Author Archives: AVLTeam

Gaza Cybergang在移动端对阿拉伯语地区的攻击事件

一、背景

  Gaza Cybergang又名Gaza黑客军团,是一个使用阿拉伯语且有政治动机的网络犯罪组织。其进行情报收集的主要地区位于中东和北非(MENA),特别是巴勒斯坦领土。包括卡巴斯基在内的多家安全厂商都曾对其在PC平台的鱼叉攻击行为发布过多篇报告,但是尚未有安全厂商对该组织在移动平台的犯罪活动进行披露,随着移动平台的日益重要和情报价值的进一步凸显,AVL移动安全团队注意到一起由该组织实施的移动端攻击行为,并捕获了一系列恶意代码。下面,AVL安天移动安全将以此事件为蓝本进行具体分析说明,希望能对于这期MAPT行为进行深度还原,为基于移动平台的高级持续性威胁防范提供防御借鉴思路。

二、样本事件线

三、样本概述

  从AVL安天移动安全捕获的恶意样本编译时间看来,恶意代码主要活动于2015年11月到2017年12月这段时间,持续了大约两年时间,并且从样本的代码风格和技术演变上来看,大体可以分为两组样本。两组样本都包含间谍软件的基本功能——隐私窃取功能,这包括:通话记录和录音、地理位置、短信、浏览器记录、启用摄像头拍照和手机中存储的各种文档等信息,但是两组样本前后两年间在窃取的隐私内容和上传方式上基本没有发生变化,仅仅只是混淆和加密程度有所加强,以及分发策略做了不同的调整,这也是我们进行归类的一个原因。

我们捕获到的所有此系列样本,都会使用如下图所示的这种RESTful API的方式进行http通信,区别在于早期的通信过程没有对字段进行混淆,衍化版本中对这些内容做了混淆处理。

通过安天内部的样本大数据搜索引擎,我们发现有这样一个字符串“945673128”反复出现在了这组攻击的样本中,这个字符串被用于在通过IMEI等信息来生成标识当前宿主设备的UserId信息。可以观察出该字符串带有明确的唯一性,但是由于缺少更多信息,是否具备特殊含义或者象征意义,尚无法确定,但是这并不妨碍我们利用该字符串进行对应的样本关联,并且以此作为关联的一个强特征。

四、攻击方式

社会工程学
根据Kaspersky在2017年初报告[1]中的披露,这是一起主要针对以色列国防军军人的网络攻击,早期的Dropper空壳应用的传播媒介主要是通过社交网络,攻击者通过网络虚拟年轻的女性和受害者进行聊天,通过性暗示诱导受害者安装具有Dropper功能的释放器。而Dropper应用一旦被安装到受害者的移动设备,则会择机下载合适payload,伪装成系统或者是某个应用的更新包诱导受害者进行安装。
仿冒知名应用
该攻击组织不仅通过社会工程学对用户的设备进行入侵,还有疑似通过对知名应用的仿冒,来欺骗用户安装Dropper并下载对应的payload,因为仿冒知名应用能够利用受害者对知名应用的信任心理,降低对网络入侵的防备。
YeeCall、8 Ball Pool – Billiards和movetoios这组应用分别涉及到:社交类、游戏类和工具类的领域,都是比较大众的应用,所以我们较难从中发掘攻击组织针对性的选择攻击群体是哪些,但是可以推断应该是该组织因为某些战略因素在扩大情报的收集范围,进行了较为广泛的攻击。

Google Play平台分发
2017年底,我们再次捕获到一组新的间谍应用,这组恶意软件疑似采用了新的分发策略,它们绕过了Google的应用上架安全检查,上架到 Google Play的应用市场中,经过我们对它们和之前针对以色列国防军的那批样本的比对分析,可以看到较为明显的关联性,这组样本不用再通过其他手段作用于用户终端,也不用通过伪造系统或者是某个已安装应用的更新包进行payload的释放了,Google Play作为全球最大的Android应用分发平台,可以极大程度的削弱受害者的防备心理,但是实际上对于有着具有丰富资源支持的攻击者而言,绕过Google Play平台的安全检测并不是一件十分困难的事情。

五、技术特征

 Dropper
早期的通过社会工程学的方式分发的空壳应用,为了规避查杀,在Dropper中并没有包含任何和隐私窃取有关的功能,所有的恶意功能均在稍后下载安装的payload中进行。其中在Dropper释放payload的时候,会通过本机安装的应用列表来决定释放在宿主机器上安装payload,从而尽可能的增强自己的隐蔽性。

混淆
代码中大量使用ProGuard对类名、方法名和变量名进行混淆,在版本迭代的过程中开始对RESTful API格式的通信流量中的字段进行混淆处理,目的应该是依次规避流量查杀和增加安全人员的分析成本。
初期只是对代码中的类、方法、变量名进行了混淆。

后期改进的版本混淆了RESTful API格式的通信流量中的字段。

加密
对于payload子包的获取,Dropper从网络王获取到的全部都是使用AES加密的文件,当文件下载到本地,早期使用的是硬编码在本地的AES密钥进行解密,在中期的衍化版本中使用讲key和iv向量分别放置在assets目录下的两个文件当中,在解密的读取方式下对密钥进行隐藏。

到了再后来的版本中,开始对联网的C&C信息进行加密,依然采用的是上一代类似的assets目录下存放a、b两个分别是key和iv的方式,C&C相关的配置文件同样存放在assets目录下被命名为c的文件中:

解密出的C&C配置信息:

对于上传文件采用压缩加密的方式,密钥为“#DP%&YJ*$354.lq dA1e”

Payload更新
在所有的Dropper中都包含对payload的更新功能,独立的payload也包含对自身的更新检查和从网络上游拉取最新版本的功能,这样可以保证实现的攻击部分能够得到较为灵活的控制能力。

六、攻击者和目标群体

  根据上文在仿冒知名应用环节的描述,我们一般可以通过对仿冒应用的用户群体,来间接推测出攻击者在选择受害者群体时的意图倾向,装机量可以在一定程度上说明这个问题,下图为我们通过安天AVL Insight平台查询到的YeeCall正版应用在终端的情况,通过这个数据我们可以间接的了解到攻击在选取受害人群的地域倾向,这里可以看出重点地区在印度、沙特阿拉伯等地区,这一点和Gaza Cybergang组织的攻击区域是基本吻合的。

根据Kaspersky在报告[1]中的情报可知,我们在2015年11月至2016年8月期间捕获到的部分Dropper是用来针对以色列国防军的,这一点也是和Gaza Cybergang组织在曾经实施攻击的群体是有重叠的,而我们后续捕获的诸多样本,也皆是这一系列的变种。
根据外部情报[3],我们捕获到的C&C也在公开情报中被指出这是和哈马斯组织有关的网络攻击事件。

而Gaza Cybergan是一个被认为与巴勒斯坦抵抗组织哈马斯有联系的黑客组织,在2012年首次被发现。在2016年初,其攻击目标主要是以色列、埃及、沙特阿拉伯以及伊拉克。
根据我们的关联分析,我们认为这组攻击归于Gaza Cybergang(针对阿拉伯语覆盖区在移动端的最新攻击动向,这组攻击样本显示出该组织可能在阿拉伯语地区利用Android平台进行更加广泛的情报收集工作)。

七、总结

  在这次事件中,攻击组织在技术上可以看到明显升级迭代,攻击人群也由单点的以色列国防军扩散到更加广泛的阿拉伯语使用地区,攻击者并没有展现出特别高级的攻击技术,但是在分发时利用人性的弱点作为切入点的钓鱼手段,总是让人防不胜防。这也再次验证了“人是信息安全的最大尺度”这一论断,同时攻击组织将精心构造的恶意样本上传至正规应用市场,极大程度的削弱了受害者的安全防备意识,对于具有较高安全要求的特定企业和组织,如果将移动设备的安全性全部寄托在应用市场的上架检测上,那必然会对自身的安全带来高风险隐患。
目前的网络攻击事件慢慢的展现出了PC、移动两端双管齐下的态势,建议组织机构应提高安全防范意识、及时修复漏洞;使用成熟的企业级安全解决方案有针对性地分析、捕捉异常网络攻击事件;向我们及时提供最新的威胁情报数据以强化威胁防范与查找发现措施。
AVL安天移动安全作为移动反病毒领域的领先者,也将继续保持对此类事件的重点关注,提高安全防护能力,持续的对用户的终端信息安全和财产安全进行保驾护航。

八、IOCs

样本MD5
19CD219BBB62F9BA3655B0DADF324EE2
D6EF9B0CDB49B56C53DA3433E30F3FD6
D652113A710BEF40F91F890BB6395E6D
4DDF3FF57DB24513A16EACB99AD07675
9EC6823230AB22BA1BEC76ACB869E7F9
4A71557DD68A260B250A96C4AC2B230F
AB062D97943CB28647738F17C328B926
754B8FA89F8E86BA4467BD3EA7C613CE
3C21E0D77F8FB350255A080838058095
7E98A474B77CF5807186DAC773D355C7
3F401889A6805D8A702DBFA905B3E85C
EBD8F1104E138EA07B3DBF432D855987
57917F2B37FD187104B8775A831605F7

C&C
bestdroidfriend.com
endpointup.com
twosuite.com
chatackapp.com
vokachat.website
fastdroidmob.com
androidmobgate.com
androidbak.com
sweetdroids.com

九、附录

附录1:

Breaking The Weakest Link Of The Strongest Chain


附录2:
https://blog.lookout.com/viperrat-google-play
附录3:
https://ddanchev.blogspot.com/2019/05/exposing-yet-another-currently-active.html

VirtualAPP技术应用及安全分析报告

一、引言

  VirtualApp(简称:VA)是一款运行于Android系统的沙盒引擎框架产品,可以理解为轻量级的“Android虚拟机”。VA具有免安装、多开、内外隔离及对于目标App完全控制的能力。VA从表现形式上属于动态加载,但是从技术本质上来说还是通过增加VAMS对启动Intent进行修改,拦截和代理Android系统消息,并且通过自定义的ClassLoader加载和构造未在VA的AndroidManifest.xml中声明的组件,以达到对目标App的控制效果。

  在应用运行时通过动态加载消息代理技术,作为一项在Android系统上已经可以成熟使用的手段,除了在VA虚拟引擎框架中,目前也广泛应用在热更新、应用加壳和应用动态保护等功能中。正常使用VA虚拟引擎技术一般是为了实现轻量级版本快速迭代、功能更新、bug修复和特定安全防护,但是恶意和流氓应用使用该技术一般是为了逃避安全检测,延长生命周期,获取更大的利益。
 
  无论是动态加载的插件化技术,还是基于VA的虚拟化引擎技术,从安全属性上而言,都在一定程度上挑战了Android系统的安全要求,谷歌和苹果对上架应用都有对应的规定——禁止使用动态加载功能。虽然如此,仍然有大量开发者对VA技术有需求,包括在Windows平台上,也有官方API提供特定窗口和消息的Hook机制,用来满足开发者的应用开发需求,可见这种技术本身也是具有两面性的,我们需要客观看待。

 安天移动安全从2016年开始持续加强了对VA相关技术和应用的关注,并在VA类样本分析、检测等方面也有了不错的成果及独特的见解。下面我们对基于VA恶意及非恶意样本传播情况进 行了统计,如图1所示:

  从图1的数据上看,VA技术从诞生开始,整体上非恶意的应用数量就偏少,一直在一个较小的范围,而黑产对于该技术的采用则激进很多,在前期就大幅增加,后期则随着恶意代码规模的减小而减小。

二、VA技术带来的安全风险

  VA技术目前也有用于正常用途的,比如部分游戏爱好者拥有多个账号,部分白领由于工作原因需要对于个人社交软件和工作用户社交软件进行隔离,这一类的需求一直很旺盛。

  但是VA实际上也会给运行在VA中的App带来不可忽视的安全风险,即APP的运行环境完全被VA控制,安卓的沙盒隔离机制被突破,并导致不必要的攻击入口和风险面暴露。

   VA技术动态加载可以在运行时动态加载,并解释和执行包含在JAR或APK文件内的DEX文件。外部动态加载DEX文件的安全风险源于:Anroid4.1之前的系统版本容许Android应用动态加载存储在外部目录中的DEX文件,同时这些文件也可以被其他应用任意读写,所以不能够保护应用免遭恶意代码的注入;所加载的DEX文件易被恶意应用替换或者注入代码,如果没有对外部所加载的DEX文件做完整性校验,应用将会被恶意代码注入,那么攻击者编写的任意恶意代码将会被自动执行,从而进一步实施欺诈、获取账号密码或其他恶意行为。例如QQ游戏Android客户端漏洞导致任意代码执行和密码泄漏。

三、VA技术带来的现实威胁

VA技术是在虚拟空间中安装、启动和卸载APK,是应用级的虚拟化技术,VA中运行的恶意应用软件可以逃避杀毒软件的静态检测,VA框架也被黑灰产用于开发多开工具、改机工具、抢红包工具等方式实施恶意行为。VA框架上运行的插件应用程序也被引入了代码修改风险,重打包的应用程序存在隐私泄露、被植入广告等危害。下面我们将详细分析VA技术带来的现实威胁。

(一)作为灰产工具的应用

1.1作为多开工具的应用

VA创建了一个虚拟空间,使用者可以在虚拟空间内任意的安装、启动和卸载APK,因此产生了大量的多开工具。

多开工具一直倍受微商、刷量工作室、羊毛党的青睐。通过明码标价,服务于意向商家,以低成本甚至零成本换取了高额利润。表1即是部分用于电商、微信的多开工具。

1.2作为改机工具的应用

开发者利用VA自带的JAVA层Hook,开发了改机工具,包括修改设备参数,虚拟定位等工具。

以虚拟定位工具为例,该应用通过遥感设置虚拟位置,能够实现虚拟定位的功能,应用运行截图如图2、图3、图4所示:

详细的流程如下:

(1)安装需要定位应用

(2)设置虚拟位置 输入位置信息,通过百度地图获取对应经纬度信息。

接收定位信息,设置目的位置。

(3)实现定位功能 获取虚拟数据,通过加载包com.lody.virtual.client.hook.proxies.location实现虚拟定位功能。

1.3作为抢红包工具的应用

目前流行的抢红包功能实现有两种方案,一种是通过Android AccessiblityServices监测用户窗口,模拟点击,一种是利用Xposed框架对红包相关的函数进行Hook,第二种方案需要Root权限,但是不必打开微信界面即可抢红包。VA提供了免Root Hook能力,通过使用开源热更新框架替换函数,实现自动抢红包功能,下图5为利用VA的抢红包工具。

该红包工具通过框架AndFix替换系统函数,模拟点击红包消息、拆红包。

模拟点击红包消息代码:

拆红包代码:

(二)协助恶意样本逃避静态检测(即免杀) 由于VA的特性,大量恶意应用通过将功能包加密存储在VA内,实现动态调用。传统的静态检测皆是对应用的包名、证书、代码等进行识别,在检测VA应用时,识别的则是VA的信息,没有恶意特征,因此躲避了查杀。 对于库内VA样本进行筛选,发现大量色情应用使用VA特性绕过检测,部分应用如下表所示。

(三)为APP提供运营环境(即重打包)

3.1基于VA环境的隐私窃取

VA代码可以不通过修改代码即重打包应用,且自带免Root Hook能力,绕过重打包检测的同时,实施恶意行为。以Trojan/Android.twittre家族为例。

通过VA启动Twitter,Twitter启动后,修改后的VirtualCore模块Hook了EditText类的getText函数,从而在Twitter登录窗口劫持用户的输入,窃取用户的登录凭证。

3.2基于VA环境的广告植入

由于应用运行在VA环境下,因此很多重打包应用会植入广告部分。

以某类重打包应用内嵌广告为例。 (1)内嵌广告结构:

(2)监听应用安装,启动广告服务:

(3)上传设备固件信息,请求广告:

(4)下载应用,判断“adType”,通过VA安装该应用:

四、VA检测及防范措施

  通过分析,可知VA技术在实现双开或其他模板时破坏了安卓的沙盒隔离机制,并且让用户产生因为和系统隔离而带来的安全感,需要知道的是这种技术性隔离也是从事实上拒绝了系统原生安全机制,并引入了新的风险以及运营成本,同时VA技术也给系统带来了不小的安全隐患,无法检测恶意实体、母体权限过大、安装绕过、绕过市场监管等是目前无法进行有效防护的主要因素。在VA安全防范方面,应确保所加载的DEX/APK文件的传输通道和存储位置安全,或者对加载源进行完整性校验和白名单处理。

  在VA检测技术方面,自2016年下半年以来,安天移动安全持续对手机双开应用进行标定。无论是VA类的恶意样本,还是常规恶意样本,安天移动安全都进行了有效的对抗,基于自动化预处理平台,可以对未知样本进行细粒度的解析,生成对应的结构化中间件结果,并利用前置引擎进行有效降维,为后期样本分析和科学研究产生高价值数据。安天移动安全检测框架则从不同维度对未知样本进行检测,从证书、符号、操作码等常规检出维度上升到文件结构以及自定义向量等高维层次进行计算,有效保持在移动恶意代码处置上的竞争力。安天移动安全也正在持续加强同国内一线终端厂商深入合作,通过融入系统底层安全机制,为上层应用生态提供原生级的安全防护能力。

五、安天移动安全引擎技术体系助力打通产学合作

  安天移动安全长期与高校展开产学合作,本着“以理论突破技术发展,以技术反哺理论创新”的思路,致力在移动终端恶意代码检测技术领域研究出新的成果。武汉大学史鹿曼、傅建明等人发表的《“Jekyll and Hyde” is Risky: Shared-Everything Threat Mitigation inDual-Instance Apps》论文,成功被第17届ACM移动系统、应用和服务国际的会议(简称MobiSys 2019)收录,该论文针对双开应用程序创造性地提出了新的恶意VA检测方法,安天移动安全为该论文研究提供了丰富的恶意样本分析训练数据和分析检测模型支持。

➣除了VA类的恶意样本,安天移动安全对各种隐私危害、不良不规范和恶意类型的移动恶意样本有着深刻的认知和技术积累,并形成了完整的自动化预处理平台和不同的安全检测框架。欢迎高校、研究机构或企业单位与我们一起探讨移动恶意代码检测分析难题。

➣联系邮箱:research@avlsec.com

关于海莲花组织针对移动设备攻击的分析报告

一、背景

  ”海莲花”(又名APT-TOCS、APT32、OceanLotus),被认为是来自中南半岛某国的APT攻击组织,自2012年活跃以来,一直针对中国的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动的最活跃的APT攻击组织之一。

  安天及其他安全厂商在之前已经发布过多份关于海莲花的分析报告,报告的内容主要集中在PC端,攻击手段往往以鱼叉攻击和钓鱼攻击为主,移动端的攻击并不多见。然而,随着移动互联网的发展,一方面人们的手机逐渐出现两用性,除了包含使用者的个人隐私外,也往往会带有其社会属性,另一方面,智能手机的无线通信可以绕过内部安全监管设备,故而针对移动端的攻击也成为了整个攻击链条中的重要一环。下面,安天移动安全以发生于我国的一起移动端攻击事件为蓝本进行具体分析说明。

二、具体分析

表2-1 典型样本基本信息

  该应用伪装正常应用,在运行后隐藏图标,后台释放恶意子包并接收远程控制指令,窃取用户短信、联系人、通话记录、地理位置、浏览器记录等隐私信息,私自下载apk、拍照、录音,并将用户隐私上传至服务器,造成用户隐私泄露。

三、样本分析

  该应用启动后会打开LicenseService服务:

  该服务会开启f线程用于注册和释放间谍子包:

注册url:http://ckoen.dmkatti.com

  动态加载间谍子包:


  子包分析:
  主包反射调用com.android.preferences.AndroidR类的Execute方法:

  首先建立socket连接:

  socket地址:mtk.baimind.com
  通过与手机建立通讯,发送控制指令和上传短信、联系人、通话记录、地理位置、浏览器记录等部分隐私信息。

  此外该间谍子包还建立了https通讯,用于上传录音、截图、文档、相片、视频等大文件。


  https地址:https://jang.goongnam.com/resource/request.php,目前已经失活,该C2属于海莲花组织资产。

表3-1 CC所在位置及作用

  如下图所示:首先,签名Subject中包含HackingTeam、Christian Pozz(Hacking Team中一个管理员的名字)字样;其次,代码中的注册功能,可以认定是对外出售的商业间谍软件;最后,根据后期Hacking Team泄漏资料来看,海莲花组织所属国家亦在其客户名单之中。

四、拓展分析

  根据注册CC的同源性,我们查找到如下样本:

表4-1 通过CC检索到的同源样本

  与我们分析的样本不同,以上样本有了明显的功能改进,增加了提权功能,以45AE1CB1596E538220CA99B29816304F为例,对其assets目录名为dataOff.db的文件进行解密,解密之后的文件中带有提权配置文件,如下所示:

  由此可见,在代码泄漏后HackingTeam组织的CEO表示“泄漏的代码只是很小一部分”的言论是有依据的,这也从侧面反映出网络军火商在一定程度上降低了APT攻击的门槛,使得网络攻击出现更多的不确定性。

  同时我们也注意到,该系列恶意代码有通过国内第三方应用市场和文件共享网站进行的投递。

表4-2 样本分发链接

五、总结

  海莲花组织总是在演进变化,不断地通过更新其攻击手法和武器库以达到绕过安全软件防御的目的。除了武器库的不断更新,该组织也相当熟悉中国的情况,包括政策、使用习惯等。这不仅迷惑了相关人员,增加了其攻击成功率,同时也可能给目标受害群体带来不可估量的损失。因此对于个人来讲,要切实提高网络安全意识,不要被网络钓鱼信息所蒙蔽;对于安全厂商来讲,更需要对其加深了解并持续进行针对性的对抗,提升安全防护能力,真正为用户侧的移动安全保驾护航。

六、附录(IOC)

5079CB166DF41233A1017D5E0150C17A

F29DFFD9817F7FDA040C9608C14351D3

0E7C2ADDA3BC65242A365EF72B91F3A8

C630AB7B51F0C0FA38A4A0F45C793E24

CE5BAE8714DDFCA9EB3BB24EE60F042D

BF1CA2DAB5DF0546AACC02ABF40C2F19

D1EB52EF6C2445C848157BEABA54044F

45AE1CB1596E538220CA99B29816304F

50BFD62721B4F3813C2D20B59642F022

86c5495b048878ec903e6250600ec308

780a7f9446f62dd23b87b59b67624887

DABF05376C4EF5C1386EA8CECF3ACD5B

86C5495B048878EC903E6250600EC308

F29DFFD9817F7FDA040C9608C14351D3

C83F5589DFDFB07B8B7966202188DEE5

229A39860D1EBEAFC0E1CEF5880605FA

A9C4232B34836337A7168A90261DA410

877138E47A77E20BFFB058E8F94FAF1E

5079CB166DF41233A1017D5E0150C17A

2E780E2FF20A28D4248582F11D245D78

0E7C2ADDA3BC65242A365EF72B91F3A8

315F8E3DA94920248676B095786E26AD

D1EB52EF6C2445C848157BEABA54044F

DABF05376C4EF5C1386EA8CECF3ACD5B

AD32E5198C33AA5A7E4AEF97B7A7C09E

DF2E4CE8CC68C86B92D0D02E44315CC1

C20FA2C10B8C8161AB8FA21A2ED6272D

55E5B710099713F632BFD8E6EB0F496C

CF5774F6CA603A748B4C5CC0F76A2FD5

66983EFC87066CD920C1539AF083D923

69232889A2092B5C0D9A584767AF0333

C6FE1B2D9C2DF19DA0A132B5B9D9A011

CE5BAE8714DDFCA9EB3BB24EE60F042D

50BFD62721B4F3813C2D20B59642F022

C630AB7B51F0C0FA38A4A0F45C793E24

810EF71BB52EA5C3CFE58B8E003520DC

BF1CA2DAB5DF0546AACC02ABF40C2F19

45AE1CB1596E538220CA99B29816304F

5AF0127A5E97FB4F111ECBA2BE1114FA

74646DF14970FF356F33978A6B7FD59D

DF845B9CAE7C396CDE34C5D0C764360A

C20FA2C10B8C8161AB8FA21A2ED6272D

641F0CC057E2AB43F5444C5547E80976

七、致谢

感谢奇安信红雨滴团队(原360企业安全威胁情报小组)对于因sinkhole造成的域名归因疏漏的热心指正。

安天移动安全反病毒技术发展报告——安天移动恶意代码对抗的8年之路

一、前言

  2010-2018年,八年来移动互联网产业发生着巨大的变化。而在这八年间,黑产势力也乘着移动互联网高速发展的东风,持续扩大产业和恶意攻击规模。Android作为拥有最大市场的移动智能设备平台,其移动恶意代码无疑是近年来最主流的移动安全威胁之一。

  本文通过移动恶意代码对抗视角,回顾移动恶意代码技术发展路径,并介绍安天移动安全自2010年成立至今所始终坚持的移动恶意代码对抗的八年之路以及对未来移动恶意代码对抗趋势的理解,分享八年来安天移动安全对移动恶意代码对抗的所见、所思与所为。此外,我们还将在2019年3月发布2018年移动安全威胁年报,分享更深度的移动安全威胁和技术透视。

  需要说明的是,本文中围绕的移动恶意代码对抗主要基于Android平台。一方面是因为Android平台是多年来移动恶意代码对抗的核心主战场,另一方面当前iOS生态系统采取了相对更封闭的生态构建策略,并从芯片、系统、应用到生态有着大体量的安全投入,其巨大的投入和生态一体化策略有效的限制了iOS恶意代码的规模化生产与传播;以及Symbian系统在2013年退出竞争,其它平台尚未兴起的情况,因此iOS与Symbian等平台的情况皆不在本文中作重点介绍。

二、移动恶意代码对抗过程概览

  相比传统PC端恶意代码,移动恶意代码的发展更具有针对性、技术叠加性和快速演变演绎的特点。回顾八年来移动恶意代码的技术发展,可以看到的是每次技术革新的背后一定都伴随着恶意威胁的产生与发展,攻击者出于对利益的追求,持续不断在加强对新技术的应用能力以及与安全防护的持续对抗,也在不同的阶段展现出了不同的特点。

  敌暗我明的攻防格局下,安全攻防注定是高密度的、持久的、动态的,移动安全工作需要投入巨大的时间和空间成本。安天移动安全、Bitdefender、Kasperskey等国际上拥有自主移动恶意代码对抗技术的安全厂商纷纷通过重载安全体系化建设投入,基于自身优势特点,开创了不同的安全工作路径,以切入这片移动恶意代码对抗的国际化战场中。

  下面我们将重点和大家分享安天移动安全自2010年至今8年间的移动反病毒技术的重要发展阶段与成果。

三、安天移动恶意代码对抗的八年之路

第一阶段(2010~2012):本地细粒度检测引擎

  2010年,安卓平台上出现了史上首个移动恶意代码,不同类型恶意代码虽已崭露头角,但据统计,2010年全年出现的移动恶意代码家族仅约十个,总共病毒个数不到两千个,整体恶意样本暂未形成规模。

  在这一年,安天移动安全公司成立并正式开启了移动威胁对抗的征程,移动端本地检测引擎便在这一年诞生。而在这一年,海外的一些国际知名安全厂商早已在移动安全赛道拥有较为殷实的能力积累。与他们相比,此时的安天移动安全恰是一颗移动恶意代码对抗领域的“新星”。

  由于移动端与PC端特性差异以及恶意代码发展路线和趋势差异,与传统的PC端恶意代码对抗的作战思路不同的是,2010年在整体恶意规模较小的情况下,我们通过迅速构建本地细粒度检测引擎争取到了弥足珍贵的激烈移动安全对抗前的时间窗口,为未来恶意代码爆发性增长所需要的整体工程化对抗体系建设提供了关键性的能力支撑。

