信息來源:FreeBuf
1 序言
安天從2005年開始��,每年年初公布年報���,對上一年度網(wǎng)絡(luò)威脅狀況進行總結(jié),對威脅演進趨勢做出預(yù)測�。早期安天威脅年報以后臺病毒樣本捕獲分析系統(tǒng)的數(shù)據(jù)統(tǒng)計為主要支撐��。而后我們放棄了羅列數(shù)據(jù)的風(fēng)格��,走向觀點型年報,并分成“基礎(chǔ)威脅年報”和“移動安全年報”發(fā)布����。
安天移動安全團隊在本次年度移動安全報告中繼續(xù)以觀點的方式來組織內(nèi)容,用威脅的概念表達歸納安全事態(tài)的現(xiàn)象和趨勢����,并新增“反思”和“應(yīng)對”兩個版塊,探尋觀點和現(xiàn)象背后的原因����,提出應(yīng)對建議。我們希望通過這份年度報告����,向移動安全行業(yè)從業(yè)者、移動互聯(lián)網(wǎng)相關(guān)企業(yè)以及大眾用戶分享和傳達我們的所見���、所為及所思�。同時這也是安天“移動安全年報”第一次先于“基礎(chǔ)威脅年報”公開�,本年度的安天“基礎(chǔ)威脅年報”承載了更多相對系統(tǒng)而沉重的思考,歷經(jīng)了多個版本的修改�,將稍后發(fā)布。
2016年���,安天移動安全團隊面對嚴峻的移動安全對抗形勢����,堅持以對抗新興惡意威脅為己任,砥礪前行����。安天移動安全團隊研發(fā)的移動反病毒引擎(AVL SDK for mobile)防護的手機終端,從年初的兩億部已經(jīng)發(fā)展到年底超過六億部��,安天移動安全團隊為手機廠商提供了AVL Inside解決方案��,包括了惡意代碼檢測防護����、Wi-Fi安全��、URL安全性檢測���、支付安全�、漏洞跟蹤修補等體系化的安全模塊����。安天移動安全團隊堅持“安全技術(shù)必須服務(wù)客戶安全價值”的原則�,拒絕互聯(lián)網(wǎng)變現(xiàn)方式�。加強和推動更廣闊的產(chǎn)業(yè)鏈協(xié)作,以移動終端安全為起點��,將防護邊界延展包括到移動應(yīng)用商店��、APP安全鑒定等在內(nèi)的整個產(chǎn)業(yè)鏈全程體系中去���。安天移動安全團隊以國內(nèi)首個移動威脅情報平臺“AVL Insight”為不同行業(yè)提供威脅告知��、趨勢預(yù)測�、針對性木馬深度分析等安全服務(wù)����,AVL Insight移動威脅情報平臺旨在提高銀行、政府等大型機構(gòu)對威脅事件的感知��、預(yù)警��、分析����、取證、響應(yīng)和處置能力��,以達到降低IT安全成本,提高資產(chǎn)和信息安全保障的最終目的��。
在這些安全實踐中����,我們不斷調(diào)整自身的視角,加深對威脅的認知和理解�。過去十年間,以智能手機為端點�,以3G/4G等網(wǎng)絡(luò)為信道,移動互聯(lián)網(wǎng)迅猛發(fā)展��,移動商務(wù)����、移動社交、移動支付等移動應(yīng)用快速占據(jù)生活的方方方面��,把人和設(shè)備�、人和人����、設(shè)備和設(shè)備的距離越拉越近。在這個激動人心的過程中��,中國扮演了用戶基數(shù)增長、新業(yè)務(wù)實踐和新模式探索的火車頭角色����。移動產(chǎn)業(yè)的發(fā)展帶來巨大變革帶來巨大變革的同時,移動安全和威脅對抗����,也逐漸進入新的階段。針對移動網(wǎng)絡(luò)��,更為精準的電信詐騙帶來更嚴重的社會威脅���;短信攔截馬����、短信蠕蟲等成為一種常態(tài)化的威脅�,手機勒索軟件也不再是個案,而成為一種業(yè)務(wù)模式����。這些威脅造成一個個日常資產(chǎn)受損案例,為大眾所深惡痛絕��,也為公共安全敲響警鐘�。從過去幾年的數(shù)據(jù)對比來看��,PC和傳統(tǒng)惡意代碼的整體規(guī)模逐漸下降�,威脅事件的數(shù)量也在逐年減少��,傳統(tǒng)威脅和惡意代碼逐漸走向了新的模式(例如“勒索模式”)和更高對抗的場景(例如“APT場景”)����,在這背后則是整個移動威脅的全面遷徙和規(guī)模化增長以及爆發(fā)��?���?梢哉f2016年,移動威脅已經(jīng)成為個人����、企業(yè)和整個社會都繞不過的一個存在。
在2015年年報中我們意識到了移動威脅多元化的跡象�,因此使用移動威脅全面泛化作為全年的核心觀點,這一觀點同樣延續(xù)到2016年��,而且不僅僅是泛化而是全面的遷徙和大密度的出現(xiàn)����。這也是我們2016年的主題“威脅的全面遷徙”的由來,在背后我們看到的是整個威脅戰(zhàn)場和重心的持續(xù)發(fā)酵和轉(zhuǎn)化的慣性已然成形����。與此同時,2016年的移動威脅呈現(xiàn)出了一些新特點:伴隨移動的快速發(fā)展��,企業(yè)和組織逐漸引入移動辦公和移動政務(wù)��,終端數(shù)據(jù)的商業(yè)價值日益凸顯����,移動威脅正在從個人向企業(yè)組織遷移;針對移動終端的APT攻擊也將隨之高發(fā)�;伴隨移動云服務(wù)等新興技術(shù)模式的興起,業(yè)務(wù)欺詐類的安全問題也開始成為移動安全的關(guān)注點����;從技術(shù)演進上看,Root型惡意代碼���、勒索軟件�、色情應(yīng)用等也在進行快速的技術(shù)演進����,給技術(shù)對抗帶來了新的挑戰(zhàn)���;Android系統(tǒng)需扮演攻防的主要戰(zhàn)場,同時iOS��、嵌入式Linux以及各種IoT設(shè)備也出現(xiàn)新的威脅趨勢和特點��,增加了移動威脅全局對抗的深度和戰(zhàn)線的廣度����。
從全球看,移動安全基礎(chǔ)設(shè)施(終端�、系統(tǒng)、網(wǎng)絡(luò)��、網(wǎng)絡(luò)協(xié)議)的設(shè)定具有一定的全球普適性����,因此面臨的威脅在技術(shù)形態(tài)上具有相通性,全球在移動支付安全�、移動應(yīng)用市場審查、移動企業(yè)辦公等場景的威脅對抗和防御中����,可以考慮以威脅情報為體系進行協(xié)同防御��。同時也可以看到���,中國與其他國家相比��,由于移動互聯(lián)網(wǎng)的后發(fā)優(yōu)勢����,業(yè)務(wù)體量更大,環(huán)境更復(fù)雜����,面臨的移動威脅形態(tài)也更復(fù)雜,這一方面使得中國面臨著巨量的威脅壓力��,另一方面也使其積累了大量的具有世界領(lǐng)先水平的對抗經(jīng)驗��。
2 觀點和現(xiàn)象
2.1 移動威脅規(guī)模保持穩(wěn)定增長
2016年移動威脅依然嚴峻���,嚴重困擾著每個移動用戶的資產(chǎn)和數(shù)據(jù)安全�。移動惡意代碼作為重要的移動威脅手段�,經(jīng)過近幾年的迅猛發(fā)展在技術(shù)手段上已趨近成熟,并保持著穩(wěn)定的增長���。2016年���,惡意代碼樣本總量在2015年總數(shù)的基礎(chǔ)上翻了一番��,新增惡意代碼變種大幅增加����,同比增長近40%���。與2015年相比���,移動威脅在新型惡意代碼的演變上保持平穩(wěn)的線性增長,既有的惡意代碼仍在持續(xù)的進化與對抗�。下圖以半年為時間周期統(tǒng)計了近兩年移動惡意代碼數(shù)量,從中我們可以看到每半年新增惡意樣本在新增總樣本中的占比仍呈現(xiàn)逐步上升趨勢�,可見攻擊者仍在繼續(xù)加大對惡意代碼的投入,移動威脅并未受到外界環(huán)境的影響���,保持著持續(xù)穩(wěn)定增長����。
圖1 2015年-2016年移動惡意代碼增長趨勢
通過2016年惡意代碼家族Top10排行(如下圖所示)���,我們可以看到以色情應(yīng)用����、流氓推送為代表的惡意家族所占比重較大,這表明惡意代碼開始轉(zhuǎn)向與其他傳統(tǒng)的灰色產(chǎn)業(yè)鏈結(jié)合的形式謀取利益和生存���,由于這類應(yīng)用大多具有擦邊球行為,也給移動威脅的治理帶來了很大的附加成本和判定難度���。
圖2 2016 年惡意代碼家族Top10
從惡意行為類型來看����,2016年流氓行為類型的惡意代碼同比增長15%���,占比高達57%����,依然保持在第一位�,是最值得關(guān)注的惡意行為。資費消耗和惡意扣費類型的惡意代碼數(shù)量依然較多���,排位依然靠前����,分列第二位和第三位,這與其能夠帶來直接的金錢收益有關(guān)����。
圖3 2015年和2016年惡意代碼行為分布圖
從上述數(shù)據(jù)統(tǒng)計可以看出,流氓行為的惡意代碼開始大量投入���,不斷困擾著用戶���;對用戶隱私竊取和誘騙欺詐的攻擊也開始加劇��;大部分移動互聯(lián)網(wǎng)產(chǎn)業(yè)和普通用戶遭受的現(xiàn)實威脅仍然以大量高頻的弱威脅為主���,這些威脅由于危害程度較弱�,存在大量灰色空間���,在數(shù)據(jù)統(tǒng)計中占據(jù)了絕對地位����。此外���,隨著地下產(chǎn)業(yè)鏈的發(fā)展���,這類弱威脅所依托的“流量模式“或“個人隱私倒賣”的變現(xiàn)路徑逐漸完備���,低投入高收益的盈利模式已經(jīng)形成,更進一步地加劇了這類威脅���,使其成為普遍現(xiàn)象����。
2.2 移動威脅技術(shù)持續(xù)進化
2.2.1 攻擊者加強Root技術(shù)使用
Root型惡意代碼自帶Root功能�,利用公開Root工具的提權(quán)代碼�,直接對手機進行Root操作,獲取系統(tǒng)最高權(quán)限�,將惡意代碼寫入只讀文件系統(tǒng),難以被用戶清除��,能夠頑固存活于受害用戶手機����。由于其制作有一定難度,不太常在公眾視野出現(xiàn)�,但一直是一類危害程度嚴重的威脅���。2015年發(fā)現(xiàn)的Root型惡意代碼家族及變種數(shù)為21個,2016年Root型惡意代碼家族變種數(shù)量增長迅速�,新增Root型惡意代碼變種為73個,是2015年的3倍多����。從下圖的統(tǒng)計數(shù)據(jù),我們可以看到2016年Root型惡意代碼樣本數(shù)量Q1���、Q2季度增長緩慢��,Q3���、Q4季度迅猛增長,僅Q3季度總量就超過了2015年全年Root型惡意代碼樣本數(shù)量的5倍�,可見Root型惡意代碼在2016年進入了一個爆發(fā)期���。
