2016年移動安全年報(bào):威脅的全面遷徙

責(zé)任編輯:editor005

作者:Martin

2017-03-12 21:17:35

摘自:安全牛

安天從2005年開始,每年年初公布年報(bào),對上一年度網(wǎng)絡(luò)威脅狀況進(jìn)行總結(jié),對威脅演進(jìn)趨勢做出預(yù)測。DNS劫持流程圖  從前文案例可以看出,移動威脅也正在從個人向企業(yè)組織遷移,值得企業(yè)安全管理人員關(guān)注和預(yù)警。

一、序言

安天從2005年開始,每年年初公布年報(bào),對上一年度網(wǎng)絡(luò)威脅狀況進(jìn)行總結(jié),對威脅演進(jìn)趨勢做出預(yù)測。早期安天威脅年報(bào)以后臺病毒樣本捕獲分析系統(tǒng)的數(shù)據(jù)統(tǒng)計(jì)為主要支撐。而后我們放棄了羅列數(shù)據(jù)的風(fēng)格,走向觀點(diǎn)型年報(bào),并分成“基礎(chǔ)威脅年報(bào)”和“移動安全年報(bào)”發(fā)布。安天移動安全團(tuán)隊(duì)2016年度報(bào)告以“威脅的全面遷徙”為主題,以觀點(diǎn)的方式來組織內(nèi)容,用威脅的概念表達(dá)歸納安全事態(tài)的現(xiàn)象和趨勢,并新增“反思”和“應(yīng)對”兩個版塊,探尋觀點(diǎn)和現(xiàn)象背后的原因,提出應(yīng)對建議。我們希望通過這份年度報(bào)告,向移動安全行業(yè)從業(yè)者、移動互聯(lián)網(wǎng)相關(guān)企業(yè)以及大眾用戶分享和傳達(dá)我們的所見、所為及所思。同時這也是安天“移動安全年報(bào)”第一次先于“基礎(chǔ)威脅年報(bào)”公開,本年度的安天“基礎(chǔ)威脅年報(bào)”承載了更多相對系統(tǒng)而沉重的思考,歷經(jīng)了多個版本的修改,將于稍后發(fā)布。

2016年,安天移動安全團(tuán)隊(duì)面對嚴(yán)峻的移動安全對抗形勢,堅(jiān)持以對抗新興惡意威脅為己任,砥礪前行。安天移動安全團(tuán)隊(duì)研發(fā)的移動反病毒引擎(AVL SDK for mobile)防護(hù)的手機(jī)終端,從年初的兩億部已經(jīng)發(fā)展到年底超過六億部,安天移動安全團(tuán)隊(duì)為手機(jī)廠商提供了AVL Inside解決方案,包括了惡意代碼檢測防護(hù)、Wi-Fi安全、URL安全性檢測、支付安全、漏洞跟蹤修補(bǔ)等體系化的安全模塊。安天移動安全團(tuán)隊(duì)堅(jiān)持“安全技術(shù)必須服務(wù)客戶安全價值”的原則,拒絕互聯(lián)網(wǎng)變現(xiàn)方式。加強(qiáng)和推動更廣闊的產(chǎn)業(yè)鏈協(xié)作,以移動終端安全為起點(diǎn),將防護(hù)邊界延展包括到移動應(yīng)用商店、APP安全鑒定等在內(nèi)的整個產(chǎn)業(yè)鏈全程體系中去。安天移動安全團(tuán)隊(duì)以國內(nèi)首個移動威脅情報(bào)平臺“AVL Insight”為不同行業(yè)提供威脅告知、趨勢預(yù)測、針對性木馬深度分析等安全服務(wù),AVL Insight移動威脅情報(bào)平臺旨在提高銀行、政府等大型機(jī)構(gòu)對威脅事件的感知、預(yù)警、分析、取證、響應(yīng)和處置能力,以達(dá)到降低IT安全成本,提高資產(chǎn)和信息安全保障的最終目的。

在這些安全實(shí)踐中,我們不斷調(diào)整自身的視角,加深對威脅的認(rèn)知和理解。在2015年年報(bào)中我們意識到了移動威脅多元化的跡象,因此使用移動威脅全面泛化作為全年的核心觀點(diǎn),這一觀點(diǎn)同樣延續(xù)到2016年,而且不僅僅是泛化而是全面的遷徙和大密度的出現(xiàn)。這也是我們2016年的主題“威脅的全面遷徙”的由來,在背后我們看到的是整個威脅戰(zhàn)場和重心的持續(xù)發(fā)酵和轉(zhuǎn)化的慣性已然成形。與此同時,2016年的移動威脅呈現(xiàn)出了一些新特點(diǎn):伴隨移動的快速發(fā)展,企業(yè)和組織逐漸引入移動辦公和移動政務(wù),終端數(shù)據(jù)的商業(yè)價值日益凸顯,移動威脅正在從個人向企業(yè)組織遷移;針對移動終端的APT攻擊也將隨之高發(fā);伴隨移動云服務(wù)等新興技術(shù)模式的興起,業(yè)務(wù)欺詐類的安全問題也開始成為移動安全的關(guān)注點(diǎn);從技術(shù)演進(jìn)上看,Root型惡意代碼、勒索軟件、色情應(yīng)用等也在進(jìn)行快速的技術(shù)演進(jìn),給技術(shù)對抗帶來了新的挑戰(zhàn);Android系統(tǒng)需扮演攻防的主要戰(zhàn)場,同時iOS、嵌入式Linux以及各種IoT設(shè)備也出現(xiàn)新的威脅趨勢和特點(diǎn),增加了移動威脅全局對抗的深度和戰(zhàn)線的廣度。

二、觀點(diǎn)和現(xiàn)象

1. 移動威脅規(guī)模保持穩(wěn)定增長

2016年移動威脅依然嚴(yán)峻,嚴(yán)重困擾著每個移動用戶的資產(chǎn)和數(shù)據(jù)安全。移動惡意代碼作為重要的移動威脅手段,經(jīng)過近幾年的迅猛發(fā)展在技術(shù)手段上已趨近成熟,并保持著穩(wěn)定的增長。2016年,惡意代碼樣本總量在2015年總數(shù)的基礎(chǔ)上翻了一番,新增惡意代碼變種大幅增加,同比增長近40%。與2015年相比,移動威脅在新型惡意代碼的演變上保持平穩(wěn)的線性增長,既有的惡意代碼仍在持續(xù)的進(jìn)化與對抗。