  2010~2012这个阶段,安天移动反病毒引擎V1版完成研发并持续迭代,建设了良好扩展性的反病毒技术基础架构,极好保障了未来几年移动安全对抗体系化建设以及能力演进扩展:

1、实现了本地多层次、细粒度、应用包体分析器

  为了应对后续恶意代码爆发式增长的局势,在移动恶意代码规模较小的态势前期,安天移动V1版引擎核心的构建主线并非为了检测,而是在于对应用包体实现了本地多层次解析和足够细粒度的应用数据提取。通过安天引擎构造出独有的核心应用数据结构,不仅能在本地检测引擎中通过智能调度和多分支化检测算法进行流转,还良好保障了第二阶段工程化体系建设的后端引擎所需数据结构的一致性,很好保障了后续安天能快速搭建安全工程体系以应对恶意代码迅速发展的形势。

2、实现了多特征组合检测以及本地插件化检测调度的基础技术架构

  基于所构建的移动应用包体分析器的预处理能力,可以获得应用关键多维数据构成的核心数据结构,在此之上,我们通过自研实现了多特征组合检测以及本地插件化算法逻辑调度引擎,能够支持多种检测能力的扩展组合,包括对应用包体-AM文件-二进制文件-代码指令等多维度解析数据的检测调度和灵活利用,有效保障了移动恶意代码检测的细粒度和深度的分析需求。

3、跨平台,可持续演进的引擎归一化架构

  在移动威胁对抗的初期,国内外生态格局尚未完全确立,Symbian,WinCE和后起的iOS和Android尚未形成明显的阵营化局面,因此在早期的技术体系架构上,安天移动反病毒引擎V1版选择了跨平台应用包体的支撑策略,一方面是为了适配当时的复杂格局对抗的需要,应对多应用平台上的应用包体和检测对象的需要,一方面是为了增强引擎技术体系架构的通用性,通过跨平台的适配打磨引擎对未来复杂场景和技术演变的可持续的支持。

  从今天来看,这一阶段我们对该技术线路的选择,很大程度确保了引擎架构的技术生命力和可持续性。安天移动反病毒引擎基于V1版本基础快速迭代至V2版本的内核架构后,至今已经将近7年未进行过重大重构,依然可以满足今天复杂对抗和平台技术演进的需要。

第二阶段(2013~2015):工程化体系建设与检测技术演进

  2013年,移动恶意代码开始到达十万级并在2013年底规模迅速发展至近百万级。移动恶意代码对抗战场中攻防双方结束热身并开始进入到激烈的正面对抗阶段。对于爆发式增长并在持续不断壮大的大规模移动恶意代码,势必需要后端拥有一套流水线作业的恶意代码分析和能力运维工程化平台以应对之。第二阶段便由此展开:

  1、建立高效的后端半自动化样本作业体系

  2013年,安天移动安全已经建立起集样本捕获、样本筛分与降维、样本自动化与人工结合分析以及能力运维的半自动化样本作业体系。归功于第一阶段末端本地细粒度引擎的研发实现,综合安卓应用包二进制文件的同源性特点,有效构建了末端和后端归一化引擎驱动架构,因此保障了样本自动化筛分降维以及自动化分析等环节建设的快速展开。

  并为了保证良好的后端作业效率,我们通过自主研发样本的自动化脱壳平台、样本逆向分析工具Smali Viewer、样本动态沙箱运行分析平台等,大大加快了安天后端体系对样本的处理效率。只有在流水线作业效率有良好保障的前提下,才能够真正将捕获到的最新海量样本快速转化成能力,并反哺到前端中。

  2、移动恶意代码检测技术的持续演进

  我们通过研发出安天移动专利技术-基于Opcode二进制代码执行恶意代码静态检测,匹配Opcode指令函数信息实现检测。这种方法与基于符号检测的技术相比,具有更强的启发式优势,不仅对常规恶意样本的识别能力进一步提升,并且对于新出现的未知样本也有很强的检出效果。

  为了更好应对恶意样本通过混淆加密等进行自我保护的问题,安天利用机器学习,通过对所捕获的家族样本的聚类特征进行大数据分析挖掘,研发出数据统计型规则检测方法,对于黑产团伙生产的移动恶意代码,即便其进行了很强的自我保护措施,也无法逃脱安天引擎统计型检测分支的火眼金睛。

  第二阶段,我们通过构建全面的体系化工程作业平台以及安全对抗技术的持续演进,有效保障了优秀的移动反病毒能力的输出。通过“不计代价“的安全工程和技术能力体系的投入,安天移动安全在2013年度获得了国际权威测评机构AV-Test颁发的移动安全“最佳防护”大奖。这一年,AV-Test将安天移动安全推向世界安全舞台,并受到了广泛的关注,安天移动安全正逐步成长为一颗具有行业领先反病毒能力的移动安全“明星”。

第三阶段(2016至今):泛化威胁对抗引擎升级

  多年来在移动安全厂商与产业链多方协作联合抵御恶意代码的努力下,传统移动恶意代码增速下降,但“顽强”的黑产势力自然不会示弱。2016年,移动恶意代码也正开启新一阶段的升级对抗,通过利用加固混淆、热更新等自我保护手段逃避检测、利用灰色的擦边球行为牟取巨大利益等打入用户设备,传统的基于静态的移动恶意代码检测机制已经不能完全应对泛化的移动恶意代码威胁。

  在这种形势下,我们在传统反病毒引擎和技术能力体系基础之上升级了泛化威胁对抗引擎,本文重点分享泛化引擎技术体系其中3个细分分支:

  1、芯片结合,强化“硬”安全机能和对抗融合

  2016年我们在已拥有海量的精细化样本标签数据、应用动态沙箱技术能力以及多年的应用级安全分析丰富经验与积累的基础上,利用人工智能技术,通过深度训练的AI模型构建移动恶意代码动态行为识别的引擎技术架构,保证了对移动威胁的终端实时感知力,能够更好解决静态引擎对于新型样本以及自我保护样本检测的盲点。

  而对于存储计算空间资源有限的移动智能设备,实时对设备应用行为向量进行复杂的AI运算无疑存在高性能消耗、无法商用的问题。基于此,2017年我们实现了与芯片结合的动态应用安全检测引擎技术,通过与国际知名芯片领军企业的合作,与高通芯片实现了底层的技术融合,能够通过高通芯片进行高效低耗的运算,从而保障了每款搭载了含安天动态分析引擎的芯片的智能设备都能够动态抵御来自更强技术对抗的新型移动恶意代码。

  2、动静结合,针对灰色软件构建检测体系能力

  对于灰色软件肆虐,由于其在行为上往往不构成传统对“恶意”代码的认知标准,一般不在传统的移动恶意代码检测范畴,但对用户轻资产以及设备使用体验上带来较大的困扰和威胁。

  基于此,我们建立了灰色软件检测平台,通过动态沙箱为主、静态分析技术为辅的技术构成,对应用的恶意分发、广告骚扰、非法内容以及强制操作、恶意扣费等灰色行为进行全面检测。值得一提的是,灰色软件其擦边球行为往往具有较强的针对性和隐蔽性(即灰产开发者为了逃避应用商店的上架审核,往往有意控制着灰色行为触发时机),对此,我们通过利用AI、专家知识和海量样本动静态标签库数据,构建了真机拟人沙箱场景以及全自动化的检测流程,有效保障了对灰色软件优秀的识别效果。

  3、端云协同,构建适配移动场景的纵深安全防御体系

  伴随着移动产业的迅猛发展和不断成熟,移动应用“百花齐放”并通过多种分发渠道和网络管道进入用户设备,为移动应用到达海量用户提供了轻量又便捷的到达方式,然而也为移动恶意代码到达攻击目标群体提供了更快捷和针对性攻击的机会。

  在技术上,我们基于终端所建立的优势安全技术阵地,以及对机器学习和算法的充分利用,彻底打通了海量终端和聚合后端的关系,并对原有半自动化样本作业与基于机器学习的自动化检测和处理的结合体系,升级为基于机器学习数据演算的人机协作工程化体系,进一步提升了防御体系的总体效率和效力。

  在合作体系上,我们通过面向管道侧与云侧提供移动恶意代码和灰色软件的引擎检测服务,帮助运营商、监管单位以及分发渠道迅速构建恶意代码识别、监管和管控能力,并且结合与手机厂商在终端上的安全检测合作,端管云协同实现了移动终端全链路的安全防御体系构建,与产业链伙伴一起全方位抵御移动威胁。

  这一阶段,移动恶意代码攻击技术到达历史顶峰,恶意攻击者利用技术革新也在持续发展强化自身的恶意代码对抗能力,因此只有安全厂商持续坚守在安全上的投入,不断迭代演进更强的技术以及协同产业链多环节共同应对之,才能在移动威胁对抗中不落下风,为用户提供更高质量的安全保障。

四、深度解析:移动反病毒能力测评和机构

  2013 年,安天移动安全自主研发的AVL Inside移动反病毒引擎以全年最高平均检出率荣获AV-Test“移动设备最佳保护” (Best Protection)奖项,成为首获此项国际大奖的亚洲安全厂商,实现了中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。

CCTV对我司荣获国际大奖进行大篇幅报道

  安天移动安全获得该重量级奖项,其所赋予的意义不仅仅只是代表安天移动安全,更是历史上第一次代表了中国乃至全亚洲在国际移动反病毒领域具有领先水平的重要发声。而颁发该奖项的背后机构AV-Test,又是何方神圣?其为何能在移动反病毒测评领域具有绝对的知名和权威度呢?我们又该如何客观的看待第三方机构的评定结果,并建立对移动反病毒引擎的正确技术评测标准?

国际权威测评机构介绍

  学术上普遍认为,移动反病毒测评输出可信的能力测评结果,需要以下多种因素组合保障且缺一不可:公正性、高质量和一定规模的第三方黑白测试样本、以及严谨、严格的测试方法和标准。其中,公正性是能力测评结果是否可信的基础;其次,样本集合作为重要的测试输入,需要保证合理且准确的恶意&良性样本以及细分类型分布;再者,只有基于严谨的测试方法和评判标准,才能确保不同的测试对象所测环境和结果输出策略的一致性以及实现对测评对象能力的真实反映。综合来说,只有将输入与过程严格把控,才能有可信权威的结果输出。

  当前国际移动杀毒能力评测领域中公认的 “三大国际权威测评机构”分别为AV-Test,AV-Comparatives以及Virus Bulletin。他们凭借海量测试样本、严谨公正的测试方法以及持续性测试在测评领域具有较高的话语权和认可度,为众多用户和企业选择(采购)杀毒产品时提供了非常可靠的参考依据。同时,由于这些机构大多并不大力对外宣传其技术体系和测评方案细节而显得较为神秘,以及作为公开可疑文件查询平台VirusTotal上汇聚了超过60家全球大小知名安全厂商的检测引擎,因此也有部分用户、媒体以及第三方研究机构对VirusTotal平台有一定的误解,误把其当做能力评测平台。

  我们通过对世界知名的测评机构AV-TEST测评技术体系的解读来一窥这家顶级测评机构背后的故事,希望基于此进一步向大家透视专业的反病毒引擎能力测评的方法与过程。

AV-Test权威测评体系介绍

  在2013年底AV-Test宣布安天移动安全获得“Best Protection”世界级安全大奖后,2014年初我司受邀前往德国领奖,并有幸造访了位于德国马德堡的AV-Test总部。在其移动安全测试技术总监的带领下,我们有机会更深度了解了AV-Test的测试方法并以及AV-Test后端样本捕获平台和自动化测试平台,并AV-Test的权威地位有了更全面的理解和认识。

AV-Test总部办公大楼和进门欢迎辞

  1、最长的测试周期与丰富的测试维度

  区别于其它国际测试,AV-Test在每个奇数月进行移动杀毒软件的测试,每年共计开展6期测试,连续测试能更好的反映产品特性。并且自2015年5月起,其每期在原常规测试(使用近4周内采集的测试样本集合)的基础上,增加了实时测试(使用实时采集的测试样本集合),实时测试对杀毒软件的“启发式”能力提出了更高的要求。

  2、自建完整的测试样本捕获与鉴定系统

  这次造访AV-Test总部办公大楼时我们有幸参观了AV-test移动测试体系的全流程平台。为了保障海量、高质量样本的持续输入,AV-Test拥有其独立建设的后端样本捕获判定体系,包括自主的样本捕获系统、自动化恶意代码静态分析判定系统和自动化恶意代码风险评估系统,这套体系近乎实现了70%以上的独立安全厂商的移动恶意代码后端工程化系统的主要工作。

AV-TEST安全评测工程化体系平台部分子系统

  3、集群化测试系统

  对于海量病毒、多测评对象软件以及多场景和测试维度的复杂测试工作,AV-Test独立建设了一套准自动化测试平台,通过手机与PC连接,PC负责控制测试应用下载任务下发,同时他们通过自动化模仿用户正常行为操作(例如访问一些特定的网站,看电子书等等)以模拟真人的设备使用场景,后台APP记录所有的测试结果与性能信息,进而完成整个测试。在单个PC的情况下,支持最多达40个Android设备的同时连接和数据推送以及测试结果搜集和同步。于2014年当时来说,这套自动化测试平台在全球移动自动化测试领域都已经非常先进。

  此行我们充分看到了AV-Test在安全测评领域拥有的绝对专注度与专业性,公众将其评价为全球“最具权威”(没有之一)的安全测评机构着实并不夸张。他们基于明确的自身定位,在样本捕获过程充分尊崇中立性,既不选择公共交换渠道也不自行制造,而是通过自主捕获真实样本保证公正性;在样本鉴定环节,AV-Test通过构建自主分析判定能力体系,从“用于测评”的角度,合理投入保障其所关注的恶意代码与家族样本的精细化分析和结果判定,确保了测评所需的高质量测试样本供应;在测试环节上,他们通过建立自动化测试体系,坚持使用真机和真人模拟操作构造真实设备环境,很好保障了对安全厂商产品能力的真实反映,充分体现了AV-Test在测评工作中的高度专业精神。