圖4 2015年-2016年Root型惡意代碼樣本增長趨勢
2015年Root型惡意代碼主要配合惡意廣告推廣謀取利益��,其中最具有代表性的是PermAd [1] (又稱“GhostPush“)家族���。從2016年的Root型惡意代碼的惡意行為來看主要有以下3類��,會對用戶造成極大危害:
l 私自對用戶手機提權(quán)獲取Root權(quán)限后靜默安裝、卸載應(yīng)用或者將惡意應(yīng)用推送到系統(tǒng)目錄中長期潛伏��,使用戶無法徹底清除病毒�;
l 利用Root權(quán)限運行惡意腳本強行禁用反病毒軟件,修改反病毒軟件白名單逃避殺毒軟件的檢測��;
l 利用Root權(quán)限對用戶手機重要的系統(tǒng)進程(如phone����,zygote進程)進行注入造成用戶手機功能異常并且在用戶無感知的情況下完成私自扣費和隱藏運行惡意代碼等行為。
圖5 Root型惡意代碼功能進化
2016年攻擊者加強了對Root技術(shù)的使用���,Root型惡意代碼不僅在數(shù)量上有了大幅度的攀升��,在惡意功能上也有了比較明顯的進化,具備了與反病毒引擎的對抗能力��,對用戶造成的影響也在不斷的擴大���。
客觀的來說��,在移動終端上��,由于操作系統(tǒng)的設(shè)定特點����,一定程度上導(dǎo)致了應(yīng)用安全軟件并不具備權(quán)限上的優(yōu)勢,往往在與采用了Root技術(shù)的惡意代碼對抗當(dāng)中處于下風(fēng)�。也正是從對抗需要的角度出發(fā),安天移動安全團隊目前選擇了和國內(nèi)知名移動終端OEM廠商進行合作����,希望通過我們的專業(yè)安全能力,對其進行賦能��,通過協(xié)作的方式讓移動終端OEM廠商在這場越發(fā)不平等的對抗當(dāng)中盡可能發(fā)揮產(chǎn)業(yè)位置的優(yōu)勢���,重新扭轉(zhuǎn)對抗局面���。
2.2.2 攻擊者熱衷使用開源技術(shù)方案
2016年惡意代碼在技術(shù)實現(xiàn)上也得到了一定程度的進化,出現(xiàn)了多例惡意利用開源技術(shù)方案來實現(xiàn)惡意攻擊的新型移動惡意代碼��。被惡意利用的開源技術(shù)方案主要集中在“多開”����、“熱補丁”和“插件”這3個技術(shù)領(lǐng)域。2016年出現(xiàn)的利用這類開源技術(shù)的移動威脅從家族和數(shù)量上來講不多�,整體來看還屬于一個新型惡意攻擊形態(tài)的萌芽期。
圖6 利用開源技術(shù)方案惡意代碼案例
借助開源技術(shù)方案帶來的技術(shù)積累,不僅方便了惡意開發(fā)者制作攻擊武器����,還能夠有效的逃避反病毒引擎的檢測;此外�,還能夠有效地減少受害用戶對惡意程序的感知能力,起到更好的潛伏和攻擊效果���,這也是攻擊者熱衷于使用這類開源技術(shù)方案的主要原因����。
2.2.3 攻擊者利用社工欺詐手段繞過安全權(quán)限
Google在Android 6.0及以上的系統(tǒng)版本中推出了眾多新特性以增加系統(tǒng)安全性和提升用戶體驗����。其中在安全性方面有所提升的特性主要涉及系統(tǒng)權(quán)限、應(yīng)用間文件共享����,而在用戶體驗方面則引入了Doze機制用于節(jié)省系統(tǒng)電量、延長電池使用時間�。這些新特性的引入在抑制惡意代碼對系統(tǒng)的侵害上發(fā)揮了不錯的效果��。
2016年9月國外安全廠商“卡巴斯基”公開揭露了一款利用社會工程學(xué)的惡意代碼[2]���。該惡意代碼針對安全性較強的Android6.0版本系統(tǒng)進行攻擊,它通過頻繁彈出確認權(quán)限請求窗口的方法強制繞過系統(tǒng)新增的應(yīng)用程序覆蓋權(quán)限和對危險應(yīng)用程序活動的動態(tài)權(quán)限請求的安全功能���,導(dǎo)致用戶的手機陷入惡意代碼的控制中����。在12月底�,出現(xiàn)了偽裝成正常應(yīng)用Chrome,并通過發(fā)送Intent誘使用戶將其加入白名單這種欺騙手段繞過Doze機制[3]的惡意應(yīng)用�。從Google官方對Android系統(tǒng)安全機制的更新上可以看出Google對于規(guī)范Android生態(tài)圈的決心和態(tài)度,但惡意攻擊者并沒有因此停下腳步��,反而是進一步尋求繞過新增安全機制的技術(shù)手段����,并已經(jīng)開始制造出相應(yīng)的惡意代碼。
2016年移動惡意代碼新變種增長迅速�,Root型惡意代碼無論從數(shù)量和功能上都呈現(xiàn)出較為迅猛的增長和進化趨勢。使用開源解決方案的惡意代碼開始萌芽����,惡意開發(fā)者對于繞過Android系統(tǒng)新增安全機制的進一步嘗試等,這些真實存在的威脅案例從側(cè)面可以反映出移動威脅技術(shù)正在持續(xù)的進化���。
2.3 電信詐騙高度體系化
電信詐騙通過近幾年的不斷演變��,已經(jīng)從純粹的技術(shù)威脅演變?yōu)橐苿影踩闹匾{����,甚至有成為社會公共威脅的趨勢,給人民群眾生命財產(chǎn)造成了嚴重傷害和巨大損失��。2016年電信詐騙特別是詐騙電話犯罪持續(xù)高發(fā)�,媒體也公開披露過多起涉案金額巨大甚至致人死亡的電話詐騙案件。
詐騙短信是電信詐騙當(dāng)中重要的威脅形態(tài)之一��,也是移動惡意代碼進入用戶手機中的重要入口���。詐騙短信持續(xù)泛濫�,偽基站是罪魁禍首����,在2015年移動安全年報中提到的短信攔截馬威脅的攻擊模式在2016年依舊活躍,給受害用戶造成了巨大的財產(chǎn)損失��。針對電信詐騙的權(quán)威數(shù)據(jù)顯示��,2015年全國公安機關(guān)共立電信詐騙案件59萬起�,同比上升32.5%,共造成經(jīng)濟損失222億元[4]�。下圖展示了四例常見詐騙短信示例。
圖7 詐騙短信示例
電信詐騙形式和手段呈現(xiàn)出多樣化的發(fā)展趨勢���。隨著互聯(lián)網(wǎng)的普及和發(fā)展��,移動相關(guān)的電信詐騙開始與互聯(lián)網(wǎng)結(jié)合�,從最開始單純給受害人撥打電話的傳統(tǒng)電信詐騙發(fā)展成為網(wǎng)絡(luò)電信詐騙��。近年來��,隨著移動智能終端的迅速發(fā)展�,網(wǎng)絡(luò)電信詐騙不斷進化,出現(xiàn)利用移動終端惡意代碼結(jié)合釣魚攻擊來實施電信詐騙的新型技術(shù)手段��。
圖8 電信詐騙進化圖
為提高詐騙的成功率��,詐騙者需要搜集各方面的情報���。網(wǎng)絡(luò)電信詐騙情報體系由三大塊組成:詐騙目標相關(guān)情報���、詐騙手法相關(guān)情報和資金相關(guān)情報。詐騙者通過黑市購買����、網(wǎng)絡(luò)搜索����、木馬回傳等手段對這些情報進行搜集��,然后進行篩選��、吸收���,最后實施詐騙��。在移動終端場景���,已經(jīng)出現(xiàn)具備完整詐騙功能的移動惡意代碼,例如偽裝成“最高人民檢察院”的惡意應(yīng)用����,以涉嫌犯罪為由恐嚇受害者,并進行電信詐騙���。其主要攻擊流程如下圖所示�,詳細的技術(shù)分析可以參考安天移動安全官方技術(shù)博客2016年12月12日發(fā)布的《病毒四度升級:安天移動安全揭露一例跨期兩年的電信詐騙進化史》[5]分析報告�。
圖9 移動終端場景的電信詐騙流程圖
移動相關(guān)的網(wǎng)絡(luò)電信詐騙已經(jīng)形成上下游產(chǎn)業(yè)鏈并且高度體系化,甚至分為了4類專業(yè)的團伙以進行密切的分工與協(xié)作����,這在極大程度上助長了移動相關(guān)的詐騙泛濫成災(zāi)��。
圖10 電信詐騙產(chǎn)業(yè)鏈
電信詐騙給受害用戶帶來了經(jīng)濟損失和其它嚴重后果,以其中比較普遍的詐騙電話為例�,據(jù)公開的研究報告[6]顯示,在2016年前3個季度共9個月份中全國平均每月被用戶標記的詐騙電話多達1500多萬次����,詐騙類的電話在騷擾電話中占比高達27%,從量級和占比足以看出移動相關(guān)的電信詐騙已經(jīng)泛濫化���。從另外一個角度來看����,根據(jù)2016年1-9月趨勢圖中可以看出在2016年3月后詐騙電話數(shù)趨于緩和���,并在2016年9月��,最高人民法院����、最高人民檢察院�、公安部�、工業(yè)和信息化部��、中國人民銀行���、中國銀行業(yè)監(jiān)督管理委員會六部門聯(lián)合發(fā)布《防范和打擊電信網(wǎng)絡(luò)詐騙犯罪的通告》后有下降的趨勢�。
圖11 2016年1-9月詐騙電話標記數(shù)每月趨勢
2.4 移動威脅正從個人向企業(yè)組織遷移
移動威脅最直接的受害群體是普通個人用戶�,詐騙電話、釣魚短信���、手機病毒已經(jīng)成為危害用戶手機安全的三類主要威脅�。從手機病毒這個層面來看��,針對個人用戶的移動威脅當(dāng)前主要是借助于仿冒����、惡意植入等技術(shù)手段,通過小眾的應(yīng)用市場�、論壇,網(wǎng)盤����、社交應(yīng)用群等渠道以及惡意代碼自身的推送能力來進行傳播,從而進入到受害用戶手機,對用戶造成危害����。
2016年安天移動安全團隊聯(lián)合合作伙伴對外發(fā)布過多篇移動威脅相關(guān)的技術(shù)分析文章(典型案例節(jié)選部分如下表所示),面向個人用戶揭露不同類型移動威脅的發(fā)展形式以及對用戶的危害和影響��。從對用戶造成的威脅來看���,誘騙欺詐、隱私竊取�、惡意扣費是個人用戶遭受的最主要的三類手機安全威脅。
圖12 安天移動安全技術(shù)報告節(jié)選
