信息來源：E安全

《阿里聚安全2016年報(bào)》發(fā)布，本報(bào)告重點(diǎn)聚焦在2016年阿里聚安全所關(guān)注的移動(dòng)安全及數(shù)據(jù)風(fēng)控上呈現(xiàn)出來的安全風(fēng)險(xiǎn)，在移動(dòng)安全方面重點(diǎn)分析了病毒、仿冒、漏洞三部分，幫助用戶了解業(yè)務(wù)安全端安全方面應(yīng)該注意的風(fēng)險(xiǎn)，之后會(huì)描述阿里聚安全在業(yè)務(wù)安全防控方面做的一些努力和觀點(diǎn)，幫助企業(yè)在建設(shè)互聯(lián)網(wǎng)業(yè)務(wù)安全時(shí)，考慮安全策略和防護(hù)應(yīng)該往哪部分傾斜。
我們正處于一個(gè)科技創(chuàng)新涌現(xiàn)的時(shí)代，溝通、協(xié)作及業(yè)務(wù)模式的變革速度變得十分驚人，在傳統(tǒng)企業(yè)進(jìn)入邊界模糊、用戶海量、終端不可控的互聯(lián)網(wǎng)業(yè)務(wù)時(shí)，傳統(tǒng)的安全邊界防護(hù)策略已經(jīng)不再是有效的方法，原來依賴的安全控制效果已經(jīng)大大降低。作為專注于互聯(lián)網(wǎng)業(yè)務(wù)安全的阿里聚安全，正以新的安全模型全面著保護(hù)互聯(lián)網(wǎng)企業(yè)用戶。本報(bào)告重點(diǎn)聚焦在2016年阿里聚安全所關(guān)注的移動(dòng)安全及數(shù)據(jù)風(fēng)控上呈現(xiàn)出來的安全風(fēng)險(xiǎn)，在移動(dòng)安全方面重點(diǎn)分析了病毒、仿冒、漏洞三部分，幫助用戶了解業(yè)務(wù)安全端安全方面應(yīng)該注意的風(fēng)險(xiǎn)，之后會(huì)描述阿里聚安全在業(yè)務(wù)安全防控方面做的一些努力和觀點(diǎn)，幫助企業(yè)在建設(shè)互聯(lián)網(wǎng)業(yè)務(wù)安全時(shí)，考慮安全策略和防護(hù)應(yīng)該往哪部分傾斜。

內(nèi)容摘要：

• 2016年阿里聚安全先達(dá)到一個(gè)小目標(biāo)，比如查殺病毒1個(gè)億

• 每天新增近9000個(gè)新移動(dòng)病毒樣本，每10秒生成1個(gè)

• 廣東省仍舊是用戶感染病毒最多的省份

• Android用戶面臨以往最大的風(fēng)險(xiǎn)

• 釣魚詐騙木馬使Android用戶資金受損最大

• 移動(dòng)安全時(shí)代雙因素認(rèn)證不再安全

• 真正威脅企業(yè)安全的高級(jí)移動(dòng)病毒出現(xiàn)——DressCode惡意代碼

• Android病毒展現(xiàn)更多面的惡意行為

• Android病毒攻擊呈現(xiàn)出更隱秘的特性

• 89%的熱門應(yīng)用存在仿冒

• 移動(dòng)病毒和仿冒相輔相成，廣東省兩者都占首

• 社交行業(yè)仿冒應(yīng)用量最高，但游戲和影音的傳播性更強(qiáng)

