查看原文
其他

2016年安天移动安全年报:威胁的全面迁徙

2017-03-10 安天移动安全 安天

历时两个月,2016年安天移动安全年报于今日发布。我们在官方技术博客上发布了《2016年安天移动安全年报:威胁的全面迁徙》的完整版,同时发布微信简化版本,以下为微信简化版本全部内容,敬请阅读!


一、序言



2016年度报告以“威胁的全面迁徙”为主题,以观点的方式来组织内容,用威胁的概念表达归纳安全事态的现象和趋势,并新增“反思”和“应对”两个版块,探寻观点和现象背后的原因,提出应对建议。我们希望通过这份年度报告,向移动安全行业从业者、移动互联网相关企业以及大众用户分享和传达我们的所见、所为及所思。同时这也是安天“移动安全年报”第一次先于“基础威胁年报”公开,本年度的安天“基础威胁年报”承载了更多相对系统而沉重的思考,历经了多个版本的修改,将稍后发布。


2016年,安天移动安全团队面对严峻的移动安全对抗形势,坚持以对抗新兴恶意威胁为己任,砥砺前行。安天移动安全团队研发的移动反病毒引擎(AVL SDK for mobile)防护的手机终端,从年初的两亿部已经发展到年底超过六亿部,安天移动安全团队为手机厂商提供了AVL Inside解决方案,包括了恶意代码检测防护、Wi-Fi安全、URL安全性检测、支付安全、漏洞跟踪修补等体系化的安全模块。安天移动安全团队坚持“安全技术必须服务客户安全价值”的原则,拒绝互联网变现方式。加强和推动更广阔的产业链协作,以移动终端安全为起点,将防护边界延展包括到移动应用商店、APP安全鉴定等在内的整个产业链全程体系中去。安天移动安全团队以国内首个移动威胁情报平台“AVL Insight”为不同行业提供威胁告知、趋势预测、针对性木马深度分析等安全服务,AVL Insight移动威胁情报平台旨在提高银行、政府等大型机构对威胁事件的感知、预警、分析、取证、响应和处置能力,以达到降低IT安全成本,提高资产和信息安全保障的最终目的。


在这些安全实践中,我们不断调整自身的视角,加深对威胁的认知和理解。在2015年年报中我们意识到了移动威胁多元化的迹象,因此使用移动威胁全面泛化作为全年的核心观点,这一观点同样延续到2016年,而且不仅仅是泛化而是全面的迁徙和大密度的出现。这也是我们2016年的主题“威胁的全面迁徙”的由来,在背后我们看到的是整个威胁战场和重心的持续发酵和转化的惯性已然成形。与此同时,2016年的移动威胁呈现出了一些新特点:伴随移动的快速发展,企业和组织逐渐引入移动办公和移动政务,终端数据的商业价值日益凸显,移动威胁正在从个人向企业组织迁移;针对移动终端的APT攻击也将随之高发;伴随移动云服务等新兴技术模式的兴起,业务欺诈类的安全问题也开始成为移动安全的关注点;从技术演进上看,Root型恶意代码、勒索软件、色情应用等也在进行快速的技术演进,给技术对抗带来了新的挑战;Android系统需扮演攻防的主要战场,同时iOS、嵌入式Linux以及各种IoT设备也出现新的威胁趋势和特点,增加了移动威胁全局对抗的深度和战线的广度。


二、观点和现象



2.1 移动威胁规模保持稳定增长

2016年移动威胁依然严峻,严重困扰着每个移动用户的资产和数据安全。移动恶意代码作为重要的移动威胁手段,经过近几年的迅猛发展在技术手段上已趋近成熟,并保持着稳定的增长。2016年,恶意代码样本总量在2015年总数的基础上翻了一番,新增恶意代码变种大幅增加,同比增长近40%。与2015年相比,移动威胁在新型恶意代码的演变上保持平稳的线性增长,既有的恶意代码仍在持续的进化与对抗。

图 1 2015年-2016年移动恶意代码增长趋势

2016年恶意代码家族Top10排行中以色情应用、流氓推送为代表的恶意家族所占比重较大,这表明恶意代码开始转向与其他传统的灰色产业链结合的形式谋取利益和生存,由于这类应用大多具有擦边球行为,也给移动威胁的治理带来了很大的附加成本和判定难度。