除了大量的個人用戶遭受到移動威脅的侵蝕��,由于企業(yè)對移動威脅的重視程度普遍不足����,導(dǎo)致移動威脅造成的企業(yè)資產(chǎn)受損的事件近年有上升趨勢。其中具有代表性的威脅案例是2016年8月由國外安全廠商首先公開披露的惡意代碼“DressCode” [7]���,該病毒利用SOCKS代理反彈技術(shù)突破內(nèi)網(wǎng)防火墻限制���,竊取內(nèi)網(wǎng)數(shù)據(jù),能夠以手機終端作為跳板實現(xiàn)對企業(yè)內(nèi)網(wǎng)的滲透(具體的攻擊流程如下圖所示)���?��!癉ressCode”惡意代碼的出現(xiàn)表明移動惡意代碼已經(jīng)具備對企業(yè)進行滲透攻擊的能力��。
圖13 DressCode攻擊流程圖
截止到2016年9月底�,這類竊取企業(yè)內(nèi)網(wǎng)信息的惡意應(yīng)用在數(shù)量上已經(jīng)超過3000����,其中有400多款應(yīng)用曾經(jīng)上架過GooglePlay應(yīng)用市場,部分應(yīng)用的安裝量在10萬到50萬之間��。通過這類統(tǒng)計數(shù)據(jù)雖然無法直接有效地評估企業(yè)遭受的損失��,但從側(cè)面上可以反映出移動惡意攻擊者已經(jīng)開始將移動威脅的攻擊向企業(yè)級場景切換�。
在另外一個場景中,則是通過篡改DNS實現(xiàn)對企業(yè)的滲透和攻擊��,2016年底在移動平臺出現(xiàn)的“Switcher”惡意代碼家族能夠借助移動終端接入Wi-Fi對連入的路由器DNS服務(wù)進行攻擊[8]��,惡意篡改DNS服務(wù)器地址從而實現(xiàn)受害用戶網(wǎng)絡(luò)流量劫持����。
圖14 DNS劫持流程圖
“Switcher”主要通過暴力破解登錄的方式進入路由器DNS并篡改成惡意的DNS服務(wù)器地址,其攻擊能力主要依賴于破解字典的強度��。當(dāng)前從“Switcher”自帶的字典來看主要以常見的弱密碼為主,可見其攻擊能力并不是很強����,但是從整體的攻擊流程和目標來看,移動威脅當(dāng)前已經(jīng)具備了對DNS這類網(wǎng)絡(luò)服務(wù)進行惡意利用的能力�。
由于近幾年企業(yè)在終端安全防護領(lǐng)域的投入和重視度不足, PC勒索軟件近兩年在企業(yè)環(huán)境中造成了巨大威脅和資產(chǎn)損失����。從前文案例可以看出,就威脅攻擊的整個鏈條而言��,個人用戶��、企業(yè)用戶以及網(wǎng)絡(luò)服務(wù)供應(yīng)商等都遭受到了不同程度移動威脅的惡意利用或攻擊����,移動威脅也正在從個人向企業(yè)組織遷移���,值得企業(yè)安全管理人員關(guān)注和預(yù)警�。
2.5 移動終端已成為APT的新戰(zhàn)場
2013年3月��,卡巴斯基披露了首個移動終端上的針對性攻擊事件[10]��,其結(jié)合了傳統(tǒng)網(wǎng)絡(luò)攻擊下的郵件釣魚攻擊模式和移動終端的木馬程序完成對特定目標人物移動設(shè)備的攻擊和控制。這個事件的公開披露意味著移動威脅的攻擊動機已不局限于利用黑色產(chǎn)業(yè)鏈牟取直接的經(jīng)濟利益���,在攻擊目標群體的選擇上也不局限于泛化的移動終端用戶���。
截止到2016年末,公開揭露的針對移動終端的APT攻擊事件已有十幾例�,其不僅針對Android平臺,也覆蓋了iOS�、黑莓等其他智能平臺。而移動APT事件主要的攻擊目的為收集和竊取智能終端上的隱私數(shù)據(jù)����,包括短信、通訊錄����、定位信息等。其中部分移動APT事件長達數(shù)年����,例如2016年3月被公開披露的針對印度軍方的“OperationC-Major”行動[11]就是從2013年開始持續(xù)了3年多的時間。
2016年8月�,在Pegasus間諜木馬[12]攻擊一名阿聯(lián)酋社會活動家的事件中,使用了三個針對iOS的0-day漏洞實現(xiàn)攻擊�,表明在移動攻擊場景下也可以和CyberAPT一樣將高級攻擊技術(shù)應(yīng)用到APT攻擊過程����。同時也表明移動終端已經(jīng)成為APT組織進行持續(xù)化攻擊的新戰(zhàn)場�,并重點以對特定目標人物的情報搜集和信息竊取為目的。
2.6 全球移動支付安全正遭受威脅
隨著移動互聯(lián)網(wǎng)和移動支付技術(shù)的迅速發(fā)展���,越來越多的用戶使用智能手機��、平板電腦等移動終端訪問網(wǎng)上銀行�,進行便捷支付��。與此同時����,惡意攻擊者也在持續(xù)加大對移動金融的攻擊力度。2015年12月Android銀行木馬GMBot的源代碼在網(wǎng)上泄露[13]��,其中包括Bot組件和控制面板的源代碼���。惡意攻擊者能夠直接從網(wǎng)絡(luò)獲取到源碼并進行修改,快速的制作出大批量的Android銀行木馬��。
Android平臺2016年在移動金融威脅上新增了Svpeng�、GBanker����、Gugi�、Slocker、FakeBank����、Marcher等16個銀行木馬家族,52個銀行木馬變種���,其中感染量較大的為Svpeng��、GBanker�、Gugi����、Slocker、FakeBank等木馬家族��,如下圖所示����。
圖15 2016年銀行木馬家族Top5及感染量
從攻擊的技術(shù)手段和目標來看,國外的銀行木馬大多都會請求激活設(shè)備管理器��,使受害用戶無法通過正常的應(yīng)用卸載方式進行卸載,在用戶使用金融APP或者GooglePlay時��,該木馬會彈出虛假的綁定銀行卡界面或者付費界面欺騙用戶輸入自己的銀行賬戶相關(guān)信息(主要包含VISA卡賬號����、MasterCard的賬號和CVV),然后通過短信轉(zhuǎn)發(fā)或者遠程控制服務(wù)器上傳的形式完成竊取��,部分家族還會對用戶接收的短信進行攔截�、上傳,對用戶手機短信功能造成影響���。而國內(nèi)移動金融威脅相關(guān)的銀行木馬��,主要通過仿冒國內(nèi)主流銀行APP誘導(dǎo)用戶輸入賬號信息的方式來完成對受害用戶銀行賬號����、銀行賬號密碼�、銀行預(yù)留手機號、身份證號碼���、開戶行名稱等高價值信息的竊取。
2016年新增的移動銀行木馬對全球50多家銀行造成了不同程度的影響����,其中影響的地域包括了俄羅斯����、中國����、美國、加拿大��、澳大利亞��、德國����、法國、波蘭�、土耳其等國家和地區(qū),涉及到有QIWI����、Sberbank、Alfa-Bank��、 PayPal��、Citibank、BawagP.S.K.����、BankAustria、DeutscheBank��、ING-DiBa��、INGDirect等國際知名銀行和支付平臺�。而國內(nèi)的移動銀行木馬攻擊的目標主要是建設(shè)銀行、工商銀行�、招商銀行、農(nóng)業(yè)銀行��、中國銀行����、交通銀行等國內(nèi)用戶較多的銀行。對國內(nèi)銀行木馬我們在安天移動安全官方技術(shù)博客2016年8月24日發(fā)布的DarkMobile Bank報告[14]中已經(jīng)做了詳細深入的剖析����。從下圖可以看出2016年新增的移動銀行木馬主要針對俄羅斯、中國的移動終端用戶���。
圖16 2016年移動銀行木馬主要感染區(qū)域分布圖
2.7 隱私泄露成為移動威脅重要幫兇
2016年各類信息及數(shù)據(jù)泄露的安全事件依舊層出不窮��、愈演愈烈�?���!靶煊裼瘛卑傅入娦旁p騙事件的報道,也引發(fā)了公眾的思考��,并對個人信息泄露帶來的惡劣社會影響有了深刻認識�。
圖17 2016年部分重大數(shù)據(jù)泄露事件
上圖列舉的只是隱私泄露事件當(dāng)中的極小部分,近年來��,針對各類網(wǎng)站系統(tǒng)的脫庫�、撞庫攻擊頻繁發(fā)生,大量用戶的高價值隱私數(shù)據(jù)信息被泄露����。隱私的大面積泄露,已經(jīng)成為移動威脅當(dāng)中重要的幫兇和支撐性的環(huán)節(jié)�,這個大趨勢不可避免會導(dǎo)致移動威脅朝著長尾化、精準化和碎片化的方向發(fā)展����。隱私泄露已經(jīng)成為普遍的安全威脅和問題,它助長了移動威脅的增長,并把移動威脅引導(dǎo)向了精準化�、碎片化、高價值轉(zhuǎn)化的方向上����,使得移動威脅的長尾現(xiàn)象更加顯著。這使得每個用戶遇到都是高精準的���、難以大面積出現(xiàn)��、具有普適性的威脅���,惡意攻擊者不需要通過大面積的攻擊來實現(xiàn)價值轉(zhuǎn)化。
移動供應(yīng)鏈的復(fù)雜性和終端服務(wù)的碎片化�,導(dǎo)致隱私泄露這類移動威脅難以被用戶和社會所感知,難以喚起社會普遍的重視����。但最終這些重隱私和輕隱私的泄漏,由于其產(chǎn)生的長尾效應(yīng)最終會對整個移動安全乃至身份安全體系產(chǎn)生巨大影響��。
2.8 移動勒索軟件種類迅速增長
移動平臺的勒索軟件最早于2014年出現(xiàn)在東歐地區(qū)���,2015年國內(nèi)開始出現(xiàn)濫用Android系統(tǒng)功能的鎖屏類惡意勒索軟件�,并活躍至今,已經(jīng)成為了一種成熟的惡意代碼攻擊模式���。對比近2年移動勒索軟件數(shù)量�,我們發(fā)現(xiàn)2016年4個季度與2015年同期相比樣本數(shù)量都有不同程度的倍增�,其中第1季度增長了近7倍��,可見移動勒索軟件在2016年得到了迅猛的發(fā)展����。
圖18 近兩年移動勒索軟件數(shù)量變化情況
2016年移動勒索軟件表現(xiàn)形態(tài)主要有三種:軟件自身頻繁地強制置頂自身頁面導(dǎo)致手機無法切換操作界面、私自設(shè)置手機PIN鎖屏密碼導(dǎo)致用戶無法解鎖手機����、屏蔽用戶手機虛擬按鍵或者觸摸部分。
我們對勒索軟件影響的地域進行了統(tǒng)計����,發(fā)現(xiàn)東歐或俄羅斯的占比為54.8%,其次是中國占據(jù)了38.65%�,英美占據(jù)2.95%,中東地區(qū)的伊朗占據(jù)了3.6%��,這表明俄羅斯和中國是2016年移動勒索軟件檢測和感染率最高的國家����。
圖19 勒索軟件在全球范圍內(nèi)分布情況占比