  在参观尾声,我们关注到了AV-Test这面安全软件历史墙,它几乎摆满了过去20年所有的主要安全产品的包装盒和软体。我们看到的不仅仅是一个积累深厚的安全测试厂商,更看到的是一种无法语言形容的文化,氛围和传承。

AV-Test安全软件历史墙

AV-Comparatives测评体系介绍

  AV-Comparatives(简称AV-C)成立于2003年,位于奥地利,是国际上另一权威的安全能力独立测试机构,并且是被奥地利政府承认的非盈利性的组织,因提供针对计算机安全软件的综合性与客观性评测结果而闻名是行业公认的新测试技术开发方面的先驱和领袖。

  2012年后AV-C开始面向移动端杀毒软件产品开展独立测试,一年进行1~2次主要测试,通过自主收集的上千测试样本,在真机环境下进行独立的检出率、误报率以及电量消耗的多维测试,并免费向公众公布测试结果。据了解,只有高水准的杀毒软件才能够参加AV-C的常规测试,加入其测试需要产品的病毒检测率在很长一段时间保持在世界前18位。

  值得一提的是,在2013年安天移动安全代表亚洲首获世界级大奖后,2015年,安天AVL Inside移动反病毒引擎首次参加AV-Comparatives测评,以全年2次测评皆100%的病毒检测率成绩在国内外知名杀毒软件中脱颖而出,再次冲顶。而在最近的2018年年度测评中,安天AVL Inside移动反病毒引擎在AV-Test全年6期反病毒能力测评中,凭借所获得的6期测评常规测试和实时测试检出率皆为100%的领先成绩,以全年零漏检率三度领跑世界级移动安全杀毒领域。

AV-Test 2018年6期测试成绩汇总

正确认识VirusTotal平台在测评中的价值

  VirusTotal作为公开的可疑文件分析平台,通过接入多家安全厂商特定版本的反病毒引擎,为公众和企业提供了便捷的可疑文件查询和分析结果参考服务。然而由于其所接入的引擎为特定版本(不等同为厂商完整能力版本),并且利用其进行公开测评无法保证测试方对测试输入与输出的结果客观性,因此实际上VirusTotal并不能作为杀毒引擎安全能力评测对比工具。早在2008年,VirusTotal便对于“其不能作为杀毒能力测评工具”进行正式公开声明,表示通过VirusTotal平台进行杀毒对比测试的方法存在诸多问题。

VirusTotal公开声明

  2018年11月,一位宣称自己为某硅谷IT公司的采购人员,在Medium上公开了其基于VirusTotal平台以及自行收集的测试样本集合,“浩浩荡荡”展开了一场对60家移动反病毒引擎的能力测评。其所公布的测评结果,与AV-Test等权威测评机构的测试结论有较大的差异,并且在用户和企业中产生了一定的影响,因此吸引了我们的注意。

硅谷采购人员在Medium所公布的测评过程和结果

  通过对Medium中其所公开的信息进行了解,这位“采购“人员所介绍的测试样本采集方式与测试方法等与AV-Test等第三方测评机构构成了较为鲜明的对比,我们针对两者并基于可信测评所需要的多个元素进行了对比分析,如下表所示。

  经过分析,显然可以看出该测试所产生的结果并不足够可信。由于无从对其真实身份予以考证,其测评的公正性与客观性皆需要提出明显的质疑;其次在样本选取、测试对象选定以及测试方法等方面缺乏一定的专业性与严谨度,而将此测评结果进行对外宣扬,往往容易给用户和企业选择杀毒引擎时造成误导和不良影响。

  虽然VirusTotal等公开平台并不适合作为安全能力测评工具,但不可否认的是,其在安全测评和安全能力提升工作中,依然存在积极的辅助意义。比如对于测评场景,在测评样本选取上,可以基于自有的鉴定能力并结合VirusTotal的引擎鉴定结果进行参考和综合判定,进一步提升测评所需的样本质量;此外,通过VirusTotal等平台,可以进行灰度检测能力测试,获得引擎检测能力所处水平参考等,帮助安全厂商更好完善其检测引擎能力。

  本文希望通过对VirusTotal和国际权威测评机构的测评体系进行详细介绍,帮助读者正确认识VirusTotal平台的价值,而对于用户与企业在选择第三方杀毒产品时,我们建议尽可能通过AV-Test等知名第三方测评机构的往期测评结果进行了解以及结合实际需求、参考文中可信测评的多个测评要素进行有针对性的自主测试工作设计和执行,保证信息来源的权威度与可靠性,以更好支撑安全产品的选择。

五、小结

移动安全对抗是一场永无止境的攻防对决

  在2013年AV-Test国际获奖后,安天移动安全并未停止持续加大安全投入的脚步。安全分析团队从原不到10人扩充到目前近30位安全专家的专业化团队,所投入的用于存储和计算的机器资源足足翻了十多倍,单移动恶意威胁分析相关的发明专利已积累20多款。一路走来,在移动互联网产业迅速变化的8年里,始终不变的是安天移动安全坚守在移动反病毒安全对抗一线的初心。

  未来,移动恶意代码将不仅仅局限于Android平台。随着IoT的发展、5G时代来临和铺开,未来移动恶意代码必会向其他平台和场景衍生。现阶段发生在IoT领域的恶意代码事件已经不再是实验室产品,而是真实出现在显示生活之中,因此移动恶意代码的攻击面也会不仅仅局限于大众所熟悉的智能电视和智能手机上,而是彻底的覆盖于大众的日常生活之中。

  因此恶意代码的对抗也将是一场更加广泛和系统的战争,安全工程化投入对于移动反病毒而言是一项必不可少的工作。移动恶意代码的制作和传播早已产业化,从源码编写,免杀,传播感染,交易变现等各个步骤已经产业化,每一环节都有着明确的范围,早已是系统化的运作。在安全工作的体系建设上也必须保持跟进,不能存有“银弹思维”,更不能存在短板效应,预防安全体系上的薄弱点并在发现之后马上修补,这样才能在和移动恶意代码的斗争中保持赢面。

移动安全对抗需要体系化协同应对

  本文所介绍的移动反病毒仅仅只是移动安全对抗体系中的一个节点。而随着移动产业化的不断发展,其是由不同移动设备、端管云各层次基础设施以及各个场景所构成的复杂系统,而移动安全的对抗必然无法依赖单个节点的防御而高枕无忧,安全对抗不存在银弹,只有构建体系化的移动安全防御能力才能够有效阻挡尚在战场明处的黑灰产团伙的蓄意攻击。

  2010-2018,在移动恶意攻击愈演愈烈的形势下,除了本文所介绍的移动反病毒的对抗体系,安天移动安全也在持续构建如基于移动终端智能设备的“芯片-系统-应用-网络”多层次安全防御体系、基于移动大数据的安全威胁情报分析体系以及基于企业级移动信息智能化安全防御技术体系等安全对抗体系化建设。本文最后一结我们命名为“小结”非“总结”,因为移动安全对抗是一场永无止境的攻防对决,8年来与移动威胁的对抗之路仅仅只是不断向前流淌的时间长流中的一个小小段落。在未来,安天移动安全希望通过多个体系的联动防御,持续推动多体系防御的叠加演进,与产业链伙伴一起合力守护移动智能时代的每一个微小,共同推动移动智能时代安全发展。

泛移动安全对抗时代正在到来

  在移动化、大数据、云计算、企业社交和物联网等在内的技术创新浪潮下,具备“规模化,分布化,智能化,无线化,业务终端化”五大特征的“泛移动”时代正在来临。并且在5G、AI技术与IoT的加持下,未来手机与IoT之间将形成全新的连接和交互方式,加速了社会与企业的移动化进程和效率的进一步提升。

  但机遇下同样并存着风险,移动基础设施的重大改革正同步催生出泛移动场景下的多维、多层次、动态持续的安全威胁,攻击入口效应开始减弱并逐渐地演化为威胁长尾碎片化,这些威胁的变迁和升级都预示着安全对抗策略需要进行更加快速的迭代和演进,以更好应对泛移动时代下的安全威胁。

  在2019年3月,我们将重磅推出《安天移动安全2018年移动安全威胁年报》,与大家分享2018年安天移动安全视角下的移动威胁和对抗,并且深度剖析泛移动安全时代下的安全对抗演进思路,敬请关注。

 更多信息详见公司官网:http://www.avlsec.com   

 转载请注明来源:http://blog.avlsec.com/?p=5337

更多技术文章,请关注安天移动安全官方微信号

gpSystem:一种可私自注册google账号的病毒

  近期安天移动安全和猎豹移动联合捕获到病毒gpSystem,该病毒植入在应用程序private,程序运行后便隐藏图标,进行下载提权相关文件、联网获取数据模拟点击注册google账号、上传用户账号、固件等信息等一系列恶意行为,造成用户资费损耗和隐私泄露风险。目前安天移动安全联合猎豹移动已实现对该病毒的检测查杀,建议用户安装猎豹安全大师等集成安天移动安全反病毒引擎的安全产品,定期进行病毒检测,一旦被感染需及时卸载恶意应用。以下是针对该病毒的详细分析。

一、样本基本信息

  该恶意应用被下载安装后将隐藏图标,下载提权相关文件、私自提权,解密静默安装恶意程序到系统目录,修改多个系统api调用的返回值,联网获取数据模拟点击注册google账号,还会私自下载恶意子包,上传用户账号、固件等信息。

二、恶意行为流程图

三、动态分析

  运行后多次申请root权限:

四、样本分析

  程序运行,隐藏图标:

  获取root权限:

  联网下载提权模块:

  执行提权方案:

  提权后安装apk:

  解密子包,启动两个子包服务:

  拷贝到系统目录和sdcard:

  子包分析

androidntv(gpSystem): MD5:95EEA5CD39A722507D4781AB3067E5F8 dmrdroid(com.android.dmr): MD5:62D26656061AB328A079FB6FB4E84460 gpSystem:      启动SuService:

  hook多个系统函数:

  判断是否能够注册google账号:

  判断辅助功能是否启动,用来模拟点击注册google账号:

  开始hook:

  hook多个系统api,修改返回值,以防止影响自动注册:

  hook之后启动注册界面:

  会先结束其他影响注册的服务,然后am命令启动注册界面:

  界面启动之后,RegisterAccessbilityService通过监听包名“com.google.android.gsf.login”触发注册界面启动事件:

  判断sdk版本,使用不同的方式注册google账号:

  通过辅助功能获取界面上所有控件信息,之后联网获得注册数据:

  判断是否是测试版本,测试版本则注册测试账号,不是测试版本则联网获取注册数据:

  注册google账号:

  通过辅助功能模拟点击:

  com.android.dmr:

  MMLogManagerService服务中,联网获取下载配置信息:

  下载并加载子包:

  下载子包:http://www.supportdatainput.top:8080/modules/abroad.zip

  加载子包:

  abroad.zip分析

  拷贝用户账号等数据文件到指定目录,解析数据并上传,上传cc为:http://game.zxcvbnmasdfghjkl.xyz:8080/game/api

  获取上传数据:

  拷贝用户账号信息等文件到指定目录:

  从/data/system/users/0、/data/data/com.google.android.gms、 /data/data/com.google.android.gsf、/data/data/com.android.vending这4个目录拷贝数据库或配置文件,主要从这些文件获取用户账号、authtoken(授权令牌)、gcm、固件、GooglePlay等相关信息:

  解析文件格式后,将数据上传服务器:

  收集用户账号信息等数据可能用于配合gpSystem注册google账号相关。

  相关CC:

五、总结

  该病毒首先通过联网获取root方案,下载并执行提权模块,随后释放两个恶意程序,拷贝到系统目录以防被卸载。恶意程序通过辅助功能模拟点击注册google账号,并且通过修改系统函数返回值(忽略按键、锁屏无效等),防止其影响注册流程,以提高注册成功率。同时还会下载恶意代码,收集用户账号、authtoken(授权令牌)、固件、gcm、GooglePlay等信息,可能用于配合自动注册相关。 近年来,各种黑色产业链逐步形成,黑产的攻击手段也越来越专业化,会利用一系列手段保护自己,对此安全厂商应该持续关注并提升对抗能力,为移动安全保驾护航。

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5291

更多技术文章,请关注安天移动安全官方微信

微信支付SDK XXE高危漏洞预警与应急响应

一、概述

  近日,国外安全社区 Seclists.Org 披露了微信支付官方 SDK 存在严重的 XXE 漏洞,可导致商家服务器被入侵,且黑客可避开真实支付通道,用虚假的支付通知来购买任意产品 。目前,漏洞详细信息以及攻击方式已被公开,影响范围巨大(已确认陌陌、vivo因使用该SDK而存在该漏洞)。该漏洞利用成本低,极易被攻击者利用攻击。

  漏洞披露后,安天移动安全针对该漏洞进行分析并结合支付行业特点,界定漏洞危害以及对支付行业影响。安天移动安全第一时间针对支付行业发布微信支付SDK XXE高危漏洞预警,并启动了安全应急响应,提出了针对支付行业支付后台系统应对措施的建议。

二、漏洞预警说明

  XXE漏洞简述

  XML 外部实体注入漏洞(XML External Entity Injection,简称 XXE),是一种容易被忽视,但危害巨大的漏洞。它可以利用 XML 外部实体加载注入,执行不可预控的代码,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

  微信SDK的XXE漏洞原理

  通常,商家通过微信SDK提供的“unifiedOrder”接口,调用微信支付功能完成支付,并设置一个URL来异步接收支付结果通知。这个URL由商家在服务端按照微信支付开发文档中“支付结果通知”API中的定义实现,在微信后台完成支付操作以后调用。微信后台通过约定好的接口定义,对回调接口发送一个XML文件,供后续解析。