图 2 2016 年恶意代码家族Top10

从恶意行为类型来看,2016年流氓行为类型的恶意代码同比增长15%,占比高达57%,依然保持在第一位,是最值得关注的恶意行为。资费消耗和恶意扣费类型的恶意代码数量依然较多,排位依然靠前,分列第二位和第三位,这与其能够带来直接的金钱收益有关。

图 3 2015年和2016年恶意代码行为分布图

从上述数据统计可以看出,流氓行为的恶意代码开始大量投入,不断困扰着用户;对用户隐私窃取和诱骗欺诈的攻击也开始加剧;大部分移动互联网产业和普通用户遭受的现实威胁仍然以大量高频的弱威胁为主,这些威胁由于危害程度较弱,存在大量灰色空间,在数据统计中占据了绝对地位。此外,随着地下产业链的发展,这类弱威胁所依托的“流量模式“或“个人隐私倒卖”的变现路径逐渐完备,低投入高收益的盈利模式已经形成,更进一步地加剧了这类威胁,使其成为普遍现象。 


2.2 移动威胁持续进化
  • 攻击者加强Root技术使用

2016年Root型恶意代码家族变种数量增长迅速,新增Root型恶意代码变种为73个,是2015年的3倍多。2016年Root型恶意代码样本数量Q1、Q2季度增长缓慢,Q3、Q4季度迅猛增长,仅Q3季度总量就超过了2015年全年Root型恶意代码样本数量的5倍,可见Root型恶意代码在2016年进入了一个爆发期。

图4 2015年-2016年Root型恶意代码样本增长趋势

  • 攻击者热衷使用开源技术方案

2016年恶意代码在技术实现上也得到了一定程度的进化,出现了多例恶意利用开源技术方案来实现恶意攻击的新型移动恶意代码。被恶意利用的开源技术方案主要集中在“多开”、“热补丁”和“插件”这3个技术领域。2016年出现的利用这类开源技术的移动威胁从家族和数量上来讲不多,整体来看还属于一个新型恶意攻击形态的萌芽期。

图5 利用开源技术方案恶意代码案例

借助开源技术方案带来的技术积累,不仅方便了恶意开发者制作攻击武器,还能够有效的逃避反病毒引擎的检测;此外,还能够有效地减少受害用户对恶意程序的感知能力,起到更好的潜伏和攻击效果,这也是攻击者热衷于使用这类开源技术方案的主要原因。

  • 攻击者利用社工欺诈手段绕过安全权限

2016年9月国外安全厂商“卡巴斯基”公开揭露了一款利用社会工程学的恶意代码。该恶意代码针对安全性较强的Android 6.0版本系统进行攻击,它通过频繁弹出确认权限请求窗口的方法强制绕过系统新增的应用程序覆盖权限和对危险应用程序活动的动态权限请求的安全功能,导致用户的手机陷入恶意代码的控制中。在12月底,出现了伪装成正常应用Chrome,并通过发送Intent诱使用户将其加入白名单这种欺骗手段绕过Doze机制的恶意应用。


2016年移动恶意代码新变种增长迅速,Root型恶意代码无论从数量和功能上都呈现出较为迅猛的增长和进化趋势。使用开源解决方案的恶意代码开始萌芽,恶意开发者对于绕过Android系统新增安全机制的进一步尝试等,这些真实存在的威胁案例从侧面可以反映出移动威胁技术正在持续的进化。


2.3 电信诈骗高度体系化

2016年电信诈骗特别是诈骗电话犯罪持续高发,媒体也公开披露过多起涉案金额巨大甚至致人死亡的电话诈骗案件。诈骗短信是电信诈骗当中重要的威胁形态之一,也是移动恶意代码进入用户手机中的重要入口。诈骗短信持续泛滥,伪基站是罪魁祸首,在2015年移动安全年报中提到的短信拦截马威胁的攻击模式在2016年依旧活跃,给受害用户造成了巨大的财产损失。针对电信诈骗的权威数据显示,2015年全国公安机关共立电信诈骗案件59万起,同比上升32.5%,共造成经济损失222亿元。下图展示了四例常见诈骗短信示例。