在2016年6月份����,國外某安全公司發(fā)現(xiàn)了勒索軟件“Flocker”[15]家族能夠感染智能電視���?���!癋locker”家族的一個變種會偽裝成美國網(wǎng)警或者其他的執(zhí)法機構(gòu)�,當(dāng)用戶不小心運行勒索軟件時,界面會以英文提示“你被通緝了����,需要交付一定的贖金,贖金是價值200美元的iTunes禮品卡”�。智能電視之所以受到攻擊者的利用與廠商本身有一定的關(guān)系。由于廠商不積極更新系統(tǒng)安全補丁導(dǎo)致大部分的Android智能電視系統(tǒng)都停留在Android4.4版本以下����,容易遭受勒索以及其它移動威脅的攻擊。
當(dāng)前移動終端的勒索軟件雖然在數(shù)量上有明顯的增長����,并同時開始轉(zhuǎn)向?qū)χ悄茈娨暤仍O(shè)備的攻擊�,但與PC端相比其攻擊對象依舊以普通用戶為主����,并且在“贖金”要求上相對較低,加之移動終端系統(tǒng)不斷更新的系統(tǒng)安全機制能夠在一定程度上抵御勒索應(yīng)用的攻擊�。從這個角度來看,移動勒索軟件對用戶的威脅影響相對有限���。
2.9 iOS自成體系但并非安全神話
iOS系統(tǒng)因為其系統(tǒng)封閉性以及安全封閉性��,安全生態(tài)體系基本依賴Apple自行解決。從2009年到2016年����,iOS系統(tǒng)上公開的惡意代碼家族一共40多個,其中絕大部分家族的惡意功能依賴于越獄后的iOS系統(tǒng)�。從2016年全年來看,iOS系統(tǒng)上公開的惡意代碼主要是“AceDeceiver” [16]和“Pegasus”[12]兩個家族�,它們能夠在非越獄iOS設(shè)備上實施惡意行為。因此從iOS的實際威脅現(xiàn)狀看��,惡意代碼的影響力相對受限��。
2016年針對iOS從9.0到10.x版本的系統(tǒng)公開了不少可以利用的漏洞及利用方法[17]���,其中比較典型的有針對iOS 10.1.1對mach_portal攻擊鏈的利用方法�,以及具有較高影響力的針對iOS 9.3.4系統(tǒng)定向攻擊竊取阿聯(lián)酋的一位人權(quán)活動家隱私的“三叉戟”漏洞。同時為了提取特定Apple手機的數(shù)據(jù)�,F(xiàn)BI和Apple公司也進行了長達數(shù)月的司法紛爭。最終通過第三方公司��,對手機中的數(shù)據(jù)進行破解和提取[18]����。這也側(cè)面反映出,iOS體系中Apple處于絕對的攻防核心地位���,控制著所有安全命脈�,但是iOS系統(tǒng)并非堅不可摧�,在高級漏洞抵御層面并不占據(jù)優(yōu)勢。
根據(jù)CVE Details統(tǒng)計的有關(guān)移動操作系統(tǒng)的漏洞信息(如下圖所示)����,iOS系統(tǒng)2016年公開漏洞數(shù)量為Android的三分之一左右,主要風(fēng)險集中在拒絕服務(wù)��、代碼執(zhí)行�、堆棧溢出、內(nèi)存破壞等高危漏洞方面��。但考慮到Android系統(tǒng)的碎片化以及開放性,這樣的統(tǒng)計數(shù)據(jù)并不能說明iOS更加安全��。
圖20 2016年Android和iOS系統(tǒng)漏洞類型及數(shù)量對比
圍繞iOS系統(tǒng)的封閉性與安全性之爭預(yù)計還將持續(xù)���。但值得深思的是��,因為iOS的安全封閉性���,安全廠商、政府機構(gòu)���、普通用戶等參與者難以建立有效的安全應(yīng)對機制����,雖然Apple在iOS系統(tǒng)漏洞的遏制和響應(yīng)上具備一些優(yōu)勢和經(jīng)驗����,在安全上的投入也取得了一些成績����,但用戶在遭遇到新型威脅或高級攻擊時即使是專業(yè)的安全團隊也難以有效地配合跟進并幫助用戶解決威脅問題。與Android這類開放的移動操作系統(tǒng)相比��,iOS系統(tǒng)由于高封閉的模式在反APT工作以及與高階對手的競爭中可能處于劣勢,并在一定程度上局限了其商務(wù)應(yīng)用的有效發(fā)展��。
與iOS相比���,Android系統(tǒng)的生態(tài)體系更加繁榮��,潛在威脅更多�,因此也對Android安全提出更高要求����,Android系統(tǒng)的開放性和可定制化給安全廠商有效的防御策略提供了積極的支撐作用,能夠讓安全廠商在移動威脅的防御上大有作為��。從Android整個安全體系看��,需要通過供應(yīng)鏈加強安全協(xié)同����,從設(shè)備、系統(tǒng)���、應(yīng)用����、環(huán)境等多層面加強漏洞檢測�、系統(tǒng)加固、安全增強和內(nèi)置安全引擎等工作����,從而最大限度的保障整個安全體系的有效性。
3 反思
3.1 移動威脅檢測核心作用有待進一步發(fā)揮
面對移動威脅規(guī)模的持續(xù)增長�、威脅技術(shù)持續(xù)進化和電信詐騙泛濫等現(xiàn)實威脅狀況,惡意代碼檢測無疑是一種核心安全防御手段�。
下圖是全球主流的移動反病毒引擎在2016年11月份AV-TEST[19]的測評中的結(jié)果對比圖���,從中我們可以看到絕大部分廠商的檢出率都在90%以上���。值得一提的是��,近5年來�,安天移動安全團隊自主研發(fā)的AVL移動反病毒引擎在AV-TEST��,AV-C等國際權(quán)威反病毒認證機構(gòu)的測評中均以極高的檢出率名列前茅�。
圖21 2016年11月AV-TEST測評成績
面對持續(xù)爆發(fā)的威脅,手機制造商��、系統(tǒng)供應(yīng)商等關(guān)鍵環(huán)節(jié)需要進一步加強移動威脅檢測能力的引入���,從系統(tǒng)深層次提供對移動威脅的檢測��,為用戶提供深層次安全防御����。
通過進一步的威脅情報體系建設(shè)和產(chǎn)業(yè)協(xié)同工作�,我們也看到移動惡意代碼檢測能力將會成為一種安全基本能力,通過不同行業(yè)和技術(shù)領(lǐng)域的不斷使用���,逐漸展現(xiàn)出超過移動惡意代碼檢測原有內(nèi)涵的綜合防御效果���。
3.2 Android應(yīng)用市場問題亟待重視
Android應(yīng)用市場作為Android應(yīng)用和用戶手機直接連接的重要橋梁,是移動生態(tài)環(huán)節(jié)當(dāng)中重要的組成部分��。Google的官方應(yīng)用市場GooglePlay以及國內(nèi)外的各類應(yīng)用市場都擁有大量的用戶群體��,一旦出現(xiàn)惡意代碼極有可能會導(dǎo)致大量用戶受到威脅�。
2016年安全廠商多次在Google Play應(yīng)用市場發(fā)現(xiàn)惡意代碼。出現(xiàn)在GooglePlay上的惡意代碼感染用戶多,影響廣泛����,部分惡意代碼能夠攻擊企業(yè)內(nèi)網(wǎng),甚至控制受害用戶手機進行DDOS攻擊����。從這些公開的事件來看,單一來源市場加上嚴格的商家審計����,雖然是一種有效的安全思路,但依然不能保證軟件供應(yīng)鏈是安全的�,仍然需要建立起個體用戶、手機廠商和企業(yè)用戶各自的安全邊界�。
圖22 2016年安全廠商在Google Play應(yīng)用市場發(fā)現(xiàn)惡意代碼案例節(jié)選
由于無法像Google一樣承擔(dān)巨大的安全審核成本,國內(nèi)應(yīng)用市場的安全問題比GooglePlay更加嚴重�。我們通過對國內(nèi)的一些應(yīng)用市場進行定期檢測,發(fā)現(xiàn)過多例包含有“百腦蟲”[20]和“JMedia”[21]等高級惡意代碼的應(yīng)用����,相關(guān)的應(yīng)用市場對于這類能夠被反病毒引擎檢出的惡意應(yīng)用并沒有及時進行下架處理,可見此類安全問題并沒有引起足夠的關(guān)注����。
應(yīng)用市場和應(yīng)用分發(fā)問題在安全策略和安全防護上沒有得到普遍重視。當(dāng)前的應(yīng)用市場�,包括GooglePlay這樣的一級分發(fā)市場、國內(nèi)的二三級分發(fā)市場以及與用戶聯(lián)系最緊密的移動應(yīng)用市場服務(wù)商��,對于自身在安全上扮演的角色是不夠重視的�。國內(nèi)外應(yīng)用分發(fā)市場都存在上述安全問題,說明應(yīng)用市場本身的審核機制存在一定的問題�。相比而言,Apple應(yīng)用市場在這方面做的較好��,Apple系統(tǒng)閉源���、應(yīng)用下載市場統(tǒng)一���、審核流程更加嚴格,發(fā)現(xiàn)惡意App后能夠進行及時響應(yīng)和下架處置�,Android的應(yīng)用市場與Apple的應(yīng)用市場相比仍有較大的差距。2016年Android應(yīng)用市場頻頻出現(xiàn)惡意代碼并非偶然��,從根本上來看是因為Android應(yīng)用市場的安全問題依然沒有得到重視����,也沒有引入有效的安全檢測和防護方案。
3.3 漏洞碎片化未得到有效遏制
由于Android系統(tǒng)的開源以及定制化造成的Android系統(tǒng)不可控的碎片化����,同時也導(dǎo)致了Android系統(tǒng)漏洞的碎片化����。根據(jù)CVEDetails公開的數(shù)據(jù)顯示�,在2016年Android系統(tǒng)一共被收錄了523個漏洞,其中包含有99個信息泄露相關(guān)的漏洞����,2015年這類漏洞只有19個。值得注意的是2016年新增了250個可以提升權(quán)限的安全漏洞���,2015年這類漏洞只有17個�,增長超過13倍���。
特別是像DirtyCow[22]和Drammer[23]這類能夠影響從Android1.0及以后幾乎所有Android系統(tǒng)版本的通用性漏洞��,對用戶的傷害性不言而喻��。DirtyCow(又稱“臟牛漏洞”)是由安全研究員PhilOester首先發(fā)現(xiàn)的�。DirtyCow利用Linux內(nèi)核的內(nèi)存子系統(tǒng)在處理寫時拷貝(Copy-on-Write)時存在的條件競爭漏洞��,導(dǎo)致私有只讀內(nèi)存映射可以被破壞��。一個低權(quán)限的本地用戶能夠利用此漏洞獲取其他只讀內(nèi)存映射的寫權(quán)限,有可能進一步導(dǎo)致提權(quán)漏洞���。Drammer漏洞由國外安全公司VUSec發(fā)現(xiàn)并公開,是一種針對Android設(shè)備的攻擊方式���,該漏洞利用內(nèi)存芯片設(shè)計上的一個缺陷不斷的訪問某個位置上的內(nèi)存���,就可能造成相鄰的內(nèi)存進行位翻轉(zhuǎn),如果攻擊者訪問足夠多次就可以控制它指向內(nèi)存中特定的高權(quán)限空間�,從而獲取Root權(quán)限。