2015年-2016年移動惡意代碼增長趨勢

2016年惡意代碼家族Top10排行中以色情應(yīng)用、流氓推送為代表的惡意家族所占比重較大,這表明惡意代碼開始轉(zhuǎn)向與其他傳統(tǒng)的灰色產(chǎn)業(yè)鏈結(jié)合的形式謀取利益和生存,由于這類應(yīng)用大多具有擦邊球行為,也給移動威脅的治理帶來了很大的附加成本和判定難度。

2016 年惡意代碼家族Top10

從惡意行為類型來看,2016年流氓行為類型的惡意代碼同比增長15%,占比高達(dá)57%,依然保持在第一位,是最值得關(guān)注的惡意行為。資費(fèi)消耗和惡意扣費(fèi)類型的惡意代碼數(shù)量依然較多,排位依然靠前,分列第二位和第三位,這與其能夠帶來直接的金錢收益有關(guān)。

2015年和2016惡意代碼行為分布圖

從上述數(shù)據(jù)統(tǒng)計(jì)可以看出,流氓行為的惡意代碼開始大量投入,不斷困擾著用戶;對用戶隱私竊取和誘騙欺詐的攻擊也開始加?。淮蟛糠忠苿踊ヂ?lián)網(wǎng)產(chǎn)業(yè)和普通用戶遭受的現(xiàn)實(shí)威脅仍然以大量高頻的弱威脅為主,這些威脅由于危害程度較弱,存在大量灰色空間,在數(shù)據(jù)統(tǒng)計(jì)中占據(jù)了絕對地位。此外,隨著地下產(chǎn)業(yè)鏈的發(fā)展,這類弱威脅所依托的“流量模式“或“個人隱私倒賣”的變現(xiàn)路徑逐漸完備,低投入高收益的盈利模式已經(jīng)形成,更進(jìn)一步地加劇了這類威脅,使其成為普遍現(xiàn)象。

2. 移動威脅技術(shù)持續(xù)進(jìn)化

2.1 攻擊者加強(qiáng)Root技術(shù)使用

2016年Root型惡意代碼家族變種數(shù)量增長迅速,新增Root型惡意代碼變種為73個,是2015年的3倍多。2016年Root型惡意代碼樣本數(shù)量Q1、Q2季度增長緩慢,Q3、Q4季度迅猛增長,僅Q3季度總量就超過了2015年全年Root型惡意代碼樣本數(shù)量的5倍,可見Root型惡意代碼在2016年進(jìn)入了一個爆發(fā)期。

2015年-2016年Root型惡意代碼樣本增長趨勢

2.2 攻擊者熱衷使用開源技術(shù)方案

2016年惡意代碼在技術(shù)實(shí)現(xiàn)上也得到了一定程度的進(jìn)化,出現(xiàn)了多例惡意利用開源技術(shù)方案來實(shí)現(xiàn)惡意攻擊的新型移動惡意代碼。被惡意利用的開源技術(shù)方案主要集中在“多開”、“熱補(bǔ)丁”和“插件”這3個技術(shù)領(lǐng)域。2016年出現(xiàn)的利用這類開源技術(shù)的移動威脅從家族和數(shù)量上來講不多,整體來看還屬于一個新型惡意攻擊形態(tài)的萌芽期。

利用開源技術(shù)方案惡意代碼案例

借助開源技術(shù)方案帶來的技術(shù)積累,不僅方便了惡意開發(fā)者制作攻擊武器,還能夠有效的逃避反病毒引擎的檢測;此外,還能夠有效地減少受害用戶對惡意程序的感知能力,起到更好的潛伏和攻擊效果,這也是攻擊者熱衷于使用這類開源技術(shù)方案的主要原因。

2.3 攻擊者利用社工欺詐手段繞過安全權(quán)限

2016年9月國外安全廠商“卡巴斯基”公開揭露了一款利用社會工程學(xué)的惡意代碼。該惡意代碼針對安全性較強(qiáng)的Android 6.0版本系統(tǒng)進(jìn)行攻擊,它通過頻繁彈出確認(rèn)權(quán)限請求窗口的方法強(qiáng)制繞過系統(tǒng)新增的應(yīng)用程序覆蓋權(quán)限和對危險應(yīng)用程序活動的動態(tài)權(quán)限請求的安全功能,導(dǎo)致用戶的手機(jī)陷入惡意代碼的控制中。在12月底,出現(xiàn)了偽裝成正常應(yīng)用Chrome,并通過發(fā)送Intent誘使用戶將其加入白名單這種欺騙手段繞過Doze機(jī)制的惡意應(yīng)用。

2016年移動惡意代碼新變種增長迅速,Root型惡意代碼無論從數(shù)量和功能上都呈現(xiàn)出較為迅猛的增長和進(jìn)化趨勢。使用開源解決方案的惡意代碼開始萌芽,惡意開發(fā)者對于繞過Android系統(tǒng)新增安全機(jī)制的進(jìn)一步嘗試等,這些真實(shí)存在的威脅案例從側(cè)面可以反映出移動威脅技術(shù)正在持續(xù)的進(jìn)化。

3. 電信詐騙高度體系化

2016年電信詐騙特別是詐騙電話犯罪持續(xù)高發(fā),媒體也公開披露過多起涉案金額巨大甚至致人死亡的電話詐騙案件。詐騙短信是電信詐騙當(dāng)中重要的威脅形態(tài)之一,也是移動惡意代碼進(jìn)入用戶手機(jī)中的重要入口。詐騙短信持續(xù)泛濫,偽基站是罪魁禍?zhǔn)?,?015年移動安全年報(bào)中提到的短信攔截馬威脅的攻擊模式在2016年依舊活躍,給受害用戶造成了巨大的財(cái)產(chǎn)損失。針對電信詐騙的權(quán)威數(shù)據(jù)顯示,2015年全國公安機(jī)關(guān)共立電信詐騙案件59萬起,同比上升32.5%,共造成經(jīng)濟(jì)損失222億元。下圖展示了四例常見詐騙短信示例。