图6 诈骗短信示例

为提高诈骗的成功率,诈骗者需要搜集各方面的情报。网络电信诈骗情报体系由三大块组成:诈骗目标相关情报、诈骗手法相关情报和资金相关情报。诈骗者通过黑市购买、网络搜索、木马回传等手段对这些情报进行搜集,然后进行筛选、吸收,最后实施诈骗。移动相关的网络电信诈骗已经形成上下游产业链并且高度体系化,甚至分为了4类专业的团伙以进行密切的分工与协作,这在极大程度上助长了移动相关的诈骗泛滥成灾。

图7 电信诈骗产业链

2.4 移动威胁正从个人向企业组织迁移

除了大量的个人用户遭受到移动威胁的侵蚀,由于企业对移动威胁的重视程度普遍不足,导致移动威胁造成的企业资产受损的事件近年有上升趋势。其中具有代表性的威胁案例是2016年8月由国外安全厂商首先公开披露的恶意代码“DressCode”,该病毒利用SOCKS代理反弹技术突破内网防火墙限制,窃取内网数据,能够以手机终端作为跳板实现对企业内网的渗透(具体的攻击流程如下图所示)。“DressCode”恶意代码的出现表明移动恶意代码已经具备对企业进行渗透攻击的能力。

图8 DressCode攻击流程图

在另外一个场景中,则是通过篡改DNS实现对企业的渗透和攻击,2016年底在移动平台出现的“Switcher”恶意代码家族能够借助移动终端接入Wi-Fi对连入的路由器DNS服务进行攻击,恶意篡改DNS服务器地址从而实现受害用户网络流量劫持。从其整体的攻击流程和目标来看,移动威胁当前已经具备了对DNS这类网络服务进行恶意利用的能力。

图9 DNS劫持流程图

从前文案例可以看出,移动威胁也正在从个人向企业组织迁移,值得企业安全管理人员关注和预警。


2.5 移动终端已成为APT的新战场

截止到2016年末,公开揭露的针对移动终端的APT攻击事件已有十几例,其不仅针对Android平台,也覆盖了iOS、黑莓等其他智能平台。2016年8月,在Pegasus间谍木马攻击一名阿联酋社会活动家的事件中,使用了三个针对iOS的0-day漏洞实现攻击,表明在移动攻击场景下也可以和Cyber APT一样将高级攻击技术应用到APT攻击过程。上述案例表明移动终端已经成为APT组织进行持续化攻击的新战场,并重点以对特定目标人物的情报搜集和信息窃取为目的。


2.6 全球移动支付安全正遭受威胁

Android平台2016年在移动金融威胁上新增了Svpeng、GBanker、Gugi、Slocker、FakeBank、Marcher等16个银行木马家族,52个银行木马变种,其中感染量较大的为Svpeng、GBanker、Gugi、Slocker、FakeBank等木马家族。

图10 2016年银行木马家族Top5及感染量

从攻击的目标来看,国内外的银行木马的目的主要是窃取受害用户银行账号、银行账号密码等与银行支付相关的高价值信息。


2016年新增的移动银行木马对全球50多家银行造成了不同程度的影响,其中影响的地域包括了俄罗斯、中国、美国、加拿大、澳大利亚、德国、法国、波兰等国家和地区。从下图可以看出2016年新增的移动银行木马主要针对俄罗斯、中国的移动终端用户。

图11 2016年移动银行木马主要感染区域分布图

2.7 隐私泄露成为移动威胁重要帮凶

近年来,针对各类网站系统的脱库、撞库攻击频繁发生,大量用户的高价值隐私数据信息被泄露。隐私的大面积泄露,已经成为移动威胁当中重要的帮凶和支撑性的环节,这个大趋势不可避免会导致移动威胁朝着长尾化、精准化和碎片化的方向发展。隐私泄露已经成为普遍的安全威胁和问题,它助长了移动威胁的增长,并把移动威胁引导向了精准化、碎片化、高价值转化的方向上,使得移动威胁的长尾现象更加显著。这使得每个用户遇到都是高精准的、难以大面积出现、具有普适性的威胁,恶意攻击者不需要通过大面积的攻击来实现价值转化。


2.8 移动勒索软件种类迅速增长

对比近2年移动勒索软件数量,我们发现2016年4个季度与2015年同期相比样本数量都有不同程度的倍增,其中第1季度增长了近7倍,可见移动勒索软件在2016年得到了迅猛的发展。