圖23 近兩年Android系統(tǒng)漏洞類型及數(shù)量對比
當(dāng)前移動操作系統(tǒng)漏洞的有效利用點依然集中在提升權(quán)限漏洞上�,還沒有擴大到比較復(fù)雜的應(yīng)用和攻擊場景。但是��,這種局面并沒有得到有效的遏制�,給整個攻擊鏈的防御上帶來了極大的風(fēng)險和控制難度。2016年出現(xiàn)的大量手機Root型惡意代碼充分印證了這一點����。
3.4 移動威脅的體系化應(yīng)對尚需時日
2016年11月,我國正式出臺了《中華人民共和國網(wǎng)絡(luò)安全法》����,從法律法規(guī)層面加強了對安全體系化建設(shè)的指導(dǎo)����。從網(wǎng)絡(luò)安全建設(shè)來看���,全天候的態(tài)勢感知才能發(fā)現(xiàn)威脅并應(yīng)對威脅�,這就需要積極開展對各種關(guān)鍵基礎(chǔ)設(shè)施的安全防護和保障���。從早期出現(xiàn)在國外的能夠攔截歐洲國家相關(guān)銀行支付驗證碼的Zitmo木馬家族�,到FakeInst“吸費”木馬在俄羅斯及東歐地區(qū)的廣泛傳播���,再到近幾年國內(nèi)電信詐騙等威脅的泛濫����,我們一方面看到的是國家�、行業(yè)、企業(yè)����、個人積極開展安全防護和對抗,在一定程度上遏制了相關(guān)威脅的不斷泛濫�。另一方面,也可以看到由于缺少全局數(shù)據(jù)和情報支持����,缺少對全局安全威脅的及時感知能力��,對威脅的遏制效果并不理想��。目前可以看到���,大部分移動服務(wù)供應(yīng)商和用戶對移動安全的重視仍然停留在威脅預(yù)警早期階段�,對移動威脅的廣度和深度關(guān)注不足??梢婓w系化防御不是一朝一夕之事,只有盡早盡快落實相關(guān)的體系化建設(shè)��,才能真正有效地感知和防御相關(guān)安全威脅���。
圖24 短信攔截馬數(shù)量變化情況
3.5 全球移動安全協(xié)作共識有待達成
在移動通信和移動互聯(lián)網(wǎng)領(lǐng)域��,與國外相比���,國內(nèi)已經(jīng)呈現(xiàn)同步乃至超前的發(fā)展態(tài)勢。從移動應(yīng)用來看�,社交、電商���、支付�、出行等各種緊貼用戶生活的行業(yè)需求在移動端逐漸成型;從應(yīng)用生態(tài)鏈條來看���,國內(nèi)MIUI����、阿里云��、百度手機助手����、騰訊應(yīng)用寶、360手機助手等應(yīng)用商店與GooglePlay��、 App Store等應(yīng)用分發(fā)體系相呼應(yīng)����;從全球范圍來看,以華為����、OPPO、VIVO、小米等為代表的眾多本土優(yōu)秀手機終端品牌強勢崛起�,并在國際市場中占據(jù)愈加重要的位置;從系統(tǒng)供應(yīng)鏈來看��,ARM���、高通��、三星等廠商仍然占據(jù)主流地位����,但也可以看到國內(nèi)廠商通過自主研發(fā)����、海外并購等方式逐漸進入IC設(shè)計和制造的優(yōu)秀行列����。
在這種背景下,傳統(tǒng)的樣本交換體系愈加難以滿足如今移動威脅應(yīng)對的需求��,全球性的安全共識需要加強 �。傳統(tǒng)網(wǎng)絡(luò)領(lǐng)域,由于產(chǎn)生時間較早�,基礎(chǔ)模式設(shè)計缺少安全考量,安全體系難以有效協(xié)同���,增加了不同組織之間摩擦的風(fēng)險���。在移動安全領(lǐng)域����,可以通過威脅情報共享體系的設(shè)計����,讓全球擁有共同的威脅描述語言,加強面對威脅的協(xié)同抵抗和防御能力��,并增強全球安全共識���。這個過程有賴于安全行業(yè)自身的努力和移動產(chǎn)業(yè)整體的規(guī)劃����,也需要國家����、國際組織的倡導(dǎo)和推動。
4 應(yīng)對
4.1 監(jiān)管者
從習(xí)近平總書記4.19講話提出“樹立正確網(wǎng)絡(luò)安全觀” “安全發(fā)展同步推進”到《中華人民共和國網(wǎng)絡(luò)安全法》正式表決通過���,國家增加了多項促進網(wǎng)絡(luò)安全的措施��,推進了網(wǎng)絡(luò)安全的發(fā)展�。這些指示和立法推動,無疑給包括移動安全在內(nèi)的網(wǎng)絡(luò)安全領(lǐng)域提供了頂層設(shè)計指導(dǎo)���。
安全領(lǐng)域建設(shè)離不開合理的立法和標準的指導(dǎo)�。在完善網(wǎng)絡(luò)法律法規(guī)的同時�,監(jiān)管部門應(yīng)同時對互聯(lián)網(wǎng)相關(guān)的法律法規(guī)進行大力宣傳,培養(yǎng)網(wǎng)民的法制觀念�,提高防范意識,并提倡規(guī)范辦網(wǎng)��、文明用網(wǎng)��,推動全民共同維護移動安全環(huán)境�,從根源上有效遏制移動威脅��。
在體系建設(shè)上��,應(yīng)積極建立和落實移動互聯(lián)網(wǎng)整體安全態(tài)勢感知和預(yù)警體系���,實現(xiàn)對移動安全領(lǐng)域全局態(tài)勢的感知����,加強對威脅情況的預(yù)警;加大對移動互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的安全防御體系建設(shè)��,提升對關(guān)鍵基礎(chǔ)設(shè)施包括移動設(shè)備供應(yīng)鏈���、網(wǎng)絡(luò)服務(wù)商��、應(yīng)用提供商等的安全督導(dǎo)����;加強移動安全在網(wǎng)絡(luò)安全全局體系中的角色和比重����,對新型安全威脅給予必要的關(guān)注,爭取通過防治結(jié)合的手段在威脅發(fā)展的早期予以撲滅��。
在行業(yè)協(xié)作和技術(shù)手段引進上�,以技術(shù)和管理結(jié)合來治理移動威脅問題。積極推動和引導(dǎo)安全企業(yè)提供更好的技術(shù)手段��,參與行業(yè)安全的共同治理��。以移動“釣魚”和移動詐騙這類威脅應(yīng)對為例���,多部門聯(lián)合打擊“釣魚網(wǎng)站”����,引導(dǎo)相關(guān)部門、企業(yè)建立聯(lián)合的“反釣魚”����,“反欺詐”平臺并形成互動對接和信息共享機制。實現(xiàn)官方“打釣” 與非官方“打釣”的優(yōu)勢互補����,達到快速、及時的應(yīng)對和處置效果���。鼓勵更多的移動互聯(lián)網(wǎng)企業(yè)加入來促進聯(lián)合平臺的發(fā)展�。同時���,還應(yīng)加強運營商���、金融機構(gòu)等行業(yè)與執(zhí)法機關(guān)的合作與聯(lián)動��。
4.2 安全企業(yè)
移動安全領(lǐng)域作為安全領(lǐng)域中一塊相對較新的領(lǐng)域��,經(jīng)過了6年多的行業(yè)發(fā)展,逐漸成為安全領(lǐng)域的重要組成部分�。在惡意威脅檢測等核心技術(shù)領(lǐng)域,一大批安全企業(yè)持續(xù)加強投入���,不斷應(yīng)對新型惡意代碼�、新型漏洞和新型攻擊手段的挑戰(zhàn)����。在安全管理等泛安全領(lǐng)域,逐漸形成了設(shè)備管理�、應(yīng)用管理、用戶管理等多層次的安全管理方案�,安全加密、安全加固等方案也在移動安全領(lǐng)域被廣泛使用�。通過近幾年的努力,諸多安全技術(shù)已經(jīng)運用到移動領(lǐng)域�,為用戶創(chuàng)造了較大的安全價值。
但正如前文反思��,移動安全領(lǐng)域的諸多技術(shù)還需要進一步和個人的安全需求����、企業(yè)組織的業(yè)務(wù)和數(shù)據(jù)安全需求相結(jié)合,才能讓安全能力真正滿足用戶的安全訴求�,最大程度的對抗安全威脅�。目前在相對熱門的威脅情報服務(wù)領(lǐng)域��,安天移動安全自主研發(fā)了全球首個AVLInsight移動威脅情報服務(wù)平臺��,借助10年的移動威脅知識庫積累����、6億多終端的覆蓋,形成了定制化移動威脅情報的輸出能力��。我們堅持認為威脅情報需要與客戶的真實安全訴求相結(jié)合�,為客戶提供符合其需要的、高價值���、定制化的威脅情報��。
隨著移動安全重要性的日益提升��,安全企業(yè)之間應(yīng)借助威脅情報����、產(chǎn)業(yè)合作等方式形成行業(yè)整體的安全協(xié)作和應(yīng)對姿態(tài)���,共同打擊移動安全威脅����。同時通過更多的產(chǎn)業(yè)合作����,與職能部門、移動供應(yīng)鏈�、企業(yè)和個人用戶等建立更加深入的合作和信任關(guān)系,共同維護移動安全環(huán)境���。
4.3 供應(yīng)鏈
從2012年到2016年移動安全威脅發(fā)展軌跡來看���,攻擊者對移動供應(yīng)鏈從早期的App應(yīng)用拓展到了如今的芯片、系統(tǒng)���、網(wǎng)絡(luò)等多個層面���,移動安全威脅的烏云早已籠罩了整個移動供應(yīng)鏈的上空。
從移動領(lǐng)域的自身特點來看�,供應(yīng)鏈安全是一個值得特別關(guān)注的問題。三星Note 7安全事件雖然不是一個信息安全問題����,但其安全模型值得深思�。韓國產(chǎn)品安全監(jiān)管機構(gòu)“技術(shù)標準局”對受損的Note7的分析發(fā)現(xiàn)�,Note 7手機爆炸是因為電池問題而引發(fā)的。電池存在設(shè)計缺陷���,即陽極凸起��。該突起導(dǎo)致分離層破裂��,并接觸陰極材料�,然后起火[24]��。該事件最大的威脅在于移動設(shè)備的特性����,導(dǎo)致類似安全威脅會對人、航空等周邊環(huán)境造成危害���。供應(yīng)鏈的安全威脅可能經(jīng)由移動設(shè)備進一步擴散����。