• 盜版軟件、短信劫持、流氓行為、惡意扣費(fèi)是仿冒應(yīng)用主要惡意行為

• 金融行業(yè)銀行類仿冒居多，某銀行仿冒應(yīng)用全部具有短信劫持行為

• 游戲行業(yè)仿冒應(yīng)用分析

• 阿里聚安全移動(dòng)安全掃描器創(chuàng)新迭代快速，幫助企業(yè)提高前置安全感知能力

• 18個(gè)行業(yè)的Top10應(yīng)用中98%的應(yīng)用都存在漏洞，但Webview遠(yuǎn)程執(zhí)行代碼漏洞迅速下降

• 逐利是黑產(chǎn)本性，游戲行業(yè)漏洞上升較快

• 安全閉環(huán)的Apple生態(tài)系統(tǒng)比Android系統(tǒng)表現(xiàn)出更安全的態(tài)勢(shì)

• 可能永遠(yuǎn)不會(huì)修復(fù)的漏洞影響9億安卓用戶

• 折斷的翅膀——WLAN芯片引入大量提權(quán)漏洞

• 對(duì)于移動(dòng)安全漏洞，企業(yè)需要更多關(guān)注NDAY漏洞

• 只要接入網(wǎng)絡(luò)就可能被攻擊

• 與操作系統(tǒng)和軟件無關(guān)的硬件漏洞攻擊出現(xiàn)—— Drammer

• PEGASUS——三叉戟攻擊鏈，最復(fù)雜精密的iOS APT攻擊

• iOS可公開利用的漏洞持續(xù)披露用戶面臨更大風(fēng)險(xiǎn)

• 互聯(lián)網(wǎng)業(yè)務(wù)風(fēng)控或?qū)⒊蔀橄乱粋€(gè)風(fēng)口

• 羊毛黨、黃牛黨在2016年成為互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展過程中最大的毒瘤

• 在干草堆里撈針，數(shù)據(jù)、算法、算力為王

• 自動(dòng)注冊(cè)為王，細(xì)化防御才能精確打擊

• 暗號(hào)諜戰(zhàn)——滑動(dòng)驗(yàn)證的混淆加密切換

• 2016年移動(dòng)欺詐損失超數(shù)億美金

• 大規(guī)模圖搜索和實(shí)時(shí)計(jì)算成為風(fēng)控系統(tǒng)核心競(jìng)爭(zhēng)力

• 快速接入與快速自動(dòng)響應(yīng)是營銷反作弊系統(tǒng)重要指標(biāo)

• 創(chuàng)造縱深的有適應(yīng)力的數(shù)字化業(yè)務(wù)系統(tǒng)

    Android平臺(tái)約10臺(tái)設(shè)備中就有1臺(tái)染毒，設(shè)備感染率達(dá)10%

    2016年度，Android平臺(tái)約10臺(tái)設(shè)備中就有1臺(tái)染毒，設(shè)備感染率達(dá)10%，阿里聚安全病毒掃描引擎共查殺病毒1.2億，病毒木馬的查殺幫助用戶抵御了大量的潛在風(fēng)險(xiǎn)。

   

    每天新增近9000個(gè)新移動(dòng)病毒樣本，每10秒生成1個(gè)

    阿里聚安全移動(dòng)病毒樣本庫2016年新增病毒樣本達(dá)3284524個(gè)，平均每天新增9000個(gè)樣本，這相當(dāng)于每10秒生成一個(gè)病毒樣本。我們也看到在9月份后病毒樣本有比較明顯的增加趨勢(shì)。雖然原生Android系統(tǒng)的安全性越來越高，但移動(dòng)病毒利用多種手法如重打包知名應(yīng)用、偽裝成生活類、色情類應(yīng)用等傳播，在每天新增如此多病毒的惡意環(huán)境下，Android用戶必須時(shí)刻警惕在官方場(chǎng)合下載應(yīng)用。

   

    2016年，我們發(fā)現(xiàn)“惡意扣費(fèi)”類在病毒樣本量占比最高，達(dá)72%。該類病毒應(yīng)用未經(jīng)用戶允許私自發(fā)送短信和扣費(fèi)指令，對(duì)用戶手機(jī)的資費(fèi)造成一定風(fēng)險(xiǎn)，而在客戶端檢測(cè)到樣本的“流氓行為”占比最高，“惡意扣費(fèi)”其次。