图12 近两年移动勒索软件数量变化情况

我们对勒索软件影响的地域进行了统计,发现东欧或俄罗斯的占比为54.8%,其次是中国占据了38.65%,英美占据2.95%,中东地区的伊朗占据了3.6%,这表明俄罗斯和中国是2016年移动勒索软件检测和感染率最高的国家。

图13 勒索软件在全球范围内分布情况占比

与PC端相比移动终端勒索软件的攻击对象依旧以普通用户为主,并且在“赎金”要求上相对较低,加之移动终端系统不断更新的系统安全机制能够在一定程度上抵御勒索应用的攻击。从这个角度来看,移动勒索软件对用户的威胁影响相对有限。


2.9 iOS自成体系但并非安全神话

2016年针对iOS从9.0到10.x版本的系统公开了不少可以利用的漏洞及利用方法,其中比较典型的有针对iOS 10.1.1对mach_portal攻击链的利用方法,以及具有较高影响力的针对iOS 9.3.4系统定向攻击窃取阿联酋的一位人权活动家隐私的“三叉戟”漏洞。同时为了提取特定Apple手机的数据,FBI和Apple公司也进行了长达数月的司法纷争。最终通过第三方公司,对手机中的数据进行破解和提取。这也侧面反映出,iOS体系中Apple处于绝对的攻防核心地位,控制着所有安全命脉,但是iOS系统并非坚不可摧,在高级漏洞抵御层面并不占据优势。


围绕iOS系统的封闭性与安全性之争预计还将持续。但值得深思的是,因为iOS的安全封闭性,安全厂商、政府机构、普通用户等参与者难以建立有效的安全应对机制,虽然Apple在iOS系统漏洞的遏制和响应上具备一些优势和经验,在安全上的投入也取得了一些成绩,但用户在遭遇到新型威胁或高级攻击时即使是专业的安全团队也难以有效地配合跟进并帮助用户解决威胁问题。与Android这类开放的移动操作系统相比,iOS系统由于高封闭的模式在反APT工作以及与高阶对手的竞争中可能处于劣势,并在一定程度上局限了其商务应用的有效发展。

三、反思



3.1 移动威胁检测核心作用有待进一步发挥

面对移动威胁规模的持续增长、威胁技术持续进化和电信诈骗泛滥等现实威胁状况,恶意代码检测无疑是一种核心安全防御手段。


下图是全球主流的移动反病毒引擎在2016年11月份AV-TEST的测评中的结果对比图,从中我们可以看到绝大部分厂商的检出率都在90%以上。值得一提的是,近5年来,安天移动安全团队自主研发的AVL移动反病毒引擎在AV-TEST,AV-C等国际权威反病毒认证机构的测评中均以极高的检出率名列前茅。

图14 2016年11月AV-TEST测评成绩

面对持续爆发的威胁,手机制造商、系统供应商等关键环节需要进一步加强移动威胁检测能力的引入,从系统深层次提供对移动威胁的检测,为用户提供深层次安全防御。


3.2 Andriod应用市场问题亟待重视

Android应用市场作为Android应用和用户手机直接连接的重要桥梁,是移动生态环节当中重要的组成部分。Google的官方应用市场Google Play以及国内外的各类应用市场都拥有大量的用户群体,一旦出现恶意代码极有可能会导致大量用户受到威胁。


由于无法像Google一样承担巨大的安全审核成本,国内应用市场的安全问题比Google Play更加严重。我们通过对国内的一些应用市场进行定期检测,发现过多例包含有“百脑虫”和“JMedia”等高级恶意代码的应用,相关的应用市场对于这类能够被反病毒引擎检出的恶意应用并没有及时进行下架处理,可见2016年Android应用市场频频出现恶意代码并非偶然,从根本上来看是因为Android应用市场的安全问题依然没有得到重视,也没有引入有效的安全检测和防护方案。 

3. 3 漏洞碎片化未得到有效遏制

由于Android系统的开源以及定制化造成的Android系统不可控的碎片化,同时也导致了Android系统漏洞的碎片化。根据CVE Details公开的数据显示,在2016年Android系统一共被收录了523个漏洞,其中包含有99个信息泄露相关的漏洞,2015年这类漏洞只有19个。值得注意的是2016年新增了250个可以提升权限的安全漏洞,2015年这类漏洞只有17个,增长超过13倍。