詐騙短信示例

為提高詐騙的成功率,詐騙者需要搜集各方面的情報(bào)。網(wǎng)絡(luò)電信詐騙情報(bào)體系由三大塊組成:詐騙目標(biāo)相關(guān)情報(bào)、詐騙手法相關(guān)情報(bào)和資金相關(guān)情報(bào)。詐騙者通過黑市購買、網(wǎng)絡(luò)搜索、木馬回傳等手段對這些情報(bào)進(jìn)行搜集,然后進(jìn)行篩選、吸收,最后實(shí)施詐騙。移動相關(guān)的網(wǎng)絡(luò)電信詐騙已經(jīng)形成上下游產(chǎn)業(yè)鏈并且高度體系化,甚至分為了4類專業(yè)的團(tuán)伙以進(jìn)行密切的分工與協(xié)作,這在極大程度上助長了移動相關(guān)的詐騙泛濫成災(zāi)。

電信詐騙產(chǎn)業(yè)鏈

4. 移動威脅正從個人向企業(yè)組織遷移

除了大量的個人用戶遭受到移動威脅的侵蝕,由于企業(yè)對移動威脅的重視程度普遍不足,導(dǎo)致移動威脅造成的企業(yè)資產(chǎn)受損的事件近年有上升趨勢。其中具有代表性的威脅案例是2016年8月由國外安全廠商首先公開披露的惡意代碼“DressCode”,該病毒利用SOCKS代理反彈技術(shù)突破內(nèi)網(wǎng)防火墻限制,竊取內(nèi)網(wǎng)數(shù)據(jù),能夠以手機(jī)終端作為跳板實(shí)現(xiàn)對企業(yè)內(nèi)網(wǎng)的滲透(具體的攻擊流程如下圖所示)。“DressCode”惡意代碼的出現(xiàn)表明移動惡意代碼已經(jīng)具備對企業(yè)進(jìn)行滲透攻擊的能力。

DressCode攻擊流程圖

在另外一個場景中,則是通過篡改DNS實(shí)現(xiàn)對企業(yè)的滲透和攻擊,2016年底在移動平臺出現(xiàn)的“Switcher”惡意代碼家族能夠借助移動終端接入Wi-Fi對連入的路由器DNS服務(wù)進(jìn)行攻擊,惡意篡改DNS服務(wù)器地址從而實(shí)現(xiàn)受害用戶網(wǎng)絡(luò)流量劫持。從其整體的攻擊流程和目標(biāo)來看,移動威脅當(dāng)前已經(jīng)具備了對DNS這類網(wǎng)絡(luò)服務(wù)進(jìn)行惡意利用的能力。

DNS劫持流程圖

從前文案例可以看出,移動威脅也正在從個人向企業(yè)組織遷移,值得企業(yè)安全管理人員關(guān)注和預(yù)警。

5. 移動終端已成為APT的新戰(zhàn)場

截止到2016年末,公開揭露的針對移動終端的APT攻擊事件已有十幾例,其不僅針對Android平臺,也覆蓋了iOS、黑莓等其他智能平臺。2016年8月,在Pegasus間諜木馬攻擊一名阿聯(lián)酋社會活動家的事件中,使用了三個針對iOS的0-day漏洞實(shí)現(xiàn)攻擊,表明在移動攻擊場景下也可以和Cyber APT一樣將高級攻擊技術(shù)應(yīng)用到APT攻擊過程。上述案例表明移動終端已經(jīng)成為APT組織進(jìn)行持續(xù)化攻擊的新戰(zhàn)場,并重點(diǎn)以對特定目標(biāo)人物的情報(bào)搜集和信息竊取為目的。

6. 全球移動支付安全正遭受威脅

Android平臺2016年在移動金融威脅上新增了Svpeng、GBanker、Gugi、Slocker、FakeBank、Marcher等16個銀行木馬家族,52個銀行木馬變種,其中感染量較大的為Svpeng、GBanker、Gugi、Slocker、FakeBank等木馬家族。

2016年銀行木馬家族Top5及感染量

從攻擊的技術(shù)手段和目標(biāo)來看,國內(nèi)外的銀行木馬的目的主要是竊取受害用戶銀行賬號、銀行賬號密碼等與銀行支付相關(guān)的高價值信息。

2016年新增的移動銀行木馬對全球50多家銀行造成了不同程度的影響,其中影響的地域包括了俄羅斯、中國、美國、加拿大、澳大利亞、德國、法國、波蘭等國家和地區(qū)。 從下圖可以看出2016年新增的移動銀行木馬主要針對俄羅斯、中國的移動終端用戶。

2016年移動銀行木馬主要感染區(qū)域分布圖

7. 隱私泄露成為移動威脅重要幫兇

近年來,針對各類網(wǎng)站系統(tǒng)的脫庫、撞庫攻擊頻繁發(fā)生,大量用戶的高價值隱私數(shù)據(jù)信息被泄露。隱私的大面積泄露,已經(jīng)成為移動威脅當(dāng)中重要的幫兇和支撐性的環(huán)節(jié),這個大趨勢不可避免會導(dǎo)致移動威脅朝著長尾化、精準(zhǔn)化和碎片化的方向發(fā)展。隱私泄露已經(jīng)成為普遍的安全威脅和問題,它助長了移動威脅的增長,并把移動威脅引導(dǎo)向了精準(zhǔn)化、碎片化、高價值轉(zhuǎn)化的方向上,使得移動威脅的長尾現(xiàn)象更加顯著。這使得每個用戶遇到都是高精準(zhǔn)的、難以大面積出現(xiàn)、具有普適性的威脅,惡意攻擊者不需要通過大面積的攻擊來實(shí)現(xiàn)價值轉(zhuǎn)化。

8. 移動勒索軟件種類迅速增長

對比近2年移動勒索軟件數(shù)量,我們發(fā)現(xiàn)2016年4個季度與2015年同期相比樣本數(shù)量都有不同程度的倍增,其中第1季度增長了近7倍,可見移動勒索軟件在2016年得到了迅猛的發(fā)展。

近兩年移動勒索軟件數(shù)量變化情況

我們對勒索軟件影響的地域進(jìn)行了統(tǒng)計(jì),發(fā)現(xiàn)東歐或俄羅斯的占比為54.8%,其次是中國占據(jù)了38.65%,英美占據(jù)2.95%,中東地區(qū)的伊朗占據(jù)了3.6%,這表明俄羅斯和中國是2016年移動勒索軟件檢測和感染率最高的國家。