   

   

    對(duì)比客戶端病毒樣本和樣本庫類型，雖然“惡意扣費(fèi)”的樣本數(shù)非常龐大，但在客戶端感染的數(shù)量已經(jīng)成反比，這是因?yàn)閲抑蒯槍?duì)影響范圍大、安全風(fēng)險(xiǎn)較高的移動(dòng)互聯(lián)網(wǎng)惡意程序進(jìn)行專項(xiàng)治理，“惡意扣費(fèi)”類惡意程序治理效果顯著，而“流氓行為”、“隱私竊取”、“短信劫持”及“誘騙欺詐”類病毒還是以較少的樣本數(shù)占領(lǐng)了大多數(shù)客戶端，尤其是黑產(chǎn)用于詐騙的“短信劫持”和“誘騙欺詐” 病毒基本是以1：10的比率影響用戶端。此外干擾用戶正常使用軟件，影響用戶體驗(yàn)，隨意添加廣告書簽、廣告快捷方式或鎖屏等行為的“流氓行為”類病毒也占據(jù)大量用戶客戶端，此類病毒一般用于惡意廣告推廣為主。

   

    89%的熱門應(yīng)用存在仿冒

    從16個(gè)行業(yè)分類分別選取了15個(gè)熱門應(yīng)用，共240個(gè)應(yīng)用進(jìn)行仿冒分析，發(fā)現(xiàn)89%的熱門應(yīng)用存在仿冒，總仿冒量高達(dá)12859個(gè)，平均每個(gè)應(yīng)用的仿冒量達(dá)54個(gè)，總感染設(shè)備量達(dá)2374萬臺(tái)。3月份的仿冒應(yīng)用量大幅下降，符合黑灰產(chǎn)在春節(jié)假期前后的活動(dòng)較少的規(guī)律。

   

   

   

    金融行業(yè)銀行類仿冒居多,某銀行仿冒應(yīng)用全部具有短信劫持行為

    金融行業(yè)選取銀行、錢包和理財(cái)3個(gè)子分類,分別選取10個(gè)熱門應(yīng)用進(jìn)行分析,共發(fā)現(xiàn)仿冒應(yīng)用407個(gè)。銀行類仿冒應(yīng)用占53%,錢包類 仿冒應(yīng)用占36%,理財(cái)類仿冒應(yīng)用占11%。

    2016年金融行業(yè)仿冒應(yīng)用分布情況

   

     

    在本次分析中,某銀行共發(fā)現(xiàn)30個(gè)仿冒應(yīng)用,全部具有短信劫持行為,感染設(shè)備量為33863臺(tái),感染用戶主要分布在廣東、北京和江蘇等 省份。

    阿里聚安全移動(dòng)安全掃描器創(chuàng)新迭代快速，幫助企業(yè)提高前置安全感知能力

    阿里聚安全移動(dòng)安全掃描器2016 年全年成功提供的掃描服務(wù)305909 次， 平均每天提供的服務(wù)838次， 檢測(cè)漏洞數(shù)量達(dá)17698883個(gè)，全年所有掃描的App中有殼的App占比16.54%，產(chǎn)品迭代發(fā)布次數(shù)21次，新增規(guī)則16條。其中啟發(fā)式規(guī)則掃描可檢測(cè)外部可控?cái)?shù)據(jù)對(duì)應(yīng)用內(nèi)部邏輯的影響， 掃描器能夠根據(jù)socket、網(wǎng)絡(luò)、intent傳入的數(shù)據(jù)，進(jìn)行各種判斷，進(jìn)而判斷是否存在可以被惡意用戶使用的漏洞，涵蓋了網(wǎng)絡(luò)釣魚、外部操作系統(tǒng)文件、命令執(zhí)行、反射操作、啟動(dòng)私有組件（ activity 、service等）等各種類型的漏洞。此外，新增的拒絕服務(wù)掃描規(guī)則還可支持掃描動(dòng)態(tài)注冊(cè)的組件是否能夠引起拒絕服務(wù)漏洞。