  设计中,这个支付结果通知并不需要服务端验证通知是否从来自微信的支付服务,因为通知中含有可验证的签名,第三者不可能构造签名,除非掌握商家的关键安全信息(mch_id和md5-key)。但是,在解析这个结果通知的XML的过程中,微信Java版本的SDK没有禁用“XML 外部实体加载”的机制,导致攻击者可以向接受通知的URL中构造恶意的XML数据,利用XXE漏洞,根据需要窃取商家服务器上的任意信息。一旦攻击者获得商家的关键安全信息,那么他们可以通过发送伪造的信息来欺骗商家而无需付费购买任意商品。

  漏洞影响范围

  本次披露漏洞为服务器漏洞,影响范围为采用受影响的版本为WxPayAPI_JAVA_v3的微信官方Java SDK版本的支付后台系统。

  漏洞对支付行业影响

  移动支付作为支付行业最主要的业务场景,同时微信支付作为国内主流支付方式之一,绝大部分支付后台均接入微信支付。通过漏洞分析可知,本次爆出漏洞是一个服务器漏洞,直接影响整个支付后台系统,且利用方式已经被披露,利用成本极低。漏洞一旦利用会直接导致支付后台数据被窃取,造成重大隐私数据泄露,攻击者还可以基于窃取数据,进行伪造交易等攻击,对支付业务造成极大危害。

三、应对策略

  针对微信支付SDK XXE高危漏洞的威胁态势,目前安天建议从排查和修复两方面入手,支付后台系统运营方就当前接入微信支付SDK的支付后台系统进行漏洞专项排查,明确当前支付后台是否存在该漏洞,同时对于确认存在该漏洞的支付后台,进行相应的威胁处理,对漏洞进行修复。安天可免费提供漏洞检测和修复服务,帮助支付后台系统运营方处置该漏洞威胁。

  1.对于直接采用微信官方的JAVA SDK实现“支付结果通知”的商家,当前微信官方最新版的JAVA SDK已经修复此漏洞,可以通过微信官方渠道 下载,对代码进行更新。

  2.对于没有使用微信官方SDK实现“支付结果通知”的商家,需要在解析XML时禁用“XML 外部实体加载”的机制。微信SDK官方修复参考示例如下:

四、建议

  本次披露的漏洞是一个服务器后台接口漏洞,后台服务作为企业的核心资产,不仅仅承载着企业核心业务,同时也承载着海量用户的关键数据。一旦服务器存在致命漏洞,受影响的不光是相应企业,同时还有广大用户。因此如何保护企业核心后台业务安全是企业信息安全的重中之重,企业应当对企业核心业务的关键API接口进行渗透测试评估,确保核心接口不存在安全隐患。

  同时该漏洞是由于微信SDK引入,支付后台运营方只是负责接入,但是由于即使研发实力强如腾讯,也依然可能存在的安全隐患,最终导致集成的支付后台的核心业务受到影响。开放是当前信息化、网联化、智能化的发展趋势,但是开放势必带来新的安全挑战,安全也不再是一个单点封闭的话题,而应该更加着眼于生态安全,生态的各个参与方,明确彼此承担的安全职责,携手共建安全有序的发展环境。

  参考资料

  1.WeChat leave a backdoor on merchant websites: http://seclists.org/fulldisclosure/2018/Jul/3

  2.微信支付Java版本SDK存在XXE漏洞: https://cloud.tencent.com/developer/news/263804

  3.微信0元购?微信支付SDK爆出XXE漏洞http://baijiahao.baidu.com/s?id=1604965507191135469

  4.https://pay.weixin.qq.com/wiki/doc/api/download/WxPayAPI_JAVA_v3.zip

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5284

更多技术文章,请关注安天移动安全官方微信

testService间谍病毒的“七年之痒”

一、概述

  近期安天移动安全和猎豹移动联合捕获到间谍家族Trojan/Android.testServiceSpy的一些新的病毒样本,截至目前,捕获到的样本9成以上都是名为”testService”的测试样本,故称之为testService间谍病毒。从时间节点上来看,近年我们也有陆续捕获到该家族的一些其他样本,如Angel、Angel001、testzhixing、True、helloworld等。在最新发现的样本中,有3个具有钓鱼性质的应用,我们对其进行了详细分析,以期还原这个家族样本的技术细节。

一、恶意行为分析

2.1 恶意应用

  在我们捕获到的大量的样本中,大多数是类似测试的Demo样本,但是其中包含3个明显具有钓鱼性质的应用,具体为Notepad、ScrollBook(禁书网)和中国化工网。

  以ScrollBook(禁书网)应用为例,我们发现该应用未经用户同意,在后台运行时采集包括位置信息、通话记录、短信、通讯录等用户敏感信息并秘密上传。

  分析发现,这些应用的开发群体恶意攻击倾向较为鲜明,且应用名称及图标具有强烈的钓鱼伪装性质,用户一旦安装将存在严重的隐私泄露风险。

2.2 编码特征

  我们捕获到早期的部分样本是不采用任何处理手段的,CC直接明文硬编码在代码中,但是也依然存在大量对明文的CC进行处理的样本,从时间节点上看,我们推测样本进行了多次迭代。

  该病毒家族早期对CC的处理方式:先进行BASE64,然后再执行如图1所示的编码处理:

图 1 – 编码函数1

  该病毒家族后期对CC的处理方式:使用图2的编码函数来替代BASE64然后进行DecryptStringabc123()解码,该系列样本并未使用太过复杂的加密编码手段,可以看到,都是类似一些”编码”的处理,值得注意的是这些编码的技术在逐渐加强。

图 2 – 编码函数2

2.3 通信过程

  恶意应用会在首次运行和开机运行之后启动TService服务,TService则会立即启动CMainControl类开启一个用来执行恶意行为的线程:

  在CMainControl类中会先通过postPhpJob()方法上传手机的一些硬件信息进行“注册”:

  这些硬件信息将会通过post请求进行上传:

  在上传文件的http->post方法中使用“ahhjifeohiawf”的字符串作为boundary分隔符:

  如果“注册”成功,远程服务器将会下发后续用于通信的IP和Port信息:

  注册完成后将会利用远程服务器返回的IP地址和端口开启一个Socket长连接:

  恶意应用采集到的隐私信息将会通过Socket发送到远程服务器,从Socket中获取输入、输出流以便用来进行后续通信:

  在连接建立后先执行一次mSendReport()操作,该操作会构造”ejsi2ksz”+Mac+IP的byte数组,然后进行一些类似校验和的字段填充操作:

  然后对byte数组进行简短的加密操作之后进行发送:

  mRecvPkgFun()负责解包从远程服务器通过socket流传递过来的信息:

  解析远程发送过来的控制指令,并根据指令执行相应的恶意行为:

2.3 通信指令

  我们注意到,这些指令在代码中并未使用到,只是硬编码在CCommandType类当中,而且部分指令的实现部分没有编写,我们猜测该家族可能还会持续升级迭代版本。

三、总结

  该间谍软件没有使用常规的http/https方式进行远程通信,而是使用了socket的方式进行通信,这样在一定程度上可以规避流量的查杀,远控的设计精细程度具有一定的高度。早在2012年,我们就捕获到了该家族进行隐私窃取的Demo样本,并在漫长7年时间中陆续捕获了该家族流出的大量测试样本,其中在2014和2016年分别捕获到两个疑似已经投放到市场中的该家族的间谍应用,最近一次捕获是在2017年底,最新的样本中关键代码基本未变,但是从整体代码结构可以看出其编写更具规范性和逻辑性,我们推测该家族可能还会持续迭代样本以在Android平台进行针对性的隐私窃取。

  自2012年至今,该间谍家族已存在7年之久,纵使其恶意攻击技术不断改进、恶意病毒不断蔓延,却也迎来了他的“七年之痒”,目前安天移动安全联合猎豹移动已实现对该病毒的检测查杀,建议用户安装猎豹安全大师等集成安天移动安全反病毒引擎的安全产品,定期进行病毒检测,抵御恶意病毒攻击,保护个人信息安全。

  隐私窃取目前仍是各个国家面临的最严重的网络安全威胁,从早期的PC平台到愈演愈烈的Android平台,受助于移动平台的流行,越来越多的攻击行为将战场转移到了Android平台,这对移动安全厂商的查杀能力提出了新的、更高的要求。安天移动安全深耕行业8年,反病毒能力得到第三方测试机构和合作伙伴的认可,对恶意病毒具有全覆盖的查杀能力。

  附录:SHA-1

  6A589EF09A6A631D366D744D7E4478434B200D0B

  F62C302409763241F4BFB2FCB758F4A4CEA2C090

  D3602D88D20D0FA1598A9FDBC0758DD4CF7FACB2

  EE01EBE1C4036D7F1FCCD5041F0E5652BF64FE3F

  10F69A4C8C030781805FFD69DCFCA7469E6E9782

  14E9F12C6C5F5BAD6ED5A3D15CBB3349E5E3D64E

  7BC025021E76A9660222961D32F8A4ED1119A78E

  D8E9205E1ECE91A004A22267820E90C12D976743

  F4D4C29F59211767C14D44ED10B0F5B4F8F3EEB0

  06DB46DB51071A7689D11CC2B11C7C873F4C0C4C

  A781128ED4C728681A686993AE5D5BCAD1F01F6A

  45372FD67F090111E0E1AAC1DDA674693BDA3807  

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5264

更多技术文章,请关注安天移动安全官方微信号

ZipperDown漏洞,炒作还是一触即发?

一、概述

  近期,ZipperDown漏洞被披露,该漏洞影响Android和iOS两大平台,其中iOS应用市场多达10%的应用存在该漏洞,且不乏多款热门应用,引发业界强烈反响。安天移动安全第一时间启动对该漏洞的应急响应,希望客观公正地反映其对支付行业的影响。调查研究发现,该漏洞是由于开发人员未对压缩包中的解压路径进行校验,导致攻击者可通过构建恶意压缩包进行路径穿越攻击,且行业中有超过3成的应用存在该漏洞。然而该漏洞的真实影响还需具体结合应用业务进行排查,不应过分夸大,更不应忽视,安天移动安全将免费提供技术支持携手相关各方联手进行安全排查,将风险降至最低。

二、漏洞预警说明

  Zip压缩包路径穿越简述

  Zip压缩包是一中常见的压缩文件格式,Zip压缩包支持打包文件中的文件名包含上级路径。如下图所示,压缩包update.zip中包含了一个文件libpay.so,但是该文件的路径为“……\”,当该文件被解压时,如果没有进行相应处理,那么该文件将会被解压到相应的上级目录中,实现了路径穿越,即真实解压后,其路径为[预期解压位置]……\libpay.so,穿越了当前预期解压位置,到达了攻击者想要构造的任意路径。

  “ZipperDown”漏洞描述

  当前大量应用均会读取zip压缩包进行相关业务,最常见的场景就是从服务器下载压缩包,进行资源、代码热更新。通过Zip压缩包路径穿越描述可知,如果攻击者通过技术手段,如远程劫持或本地替换等方式将应用加载的zip压缩包替换成存在路径穿越的恶意压缩包,而应用又未对解压文件进行路径判断,攻击者便可以对应用资源、代码进行任意篡改、替换,从而实现远程代码劫持等高危操作,危害应用业务场景。

  分析发现,“ZipperDown”漏洞是一个应用层面的漏洞,应用如果没有对解压文件进行路径穿越问题的防护,就存在“ZipperDown”漏洞。

  “ZipperDown”漏洞对支付行业的影响

  本次ZipperDown漏洞事件发生后,安天移动安全第一时间启动该漏洞的应急响应流程,同时对支付行业应用进行了初步的安全检测,希望客观公正地反映漏洞对支付行业的实际影响。

  目前,在智能POS支付类应用、非支付类应用以及手机相关支付类应用中,均发现部分应用存在ZipperDown漏洞,虽然智能POS应用较之手机应用业务场景相对简单,但是结果显示仍有近3成的智能POS应用存在相应安全隐患。

  安天移动安全经研究深度分析后认为,该漏洞的真实影响还需结合应用自身业务场景进一步排查,不能简单粗暴判定该漏洞是否一定会真实危及业务场景。同时,有部分应用是由于采用第三方库而引入该漏洞,其风险也需要进一步评估后跟第三方库开发者沟通。

三、漏洞原理分析

  下图为存在“ZipperDown”漏洞的一个应用代码示例。

  可以发现,当在尝试解压的时候,对于zip包中的文件,其路径名可能存在路径穿越问题。当应用加载存在路径穿越的恶意压缩包时,由于缺少对路径的校验,使得恶意压缩包中的内容通过路径穿越,覆盖原应用文件。以libpay.so为例,攻击者构建的update.zip中存在路径穿越的恶意运行库libpay.so,解压后替换本地原来的库文件,就成功的在当前程序中插入了恶意运行库,进而实施信息窃取、业务劫持等操作。

四、修复建议

  针对“ZipperDown”安卓高危漏洞的威胁态势,安天移动安全建议从排查和修复两方面入手,先对市场运营方所有应用进行漏洞检测和分析,随后结合业务场景进一步明确漏洞危害以及制定相应修复建议。具体策略建议如下:

  step1:针对应用市场已上架和将上架的应用,需要进行应用“ZipperDown”漏洞专项检测,确定其是否存在 “ZipperDown”漏洞,保证源头安全。安天移动安全可免费提供检测工具和技术支持。

  step2:针对存在“ZipperDown”漏洞的应用,需要结合业务场景进一步分析,从而明确漏洞危害,并且制定相应修复建议。参考修复建议如下,开发者可以根据自身业务场景需求,选择最适合自身业务的策略。

  ·应用在加载外部zip压缩包时,需要对压缩包中解压路径进行校验。

  ·应用在加载外部zip包,可以采用校验机制,确保加载的zip包确实为合法zip,没有被替换。      ·应用下载zip包的通信信道,采用安全通信通道确保不存在被篡改、劫持、替换的可能。

  此外,针对由第三方库引入而导致的风险,需要开发者协同第三方库开发者沟通共同制定修复方案。安天移动安全可免费提供咨询服务和技术支持,携手市场运营方、开发者以及第三方库开发者共同解决“ZipperDown”漏洞安全隐患。