图15 近两年Android系统漏洞类型及数量对比

当前移动操作系统漏洞的有效利用点依然集中在提升权限漏洞上,还没有扩大到比较复杂的应用和攻击场景。但是,这种局面并没有得到有效的遏制,给整个攻击链的防御上带来了极大的风险和控制难度。2016年出现的大量手机Root型恶意代码充分印证了这一点。


3.4 移动威胁的体系化应对尚需时日

从早期出现在国外的能够拦截欧洲国家相关银行支付验证码的Zitmo木马家族,到FakeInst“吸费”木马在俄罗斯及东欧地区的广泛传播,再到近几年国内电信诈骗等威胁的泛滥,我们一方面看到的是国家、行业、企业、个人积极开展安全防护和对抗,在一定程度上遏制了相关威胁的不断泛滥。另一方面,也可以看到由于缺少全局数据和情报支持,缺少对全局安全威胁的及时感知能力,对威胁的遏制效果并不理想。目前可以看到,大部分移动服务供应商和用户对移动安全的重视仍然停留在威胁预警早期阶段,对移动威胁的广度和深度关注不足。可见体系化防御不是一朝一夕之事,只有尽早尽快落实相关的体系化建设,才能真正有效地感知和防御相关安全威胁。


3.5 全球移动安全协作共识有待达成

在移动通信和移动互联网领域,与国外相比,国内已经呈现同步乃至超前的发展态势。从移动应用来看,社交、电商、支付、出行等各种紧贴用户生活的行业需求在移动端逐渐成型;从应用生态链条来看,国内MIUI、阿里云、百度手机助手、腾讯应用宝、360手机助手等应用商店与Google Play、 App Store等应用分发体系相呼应;从全球范围来看,以华为、OPPO、VIVO、小米等为代表的众多本土优秀手机终端品牌强势崛起,并在国际市场中占据愈加重要的位置;从系统供应链来看,ARM、高通、三星等厂商仍然占据主流地位,但也可以看到国内厂商通过自主研发、海外并购等方式逐渐进入IC设计和制造的优秀行列。


在这种背景下,传统的样本交换体系愈加难以满足如今移动威胁应对的需求,全球性的安全共识需要加强 。传统网络领域,由于产生时间较早,基础模式设计缺少安全考量,安全体系难以有效协同,增加了不同组织之间摩擦的风险。在移动安全领域,可以通过威胁情报共享体系的设计,让全球拥有共同的威胁描述语言,加强面对威胁的协同抵抗和防御能力,并增强全球安全共识。这个过程有赖于安全行业自身的努力和移动产业整体的规划,也需要国家、国际组织的倡导和推动。


四、应对



4.1 监管者

从习近平总书记4.19讲话提出“树立正确网络安全观” “安全发展同步推进”到《中华人民共和国网络安全法》正式表决通过,国家增加了多项促进网络安全的措施,推进了网络安全的发展。这些指示和立法推动,无疑给包括移动安全在内的网络安全领域提供了顶层设计指导。


安全领域建设离不开合理的立法和标准的指导。在完善网络法律法规的同时,监管部门应同时对互联网相关的法律法规进行大力宣传,培养网民的法制观念;在体系建设上,应积极建立和落实移动互联网整体安全态势感知和预警体系;在行业协作和技术手段引进上,以技术和管理结合来治理移动威胁问题;同时,还应加强运营商、金融机构等行业与执法机关的合作与联动。


4.2 安全企业

在恶意威胁检测等核心技术领域,一大批安全企业持续加强投入,不断应对新型恶意代码、新型漏洞和新型攻击手段的挑战。在安全管理等泛安全领域,逐渐形成了设备管理、应用管理、用户管理等多层次的安全管理方案通过近几年的努力,诸多安全技术已经运用到移动领域,为用户创造了较大的安全价值。