    18個(gè)行業(yè)的Top10應(yīng)用中98%的應(yīng)用都存在漏洞，但Webview遠(yuǎn)程執(zhí)行代碼漏洞迅速下降

    為分析移動(dòng)應(yīng)用各行業(yè)的漏洞情況，我們?cè)诘谌綉?yīng)用市場(chǎng)分別下載了18個(gè)行業(yè)的Top10應(yīng)用共計(jì)180個(gè)，使用阿里聚安全漏洞掃描引擎對(duì)這批樣本進(jìn)行漏洞掃描。18個(gè)行業(yè)的Top10應(yīng)用中，98%的應(yīng)用都有漏洞，總漏洞量14798個(gè)，平均每個(gè)應(yīng)用有82個(gè)漏洞。旅游、游戲、影音、社交類產(chǎn)品漏洞數(shù)量靠前。但是高危漏洞占比最高的依次是辦公類、工具類、游戲類和金融類。企業(yè)在移動(dòng)數(shù)據(jù)化進(jìn)程過程中更需注意員工在使用這些行業(yè)APP時(shí)的安全威脅。

   

   

    其中漏洞類型主要集成中“拒絕服務(wù)”、“Webview明文存儲(chǔ)密碼”、“密鑰硬編碼風(fēng)險(xiǎn)”及“AES/DES弱加密風(fēng)險(xiǎn)”中，“密鑰硬編碼風(fēng)險(xiǎn)”和“AES/DES弱加密風(fēng)險(xiǎn)” 漏洞會(huì)讓基于密碼學(xué)的信息安全基礎(chǔ)瓦解，因?yàn)槌Ｓ玫拿艽a學(xué)算法都是公開的，加密內(nèi)容的保密依靠的是密鑰的保密，密鑰如果泄露，對(duì)于對(duì)稱密碼算法，根據(jù)用到的密鑰算法和加密后的密文，很容易得到加密前的明文；對(duì)于非對(duì)稱密碼算法或者簽名算法，根據(jù)密鑰和要加密的明文，很容易獲得計(jì)算出簽名值，從而偽造簽名。

    這里建議企業(yè)用戶在開發(fā)App過程中，通過阿里聚安全的漏洞掃描來檢測(cè)應(yīng)用是否具有密鑰硬編碼風(fēng)險(xiǎn)，使用阿里聚安全的安全組件中的安全加密功能保護(hù)開發(fā)者密鑰與加密算法實(shí)現(xiàn)，保證密鑰的安全性，實(shí)現(xiàn)安全的加解密操作及安全簽名功能。

   

     

    最復(fù)雜老道的iOS APT攻擊出現(xiàn)

    PEGASUS——三叉戟攻擊鏈 是在對(duì)阿聯(lián)酋的一位人權(quán)活動(dòng)家進(jìn)行APT攻擊的時(shí)候被發(fā)現(xiàn)。整個(gè)攻擊鏈由三個(gè)漏洞組成:JS遠(yuǎn)程代碼執(zhí)行(CVE-2016- 4657),內(nèi)核信息泄露(CVE-2016-4655),內(nèi)核UAF代碼執(zhí)行(CVE-2016-4656)。

    利用該攻擊鏈可以做到iOS上的遠(yuǎn)程完美越獄,完全竊取Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, Wechat SS, Tango等應(yīng)用的敏感信息。PEGASUS可以說是近幾年來影響最大iOS漏洞之一,也是我們認(rèn)為最復(fù)雜和穩(wěn)定的針 對(duì)移動(dòng)設(shè)備APT攻擊,可以認(rèn)為是移動(dòng)設(shè)備攻擊里程碑。利用移動(dòng)設(shè)備集長(zhǎng)連接的Wi-Fi,3G/4G,語音通信,攝像頭,Email,即時(shí)消 息,GPS,密碼,聯(lián)系人與一身的特性,針對(duì)移動(dòng)設(shè)備的APT攻擊會(huì)越來越多。