勒索軟件在全球范圍內(nèi)分布情況占比

與PC端相比移動終端勒索軟件的攻擊對象依舊以普通用戶為主,并且在“贖金”要求上相對較低,加之移動終端系統(tǒng)不斷更新的系統(tǒng)安全機(jī)制能夠在一定程度上抵御勒索應(yīng)用的攻擊。從這個角度來看,移動勒索軟件對用戶的威脅影響相對有限。

9. iOS自成體系但并非安全神話

2016年針對iOS從9.0到10.x版本的系統(tǒng)公開了不少可以利用的漏洞及利用方法,其中比較典型的有針對iOS 10.1.1對mach_portal攻擊鏈的利用方法,以及具有較高影響力的針對iOS 9.3.4系統(tǒng)定向攻擊竊取阿聯(lián)酋的一位人權(quán)活動家隱私的“三叉戟”漏洞。同時為了提取特定Apple手機(jī)的數(shù)據(jù),F(xiàn)BI和Apple公司也進(jìn)行了長達(dá)數(shù)月的司法紛爭。最終通過第三方公司,對手機(jī)中的數(shù)據(jù)進(jìn)行破解和提取。這也側(cè)面反映出,iOS體系中Apple處于絕對的攻防核心地位,控制著所有安全命脈,但是iOS系統(tǒng)并非堅(jiān)不可摧,在高級漏洞抵御層面并不占據(jù)優(yōu)勢。

圍繞iOS系統(tǒng)的封閉性與安全性之爭預(yù)計(jì)還將持續(xù)。但值得深思的是,因?yàn)閕OS的安全封閉性,安全廠商、政府機(jī)構(gòu)、普通用戶等參與者難以建立有效的安全應(yīng)對機(jī)制,雖然Apple在iOS系統(tǒng)漏洞的遏制和響應(yīng)上具備一些優(yōu)勢和經(jīng)驗(yàn),在安全上的投入也取得了一些成績,但用戶在遭遇到新型威脅或高級攻擊時即使是專業(yè)的安全團(tuán)隊(duì)也難以有效地配合跟進(jìn)并幫助用戶解決威脅問題。與Android這類開放的移動操作系統(tǒng)相比,iOS系統(tǒng)由于高封閉的模式在反APT工作以及與高階對手的競爭中可能處于劣勢,并在一定程度上局限了其商務(wù)應(yīng)用的有效發(fā)展。

三、反思

1. 移動威脅檢測核心作用有待進(jìn)一步發(fā)揮

面對移動威脅規(guī)模的持續(xù)增長、威脅技術(shù)持續(xù)進(jìn)化和電信詐騙泛濫等現(xiàn)實(shí)威脅狀況,惡意代碼檢測無疑是一種核心安全防御手段。

下圖是全球主流的移動反病毒引擎在2016年11月份AV-TEST的測評中的結(jié)果對比圖,從中我們可以看到絕大部分廠商的檢出率都在90%以上。值得一提的是,近5年來,安天移動安全團(tuán)隊(duì)自主研發(fā)的AVL移動反病毒引擎在AV-TEST,AV-C等國際權(quán)威反病毒認(rèn)證機(jī)構(gòu)的測評中均以極高的檢出率名列前茅。

2016年11月AV-TEST測評成績

面對持續(xù)爆發(fā)的威脅,手機(jī)制造商、系統(tǒng)供應(yīng)商等關(guān)鍵環(huán)節(jié)需要進(jìn)一步加強(qiáng)移動威脅檢測能力的引入,從系統(tǒng)深層次提供對移動威脅的檢測,為用戶提供深層次安全防御。

2. Android應(yīng)用市場問題亟待重視

Android應(yīng)用市場作為Android應(yīng)用和用戶手機(jī)直接連接的重要橋梁,是移動生態(tài)環(huán)節(jié)當(dāng)中重要的組成部分。Google的官方應(yīng)用市場Google Play以及國內(nèi)外的各類應(yīng)用市場都擁有大量的用戶群體,一旦出現(xiàn)惡意代碼極有可能會導(dǎo)致大量用戶受到威脅。

由于無法像Google一樣承擔(dān)巨大的安全審核成本,國內(nèi)應(yīng)用市場的安全問題比Google Play更加嚴(yán)重。我們通過對國內(nèi)的一些應(yīng)用市場進(jìn)行定期檢測,發(fā)現(xiàn)過多例包含有“百腦蟲”和“JMedia”等高級惡意代碼的應(yīng)用,相關(guān)的應(yīng)用市場對于這類能夠被反病毒引擎檢出的惡意應(yīng)用并沒有及時進(jìn)行下架處理,可見2016年Android應(yīng)用市場頻頻出現(xiàn)惡意代碼并非偶然,從根本上來看是因?yàn)锳ndroid應(yīng)用市場的安全問題依然沒有得到重視,也沒有引入有效的安全檢測和防護(hù)方案。

3. 漏洞碎片化未得到有效遏制

由于Android系統(tǒng)的開源以及定制化造成的Android系統(tǒng)不可控的碎片化,同時也導(dǎo)致了Android系統(tǒng)漏洞的碎片化。根據(jù)CVE Details公開的數(shù)據(jù)顯示,在2016年Android系統(tǒng)一共被收錄了523個漏洞,其中包含有99個信息泄露相關(guān)的漏洞,2015年這類漏洞只有19個。值得注意的是2016年新增了250個可以提升權(quán)限的安全漏洞,2015年這類漏洞只有17個,增長超過13倍。

近兩年Android系統(tǒng)漏洞類型及數(shù)量對比

當(dāng)前移動操作系統(tǒng)漏洞的有效利用點(diǎn)依然集中在提升權(quán)限漏洞上,還沒有擴(kuò)大到比較復(fù)雜的應(yīng)用和攻擊場景。但是,這種局面并沒有得到有效的遏制,給整個攻擊鏈的防御上帶來了極大的風(fēng)險和控制難度。2016年出現(xiàn)的大量手機(jī)Root型惡意代碼充分印證了這一點(diǎn)。