供應(yīng)鏈不同層次的移動威脅呈現(xiàn)不同的特點���,整體來看��,越底層威脅能力越強���、事后處置鏈條越長、最終防御效果越差�。從威脅防護來看,供應(yīng)鏈不同層次廠商基于自身威脅特性建立針對性的防護方案����。芯片和系統(tǒng)級的安全防護方案已經(jīng)得到廠商的重視和采納,并在實際生產(chǎn)中起到有效的防護效果�。移動網(wǎng)絡(luò)服務(wù)供應(yīng)商作為供應(yīng)鏈中重要的支撐環(huán)節(jié),需要加強對于移動網(wǎng)絡(luò)服務(wù)這類基礎(chǔ)設(shè)施的防護能力�,同時提高對于惡意利用移動網(wǎng)絡(luò)服務(wù)行為的監(jiān)測和處置能力。移動互聯(lián)網(wǎng)服務(wù)供應(yīng)商應(yīng)結(jié)合自身業(yè)務(wù)特點���,加強安全審查和管控��,防范移動威脅對用戶造成的損害����。
供應(yīng)鏈和服務(wù)提供商��,可考慮通過對威脅展開前置防御和針對性防御,及早的在供應(yīng)鏈和服務(wù)各環(huán)節(jié)引入安全解決方案�,包括但不限于威脅檢測、行為攔截和阻斷����、漏洞檢測和補丁技術(shù)、系統(tǒng)加固和數(shù)據(jù)加密和網(wǎng)絡(luò)檢測等���。通過安全解決方案的前置��、早置����,最大限度的輻射整個供應(yīng)鏈環(huán)節(jié)���,降低整體安全防御成本����,提升整個供應(yīng)鏈的安全性和安全效率��。
4.4 個人
隨著黑產(chǎn)從業(yè)者攻擊策略和武器的進步�,個人用戶面臨的移動安全威脅呈現(xiàn)頻率逐漸上升、維度日益豐富����、攻擊愈加定制化的趨勢�,同時攻擊的危害從早期的小金額話費扣除���、流量損耗逐漸演變?yōu)槟壳暗拇蠼痤~現(xiàn)金損失��、金融相關(guān)隱私泄露�,移動終端用戶的安全狀況十分惡劣�。
個人用戶作為移動安全威脅最終危害的主體���,對其所面臨的移動安全威脅并不具備足夠的認識���,并具有安全意識弱、情報來源窄�、防護手段弱的特點?;趥€人移動安全威脅應(yīng)對的難點,安天移動安全團隊建議個人用戶養(yǎng)成日常主動進行安全檢測的習(xí)慣��,同時建立安全的密碼管理體系�,避免因單點移動威脅造成大規(guī)模資金損失的情況。此外個人用戶需要提高對移動安全事件的關(guān)注度和敏感度�,對與個人關(guān)聯(lián)的威脅事件進行緊急響應(yīng),做好事后止損的工作�。
4.5 企業(yè)
隨著移動辦公、移動服務(wù)等業(yè)務(wù)的加強�,各類企業(yè)����、廠商在移動威脅的整體對應(yīng)上�,需要全面加強企業(yè)整體安全防控中對于移動安全的重視。
針對IT安全��,要逐步將移動設(shè)備帶來的威脅應(yīng)對納入企業(yè)安全威脅防控體系中����,預(yù)防移動設(shè)備對原有企業(yè)IT安全帶來的沖擊。針對應(yīng)用層風(fēng)險加強應(yīng)用管控�,加強對正常應(yīng)用的仿冒審查,加強對應(yīng)用隱私泄漏的防范���。針對系統(tǒng)層風(fēng)險��,加強系統(tǒng)權(quán)限管理�,引入行為異常監(jiān)測��,防范未知安全風(fēng)險���。針對網(wǎng)絡(luò)層風(fēng)險�,加強傳統(tǒng)網(wǎng)絡(luò)威脅向移動威脅的遷移,預(yù)防潛在的移動安全高級威脅����。
需要特別說明的是,目前有不少企業(yè)的對外服務(wù)和核心業(yè)務(wù)主要以移動互聯(lián)網(wǎng)為場景����,目前這類企業(yè)遭受的移動威脅的影響也頗為嚴重,建議結(jié)合移動終端身份識別��、移動終端環(huán)境安全檢測以及積極建設(shè)面向業(yè)務(wù)的風(fēng)控系統(tǒng)持續(xù)加強威脅對抗和響應(yīng)能力����。
5 預(yù)見
5.1 移動威脅進入APT時代
APT攻擊的一個基本規(guī)律是:攻擊是否會發(fā)生只與目標承載的資產(chǎn)價值和與更重要目標的關(guān)聯(lián)度有關(guān)�,而與攻擊難度無關(guān)。這就使得當(dāng)移動設(shè)備承載更多資產(chǎn)��,當(dāng)智能終端的使用者覆蓋敏感人群或他們的親朋好友時��,面向智能終端的設(shè)備的APT系統(tǒng)性的產(chǎn)生就成為一種必然��。
在移動互聯(lián)網(wǎng)時代���,移動智能終端已經(jīng)高度映射和展現(xiàn)人的重要資產(chǎn)信息和身份信息����,其中在移動終端上存儲的短信、通訊錄�、照片、IM工具的聊天語音記錄信息等等能夠高度表現(xiàn)和描述人的身份��、職務(wù)�、社交圈、日常生活等信息�,所以針對移動智能終端的攻擊威脅是能夠具備高度目標指向性的。在過去��,諸如移動攔截馬之類的威脅攻擊都重點以手機用戶的短信��、手機聯(lián)系人列表為竊取對象���,并在地下黑色產(chǎn)業(yè)鏈形成了龐大的和身份高度映射的社工知識庫���,其中包括了姓名、手機號碼�、職務(wù)、日常信息���、活動區(qū)域軌跡以及其社會關(guān)系����,從而為移動APT攻擊的前置準備和更精準的投放手段提供了極高的戰(zhàn)術(shù)價值,并且對于整個APT戰(zhàn)役的前置階段來說�,對攻擊的重點目標人物或組織的情報收集和持久化監(jiān)控也是具有高度戰(zhàn)術(shù)意義的。
除此之外����,移動設(shè)備同時還具備極高的便攜性和跨網(wǎng)域的穿透能力。從2016年出現(xiàn)的一些不同動機的攻擊技術(shù)���,包括DressCode[7]通過移動設(shè)備形成對內(nèi)網(wǎng)的攻擊滲透能力和Switcher通過對終端所在網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備的攻擊從而形成對網(wǎng)絡(luò)的劫持能力��,預(yù)示著通過移動設(shè)備作為攻擊跳板�,可以實現(xiàn)對企業(yè)內(nèi)網(wǎng)���、物聯(lián)網(wǎng)甚至基礎(chǔ)設(shè)施的攻擊。
移動威脅會綜合移動的高級攻擊技術(shù)���、移動互聯(lián)網(wǎng)絡(luò)的戰(zhàn)略意義以及針對重點目標的戰(zhàn)術(shù)價值為APT攻擊組織提供更加豐富的攻擊能力�、攻擊資源和戰(zhàn)術(shù)思路���。
5.2 隱私泄露導(dǎo)致移動威脅進一步加深
隨著物聯(lián)網(wǎng)����、智慧城市的推進,攝像頭����、手機、可穿戴設(shè)備等智能硬件的普及��,以及關(guān)系到大眾民生的各種信息系統(tǒng)的互聯(lián)互通����,人們的生活方式都會網(wǎng)絡(luò)化,所有主體的信息都會數(shù)字化��,與此同時移動終端系統(tǒng)����、物聯(lián)網(wǎng)系統(tǒng)不斷的被挖掘出高危漏洞,信息和數(shù)據(jù)泄露事件短期內(nèi)看不到下降的趨勢���,個人隱私相關(guān)的數(shù)據(jù)泄露也將導(dǎo)致網(wǎng)絡(luò)攻擊威脅泛濫并且進一步的加深���。
隱私泄露和移動攻擊的泛濫和融合還會進一步加深��,帶來普遍的欺詐泛濫����、威脅碎片的長尾化���,對整個移動威脅的商業(yè)價值帶來的長遠影響����。
對于這一問題���,安天將在后續(xù)發(fā)布的“基礎(chǔ)威脅年報”給予更多解讀��。
5.3 企業(yè)級場景的移動威脅會大量出現(xiàn)
當(dāng)前面向個人的欺詐出現(xiàn)垂直化的增長���、碎片化的攻擊,顯示惡意攻擊者開始往垂直化和高價值方向的挖掘和轉(zhuǎn)型��。企業(yè)由于承載大量高價值信息和資產(chǎn)必然是惡意攻擊者轉(zhuǎn)型中瞄準的重要目標��。
2016年出現(xiàn)了以移動應(yīng)用作為中間跳板嘗試對內(nèi)網(wǎng)進行滲透��,竊取內(nèi)網(wǎng)的重要信息的惡意代碼��,同時�,在年底出現(xiàn)了篡改用戶手機連接的Wi-Fi路由器DNS進行流量劫持的移動惡意代碼。移動終端�、Wi-Fi路由都是當(dāng)前針對企業(yè)場景攻擊的重要的支撐點,當(dāng)前大多企業(yè)對于移動威脅的檢測和防御并沒有引入有效的解決方案����。從移動威脅的發(fā)展趨勢來看,基于移動終端設(shè)備或應(yīng)用的跳板攻擊傾向性非常明顯�,將移動終端、應(yīng)用當(dāng)成關(guān)鍵的攻擊載體����,在不同場景下配合實施更有力的攻擊是一種行之有效的思路。伴隨著各種BYOD設(shè)備在企業(yè)辦公中開始普及并廣泛使用��,2017年移動威脅在企業(yè)級場景中可能會出現(xiàn)一定規(guī)模的增長�。
5.4 移動勒索應(yīng)用或?qū)⒊掷m(xù)進化和遷移
針對勒索軟件,Google在Android6.0和7.0版本的系統(tǒng)中進行了安全性改進����,現(xiàn)階段的移動勒索軟件當(dāng)中使用到的技術(shù)手段在未來可能會逐步退出舞臺。只要用戶更新到最新的Android系統(tǒng)��,即可在很大程度上抵御勒索軟件產(chǎn)生的威脅。Google從系統(tǒng)源頭上阻止了勒索軟件的發(fā)展但是無法阻止惡意攻擊者對攻擊技術(shù)的進化升級��。2017年移動勒索軟件可能會向3個方向進化:與其它惡意攻擊方式結(jié)合�、通過蠕蟲形式讓勒索軟件進行大面積傳播、結(jié)合遠程控制指令對更加精確性的攻擊��。Android端的勒索軟件會包含PC端勒索程序或者攜帶物聯(lián)網(wǎng)惡意軟件���,進行跨平臺發(fā)展��,嘗試感染PC或者智能設(shè)備����。攻擊者信息更加匿名���,此外��,類似PC端的勒索軟件惡意勒索時使用比特幣作為貨幣��,通過匿名網(wǎng)絡(luò)支付比特幣這種形態(tài)會向Android平臺遷移����。
5.5 業(yè)務(wù)欺詐威脅損害凸顯