五、总结

  zip文件路径穿越并不是一个新问题,早已被安全分析人员披露,但是一直未引起行业广泛重视。本次ZipperDown漏洞爆出,披露的相关数据说明“安全无小事”,即使很小的一个安全隐患,如果没有严肃认真对待,也可能引发严重的安全后果。同时第三方库导致ZipperDown漏洞的引入,也说明如今安全已不单单是一个单点问题,它需要生态的参与各方一同携手联动,共同构建安全生态,避免风险的引入。

  网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。智能商业终端作为金融领域中的关键信息基础设施,无疑是是网络安全的重中之重,因而产业的参与各方应当携手多方联动,切实做好国家关键信息基础设施安全防护。

  近年,安天移动安全积极涉足智能POS防护领域,以多年的移动安全技术与经验为基础,通过与多家知名智能POS厂商和大型支付机构的合作,针对智能POS提出了一套完整的安全解决方案,在威胁的事前、事中和事后阶段形成全生命周期的安全防护,为智能POS终端厂商及支付机构提供高效的移动安全产品与服务,为个人消费者提供全方位的支付安全防护。

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5234

更多技术文章,请关注安天移动安全官方微信号

不仅仅是利比亚天蝎

前言

  2016年9月,安全厂商Cyberkov发布了名为利比亚天蝎的安全报告[1],报告中指出,一批恶意软件通过社交程序Telegram广泛传播,主要针对有影响力的社会名流和政治人士。当时,安天移动安全和猎豹移动进行了持续跟进,并发现该恶意软件进行了持续的更新和改进,攻击的目标国家也从利比亚转移到了其他国家和地区。该系列恶意软件根据不同的攻击目标进行精心的伪装,充分了解攻击目标的风俗文化和手机使用习惯,诱导目标群体安装,获取大量的隐私信息,具有很高的组织性和隐蔽性,以下我们将对该攻击进行详细的说明,以期能够对事件尽可能的勾勒。

1.简要分析

  安天移动安全与猎豹移动联合发现的这批恶意软件,皆为商业RAT软件,主要分类有JSocket RAT ,Droidjack RAT ,Alienspy RAT,该组织通过这些商业RAT软件攻击目标用户,实施隐私窃取。其仿冒对象有系统应用、工具应用、生活应用、新闻应用、宗教应用、社交应用等,并对攻击目标有着深入的了解,具体如下表所示。

  通过捕获的样本可以发现该系列病毒除了攻击利比亚地区,还活跃在伊拉克、巴基斯坦、印度、土耳其等国家和地区。可见,该组织有着广泛的利益诉求,对热点地区有着深入的关注。

2.攻击事件轴

  该组织的主要活动时间为2015-2016年,在对利比亚目标进行攻击的同时,也进行着其他地区的情报窃取,是一起有着广泛传播的事件。同时我们也观察到,在沉寂一段时间之后,该组织下的恶意软件又开始活跃。

3.恶意代码原理分析

  MD5:D555FB8B02D7CC7D810F7D65EFE909A0

  恶意模块包结构:

  通过MainActivity加载Controller类:

  Controller这个类为主要恶意类,用于解密出C&C地址和初始化并加载隐私窃取的恶意子模块:

  私自摄像:

  子模块包括窃取用户短信、联系人、通话记录、地理位置、浏览器历史记录、手机基本信息、WhatsApp软件信息记录,私自录音、监听通话、驻留手机系统等行为。

  JSocket RAT 原理分析

  MD5:3FDCB70A70571A5745F4EE803443FEBC

  该应用一般会在AM文件设置一个广播和服务用于启动恶意模块:

  恶意模块包结构:

  通过MainService开启主要攻击线程:

  从C&C接收远控指令,解析指令执行相应恶意行为:

  指令包括窃取短信、联系人信息、通话记录、浏览器书签、GPS地理位置信息、wifi信息、手机设备基本信息、社交应用信息,私自录音、录像、拍照、下载其他软件、发送短信等行为。

4.总结

  近几年,移动端的定向攻击越来越多,商业间谍软件的低门槛化也使得攻击门槛有了大幅的降低。获取高价值的具有个人身份属性的信息,成为恶意攻击中的重要一环;与此同时,由于移动设备的边界属性和高社会、高隐私属性,一旦攻击成功,极有可能导致攻击结果出现雪崩效应,损失不断扩大。

  而针对高价值用户进行的定向攻击往往是移动威胁对抗中的经典长尾问题,尾部安全事件由于其受众明确、攻击意图直接、涉及用户重度隐私的特点,往往给目标受害群体带来了不可估量的损失。对此安全厂商更需要密切关注并持续提升长尾威胁的对抗能力,真正为用户侧的移动安全保驾护航。

  参考资料:[1] https://cyberkov.com/wp-content/uploads/2016/09/Hunting-Libyan-Scorpions-EN.pdf

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5216

更多技术文章,请关注安天移动安全官方微信号

2017年安天移动安全年报—起承转合间的方兴未艾与暗流涌动

1 序言

  2017年,全球范围内信息安全状况呈现出了逐渐恶化、不容乐观的严峻趋势:随着互联网所承载的To C服务类型日益增多,以及各类服务的覆盖面和用户粘性日益加深,传统信息安全预警下的“业务数据风险”转嫁到“用户数据风险”的可能性相较先前变得更高,各业务系统中不同类型的的用户数据如用户行为数据、用户特征数据等有可能成为“定时炸弹”,给用户本体带来极大的安全风险。

  过去十年间,诸如iOS,Android,Symbian及WP/WM平台等移动操作系统的出现带动了各类通讯设备由非智能向智能的跨跃性发展,而藉由第三代UMTS/第四代LTE高速蜂窝通信网络为发展信道,又带动了移动互联网及其相关产业的迅猛发展,其中移动商务、移动社交、移动支付等互联网应用飞速占据用户日常生活的方方面面,使得用户与设备间的绑定关系日益增强。

  这一趋势中,中国作为互联网及互联网产业大国,各类经由互联网To C的服务面在全球范围内尚处领先,覆盖到的用户数量极为庞大,尤其以透过移动应用(也即俗称的App)及HTML5手机站点使用服务的用户为主;与此同时,国内互联网公司亦常常扮演互联网新业务实践与业务模式探索的先行角色。因由“业务先行”的探索理念,在这些新业务上线运行过程中,其业务安全、业务数据安全及用户隐私保护等在其他领域较为成熟的安全体系建设则往往无法到位,甚至互联网公司本身就扮演了过度保存并滥用用户隐私数据的角色。这就导致大多数时候,用户一方面使用着为生活带来各类便利的新兴互联网服务,另一方面则面对着来自于多渠道、多种类的信息安全风险而不自知。

  在移动产业发展的巨大变革过程中,信息安全的“攻”与“守”之道往往也是共生并进的。2017年,移动安全和威胁对抗不断迈入新的阶段,而所谓“方兴未艾”与“暗流涌动”,也能够很好地体现于此:

  •针对移动网络,除持续对普通用户信息安全造成影响的传统电信诈骗之外,更衍生出了基于仿冒应用、短信拦截木马、短信蠕虫等针对智能手机用户的精准电信诈骗,且近年来俨然成为一种常态化威胁,新增的受害用户数量不可小觑;

  •近一两年,随着PC端出现诸如WannaCry(魔窟)等目标明确、影响广泛的勒索软件,移动终端也出现影响较广的加密勒索软件、隐私窃取及控制软件等,不仅对用户数据安全造成致命威胁,给用户带来各种形式损失,还可能使用户终端设备沦为僵尸网络节点,遭到攻击者的全盘控制,影响极为严重;

  •部分商业利益或政治因素驱动的移动终端恶意软件(往往以潜伏的APT或类APT形式被发现)出现更为频繁,这些恶意软件往往具备攻击的精确性、战术性及较完善的攻击链逻辑,在考验基于“病毒特征库”启发检出机制及各方情报收集、分析及预警能力的传统威胁对抗模式的同时,可能导致较为重要的商业秘密或较高密级的国家基础设施信息持续性泄漏,且往往在发现时就已造成难以衡量的恶劣影响。

  正如习近平总书记在视察安天集团总部时所指出的一样,“网络安全是国家安全的重要组成部分”,而2017年《中华人民共和国网络安全法》的正式实施,也从国家层面将网络安全的重要性提升到了一个前所未有的高度,信息安全的保障进入有法可依的阶段,网络安全事件的相关处置也有了惩罚依据。在这样的语境之下,无论从用户角度或是第三方安全团队角度来看,任由类似水平的风险暴露在各方面前,都是严峻且难以被接受的。安天移动安全团队面对当前的移动安全对抗形势,坚持“安全技术必须服务客户安全价值”的原则,以对抗新兴恶意威胁为己任,砥砺前行:

  •过去一年中,我们与更多移动终端厂商、移动应用厂商及政企建立了合作,并为其提供成熟的AVL Inside移动安全解决方案,包括恶意代码检测防护、Wi-Fi安全防护、URL安全性检测、支付安全防护、漏洞跟踪修补等服务。基于全面的合作,希望加强和推动更广阔的产业链协作,以移动终端安全为起点,将防护边界延展到包括移动应用商店安全合规性审查、APP安全性评测等环节在内的全程产业链之中;

  •我们在完善原有“Insight 2.0移动威胁情报平台”之外,在当前的安全大数据体系之中融入分析建模及机器学习技术,开发了“Section 9网络安全情报大数据分析平台”,试图基于互联网安全大数据,为专门行业及具备专门需求的客户提供网络安全情报专项调查、情报挖掘及研究能力,旨在提高相关客户对威胁事件的感知、预警、分析、取证、响应和处置能力,以达到尽量提前感知威胁、减少反应延时的目的。

  而这一份《2017年安天移动安全年报》(以下简称《年报》),则主要体现了安天移动安全团队过去一年中对于新兴移动安全威胁的观察、研究及分析思考,以及由安全大数据分析研判得出的安全总体趋势判断、和由各业务条线实际工程项目中归纳总结出的经验。

  安天移动安全团队希望通过《年报》的传播,不仅能够与移动安全行业从业者、移动互联网相关企业及相关专业技术人士分享过去一年移动安全的总体形势,传达团队过去一年的所见、所为及所思,更能够为任何需要或试图了解移动安全现状的用户提供一份令人信服的中立意见。

2 起:基于数据的总体形势分析

  本章节中,将以安天移动安全云端安全监测引擎在过去一年所捕获的各类数据为基础,就各不同关注视角进行筛分统计,并从宏观角度作出初步分析。

2.1 恶意应用数量整体增长趋势

图2-1:2011年-2017年 Android 恶意应用数量增长趋势(单位:个)

  如上图所示,安天移动安全统计了自2011年以来每年度捕获的Android恶意应用样本量,从中可以发现,由于第四代LTE高速蜂窝网络(即俗称4G)在国内的发牌落地商用、基站建设覆盖及高载波聚合(MIMO)等技术的运用,高速蜂窝网络的可用性及用户使用意愿都越来越强,各色应用可承载的服务随网络时延及抖动减小变得更多,各类应用样本通过蜂窝网络传播的可能性也随着网络速度及信号广度的增加而增加,而攻击者敏锐地捕捉到了这些趋势,并加以跟进制作相关恶意应用。故恶意样本量自2014至2017年间均呈现出倍数或近倍数级的年度增长。而另一个导致恶意样本量倍数级增长的原因是,智能手机用户在这一时间区间中亦产生相对爆发式的增长,这是由于国产手机品牌的崛起,导致手机尤其是智能手机单价明显下降,以及以Android为主的移动操作系统本地化(由国内手机厂商主导)日益完善。

  就统计数据来看,尽管2017年恶意样本数量就增长趋势来说有所放缓,相对2016年而言并未再次产生倍数级的增加,但其近千万量级的绝对数量仍然不可掉以轻心,尤其是随着当前互联网游戏、直播、办公及线下服务等应用的发展成熟,这些应用受到各种形式恶意应用影响的可能性也就越大,需要格外留意。

2.2 影响用户数最多的恶意应用 TOP 10

  安天移动安全团队从2017年云端大数据监测结果中就“恶意应用”进行筛选统计,并对影响用户数最多的10个应用进行用户数量统计,结果如下表(HASH最后5位隐去):

表2-2 2017年影响用户数最多的恶意应用 TOP 10

  影响用户数量最多的恶意应用TOP 10中,7个为伪装或捆绑于游戏应用上的恶意应用(模块),2个为伪装或捆绑于成人色情应用上的恶意应用(模块),而排名第一的属于恶意应用植入木马执行文件过程的中间应用。从其行为上来辨别,其中3个为涉及恶意扣费的恶意应用,5个为涉及隐私窃取的恶意应用,剩余1个涉及系统破坏及1个涉及恶意传播的恶意应用。

  由上表的统计结果,不难发现,无论恶意应用是伪装或捆绑在游戏或是色情应用之上,会安装这些目标应用的用户都符合“不具备可疑应用甄别能力”以及“对相应主题应用较无戒心”的特点,只要攻击者制作一个功能完备的游戏或色情应用,并找到适当的传播方法,结合国内Android应用生态碎片化的特点,就有可能在类似的同类人群(设备)中造成较为广泛的传播及感染;而这些恶意应用的行为类别,无论是恶意扣费或是隐私窃取,相对具备远程控制行为的恶意应用,其往往对系统本身运行速度影响较少,且具备令受害用户“事中难以感知,事后发现时延较长”的特点,将可能给攻击者带来更多的不法利益,一定程度上使得更多的恶意应用变种不断出现。

2.3 恶意应用行为类别分布趋势

图2-3-1:2016、2017年 恶意应用行为类别分项统计图

  安天移动安全针对2016及2017年云端引擎监测捕获到的所有恶意应用的行为进行统计,并按照不同的行为类别进行归类,分析各类恶意行为在监测结果中的占比,如图2-3-1所示。而下表则对各类行为分类进行了详细描述,并且将各类恶意行为在2016年与2017年的占比进行对比:

表2-3-2:恶意应用行为分布占比表(以主要行为或唯一行为区分)

  如上表所示,可发现持续对用户信息安全产生较大影响的TOP 5恶意应用行为包括流氓应用、资费消耗、恶意扣费、隐私窃取类及远程控制;值得一提的是,这五个类别的恶意应用往往具备多个功能模块,例如某一扣费应用往往也可能具备恶意传播的模块,故从占比来看,仅具备诱骗欺诈、系统破坏及恶意传播模块的应用相对较少。在这其中:

  •流氓应用为PC端向移动端持续转移的安全威胁,大多数以“设计无法卸载、难以卸载或无法彻底卸载”持续推广牟利,或是收集少量用户信息(相对“隐私窃取”较不敏感的信息)回传。这一类应用对用户的隐私影响相对较小,但可能影响设备的硬件表现,并影响用户对设备的使用体验。

  •资费消耗指恶意应用会通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式,产生相关业务消费,导致用户资费损失。这一类应用往往会在影响用户对设备使用体验的同时,产生大量资费消耗,可能导致用户设备号码沦为“语音/流量‘肉鸡’(与‘远程控制’对用户设备的控制程度存在区别)”。此外,该类应用还有可能通过流量下载其他控制应用,从而加强对用户设备的控制程度。

  •恶意扣费行为往往属于“黑色产业链”中用户端的环节,即用户设备在安装相关团伙制作的恶意应用后,自动通过短信等模式静默订阅,或是通过前端界面欺骗用户订阅较昂贵的SP服务(实际上并不产生任何服务),而相关团伙通过这些与之合作的SP端公司私下进行利润分配。这一类恶意行为能够确实地给相关团伙带来利益,其恶意应用软件包往往制作较为成熟,其恶意行为较为隐蔽,相关恶意应用数量及恶意模块变种数量也较多。

  •隐私窃取类行为则往往是通过用户安装的应用直接或间接获取用户个人隐私信息(如通讯录,短信收件箱、各聊天工具记录等),并向其服务器进行回传,较易导致任何形式的重要信息泄露,此外通过结合“撞库”等社会工程学攻击手法以及各版本操作系统可能具备的0day(或Nday)漏洞完成攻击,可能导致用户因这一类恶意行为而产生更为严重的损失,需尤其注意。

  •远程控制指在安装了恶意应用的用户不知情的情况下,其设备接受远程控制端指令并进行相关操作,完全成为控制者的“肉鸡”,遭到彻底的控制。值得一提的是,具备这类行为的恶意应用与“隐私窃取”类相似,可能在取得权限的过程中使用一些0day漏洞(如能够取得Root权限的CVE漏洞等),危害较为严重,需尤其注意。

2.4 移动应用及恶意代码加固趋势

  众所周知的,Android应用程序的开发由Java语言主导完成,而Java代码存在较容易被逆向分析的特点,同时由于移动端应用承载服务多样的特殊性,各类服务中往往有一些存在较高安全考量的服务,例如银行、金融及电商客户端等,继而催生了市面上各类的移动应用“加壳”加固技术,自2013年至今,国内安全行业已萌生出数十种商业或免费加壳技术,如360、腾讯、爱加密、梆梆等,同时私有加壳技术亦难以胜数。

  一般而言,加壳技术往往被用于正当用途的商业服务应用,但除了具备价格门槛的商业加壳服务之外,亦有相当数量的免费加壳服务在互联网上被提供,从而遭到各类木马、仿冒等恶意应用的制作者滥用,通过这些免费加壳服务来规避各类基于特征码的杀毒引擎查杀;并且,“脱壳”技术的不断发展,以及近两年各种目的特殊、具备高“免杀”需求的特种木马出现,也催生了加壳技术的进一步发展,尤其是商业加壳技术。

图2-4:2013-2017 移动应用及恶意应用代码加固技术部署趋势示意图

  上图是安天移动安全团队就云端安全引擎在2013至2017各年所捕获到的加壳正常应用样本及加壳后的恶意应用样本(即加壳黑样本)数量进行统计后绘制的趋势示意图。从中我们可以发现,恶意应用对加壳技术的运用在2014年之后就进入较为普遍的状态。在2014-2015年及2015-2016年的两个时间区间内,我们也察觉到了加壳恶意应用绝对数量的快速增长;而2016年至今,我们每年捕获的加壳恶意应用数量均超过了正常应用数量的50%,可以从一个角度说明加壳技术遭到恶意应用使用的广泛性;但同时,由于加壳技术(尤其是私有加壳技术及商业加壳技术)会导致各类杀毒引擎更难对恶意代码进行检出,可能导致一定程度的威胁增加,加之2017年加壳恶意应用的检出数量仍在百万级,检出数量的变化趋势也不容乐观。安天移动安全团队认为,代码加固技术在移动恶意应用上遭到滥用所带来的威胁仍然处在高位,且短时间内将保持这一威胁水平。

2.5 恶意仿冒应用数量增长趋势

  自手机应用软件概念面世以来,“仿冒应用”就是其一直无法回避的问题,也是安全行业各方未能彻底解决的安全问题之一。事实上,当前仍然猖獗的恶意仿冒应用,对各行业客户及其用户都存在着较大的安全威胁,且一条以恶意仿冒应用为中心的“黑色产业链”俨然已经形成,多数仿冒应用往往以伪基站发送的短信(或正规SP发送的垃圾短信)及钓鱼网站作为入口,使用户安装了恶意应用却毫无察觉,以为自己安装的是正版应用;同时,我国境内移动应用传播渠道较为混杂,缺乏Android官方权威应用市场的同时,各类第三方市场数量不可胜数,但这些第三方市场常常缺乏对其提供软件及其来源的安全性、合法性审查,导致市场本身亦成为各类恶意仿冒应用传播的来源。恶意仿冒应用在通过上述渠道被用户安装后,往往会一方面通过高伪装度的UI界面及交互避免被用户发现并卸载,一方面通过其携带的恶意模块或通过应用功能安装的其他木马应用来窃取用户隐私、控制用户设备等。

图2-5:2011-2017 恶意仿冒应用数量增长趋势示意图

  如上图所示,安天移动安全团队对2011年至2017年间恶意仿冒应用新增量的监测结果按月份进行了统计。结果如下:

  •自2016年底开始,每月新捕获的恶意仿冒应用开始突破1000个;

  •2017年全年,平均每月新捕获的恶意仿冒应用数量达到了五位数;

  •全年的高峰发生在2017年3月,该月新捕获的恶意仿冒应用为44651个;

  •当前恶意仿冒应用每月新增量仍然具备波动增加的趋势。

  由于当前由移动设备承载的服务类型越来越多,尤其是互联网办公、政务服务、金融服务等高保密性、高安全性需求的服务亦逐步从传统B/S架构转移到移动端C/S架构,结合当前捕获的每月新增量趋势,安天移动安全认为,恶意仿冒应用应引起各类服务运营商及外部安全公司的高度重视,同时作为普通用户,应加强应用甄别能力与基本的安全意识;针对较重要的服务应用,应尽量从官方网站渠道获取确保安全的应用软件,而不是任何第三方应用市场;同时利用外部杀毒软件及框架级安全软件保护移动设备安全。

2.6 短信拦截木马数量增长趋势

   “短信拦截木马”实质上是一种可以拦截用户短信的木马应用,其往往以模块形式与其他应用捆绑(捆绑的亦可能是其他形式的仿冒应用)发布,它可以控制拦截用户手机中收到的短信,让用户无法实时收到短信,并将用户手机中的短信内容在后台发送到攻击者的手机和邮箱中。这类木马应用一般主要获取用户短信(包括收件箱、发件箱)中包含的个人隐私信息,如用户姓名、手机号、身份证号、银行卡账户、短信验证码、支付密码及各种登录账号和登录密码等,不仅造成个人用户隐私泄露,同时还使攻击者通过盗取的用户信息达到盗刷银行账户、窃取用户财产的目的,从而直接对用户的个人隐私和财产安全产生较严重的威胁。这一类木马应用开发成本往往很低,且代码简易、具有较高的可复用性,导致其容易遭到修改或复制产生新变种,从而将相关的样本总量堆砌到相当庞大的数量级。

图2-6:2014-2017 短信拦截木马数量增长趋势示意图

  如上图所示,安天移动安全团队选取了2014年至2017年各月对短信拦截木马的监测结果进行统计,结果如下:

  •每个月都有超过1000个短信拦截木马(不同变种视为不同的拦截木马应用)被捕获,标志着这一类恶意应用的威胁形势依然严峻;

  •同时,2016年、2017年,短信拦截木马在每年农历春节前后都发生了爆发性的增长,尤其是2017年,1月至3月捕获的短信拦截木马数量是全年其他月份捕获总和的2.5倍;

  •2017年2月新捕获的短信拦截木马为监测以来最多的,为77637个;

  •短信拦截木马每月新增量仍然具备波动上升趋势。

  事实上,农历春节前后往往容易存在较多需要短信验证码的的手机金融交易(如手机转账、支付、取现等),各类用户的短信内容中也较易出现敏感内容(如人际关系、电话号码甚至证件号码等),这一数量的爆发,恰恰说明了攻击者在相关技术成熟后,亦开始以盗刷、窃取为目的的攻击结合社会工程学原理,配合“业务热点时间段”进行有计划的部署;因此,作为对普通用户的警示,应注意对类似“业务热点时间段”所可能产生的较高信息安全风险保有一定防范意识,定期为移动设备,尤其是安装了各类涉及金融及隐私信息处理应用的移动设备进行病毒查杀,同时利用外部杀毒软件及框架级安全软件保护移动设备安全。

3 承:移动安全焦点问题梳理

  本章节中,将通过对当前影响较为显著的移动安全问题进行梳理、分析,并对其在2018年的风险给出发展方向方面的预测,供您参考。

3.1 互联网业务数据风险及影响日益明晰

  近年来,随着信息技术及互联网的快速发展,以及移动通讯设备端高速蜂窝网络(UMTS、LTE)的发展,诸如购物、外卖等各类用户在线下渠道较为明显的服务需求向移动互联网平台转移趋势十分明显,这一些服务往往存在移动客户端与Web/WAP站点共存提供服务的情况,多个“前端”用户界面对应同一“后端”应用系统,较易存在与传统Web安全相关的风险,例如SQL注入、跨站脚本(XSS)、敏感信息泄漏等;而与此同时,也有大量结合其他信息科技领域技术推出的新兴互联网服务面世,例如当前炙手可热的“互联网金融”、“网约车”、“付费帮忙”、“直播”等服务,这一些服务在发展过程中则往往完全摒弃Web界面,使用客户端作为其唯一入口,其中一部分使用标准客户端的编写模式,利用服务端接口与客户端通信,而另外一部分则仍然延续了WAP站点提供服务的思路,利用Webview组件实现各模块页面文件对功能的支撑,或是直接将服务器URI地址编译到客户端中,形成了“伪客户端式”的存在,相对来说存在安全隐患的可能较大。

  事实上,当前互联网所承载的To C(对用户)服务类型日益增加,各类实际业务覆盖面及用户粘性也日益加深,尤其像“分期借贷”、“信用”、“金融”等新兴类目的互联网服务,其涉及的用户数据类型及维度杂糅到前所未有的地步。这不仅使得传统信息安全预警下的”业务数据风险”转嫁到”用户数据风险”的可能性相较先前变得更高,也使得各业务系统中不同类型的的用户数据、用户行为数据及用户特征数据成为了对用户本体造成极大安全风险的”定时炸弹”。

  例如:2017年11月“趣店”网站平台的数据泄漏,虽然事件本身仍然是传统意义上由黑色产业链主导形成的数据泄漏事故,但其平台业务类型较为特殊,导致涉及泄漏事故的数据维度数较多(包含每一用户在多个不相关的业务范畴产生的业务数据,如图中亲属关系及联系方式、“学信网”学历数据、身份信息等),其数据本身价值与泄漏造成的危害均较大,如下图。

图3-1: “趣店”平台数据泄漏部分截图(来自互联网)

  鉴于目前互联网服务相关业务数据的风险已处于较高位,同时其风险可控程度可能由于数据体量扩充(TB级扩充到PB级甚至EB级)、数据架构改变(传统数据存储变更为大数据仓库为中心)等因素而同步降低,安天移动安全团队倾向于认为,2018年类似的风险仍将维持较高或略有升高的水平。

3.2 体系化的电信诈骗手法层出不穷

  针对智能移动终端设备,除去过往频发的传统电信诈骗及2G/3G伪基站诈骗之外,随着近年来第三代UMTS/第四代LTE高速蜂窝通信网络在我国境内的飞速发展,更衍生出了基于仿冒应用、短信拦截木马、短信蠕虫等针对智能手机用户,依托移动端应用进行的精准电信诈骗,其手法“层出不穷”。

  从2017年内的状况来看,类似的精准电信诈骗俨然成为一种常态化威胁,新增的受害用户数字至今仍不可小视,而究其原因,则是攻击者或涉事团伙往往敏锐地根据某一时段或某一领域的热点,精心设计容易吸引受害用户的功能点进行伪装传播,结合短信拦截、短信蠕虫技术,最终形成影响较广的树状传播状况。例如年内多次出现的,针对热门手机游戏“王者荣耀”的恶意仿冒应用,以及伪装为其“外挂”、“攻略”等衍生应用的木马应用,或是针对找寻热搜影视剧资源精心设计的“影视剧下载器”、“网盘资源集合”等,这些应用在选择仿冒主题时即已对目标人群实现了精准过滤(手机游戏玩家、影视剧资源搜索者往往在游戏虚拟财产或额外功能面前抵抗力较弱,且这一类人群往往安全防范意识较差),且攻击者通过精心设计的交互过程,能够恰当地触及用户“痛点”(如安装后赠送“道具”,或是免费“抽奖”、获取“会员”下载“加速”等),使受害者主动安装并遵循木马应用的指引,从而沦为此种精准电信诈骗的受害者;并且,此类木马应用往往附带有短信拦截及短信蠕虫模块,用户设备往往会在受木马应用感染后激活该模块,读取用户通讯录的同时,对木马应用进行基于社会工程学的自动次生传播,传播成功率往往较高。正如下图所示,安天移动安全团队在对一部分短信蠕虫受害用户的感染来源进行抽样统计的过程中发现,熟人次生传播成功的占比甚至达到70%。