4. 移動威脅的體系化應(yīng)對尚需時日

從早期出現(xiàn)在國外的能夠攔截歐洲國家相關(guān)銀行支付驗(yàn)證碼的Zitmo木馬家族,到FakeInst“吸費(fèi)”木馬在俄羅斯及東歐地區(qū)的廣泛傳播,再到近幾年國內(nèi)電信詐騙等威脅的泛濫,我們一方面看到的是國家、行業(yè)、企業(yè)、個人積極開展安全防護(hù)和對抗,在一定程度上遏制了相關(guān)威脅的不斷泛濫。另一方面,也可以看到由于缺少全局?jǐn)?shù)據(jù)和情報(bào)支持,缺少對全局安全威脅的及時感知能力,對威脅的遏制效果并不理想。目前可以看到,大部分移動服務(wù)供應(yīng)商和用戶對移動安全的重視仍然停留在威脅預(yù)警早期階段,對移動威脅的廣度和深度關(guān)注不足??梢婓w系化防御不是一朝一夕之事,只有盡早盡快落實(shí)相關(guān)的體系化建設(shè),才能真正有效地感知和防御相關(guān)安全威脅。

5. 全球移動安全協(xié)作共識有待達(dá)成

在移動通信和移動互聯(lián)網(wǎng)領(lǐng)域,與國外相比,國內(nèi)已經(jīng)呈現(xiàn)同步乃至超前的發(fā)展態(tài)勢。從移動應(yīng)用來看,社交、電商、支付、出行等各種緊貼用戶生活的行業(yè)需求在移動端逐漸成型;從應(yīng)用生態(tài)鏈條來看,國內(nèi)MIUI、阿里云、百度手機(jī)助手、騰訊應(yīng)用寶、360手機(jī)助手等應(yīng)用商店與Google Play、 App Store等應(yīng)用分發(fā)體系相呼應(yīng);從全球范圍來看,以華為、OPPO、VIVO、小米等為代表的眾多本土優(yōu)秀手機(jī)終端品牌強(qiáng)勢崛起,并在國際市場中占據(jù)愈加重要的位置;從系統(tǒng)供應(yīng)鏈來看,ARM、高通、三星等廠商仍然占據(jù)主流地位,但也可以看到國內(nèi)廠商通過自主研發(fā)、海外并購等方式逐漸進(jìn)入IC設(shè)計(jì)和制造的優(yōu)秀行列。

在這種背景下,傳統(tǒng)的樣本交換體系愈加難以滿足如今移動威脅應(yīng)對的需求,全球性的安全共識需要加強(qiáng) 。傳統(tǒng)網(wǎng)絡(luò)領(lǐng)域,由于產(chǎn)生時間較早,基礎(chǔ)模式設(shè)計(jì)缺少安全考量,安全體系難以有效協(xié)同,增加了不同組織之間摩擦的風(fēng)險。在移動安全領(lǐng)域,可以通過威脅情報(bào)共享體系的設(shè)計(jì),讓全球擁有共同的威脅描述語言,加強(qiáng)面對威脅的協(xié)同抵抗和防御能力,并增強(qiáng)全球安全共識。這個過程有賴于安全行業(yè)自身的努力和移動產(chǎn)業(yè)整體的規(guī)劃,也需要國家、國際組織的倡導(dǎo)和推動。

五、應(yīng)對

1. 監(jiān)管者

從習(xí)近平總書記4.19講話提出“樹立正確網(wǎng)絡(luò)安全觀” “安全發(fā)展同步推進(jìn)”到《中華人民共和國網(wǎng)絡(luò)安全法》正式表決通過,國家增加了多項(xiàng)促進(jìn)網(wǎng)絡(luò)安全的措施,推進(jìn)了網(wǎng)絡(luò)安全的發(fā)展。這些指示和立法推動,無疑給包括移動安全在內(nèi)的網(wǎng)絡(luò)安全領(lǐng)域提供了頂層設(shè)計(jì)指導(dǎo)。

安全領(lǐng)域建設(shè)離不開合理的立法和標(biāo)準(zhǔn)的指導(dǎo)。在完善網(wǎng)絡(luò)法律法規(guī)的同時,監(jiān)管部門應(yīng)同時對互聯(lián)網(wǎng)相關(guān)的法律法規(guī)進(jìn)行大力宣傳,培養(yǎng)網(wǎng)民的法制觀念;在體系建設(shè)上,應(yīng)積極建立和落實(shí)移動互聯(lián)網(wǎng)整體安全態(tài)勢感知和預(yù)警體系; 在行業(yè)協(xié)作和技術(shù)手段引進(jìn)上,以技術(shù)和管理結(jié)合來治理移動威脅問題;同時,還應(yīng)加強(qiáng)運(yùn)營商、金融機(jī)構(gòu)等行業(yè)與執(zhí)法機(jī)關(guān)的合作與聯(lián)動。

2. 安全企業(yè)

在惡意威脅檢測等核心技術(shù)領(lǐng)域,一大批安全企業(yè)持續(xù)加強(qiáng)投入,不斷應(yīng)對新型惡意代碼、新型漏洞和新型攻擊手段的挑戰(zhàn)。在安全管理等泛安全領(lǐng)域,逐漸形成了設(shè)備管理、應(yīng)用管理、用戶管理等多層次的安全管理方案通過近幾年的努力,諸多安全技術(shù)已經(jīng)運(yùn)用到移動領(lǐng)域,為用戶創(chuàng)造了較大的安全價值。

但正如前文反思,移動安全領(lǐng)域的諸多技術(shù)還需要進(jìn)一步和個人的安全需求、企業(yè)組織的業(yè)務(wù)和數(shù)據(jù)安全需求相結(jié)合,才能讓安全能力真正滿足用戶的安全訴求,最大程度的對抗安全威脅。目前在相對熱門的威脅情報(bào)服務(wù)領(lǐng)域,安天移動安全自主研發(fā)了全球首個AVL Insight移動威脅情報(bào)服務(wù)平臺,借助10年的移動威脅知識庫積累、6億多終端的覆蓋,形成了定制化移動威脅情報(bào)的輸出能力。我們堅(jiān)持認(rèn)為威脅情報(bào)需要與客戶的真實(shí)安全訴求相結(jié)合,為客戶提供符合其需要的、高價值、定制化的威脅情報(bào)。