但正如前文反思,移动安全领域的诸多技术还需要进一步和个人的安全需求、企业组织的业务和数据安全需求相结合,才能让安全能力真正满足用户的安全诉求,最大程度的对抗安全威胁。目前在相对热门的威胁情报服务领域,安天移动安全自主研发了全球首个AVL Insight移动威胁情报服务平台,借助10年的移动威胁知识库积累、6亿多终端的覆盖,形成了定制化移动威胁情报的输出能力。我们坚持认为威胁情报需要与客户的真实安全诉求相结合,为客户提供符合其需要的、高价值、定制化的威胁情报。


随着移动安全重要性的日益提升,安全企业之间应借助威胁情报、产业合作等方式形成行业整体的安全协作和应对姿态,共同打击移动安全威胁。同时通过更多的产业合作,与职能部门、移动供应链、企业和个人用户等建立更加深入的合作和信任关系,共同维护移动安全环境。


4.3 供应链

从移动领域的自身特点看,供应链安全是一个值得特别关注的问题。供应链不同层次的移动威胁呈现不同的特点,整体来看,越底层威胁能力越强、事后处置链条越长、最终防御效果越差。


供应链和服务提供商,通过考虑对威胁展开前置防御和针对性防御,可以及早的在供应链和服务各环节,引入安全解决方案,包括但不限于威胁检测、行为拦截和阻断、漏洞检测和补丁技术、系统加固和数据加密、网络检测等。通过安全解决方案的前置、早置,最大限度的辐射整个供应链环节,降低整体安全防御成本,提升整个供应链的安全性和安全效率。


4.4 个人

个人用户作为移动安全威胁最终危害的主体,对其所面临的移动安全威胁并不具备足够的认识,并具有安全意识弱、情报来源窄、防护手段弱的特点。基于个人移动安全威胁应对的难点,安天移动安全团队建议个人用户养成日常主动进行安全检测的习惯,同时建立安全的密码管理体系,避免因单点移动威胁造成大规模资金损失的情况。此外个人用户需要提高对移动安全事件的关注度和敏感度,对与个人关联的威胁事件进行紧急响应,做好事后止损的工作。


4.5 企业

随着移动办公、移动服务等业务的发展,各类企业、厂商在移动威胁的整体对应上,需要全面加强企业整体安全防控中对于移动安全的重视。针对IT安全,要逐步将移动设备带来的威胁应对纳入企业安全威胁防控体系中,预防移动设备对原有企业IT安全带来的冲击;针对应用层风险加强应用管控,加强对正常应用的仿冒审查,加强对应用隐私泄漏的防范;针对系统层风险,加强系统权限管理,引入行为异常监测,防范未知安全风险;针对网络层风险,加强传统网络威胁向移动威胁的迁移,预防潜在的移动安全高级威胁。


需要特别说明的是,目前有不少企业的对外服务和核心业务主要以移动互联网为场景,目前这类企业遭受的移动威胁的影响也颇为严重,建议结合移动终端身份识别、移动终端环境安全检测以及积极建设面向业务的风控系统持续加强威胁对抗和响应能力。


五、预见



5.1 移动威胁进入APT时代

APT攻击的一个基本规律是:攻击是否会发生只与目标承载的资产价值和与更重要目标的关联度有关,而与攻击难度无关。这就使当移动设备承载更多资产,当智能终端的使用者也覆盖敏感人群,或他们的亲朋好友时,面向智能终端的设备的APT系统性的产生就成为一种必然。


在移动互联网时代,移动智能终端已经高度映射和展现人的重要资产信息和身份信息,除此之外,移动设备同时还具备极高的便携性和跨网域的穿透能力。从2016年出现的一些不同动机的攻击技术,预示着通过移动设备作为攻击跳板,可以实现对企业内网、物联网甚至基础设施的攻击。移动威胁会综合移动的高级攻击技术、移动互联网络的战略意义以及针对重点目标的战术价值为APT攻击组织提供更加丰富的攻击能力、攻击资源和战术思路。

5.2 隐私泄露导致移动威胁进一步加深

随着物联网、智慧城市的推进,摄像头、手机、可穿戴设备等智能硬件的普及,以及关系到大众民生的各种信息系统的互联互通,人们的生活方式都会网络化,所有主体的信息都会数字化,与此同时移动终端系统、物联网系统不断的被挖掘出高危漏洞,信息和数据泄露事件短期内看不到下降的趋势。