   

    羊毛黨、黃牛黨在2016年成為互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展過程中最大的毒瘤

    2016年在各種互聯(lián)網(wǎng)業(yè)務(wù)活動(dòng)中，羊毛黨、黃牛黨繼續(xù)盛行，各種沒有安全防控的紅包/優(yōu)惠券促銷活動(dòng)，會(huì)被羊毛黨以機(jī)器/小號(hào)等各種手段搶到手，基本70%~80%的促銷優(yōu)惠會(huì)被羊毛黨薅走，導(dǎo)致商家和平臺(tái)的促銷優(yōu)惠最終進(jìn)入了羊毛黨的口袋。黃牛黨能夠利用機(jī)器下單、人肉搶單，將大優(yōu)惠讓利產(chǎn)品瞬間搶到手，然后高價(jià)格售出賺取差價(jià)。大規(guī)模的批量機(jī)器下單，還會(huì)對(duì)網(wǎng)站的流量帶來壓力，產(chǎn)生類似DDOS攻擊，甚至能夠造成網(wǎng)站癱瘓。此外使用簡(jiǎn)單維度的密碼驗(yàn)證手法已經(jīng)演變成使用復(fù)雜機(jī)器人猜測(cè)密碼的技術(shù)，來逃避簡(jiǎn)單的策略防御。企業(yè)需要更多維度、指標(biāo)，使用更復(fù)雜的規(guī)則、模型進(jìn)行防御。

   

    人機(jī)對(duì)抗-滑動(dòng)驗(yàn)證碼作為對(duì)抗黑產(chǎn)的重要手段

    滑動(dòng)驗(yàn)證碼作為對(duì)抗人機(jī)黑產(chǎn)的重要手段，對(duì)篩查出來的“灰黑用戶”需要進(jìn)一步精細(xì)判斷。進(jìn)化的滑動(dòng)驗(yàn)證碼已經(jīng)不再基于知識(shí)進(jìn)行人機(jī)判斷，而是基于人類固有的生物特征以及操作的環(huán)境信息綜合決策，來判斷是人類還是機(jī)器。并且不會(huì)打斷用戶操作，進(jìn)而提供更好的用戶體驗(yàn)。驗(yàn)證碼系統(tǒng)在對(duì)抗過程中，感知到風(fēng)險(xiǎn)，需要企業(yè)實(shí)時(shí)切換混淆和加密算法，極大提高黑產(chǎn)進(jìn)行破解的成本。

    阿里聚安全的人機(jī)識(shí)別系統(tǒng)，接口調(diào)用是億級(jí)別，而誤識(shí)別的數(shù)量只有個(gè)位數(shù)。除了誤識(shí)別，我們的技術(shù)難點(diǎn)還在于如何找出漏報(bào)。一般情況下，會(huì)對(duì)整體用戶流量的“大盤”進(jìn)行監(jiān)控，一旦監(jiān)測(cè)到注冊(cè)或登錄流量異常，我們的安全攻防技術(shù)專家就會(huì)緊急響應(yīng)。這種響應(yīng)速度是小時(shí)級(jí)別的。

    另外黑產(chǎn)通過刷庫撞庫也體現(xiàn)出業(yè)務(wù)時(shí)序的不同而不同。以2016年Q4為例，在雙十一之前，黑產(chǎn)主要精力用于各平臺(tái)的活動(dòng)作弊，而過了雙十一，刷庫撞庫風(fēng)險(xiǎn)就開始持續(xù)走高，穩(wěn)定占據(jù)了所有風(fēng)險(xiǎn)的一半以上。

     

   

     