隨著移動安全重要性的日益提升,安全企業(yè)之間應(yīng)借助威脅情報(bào)、產(chǎn)業(yè)合作等方式形成行業(yè)整體的安全協(xié)作和應(yīng)對姿態(tài),共同打擊移動安全威脅。同時通過更多的產(chǎn)業(yè)合作,與職能部門、移動供應(yīng)鏈、企業(yè)和個人用戶等建立更加深入的合作和信任關(guān)系,共同維護(hù)移動安全環(huán)境。

3. 供應(yīng)鏈

從移動領(lǐng)域的自身特點(diǎn)看,供應(yīng)鏈安全是一個值得特別關(guān)注的問題。供應(yīng)鏈不同層次的移動威脅呈現(xiàn)不同的特點(diǎn),整體來看,越底層威脅能力越強(qiáng)、事后處置鏈條越長、最終防御效果越差。

供應(yīng)鏈和服務(wù)提供商,通過考慮對威脅展開前置防御和針對性防御,可以及早的在供應(yīng)鏈和服務(wù)各環(huán)節(jié),引入安全解決方案,包括但不限于威脅檢測、行為攔截和阻斷、漏洞檢測和補(bǔ)丁技術(shù)、系統(tǒng)加固和數(shù)據(jù)加密、網(wǎng)絡(luò)檢測等。通過安全解決方案的前置、早置,最大限度的輻射整個供應(yīng)鏈環(huán)節(jié),降低整體安全防御成本,提升整個供應(yīng)鏈的安全性和安全效率。

4. 個人

個人用戶作為移動安全威脅最終危害的主體,對其所面臨的移動安全威脅并不具備足夠的認(rèn)識,并具有安全意識弱、情報(bào)來源窄、防護(hù)手段弱的特點(diǎn)。基于個人移動安全威脅應(yīng)對的難點(diǎn),安天移動安全團(tuán)隊(duì)建議個人用戶養(yǎng)成日常主動進(jìn)行安全檢測的習(xí)慣,同時建立安全的密碼管理體系,避免因單點(diǎn)移動威脅造成大規(guī)模資金損失的情況。此外個人用戶需要提高對移動安全事件的關(guān)注度和敏感度,對與個人關(guān)聯(lián)的威脅事件進(jìn)行緊急響應(yīng),做好事后止損的工作。

5. 企業(yè)

隨著移動辦公、移動服務(wù)等業(yè)務(wù)的發(fā)展,各類企業(yè)、廠商在移動威脅的整體對應(yīng)上,需要全面加強(qiáng)企業(yè)整體安全防控中對于移動安全的重視。針對IT安全,要逐步將移動設(shè)備帶來的威脅應(yīng)對納入企業(yè)安全威脅防控體系中,預(yù)防移動設(shè)備對原有企業(yè)IT安全帶來的沖擊;針對應(yīng)用層風(fēng)險加強(qiáng)應(yīng)用管控,加強(qiáng)對正常應(yīng)用的仿冒審查,加強(qiáng)對應(yīng)用隱私泄漏的防范;針對系統(tǒng)層風(fēng)險,加強(qiáng)系統(tǒng)權(quán)限管理,引入行為異常監(jiān)測,防范未知安全風(fēng)險;針對網(wǎng)絡(luò)層風(fēng)險,加強(qiáng)傳統(tǒng)網(wǎng)絡(luò)威脅向移動威脅的遷移,預(yù)防潛在的移動安全高級威脅。

需要特別說明的是,目前有不少企業(yè)的對外服務(wù)和核心業(yè)務(wù)主要以移動互聯(lián)網(wǎng)為場景,目前這類企業(yè)遭受的移動威脅的影響也頗為嚴(yán)重,建議結(jié)合移動終端身份識別、移動終端環(huán)境安全檢測以及積極建設(shè)面向業(yè)務(wù)的風(fēng)控系統(tǒng)持續(xù)加強(qiáng)威脅對抗和響應(yīng)能力。

五、預(yù)見

1. 移動威脅進(jìn)入APT時代

APT攻擊的一個基本規(guī)律是:攻擊是否會發(fā)生只與目標(biāo)承載的資產(chǎn)價值和與更重要目標(biāo)的關(guān)聯(lián)度有關(guān),而與攻擊難度無關(guān)。這就使當(dāng)移動設(shè)備承載更多資產(chǎn),當(dāng)智能終端的使用者也覆蓋敏感人群,或他們的親朋好友時,面向智能終端的設(shè)備的APT系統(tǒng)性的產(chǎn)生就成為一種必然。

在移動互聯(lián)網(wǎng)時代,移動智能終端已經(jīng)高度映射和展現(xiàn)人的重要資產(chǎn)信息和身份信息,除此之外,移動設(shè)備同時還具備極高的便攜性和跨網(wǎng)域的穿透能力。從2016年出現(xiàn)的一些不同動機(jī)的攻擊技術(shù),預(yù)示著通過移動設(shè)備作為攻擊跳板,可以實(shí)現(xiàn)對企業(yè)內(nèi)網(wǎng)、物聯(lián)網(wǎng)甚至基礎(chǔ)設(shè)施的攻擊。移動威脅會綜合移動的高級攻擊技術(shù)、移動互聯(lián)網(wǎng)絡(luò)的戰(zhàn)略意義以及針對重點(diǎn)目標(biāo)的戰(zhàn)術(shù)價值為APT攻擊組織提供更加豐富的攻擊能力、攻擊資源和戰(zhàn)術(shù)思路。

2. 隱私泄露導(dǎo)致移動威脅進(jìn)一步加深

隨著物聯(lián)網(wǎng)、智慧城市的推進(jìn),攝像頭、手機(jī)、可穿戴設(shè)備等智能硬件的普及,以及關(guān)系到大眾民生的各種信息系統(tǒng)的互聯(lián)互通,人們的生活方式都會網(wǎng)絡(luò)化,所有主體的信息都會數(shù)字化,與此同時移動終端系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)不斷的被挖掘出高危漏洞,信息和數(shù)據(jù)泄露事件短期內(nèi)看不到下降的趨勢。

隱私泄露和移動攻擊的泛濫和融合還會進(jìn)一步加深,帶來普遍的欺詐泛濫、威脅碎片的長尾化,對整個移動威脅的商業(yè)價值帶來的長遠(yuǎn)影響。對于這一問題,安天將在后續(xù)發(fā)布的“基礎(chǔ)威脅年報(bào)”給予更多解讀。