隐私泄露和移动攻击的泛滥和融合还会进一步加深,带来普遍的欺诈泛滥、威胁碎片的长尾化,对整个移动威胁的商业价值带来的长远影响。对于这一问题,安天将在后续发布的“基础威胁年报”给予更多解读。


5.3 企业级场景的移动威胁会大量出现

2016年出现了以移动应用作为中间跳板尝试对内网进行渗透,窃取内网的重要信息的恶意代码,同时,在年底出现了篡改用户手机连接的Wi-Fi路由器DNS进行流量劫持的移动恶意代码。移动终端、Wi-Fi路由都是当前针对企业场景攻击的重要的支撑点,当前大多企业对于移动威胁的检测和防御并没有引入有效的解决方案。从移动威胁的发展趋势来看,基于移动终端设备或应用的跳板攻击倾向性非常明显,伴随着各种BYOD设备在企业办公中开始普及并广泛使用,2017年移动威胁在企业级场景中可能会出现一定规模的增长。


5.4 移动勒索应用或将持续进化和迁移

2017年移动勒索软件可能会向3个方向进化:与其它恶意攻击方式结合、通过蠕虫形式让勒索软件进行大面积传播、结合远程控制指令对更加精确性的攻击。Android端的勒索软件会包含PC端勒索程序或者携带物联网恶意软件,进行跨平台发展,尝试感染PC或者智能设备。攻击者信息更加匿名。此外,类似PC端的勒索软件恶意勒索时使用比特币作为货币,通过匿名网络支付比特币这种形态会向Android平台迁移。


5.5 业务欺诈威胁损害凸显

年的“3.15晚会”上,“刷单”等网络黑灰产进入公众视野。恶意“刷单”主要使用机器大规模的自动完成垃圾注册和登录,通过大量的恶意账号、手机号码、IP地址进行虚假交易,通过刷信用,买家套现等技术手段来套取利润。“刷单”产业链已经逐步职业化、专业化,在虚假交易产业链上,上下游分工明确,分工涉及手机服务商的验证、快递公司甚至欺诈团伙。互联网企业遭受的业务欺诈威胁问题已经开始凸显出来。


六、总结



过去几年,是中国移动网络产业高速领跑发展的时代。以移动支付、移动社交、移动商务等为代表的移动互联网应用水平已经走到世界前列,移动基础设施建设也正经历高速发展和更新换代的阶段,中国自主品牌的手机产量也已经跃居全球第一,中国手机品牌正在获得全球用户认可。伴随着中国移动产业和应用的高速发展,移动威胁快速滋长。巨大的用户基数、较高的应用水平、全新的业务探索都必然导致中国用户面临的移动安全威胁风险规模前所未有,手段持续泛化演化,模式关联复杂深远,受损范围广阔深远。我国移动产业的发展速度和覆盖广度已经决定了在移动安全体系的整体推进上我们已经没有可以全面师法的对象,也已经没有必要跟着硅谷的所谓创新实践亦步亦趋。我们一方面需要加强全球移动安全共识和协作,一方面更需要走出自己的科学化、体系化移动安全发展道路。


通过威胁情报的分析、加工和分享,从而对威胁进行准确定性、定位、定量,来满足和解决特定用户群体所面对的特定安全威胁,提供对用户比较有效,甚至一劳永逸式的解决方案,这样的体系或许是未来的发展方向。过去的一年,我们继续致力于移动安全领域,加强对移动领域威胁的观察、感知、分析、追溯、处置和反思,持续以体系化的方式加强与移动威胁的对抗。这份年报也是我们持续观察和感知过程中的一些所见、所为和所思。


移动互联网在过去一年仍然面临着恶意应用的持续威胁,新增威胁继续涌现,威胁手段持续进化,攻击者加强仿冒、社工欺诈、勒索手段、权限冒用、开源组件恶意利用等攻击手段的使用。同时存量威胁依然泛滥,电信诈骗拦截马、扣费、流氓、色情等威胁仍在持续演化和进化。这些恶意应用威胁在当前整个传播链条监管尚不十分完善的安全防护背景下,依然会造成巨大的安全风险和资产损失,大多时候只能依靠普通用户的自我安全意识提升来抵御威胁。面对这些威胁,在威胁检测,工程化对抗和基于海量数据的威胁情报作业上,我们已经有了比较充分的准备,能够在威胁早期甚至威胁出现之前形成可防御的能力,但这些能力手段,与我国庞大的网络资产规模和用户体量相比,还有赖于通过和产业、用户的进一步联动更好的发挥作用,同时仍需要持续地与市场需求、商业规律结合以找到自身独特的价值和生存空间。