2016年的“3.15晚會”上�,“刷單”等網(wǎng)絡(luò)黑灰產(chǎn)進入公眾視野��。從今年公開報道的一些案例來看,“刷單”已經(jīng)對電商行業(yè)�、O2O平臺、運營商以及各類商家的業(yè)務(wù)造成了一些影響�,同時也對相關(guān)企業(yè)造成較大的經(jīng)濟損失。
圖25 業(yè)務(wù)欺詐案例
2016年在移動終端出現(xiàn)了不少“刷榜”��、“刷單”類的惡意程序����,也在一定程度上促長了“刷單”這類業(yè)務(wù)欺詐給企業(yè)帶來的危害。
2016年7月出現(xiàn)了一類惡意推廣刷榜的移動惡意代碼“刷榜僵尸”[25]�。該病毒在設(shè)備鎖屏?xí)r對其進行Root,Root成功后向系統(tǒng)目錄植入“刷榜僵尸”病毒�,“刷榜僵尸”對指定應(yīng)用在GooglePlay商店上進行惡意刷量,同時還會誘騙用戶安裝“下載者”病毒,“下載者”病毒會在設(shè)備屏幕亮起狀態(tài)下彈出廣告頁面����,若用戶觸碰廣告頁面,推廣的應(yīng)用將會自動安裝運行���。
2016年雙十一之際����,騰訊手機管家查獲5款病毒刷單APP[26]。這批惡意應(yīng)用屬于外掛類軟件��,啟動后會申請手機root權(quán)限���,讓賣家根據(jù)需要設(shè)置寶貝搜索���,如關(guān)鍵字、瀏覽器�、掌柜ID等,以及瀏覽時間���、貨比三家等瀏覽設(shè)置�,同時還被植入其它類型的惡意病毒�。
以上只是公開的“薅羊毛”案例當(dāng)中的極少數(shù)代表案例,惡意“刷單”主要使用機器大規(guī)模的自動完成垃圾注冊和登錄���,通過大量的惡意賬號����、手機號碼�、IP地址進行虛假交易,通過刷信用����,買家套現(xiàn)等技術(shù)手段來套取利潤�?�!八巍碑a(chǎn)業(yè)鏈已經(jīng)逐步職業(yè)化��、專業(yè)化�,在虛假交易產(chǎn)業(yè)鏈上����,上下游分工明確,分工涉及手機服務(wù)商的驗證����、快遞公司甚至欺詐團伙?���;ヂ?lián)網(wǎng)企業(yè)遭受的業(yè)務(wù)欺詐威脅問題已經(jīng)開始凸顯出來。
6 總結(jié)
過去幾年�,是中國移動網(wǎng)絡(luò)產(chǎn)業(yè)高速領(lǐng)跑發(fā)展的時代。以移動支付��、移動社交�、移動商務(wù)等為代表的移動互聯(lián)網(wǎng)應(yīng)用水平已經(jīng)走到世界前列����,移動基礎(chǔ)設(shè)施建設(shè)也正經(jīng)歷高速發(fā)展和更新?lián)Q代的階段����,中國自主品牌的手機產(chǎn)量也已經(jīng)躍居全球第一,中國手機品牌正在獲得全球用戶認可����。伴隨著中國移動產(chǎn)業(yè)和應(yīng)用的高速發(fā)展,移動威脅快速滋長���。巨大的用戶基數(shù)����、較高的應(yīng)用水平��、全新的業(yè)務(wù)探索都必然導(dǎo)致中國用戶面臨的移動安全威脅風(fēng)險規(guī)模前所未有���,手段持續(xù)泛化演化���,模式關(guān)聯(lián)復(fù)雜深遠,受損范圍廣闊深遠����。我國移動產(chǎn)業(yè)的發(fā)展速度和覆蓋廣度已經(jīng)決定了在移動安全體系的整體推進上我們已經(jīng)沒有可以全面師法的對象���,也已經(jīng)沒有必要跟著硅谷的所謂創(chuàng)新實踐亦步亦趨。我們一方面需要加強全球移動安全共識和協(xié)作����,一方面更需要走出自己的科學(xué)化、體系化移動安全發(fā)展道路���。
在2015年年報中,我們提出面對威脅精確化和離散化的現(xiàn)狀���,進一步加強用戶側(cè)對威脅的感知能力��,可能是安全廠商的必由之路�。通過威脅情報的分析���、加工和分享����,從而對威脅進行準確定性���、定位��、定量���,來滿足和解決特定用戶群體所面對的特定安全威脅����,提供對用戶比較有效����,甚至一勞永逸式的解決方案,這樣的體系或許是未來的發(fā)展方向���。過去的一年��,我們繼續(xù)致力于移動安全領(lǐng)域�,加強對移動領(lǐng)域威脅的觀察����、感知、分析�、追溯、處置和反思��,持續(xù)以體系化的方式加強與移動威脅的對抗。這份年報也是我們持續(xù)觀察和感知過程中的一些所見���、所為和所思�。
移動互聯(lián)網(wǎng)在過去一年仍然面臨著惡意應(yīng)用的持續(xù)威脅�,新增威脅繼續(xù)涌現(xiàn),威脅手段持續(xù)進化��,攻擊者加強仿冒��、社工欺詐��、勒索手段��、權(quán)限冒用���、開源組件惡意利用等攻擊手段的使用。同時存量威脅依然泛濫��,電信詐騙攔截馬����、扣費、流氓���、色情等威脅仍在持續(xù)演化和進化��。這些惡意應(yīng)用威脅在當(dāng)前整個傳播鏈條監(jiān)管尚不十分完善的安全防護背景下���,依然會造成巨大的安全風(fēng)險和資產(chǎn)損失�,大多時候只能依靠普通用戶的自我安全意識提升來抵御威脅���。面對這些威脅��,在威脅檢測���,工程化對抗和基于海量數(shù)據(jù)的威脅情報作業(yè)上,我們已經(jīng)有了比較充分的準備��,能夠在威脅早期甚至威脅出現(xiàn)之前形成可防御的能力��,但這些能力手段����,與我國龐大的網(wǎng)絡(luò)資產(chǎn)規(guī)模和用戶體量相比,還有賴于通過和產(chǎn)業(yè)�、用戶的進一步聯(lián)動更好的發(fā)揮作用,同時仍需要持續(xù)地與市場需求、商業(yè)規(guī)律結(jié)合以找到自身獨特的價值和生存空間���。
移動互聯(lián)網(wǎng)系統(tǒng)也正經(jīng)歷著快速發(fā)展���,網(wǎng)絡(luò)制式、操作系統(tǒng)在短短幾年間��,發(fā)生多次代際升級和版本更新�。沙盒、權(quán)限等安全機制的持續(xù)引入一定程度上對原有安全體系起到了增強作用���,但由于威脅方式和手段的復(fù)雜多樣���,種類繁多,很多原有威脅手段依然有效�,并進一步利用系統(tǒng)和網(wǎng)絡(luò)的新特性新功能進行自我演進,比如傳統(tǒng)惡作劇手段逐漸升級為勒索威脅����、0-day甚至N-day漏洞攻擊依然有效��。從系統(tǒng)層面看����,更多的還是依賴于更完善��、全面���、有效的整體安全規(guī)劃和體系建設(shè)。在這個過程中需要系統(tǒng)規(guī)劃和建設(shè)者與安全廠商密切協(xié)作����,在系統(tǒng)的設(shè)計、實踐中引入多種檢測�、防護、加固和阻斷等安全手段和機制�,在系統(tǒng)的使用中持續(xù)不斷進行檢測、阻斷和升級完善���。同時由于不同版本����、地域��、模式帶來的碎片化問題���,我們也在積極地通過歸一化和定制化相結(jié)合���、數(shù)據(jù)驅(qū)動和手段創(chuàng)新相適應(yīng)的理念完善系統(tǒng)安全手段�。
移動設(shè)備與傳統(tǒng)設(shè)備的一個關(guān)鍵的不同是信息承載的類型和價值——移動設(shè)備上有著與人更直接關(guān)聯(lián)的數(shù)據(jù)信息���。在互聯(lián)網(wǎng)����、通信網(wǎng)�、物聯(lián)網(wǎng)甚至工控網(wǎng)不斷連接和融合的時代,不論是移動設(shè)備��、移動系統(tǒng)����、移動應(yīng)用中對個人信息的泄漏,還是來自個人PC��、企業(yè)組織內(nèi)部信息系統(tǒng)��、互聯(lián)網(wǎng)服務(wù)信息等渠道的個人信息泄漏����,這些數(shù)據(jù)和信息流最終都有可能經(jīng)由黑色產(chǎn)業(yè)鏈對移動安全中的個人和組織造成威脅。因此對移動安全而言���,進一步加強信息流中的安全監(jiān)管和防范非常必要�。通過對短信釣魚����、應(yīng)用隱私泄漏、網(wǎng)絡(luò)隱私泄漏��、電信詐騙等威脅檢測手段和管控制度的加強���,可以在移動終端這個信息流的最終環(huán)節(jié)起到有效的威脅防范作用�,這對個人隱私安全乃至移動APT防御都將大有裨益�。
移動安全體系的構(gòu)建離不開移動產(chǎn)業(yè)供應(yīng)鏈體系的協(xié)同。在供應(yīng)鏈的設(shè)計���、制造��、銷售���、使用、回收等各個過程中����,都有可能被引入安全威脅��。每個環(huán)節(jié)被引入的安全威脅既有可能造成自身的安全損失�,也有可能進一步造成其他環(huán)節(jié)的安全損失�。因此通過芯片、設(shè)備����、系統(tǒng)、應(yīng)用����、服務(wù)、網(wǎng)絡(luò)等供應(yīng)鏈中的各個環(huán)節(jié)加強安全手段����,一方面可以有效對抗自身環(huán)節(jié)面對的安全威脅,另一方面也可以對其他環(huán)節(jié)的安全威脅起到防范作用���。從威脅防護來看����,安全廠商應(yīng)該積極參與供應(yīng)鏈的防護���,為供應(yīng)鏈中不同層次不同角色廠商提供基于威脅特性的針對性防護方案��。針對芯片�、系統(tǒng)等應(yīng)該引入具有基礎(chǔ)防御作用的安全方案���,加強全局安全體系輻射作用����;針對服務(wù)��、網(wǎng)絡(luò)等關(guān)鍵信息基礎(chǔ)設(shè)施��,應(yīng)該加強對自身安全和信息流的防護����,提供穩(wěn)定安全的基礎(chǔ)服務(wù)體系;針對應(yīng)用�、個人等,應(yīng)該面向更具象的威脅提供檢測和防護能力�;通過不同環(huán)節(jié)的安全協(xié)作,增強整個供應(yīng)鏈體系及其全生命周期的安全性����,提升移動生態(tài)體系安全。
由于安全威脅的復(fù)雜性����,安全體系建設(shè)的艱巨性����,這份報告中的部分觀點可能并不成熟����,但我們會持續(xù)在移動安全領(lǐng)域耕耘,為更加安全的移動安全環(huán)境貢獻自己的力量�。在這個過程中,我們不僅會堅持對關(guān)鍵���、基礎(chǔ)����、共性�、領(lǐng)先技術(shù)手段的持續(xù)創(chuàng)新,也會更加積極的開展產(chǎn)業(yè)協(xié)作���,同信息流和供應(yīng)鏈中的所有角色一起建設(shè)更加完善的移動安全體系�。
