show?spm=a313e.7916646.25000002.3.yG54pv&articleid=408
[26] 騰訊手機(jī)管家查獲5款病毒刷單APPhttps://m.qq.com/security_lab/news_detail_382.html
附錄二:關(guān)于安天移動(dòng)安全
安天移動(dòng)安全公司成立于2010年�����,是安天實(shí)驗(yàn)室旗下專注于移動(dòng)互聯(lián)網(wǎng)安全技術(shù)與安全產(chǎn)品研發(fā)的企業(yè)����,旨在為全球移動(dòng)終端用戶和廠商提供專業(yè)的安全防護(hù)能力和解決方案。
安天移動(dòng)安全公司核心產(chǎn)品體系為AVL Inside移動(dòng)反病毒引擎和AVLInsight移動(dòng)威脅情報(bào)平臺(tái)���。AVL Inside移動(dòng)反病毒引擎曾以年度最高平均檢出率榮獲國(guó)際權(quán)威測(cè)評(píng)機(jī)構(gòu)AV-TEST頒發(fā)的“移動(dòng)設(shè)備最佳防護(hù)”獎(jiǎng)項(xiàng)��,實(shí)現(xiàn)中國(guó)安全廠商在全球頂級(jí)安全測(cè)評(píng)領(lǐng)域重量級(jí)獎(jiǎng)項(xiàng)零的突破��。AVLInsight是國(guó)內(nèi)首個(gè)移動(dòng)威脅情報(bào)平臺(tái)��,主要用于呈現(xiàn)移動(dòng)威脅的高價(jià)值情報(bào)信息��,通過對(duì)移動(dòng)威脅的全面感知能力和快速分析響應(yīng)能力���,提供對(duì)抗移動(dòng)威脅的預(yù)警和處置策略。
安天移動(dòng)安全公司與國(guó)家互聯(lián)網(wǎng)應(yīng)急中心和泰爾終端實(shí)驗(yàn)室進(jìn)行合作����,為國(guó)家監(jiān)管部門提供技術(shù)支撐��;與OPPO�、VIVO�、小米MIUI、金立����、阿里YunOS、步步高�����、努比亞���、樂視、獵豹�����、LBE����、安卓清理大師、AMC等國(guó)內(nèi)外近百家知名廠商建立合作�,為全球超過6億終端用戶保駕護(hù)航�����。
更多信息詳見公司官網(wǎng):www.avlsec.com
附錄三:關(guān)于安天
安天從反病毒引擎研發(fā)團(tuán)隊(duì)起步����,目前已發(fā)展成為以安天實(shí)驗(yàn)室為總部��,以企業(yè)安全公司����、移動(dòng)安全公司為兩翼的集團(tuán)化安全企業(yè)。安天始終堅(jiān)持以安全保障用戶價(jià)值為企業(yè)信仰�,崇尚自主研發(fā)創(chuàng)新,在安全檢測(cè)引擎�����、移動(dòng)安全�����、網(wǎng)絡(luò)協(xié)議分析還原�、動(dòng)態(tài)分析、終端防護(hù)��、虛擬化安全等方面形成了全能力鏈布局。安天的監(jiān)控預(yù)警能力覆蓋全國(guó)�����、產(chǎn)品與服務(wù)輻射多個(gè)國(guó)家��。安天將大數(shù)據(jù)分析��、安全可視化等方面的技術(shù)與產(chǎn)品體系有效結(jié)合���,以海量樣本自動(dòng)化分析平臺(tái)延展工程師團(tuán)隊(duì)作業(yè)能力�、縮短產(chǎn)品響應(yīng)周期�����。結(jié)合多年積累的海量安全威脅知識(shí)庫(kù)����,綜合應(yīng)用大數(shù)據(jù)分析���、安全可視化等方面經(jīng)驗(yàn)�,推出了應(yīng)對(duì)高級(jí)持續(xù)性威脅(APT)和面向大規(guī)模網(wǎng)絡(luò)與關(guān)鍵基礎(chǔ)設(shè)施的態(tài)勢(shì)感知與監(jiān)控預(yù)警解決方案��。
全球近百家的著名安全廠商、IT廠商選擇安天作為檢測(cè)能力合作伙伴�����,安天的反病毒引擎得以為全球近十萬臺(tái)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備�����、超過六億部手機(jī)提供安全防護(hù)�����。安天移動(dòng)檢測(cè)引擎是全球首個(gè)獲得AV-TEST年度獎(jiǎng)項(xiàng)的中國(guó)產(chǎn)品�。
安天技術(shù)實(shí)力得到行業(yè)管理機(jī)構(gòu)、客戶和伙伴的認(rèn)可�����,安天已連續(xù)四屆蟬聯(lián)國(guó)家級(jí)安全應(yīng)急支撐單位資質(zhì)����,亦是中國(guó)國(guó)家信息安全漏洞庫(kù)六家首批一級(jí)支撐單位之一。
安天是中國(guó)應(yīng)急響應(yīng)體系中重要的企業(yè)節(jié)點(diǎn)�����,在紅色代碼、口令蠕蟲����、震網(wǎng)、破殼�����、沙蟲�、方程式等重大安全事件中,安天提供了先發(fā)預(yù)警��、深度分析或系統(tǒng)的解決方案����。
*本文作者:AVLTeam,轉(zhuǎn)載請(qǐng)注明來源:http://blog.avlsec.com/?p=4474