3. 企業(yè)級場景的移動威脅會大量出現(xiàn)

2016年出現(xiàn)了以移動應(yīng)用作為中間跳板嘗試對內(nèi)網(wǎng)進(jìn)行滲透,竊取內(nèi)網(wǎng)的重要信息的惡意代碼,同時,在年底出現(xiàn)了篡改用戶手機(jī)連接的Wi-Fi路由器DNS進(jìn)行流量劫持的移動惡意代碼。移動終端、Wi-Fi路由都是當(dāng)前針對企業(yè)場景攻擊的重要的支撐點(diǎn),當(dāng)前大多企業(yè)對于移動威脅的檢測和防御并沒有引入有效的解決方案。從移動威脅的發(fā)展趨勢來看,基于移動終端設(shè)備或應(yīng)用的跳板攻擊傾向性非常明顯,伴隨著各種BYOD設(shè)備在企業(yè)辦公中開始普及并廣泛使用,2017年移動威脅在企業(yè)級場景中可能會出現(xiàn)一定規(guī)模的增長。

4. 移動勒索應(yīng)用或?qū)⒊掷m(xù)進(jìn)化和遷移

2017年移動勒索軟件可能會向3個方向進(jìn)化:與其它惡意攻擊方式結(jié)合、通過蠕蟲形式讓勒索軟件進(jìn)行大面積傳播、結(jié)合遠(yuǎn)程控制指令對更加精確性的攻擊。Android端的勒索軟件會包含PC端勒索程序或者攜帶物聯(lián)網(wǎng)惡意軟件,進(jìn)行跨平臺發(fā)展,嘗試感染PC或者智能設(shè)備。攻擊者信息更加匿名。此外,類似PC端的勒索軟件惡意勒索時使用比特幣作為貨幣,通過匿名網(wǎng)絡(luò)支付比特幣這種形態(tài)會向Android平臺遷移。

5. 業(yè)務(wù)欺詐威脅損害凸顯

2016年的“3.15晚會”上,“刷單”等網(wǎng)絡(luò)黑灰產(chǎn)進(jìn)入公眾視野。 惡意“刷單”主要使用機(jī)器大規(guī)模的自動完成垃圾注冊和登錄,通過大量的惡意賬號、手機(jī)號碼、IP地址進(jìn)行虛假交易,通過刷信用,買家套現(xiàn)等技術(shù)手段來套取利潤。“刷單”產(chǎn)業(yè)鏈已經(jīng)逐步職業(yè)化、專業(yè)化,在虛假交易產(chǎn)業(yè)鏈上,上下游分工明確,分工涉及手機(jī)服務(wù)商的驗(yàn)證、快遞公司甚至欺詐團(tuán)伙。互聯(lián)網(wǎng)企業(yè)遭受的業(yè)務(wù)欺詐威脅問題已經(jīng)開始凸顯出來。

六、總結(jié)

過去幾年,是中國移動網(wǎng)絡(luò)產(chǎn)業(yè)高速領(lǐng)跑發(fā)展的時代。以移動支付、移動社交、移動商務(wù)等為代表的移動互聯(lián)網(wǎng)應(yīng)用水平已經(jīng)走到世界前列,移動基礎(chǔ)設(shè)施建設(shè)也正經(jīng)歷高速發(fā)展和更新?lián)Q代的階段,中國自主品牌的手機(jī)產(chǎn)量也已經(jīng)躍居全球第一,中國手機(jī)品牌正在獲得全球用戶認(rèn)可。伴隨著中國移動產(chǎn)業(yè)和應(yīng)用的高速發(fā)展,移動威脅快速滋長。巨大的用戶基數(shù)、較高的應(yīng)用水平、全新的業(yè)務(wù)探索都必然導(dǎo)致中國用戶面臨的移動安全威脅風(fēng)險規(guī)模前所未有,手段持續(xù)泛化演化,模式關(guān)聯(lián)復(fù)雜深遠(yuǎn),受損范圍廣闊深遠(yuǎn)。我國移動產(chǎn)業(yè)的發(fā)展速度和覆蓋廣度已經(jīng)決定了在移動安全體系的整體推進(jìn)上我們已經(jīng)沒有可以全面師法的對象,也已經(jīng)沒有必要跟著硅谷的所謂創(chuàng)新實(shí)踐亦步亦趨。我們一方面需要加強(qiáng)全球移動安全共識和協(xié)作,一方面更需要走出自己的科學(xué)化、體系化移動安全發(fā)展道路。

通過威脅情報(bào)的分析、加工和分享,從而對威脅進(jìn)行準(zhǔn)確定性、定位、定量,來滿足和解決特定用戶群體所面對的特定安全威脅,提供對用戶比較有效,甚至一勞永逸式的解決方案,這樣的體系或許是未來的發(fā)展方向。過去的一年,我們繼續(xù)致力于移動安全領(lǐng)域,加強(qiáng)對移動領(lǐng)域威脅的觀察、感知、分析、追溯、處置和反思,持續(xù)以體系化的方式加強(qiáng)與移動威脅的對抗。這份年報(bào)也是我們持續(xù)觀察和感知過程中的一些所見、所為和所思。

移動互聯(lián)網(wǎng)在過去一年仍然面臨著惡意應(yīng)用的持續(xù)威脅,新增威脅繼續(xù)涌現(xiàn),威脅手段持續(xù)進(jìn)化,攻擊者加強(qiáng)仿冒、社工欺詐、勒索手段、權(quán)限冒用、開源組件惡意利用等攻擊手段的使用。同時存量威脅依然泛濫,電信詐騙攔截馬、扣費(fèi)、流氓、色情等威脅仍在持續(xù)演化和進(jìn)化。這些惡意應(yīng)用威脅在當(dāng)前整個傳播鏈條監(jiān)管尚不十分完善的安全防護(hù)背景下,依然會造成巨大的安全風(fēng)險和資產(chǎn)損失,大多時候只能依靠普通用戶的自我安全意識提升來抵御威脅。面對這些威脅,在威脅檢測,工程化對抗和基于海量數(shù)據(jù)的威脅情報(bào)作業(yè)上,我們已經(jīng)有了比較充分的準(zhǔn)備,能夠在威脅早期甚至威脅出現(xiàn)之前形成可防御的能力,但這些能力手段,與我國龐大的網(wǎng)絡(luò)資產(chǎn)規(guī)模和用戶體量相比,還有賴于通過和產(chǎn)業(yè)/用戶的進(jìn)一步聯(lián)動更好的發(fā)揮作用,同時仍需要持續(xù)地與市場需求、商業(yè)規(guī)律結(jié)合以找到自身獨(dú)特的價值和生存空間。