通過這些協(xié)作���,我們堅信領(lǐng)先的安全技術(shù)能夠轉(zhuǎn)化為堅實的用戶安全價值����。我們將為用戶提供更加有效的安全威脅情報,幫助用戶掌握和感知威脅態(tài)勢����,同時為用戶提供更加精準的安全解決方案�,用領(lǐng)先的移動威脅檢測和安全防護產(chǎn)品和服務(wù),保護更多的用戶���。
7 典型的移動威脅事件時間軸
圖 26 2016典型的移動威脅事件表
[1] 提權(quán)廣告件PermAd分析報告http://blog.avlyun.com/?p=2228
[2] 利用社會工程學(xué)繞過Android安全機制的銀行木馬https://securelist.com/blog/mobile/75971/banking-trojan-gugi-evolves-to-bypass-android-6-protection/
[3] Android Doze機制與木馬的繞過方式http://bobao.#/learning/detail/3328.html
[4] 2015年電信詐騙損失高達222億 打擊犯罪需要各方合力http://science.china.com.cn/2016-10/03/content_9070699.htm
[5] 病毒四度升級:安天AVL Team揭露一例跨期兩年的電信詐騙進化史http://blog.avlsec.com/?p=4248
[6] 騰訊移動安全實驗室2016年第三季度手機安全報告http://slab.qq.com/news/authority/1520.html
[7] DressCode以手機終端作為跳板實現(xiàn)對企業(yè)內(nèi)網(wǎng)滲透http://blog.trendmicro.com/trendlabs-security-intelligence/dresscode-potential-impact-enterprises/
[8] switcher對移動終端通過Wi-Fi接入的路由器進行暴力破解登錄并實現(xiàn)流量劫持https://securelist.com/blog/mobile/76969/switcher-android-joins-the-attack-the-router-club/
[9] 圖片來源:Switcher攻擊流程圖https://securelist.com/blog/mobile/76969/switcher-android-joins-the-attack-the-router-club/
[10] 首個移動終端上的針對性攻擊事件https://securelist.com/blog/incidents/35552/android-trojan-found-in-targeted-attack-58/
[11] 針對印度軍方的“OperationC-Major”行動http://blog.trendmicro.com/trendlabs-security-intelligence/operation-c-major-actors-also-used-android-blackberry-mobile-spyware-targets/
[12] 針對iOS設(shè)備的APT攻擊https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/
[13] Android銀行木馬GM Bot源碼已泄露����,可免費在線下載http://bobao.#/news/detail/2846.html
[14] 針對移動銀行和金融支付的持續(xù)黑產(chǎn)行動披露http://blog.avlsec.com/2016/04/3006/darkmobilebank/
[15] Flocker移動勒索軟件感染智能電視http://blog.trendmicro.com/trendlabs-security-intelligence/flocker-ransomware-crosses-smart-tv/
[16] 第一個利用AppleDRM設(shè)計漏洞的iOS木馬http://researchcenter.paloaltonetworks.com/2016/03/acedeceiver-first-ios-trojan-exploiting-apple-drm-design-flaws-to-infect-any-ios-device/
[17] 2016年iOS公開可利用漏洞總結(jié)https://jaq.alibaba.com/community/art/show?articleid=687
[18] 第三方公司解鎖iPhonehttp://thehackernews.com/2016/03/unlock-terrorist-iPhone.html
[19] AVTEST官網(wǎng)https://www.av-test.org/en/antivirus/mobile-devices/android/
[20] 百腦蟲”手機病毒分析報告http://blogs.#/360mobile/2016/01/06/analysis_of_bainaochong/
[21] 手機游戲之殤:被仿冒的不只是Pokemon Gohttp://blog.avlsec.com/2016/07/3381/pokemon-go/
[22] 臟牛漏洞https://dirtycow.ninja/
[23] Drammer漏洞https://www.vusec.net/projects/drammer/
[24] 韓監(jiān)管機構(gòu)認可Note 7爆炸原因 都是電池惹的禍
http://tech.sina.com.cn/t/2017-02-06/doc-ifyafcyw0422049.shtml
[25] 擁有300萬安裝量的應(yīng)用是如何惡意推廣刷榜的����?http://jaq.alibaba.com/community/art/show?spm=a313e.7916646.25000002.3.yG54pv&articleid=408
[26] 騰訊手機管家查獲5款病毒刷單APPhttps://m.qq.com/security_lab/news_detail_382.html
附錄二:關(guān)于安天移動安全
安天移動安全公司成立于2010年,是安天實驗室旗下專注于移動互聯(lián)網(wǎng)安全技術(shù)與安全產(chǎn)品研發(fā)的企業(yè)�,旨在為全球移動終端用戶和廠商提供專業(yè)的安全防護能力和解決方案。
安天移動安全公司核心產(chǎn)品體系為AVL Inside移動反病毒引擎和AVLInsight移動威脅情報平臺����。AVL Inside移動反病毒引擎曾以年度最高平均檢出率榮獲國際權(quán)威測評機構(gòu)AV-TEST頒發(fā)的“移動設(shè)備最佳防護”獎項,實現(xiàn)中國安全廠商在全球頂級安全測評領(lǐng)域重量級獎項零的突破����。AVLInsight是國內(nèi)首個移動威脅情報平臺�,主要用于呈現(xiàn)移動威脅的高價值情報信息��,通過對移動威脅的全面感知能力和快速分析響應(yīng)能力���,提供對抗移動威脅的預(yù)警和處置策略�。
安天移動安全公司與國家互聯(lián)網(wǎng)應(yīng)急中心和泰爾終端實驗室進行合作����,為國家監(jiān)管部門提供技術(shù)支撐;與OPPO�、VIVO、小米MIUI��、金立�、阿里YunOS、步步高��、努比亞���、樂視���、獵豹��、LBE��、安卓清理大師�、AMC等國內(nèi)外近百家知名廠商建立合作���,為全球超過6億終端用戶保駕護航����。
更多信息詳見公司官網(wǎng):www.avlsec.com
附錄三:關(guān)于安天
安天從反病毒引擎研發(fā)團隊起步���,目前已發(fā)展成為以安天實驗室為總部,以企業(yè)安全公司��、移動安全公司為兩翼的集團化安全企業(yè)����。安天始終堅持以安全保障用戶價值為企業(yè)信仰,崇尚自主研發(fā)創(chuàng)新��,在安全檢測引擎����、移動安全�、網(wǎng)絡(luò)協(xié)議分析還原���、動態(tài)分析��、終端防護�、虛擬化安全等方面形成了全能力鏈布局��。安天的監(jiān)控預(yù)警能力覆蓋全國�、產(chǎn)品與服務(wù)輻射多個國家。安天將大數(shù)據(jù)分析��、安全可視化等方面的技術(shù)與產(chǎn)品體系有效結(jié)合���,以海量樣本自動化分析平臺延展工程師團隊作業(yè)能力����、縮短產(chǎn)品響應(yīng)周期�。結(jié)合多年積累的海量安全威脅知識庫,綜合應(yīng)用大數(shù)據(jù)分析�、安全可視化等方面經(jīng)驗,推出了應(yīng)對高級持續(xù)性威脅(APT)和面向大規(guī)模網(wǎng)絡(luò)與關(guān)鍵基礎(chǔ)設(shè)施的態(tài)勢感知與監(jiān)控預(yù)警解決方案���。
全球近百家的著名安全廠商���、IT廠商選擇安天作為檢測能力合作伙伴���,安天的反病毒引擎得以為全球近十萬臺網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備、超過六億部手機提供安全防護����。安天移動檢測引擎是全球首個獲得AV-TEST年度獎項的中國產(chǎn)品。
安天技術(shù)實力得到行業(yè)管理機構(gòu)�、客戶和伙伴的認可,安天已連續(xù)四屆蟬聯(lián)國家級安全應(yīng)急支撐單位資質(zhì)���,亦是中國國家信息安全漏洞庫六家首批一級支撐單位之一�。
安天是中國應(yīng)急響應(yīng)體系中重要的企業(yè)節(jié)點���,在紅色代碼、口令蠕蟲����、震網(wǎng)、破殼����、沙蟲����、方程式等重大安全事件中���,安天提供了先發(fā)預(yù)警�、深度分析或系統(tǒng)的解決方案����。
*本文作者:AVLTeam,轉(zhuǎn)載請注明來源:http://blog.avlsec.com/?p=4474