    2016年移動(dòng)欺詐損失超數(shù)億美金

    目前移動(dòng)應(yīng)用通過資源換量、搜索平臺(tái)、廣告網(wǎng)絡(luò)及代理商、直接推廣及自然安裝等渠道來推廣和互動(dòng)。但推廣者發(fā)現(xiàn)投入的費(fèi)用反映的 推廣數(shù)據(jù)良好,但是沉淀到真是用戶卻表現(xiàn)非常不樂觀。大量的渠道欺詐使得移動(dòng)應(yīng)用推廣者損失巨大,根據(jù)某平臺(tái)分析,2016年移動(dòng)欺 詐金額已經(jīng)超數(shù)億美金。

    常用移動(dòng)欺詐通過機(jī)刷、模擬器、改機(jī)工具等手段作弊,如通過一鍵生成改機(jī)軟件修改手機(jī)硬件參數(shù)IMEI、MAC、藍(lán)牙地址等,偽造新手 機(jī)多次安裝激活A(yù)pp;通過腳本批量操作各種安卓模擬器如天天模擬器、海馬玩模擬器、夜神模擬器等,反復(fù)進(jìn)行機(jī)刷-App安裝-App激 活等操作。阿里聚安全使用穩(wěn)定的設(shè)備指紋技術(shù) + 大數(shù)據(jù)分析,能準(zhǔn)備識(shí)別各種作弊手段和作弊設(shè)備。為用戶節(jié)約推廣成本、時(shí)間成本、 開發(fā)成本,保障推廣者獲取真實(shí)的用戶數(shù)據(jù)為業(yè)務(wù)服務(wù)。

    創(chuàng)造縱深的有適應(yīng)力的數(shù)字化業(yè)務(wù)系統(tǒng)

    互聯(lián)網(wǎng)+或者企業(yè)在面對(duì)互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展過程中的安全威脅時(shí)，實(shí)施數(shù)字化業(yè)務(wù)系統(tǒng)適應(yīng)力所需的實(shí)踐，對(duì)傳統(tǒng)公司具有極大的挑戰(zhàn)，在面對(duì)各種業(yè)務(wù)部門參與、協(xié)作的過程中，需要區(qū)分業(yè)務(wù)風(fēng)險(xiǎn)優(yōu)先級(jí)，關(guān)注縱深防御節(jié)點(diǎn)，做出平衡業(yè)務(wù)的取舍，才能使業(yè)務(wù)安全部門更敏捷，更具有彈性。阿里聚安全幫助企業(yè)評(píng)估業(yè)務(wù)安全資產(chǎn)與風(fēng)險(xiǎn)優(yōu)先級(jí)，使用縱深防御保護(hù)關(guān)鍵價(jià)值鏈上重要節(jié)點(diǎn)的安全，在實(shí)踐中為業(yè)務(wù)提供針對(duì)性的保護(hù)。

    阿里聚安全作為提供互聯(lián)網(wǎng)業(yè)務(wù)解決方案的領(lǐng)先者，能力涉及移動(dòng)安全、內(nèi)容安全、數(shù)據(jù)風(fēng)控、實(shí)人認(rèn)證等多個(gè)緯度。其中內(nèi)容安全包括智能鑒黃、文本過濾、圖文識(shí)別等，移動(dòng)安全包括漏洞掃描、應(yīng)用加固、安全組件、仿冒監(jiān)測(cè)等，數(shù)據(jù)風(fēng)控包括安全驗(yàn)證、風(fēng)險(xiǎn)識(shí)別等，實(shí)人認(rèn)證包括身份造假和冒用的識(shí)別。

    目前阿里聚安全已經(jīng)有超過8億多終端，使互聯(lián)網(wǎng)企業(yè)享受到淘寶、天貓、支付寶的“同款”安全防護(hù)技術(shù)，保護(hù)互聯(lián)網(wǎng)企業(yè)的業(yè)務(wù)安全。

   

    編寫：迅迪、凝瓊@阿里聚安全

    《阿里聚安全 2016 年報(bào)》完整PDF版本下載，請(qǐng)點(diǎn)擊這里