移動互聯(lián)網(wǎng)系統(tǒng)也正經(jīng)歷著快速發(fā)展,網(wǎng)絡(luò)制式、操作系統(tǒng)在短短幾年間,發(fā)生多次代際升級和版本更新。沙盒、權(quán)限等安全機(jī)制的持續(xù)引入一定程度上對原有安全體系起到了增強(qiáng)作用,但由于威脅方式和手段的復(fù)雜多樣,種類繁多,很多原有威脅手段依然有效,并進(jìn)一步利用系統(tǒng)和網(wǎng)絡(luò)的新特性新功能進(jìn)行自我演進(jìn),比如傳統(tǒng)惡作劇手段逐漸升級為勒索威脅、0-day甚至N-day漏洞攻擊依然有效。從系統(tǒng)層面看,更多的還是依賴于更完善、全面、有效的整體安全規(guī)劃和體系建設(shè)。在這個過程中需要系統(tǒng)規(guī)劃和建設(shè)者與安全廠商密切協(xié)作,在系統(tǒng)的設(shè)計(jì)、實(shí)踐中引入多種檢測、防護(hù)、加固和阻斷等安全手段和機(jī)制,在系統(tǒng)的使用中持續(xù)不斷進(jìn)行檢測、阻斷和升級完善。同時由于不同版本、地域、模式帶來的碎片化問題,我們也在積極地通過歸一化和定制化相結(jié)合、數(shù)據(jù)驅(qū)動和手段創(chuàng)新相適應(yīng)的理念完善系統(tǒng)安全手段。

移動設(shè)備與傳統(tǒng)設(shè)備的一個關(guān)鍵的不同是信息承載的類型和價值——移動設(shè)備上有著與人更直接關(guān)聯(lián)的數(shù)據(jù)信息。在互聯(lián)網(wǎng)、通信網(wǎng)、物聯(lián)網(wǎng)甚至工控網(wǎng)不斷連接和融合的時代,不論是移動設(shè)備、移動系統(tǒng)、移動應(yīng)用中對個人信息的泄漏,還是來自個人PC、企業(yè)組織內(nèi)部信息系統(tǒng)、互聯(lián)網(wǎng)服務(wù)信息等渠道的個人信息泄漏,這些數(shù)據(jù)和信息流最終都有可能經(jīng)由黑色產(chǎn)業(yè)鏈對移動安全中的個人和組織造成威脅。因此對移動安全而言,進(jìn)一步加強(qiáng)信息流中的安全監(jiān)管和防范非常必要。通過對短信釣魚、應(yīng)用隱私泄漏、網(wǎng)絡(luò)隱私泄漏、電信詐騙等威脅檢測手段和管控制度的加強(qiáng),可以在移動終端這個信息流的最終環(huán)節(jié)起到有效的威脅防范作用,這對個人隱私安全乃至移動APT防御都將大有裨益。

移動安全體系的構(gòu)建離不開移動產(chǎn)業(yè)供應(yīng)鏈體系的協(xié)同。在供應(yīng)鏈的設(shè)計(jì)、制造、銷售、使用、回收等各個過程中,都有可能被引入安全威脅。每個環(huán)節(jié)被引入的安全威脅既有可能造成自身的安全損失,也有可能進(jìn)一步造成其他環(huán)節(jié)的安全損失。因此通過芯片、設(shè)備、系統(tǒng)、應(yīng)用、服務(wù)、網(wǎng)絡(luò)等供應(yīng)鏈中的各個環(huán)節(jié)加強(qiáng)安全手段,一方面可以有效對抗自身環(huán)節(jié)面對的安全威脅,另一方面也可以對其他環(huán)節(jié)的安全威脅起到防范作用。從威脅防護(hù)來看,安全廠商應(yīng)該積極參與供應(yīng)鏈的防護(hù),為供應(yīng)鏈中不同層次不同角色廠商提供基于威脅特性的針對性防護(hù)方案。針對芯片、系統(tǒng)等應(yīng)該引入具有基礎(chǔ)防御作用的安全方案,加強(qiáng)全局安全體系輻射作用;針對服務(wù)、網(wǎng)絡(luò)等關(guān)鍵信息基礎(chǔ)設(shè)施,應(yīng)該加強(qiáng)對自身安全和信息流的防護(hù),提供穩(wěn)定安全的基礎(chǔ)服務(wù)體系;針對應(yīng)用、個人等,應(yīng)該面向更具象的威脅提供檢測和防護(hù)能力;通過不同環(huán)節(jié)的安全協(xié)作,增強(qiáng)整個供應(yīng)鏈體系及其全生命周期的安全性,提升移動生態(tài)體系安全。

由于安全威脅的復(fù)雜性,安全體系建設(shè)的艱巨性,這份報(bào)告中的部分觀點(diǎn)可能并不成熟,但我們會持續(xù)在移動安全領(lǐng)域耕耘,為更加安全的移動安全環(huán)境貢獻(xiàn)自己的力量。在這個過程中,我們不僅會堅(jiān)持對關(guān)鍵、基礎(chǔ)、共性、領(lǐng)先技術(shù)手段的持續(xù)創(chuàng)新,也會更加積極的開展產(chǎn)業(yè)協(xié)作,同信息流和供應(yīng)鏈中的所有角色一起建設(shè)更加完善的移動安全體系。

通過這些協(xié)作,我們堅(jiān)信領(lǐng)先的安全技術(shù)能夠轉(zhuǎn)化為堅(jiān)實(shí)的用戶安全價值。我們將為用戶提供更加有效的安全威脅情報(bào),幫助用戶掌握和感知威脅態(tài)勢,同時為用戶提供更加精準(zhǔn)的安全解決方案,用領(lǐng)先的移動威脅檢測和安全防護(hù)產(chǎn)品和服務(wù),保護(hù)更多的用戶。

七、典型的移動威脅事件時間軸

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號