移动互联网系统也正经历着快速发展,网络制式、操作系统在短短几年间,发生多次代际升级和版本更新。沙盒、权限等安全机制的持续引入一定程度上对原有安全体系起到了增强作用,但由于威胁方式和手段的复杂多样,种类繁多,很多原有威胁手段依然有效,并进一步利用系统和网络的新特性新功能进行自我演进,比如传统恶作剧手段逐渐升级为勒索威胁、0-day甚至N-day漏洞攻击依然有效。从系统层面看,更多的还是依赖于更完善、全面、有效的整体安全规划和体系建设。在这个过程中需要系统规划和建设者与安全厂商密切协作,在系统的设计、实践中引入多种检测、防护、加固和阻断等安全手段和机制,在系统的使用中持续不断进行检测、阻断和升级完善。同时由于不同版本、地域、模式带来的碎片化问题,我们也在积极地通过归一化和定制化相结合、数据驱动和手段创新相适应的理念完善系统安全手段。


移动设备与传统设备的一个关键的不同是信息承载的类型和价值——移动设备上有着与人更直接关联的数据信息。在互联网、通信网、物联网甚至工控网不断连接和融合的时代,不论是移动设备、移动系统、移动应用中对个人信息的泄漏,还是来自个人PC、企业组织内部信息系统、互联网服务信息等渠道的个人信息泄漏,这些数据和信息流最终都有可能经由黑色产业链对移动安全中的个人和组织造成威胁。因此对移动安全而言,进一步加强信息流中的安全监管和防范非常必要。通过对短信钓鱼、应用隐私泄漏、网络隐私泄漏、电信诈骗等威胁检测手段和管控制度的加强,可以在移动终端这个信息流的最终环节起到有效的威胁防范作用,这对个人隐私安全乃至移动APT防御都将大有裨益。


移动安全体系的构建离不开移动产业供应链体系的协同。在供应链的设计、制造、销售、使用、回收等各个过程中,都有可能被引入安全威胁。每个环节被引入的安全威胁既有可能造成自身的安全损失,也有可能进一步造成其他环节的安全损失。因此通过芯片、设备、系统、应用、服务、网络等供应链中的各个环节加强安全手段,一方面可以有效对抗自身环节面对的安全威胁,另一方面也可以对其他环节的安全威胁起到防范作用。从威胁防护来看,安全厂商应该积极参与供应链的防护,为供应链中不同层次不同角色厂商提供基于威胁特性的针对性防护方案。针对芯片、系统等应该引入具有基础防御作用的安全方案,加强全局安全体系辐射作用;针对服务、网络等关键信息基础设施,应该加强对自身安全和信息流的防护,提供稳定安全的基础服务体系;针对应用、个人等,应该面向更具象的威胁提供检测和防护能力;通过不同环节的安全协作,增强整个供应链体系及其全生命周期的安全性,提升移动生态体系安全。


由于安全威胁的复杂性,安全体系建设的艰巨性,这份报告中的部分观点可能并不成熟,但我们会持续在移动安全领域耕耘,为更加安全的移动安全环境贡献自己的力量。在这个过程中,我们不仅会坚持对关键、基础、共性、领先技术手段的持续创新,也会更加积极的开展产业协作,同信息流和供应链中的所有角色一起建设更加完善的移动安全体系。


通过这些协作,我们坚信领先的安全技术能够转化为坚实的用户安全价值。我们将为用户提供更加有效的安全威胁情报,帮助用户掌握和感知威胁态势,同时为用户提供更加精准的安全解决方案,用领先的移动威胁检测和安全防护产品和服务,保护更多的用户。


典型的移动威胁事件时间轴


 点击左下角阅读原文,查看完整版年报!


安天移动安全公司

安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。

安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。

安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与OPPO、VIVO、小米MIUI、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商建立合作,为全球超过6亿终端用户保驾护航。

更多信息详见公司官网:

电话: 027-8768-8199

邮箱: cooperation@avlsec.com


更多技术文章,尽请关注AVLTeam官方微信


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存