图3-2: 短信蠕虫受害用户感染源抽样统计

  考虑到智能移动终端设备用户群体涵盖面极广,其中较大比重的用户安全意识较为淡薄、且缺乏对相关恶意应用的甄别能力,而当前任何形式的反病毒引擎也较难做到“万无一失”,故安天移动安全团队倾向于认为,基于仿冒应用、短信拦截木马、短信蠕虫的精准电信诈骗在2018年仍然会是较大的安全威胁来源。

3.3 传销诈骗“互联网化”趋势不可忽视

  随着第四代LTE高速蜂窝网络(即俗称4G)发展带来的线下服务移动互联网化,原有线下渠道的一些负面问题也在移动互联网平台上日益凸显且不容忽视,而那些“互联网化”后与传销诈骗高度类似的行为,在其中占据了一定份额。

  出于这类恶劣行为对公共安全及社会长治久安可能带来的潜在负面影响,安天移动安全团队在2017年底编写了《2017我国移动端传销诈骗类威胁态势分析报告》(详见http://blog.avlsec.com/2017/12/5083/paper/)。就团队在报告形成过程中的初步分析能够发现,截止2017年底,仍然有大量可能涉及传销及相关诈骗活动的团伙以各种形式在我国互联网上活跃,其中,又以移动端应用及专题网站(包含PC端及为移动端优化过的子站点)为甚,其受害用户范围较广,数量较多,造成了十分恶劣的影响。

图3-3-1 2017年Q4疑似“互联网传销诈骗”影响用户数分省统计(单位:位)

  这些类型的应用及网站,往往通过以下几种方式进行传播:

  •线上群组推广传播,如QQ群、微信群等;

  •线上平台推广传播,如微博、贴吧、各类专题论坛甚至手游内聊天系统等;

  •线下熟人间推广传播;

  •线下推广传播,如地铁公交站要求扫码,公共场合小广告贴条等。

图3-3-2 各级政府部门多次对类似风险发布警示

  尽管近年来公安机关及相关政府部门不断加大对各类传销行为,尤其是涉及互联网的新式传销诈骗行为打击整顿的力度,并向公众频繁发布警示,但每年仍有大量受害用户遭受数字总和惊人的各色互联网传销骗局。与此同时,传销诈骗团伙的诈骗手段亦在不断升级,不仅将传统基于商品的传销手法照搬到了互联网上,更是融合了近年来诸如虚拟货币、手机游戏、在线兼职、“微商”等容易使一般用户产生兴趣继而毫无戒心上当受骗的领域。

  对于一般用户来说,只有对这些较为新型的诈骗手段具备理性及感性认识,才能够在遭遇此类诈骗事件时具备辨别能力;而无论传统传销还是互联网传销,其核心受害人群一般都不具备或较少具备这样的能力,一旦互联网传销诈骗团伙利用时下火热、常见的关键词作为其传销诈骗行为的外壳进行包装(如虚拟币、电商返利、“玩游戏赚钱”、国家“一带一路”等,而实质上仍是变种的“庞氏骗局”),这一类核心受害人群将毫无疑问地上钩。鉴于此,安天移动安全团队认为,不仅2017年传销诈骗“互联网化”的趋势不可忽视,2018年这一类活动仍然会为部分普通移动用户带来安全隐患,需要多方力量进行共同防御和对抗。

3.4 “共享”服务大潮下的安全风险触目惊心

图3-4:时下火热的各类“共享”服务

  2015年被社会各界公认为是中国“共享经济”的元年。自2015年至今,以出行(如早期的Uber人民优步、滴滴顺风车以及时下的共享分时用车)、租赁(如共享办公位、共享睡眠舱,又如共享充电宝、共享车位等)、人力(如市内跑腿服务、物流众包等)等领域为代表的共享经济在全国各地落地生根,高速发展。享受到便利的同时,其实各类“共享”服务与用户信息安全之间却有着难以忽视的安全问题,而其中隐藏的安全风险更是触目惊心。

  迄今为止,大多数的共享服务为使用户体验更加快速便捷,基本都使用了手机客户端作为其服务的唯一承载形式,也即“用户必须下载安装,并使用手机客户端来使用共享服务”,且其中大部分服务均采取“手机号验证注册并登录->用户凭借证件(或人脸识别等)实名认证->扫码使用共享服务”的业务逻辑。为了一观其各环节之间的风险,我们将在每一环节列出两点常见但又容易被忽视的安全问题。

  • 手机号验证注册环节:

  1. 用户使用的手机号可能是他人曾经使用并认证过的,可能导致实质上的用户敏感信息泄漏,信息易被用作社会工程学攻击用途;且后使用的用户被默认拥有合法访问该信息的权限,难以追溯、查证影响及扩散范围;

  2. 用户使用手机号码获取验证短信,但用户手机本身可能受到伪基站影响,或是由于运营商的其他业务(例如移动系统中曾出现过的“短信保管箱”业务)、手机厂商内置短信分析框架等因素导致验证码泄漏,使得他人能够获得用户账号使用权限,导致用户实质权益受损。

  • 用户凭借证件实名认证环节:

  1. 用户实名上传了证件照片,但由于使用了公共Wi-Fi网络,或是网络环境下的路由器遭攻击者攻破,导致MITM(中间人攻击)产生,无水印的证件照片泄漏,造成用户敏感信息泄漏,且可能因为证件清晰照片泄漏导致严重的次生损害;

  2. 用户人脸特征信息(或指纹、虹膜等,统称为生物特征信息)为不可变更的唯一认证因子,服务运营商对其进行采集后并没有进行妥善的加密保存,导致用户生物特征信息泄漏,仍然会对用户安全导致严重的次生损害。

  • 扫码使用共享服务环节:

  1. 假设使用共享用车,若该二维码遭他人恶意覆盖钓鱼二维码且未被运营团队识别还原,用户扫描恶意二维码后极可能进入诱导付款的钓鱼网站,遭受钓鱼网站诈骗,从而产生金钱上的损失或是登录凭据的泄漏;

  2. 扫码同时,许多共享服务客户端必须请求用户相机、麦克风及蓝牙权限,若权限遭到某些形式的利用,在后台以一定频率拍摄照片或录音(曾有过相关移动端案例),同时服务提供商出于信息收集的目的,以一定频率调用客户设备进行周边蓝牙设备扫描,以确定其周边服务的覆盖程度。如此行为将导致用户敏感信息泄漏,同时也会加快用户设备电量消耗,影响用户设备续航。

  正如分环节所述,这些类型的安全风险若放在其他形式的互联网服务提供过程中,往往会被认为是不可思议的,但由于共享经济包含的服务类型增长速度过快,各类服务快速迭代过程中也难以产生太多安全考量的缘故,上述安全风险却确实地存在于一些“共享”服务之中,不可谓不触目惊心。考虑到使用“共享”服务的大多数普通用户不具备对类似安全问题的发现能力,能够提前、快速、彻底解决类似安全问题的服务提供商属于极少数,而当前大多数形式的手机安全软件也并未针对其中每一类风险作出有效的提前预警及拦截,故安天移动安全团队倾向于认为,“共享”服务隐藏的安全风险,及其给用户带来的安全隐患,将会在未来较长一段时间内作为用户信息安全的一大重要威胁源。

3.5 Apple iOS“信息安全铜墙铁壁”地位不保

  在智能手机操作系统出现初期,Apple iOS系统即被认为具备较强的安全性:Apple在iOS设计时便建立了一个完整的多层系统,确保其硬件和软件生态系统的同时,亦通过Sandbox(沙箱)运行机制保护iOS用户免受不必要的威胁。这使得在iOS与Android最初竞争应用市场份额时,许多开发者由于用户对iOS的“更认可”而优先开发iOS应用,甚至仅开发iOS独占应用,同时也使得用户对iOS本身及Apple后期提供的云服务抱以较大的信任。迄今为止,iOS下的iTunes Store(官方应用市场)渠道相对Android下的Play Store而言,其份额与盈利均可谓“独占鳌头”。

  但近年来,由于频发的各类0day漏洞(例如CVE-2017-13860等)、专门针对iOS的商业木马(例如Pegasus)、致命的业务逻辑设置(大批量iPhone遭到iCloud账户锁定勒索)、以及非官方供应链污染事件(XCodeGhost)先后遭到披露,并实证有大量受影响用户,iOS俨然已经从“最安全的手机操作系统”走下神坛;并且由于iOS及其运行设备(iPhone、iPad)在权限控制及安全策略设定上,较之Android等其他智能手机操作系统要严格许多,一些原本可以利用第三方应用、框架及补丁加以预防、解决的安全问题,在iOS上却只能等待官方补丁修复及第三方应用升级,用户自己无法进行任何应急处置,实际使得iOS系统面对着一个较为被动的安全局面。

  下图即是俄罗斯技术论坛上网友披露的iOS安全问题,其能够通过技术手段发现iPhone备份中存储在Keychain(安全钥匙串)中,包括4年前使用手机时的日志,而这些信息本不应该被保存。

图3-5 iOS Keychain中被国外技术论坛破解的冗余隐私记载

  鉴于国内较为敏感的行业、部门、机构等近年来提倡使用国产移动通讯设备且成效显著,Apple iOS所产生的系列安全问题,连带造成国家层面的安全影响相对会小一些;但普通移动端用户中,苹果用户占比仍然能够占据前5名(2016年数据显示iPhone在我国国内市场份额约在9%-10%),从我国国内庞大的移动用户基数来看,一旦爆发影响版本较多的安全漏洞,同样会造成极广的用户影响面,隐私泄漏等问题同样无法避免。因此,安天移动安全团队认为,尽管近段时间尚未出现影响面较广,影响性质较恶劣的iOS安全事件(0day漏洞等形式),iOS安全尚处良好状况。但不可忽视的是,iOS领域的安全漏洞、安全事件感知机制以及“感知——处置”机制相比Android平台仍然尚处初期阶段,需要进一步研究及关注。

4 转:移动安全态势走向预测

  本章节将主要介绍团队对2018年移动安全态势的展望,并对其中可能出现的新安全问题及安全热点分别进行描述及趋势判断,供您参考。

4.1 境内移动应用传播渠道安全隐患不可小视

  自进入2010年,以iOS、Android为代表的智能手机系统开始在全球范围发展并逐渐普及以来,软件生态就成为了决定某一系统/平台能否良性发展并持久存活的重要因素;而“非官方渠道传播,安全性未知的”软件安装包,则一直和PC端的恶意破解软件、仿冒捆绑应用相类似,占据了其对应平台安全威胁的较大部分来源。

  这其中,iOS设计之初即包括了由iTunes Store(苹果官方软件市场)主导的软件生态链,且禁止大部分外部应用安装(除企业应用、部分用途的测试应用外,要求较为严苛),较为有效地规避了应用传播渠道带来的安全隐患;但Android系统则较为不同,由于Google Play Store官方市场受政策及监管原因无法在国内运营,我国境内正规出售的Android移动终端大多不包含Google官方框架及其应用市场,而是选择境内各互联网公司建立的应用市场进行预装替代,以便用户下载符合国内监管要求的应用使用。上述事实实际上折射出两个较为严重的问题:

  •国内第三方应用市场仅是开发者提交传播应用的渠道平台,即便遵循国家网信办(中央网络安全和信息化领导小组办公室)《移动互联网应用程序信息服务管理规定》将开发者“实名”后,仍未能保证实名开发者上传提交的应用是安全的,而平台本身往往也不具备监管能力,或者仅具备对一般恶意应用扫描检测能力,许多编写较为精巧的仿冒应用往往能够“瞒天过海”上架正规应用市场,且越知名、越权威的应用市场出现类似问题时,受影响的用户数量级亦愈加庞大;

  •与此同时,国内应用市场碎片化十分严重,仅较为知名的应用市场都有约二十家,更遑论通过搜索引擎关键字推广的各家小型应用市场,其中又有针对智能移动终端及智能电视应用的细分,几乎处在无法胜数的数量级:这很好地折射出了任何平台应用生态碎片化一定会产生的安全状况:大应用市场下载的应用“大多数安全”,小应用市场下载的应用“很大可能存在安全隐患”,并且,国内许多小应用市场惯用的“高速下载器客户端”本身很大可能就是会给用户信息安全带来隐患的木马后门应用。

图4-1 某下载站提供,安全性未知的“百度云高速下载器”与“市场高速下载器”

  此种状况亦属于国内Android移动应用生态建设初期至今的“历史遗留问题”,迄今为止,出于各应用商店的商业利益考量,也不可能存在从外部将应用分发渠道统一,或强行减少分发渠道数量,以便于监测管理的可能(事实上,Android第三方分发渠道在境外亦存在类似问题,但因Google Play官方应用市场占据较大份额,其影响相较国内为小),较为“治标”的方法无疑是在设备上安装第三方安全软件及杀毒软件,但这又对各安全厂商的安全框架、杀毒引擎技术及云端样本库、特征库的运营提出了高标准的要求,同样无法在短期内“治本”。故安天移动安全倾向于认为,短期内,我国境内移动应用传播渠道的“历史遗留问题”仍然会给用户信息安全带来一定程度的威胁,不能够掉以轻心。

4.2 移动终端硬件及系统漏洞影响仍将不断发酵

  2017年至今,各行业运用较为普遍的操作系统软件(包括但不限于PC端Windows,Mac OS,Linux及移动端Apple iOS,Android等常见操作系统)接连爆出严重的系统内核级0day漏洞,其中Windows涉及多版本“通杀”提权漏洞,而苹果Mac OS及其移动端Apple iOS则分别有root权限漏洞及多个UNIX底层漏洞被曝光,其系统安全“神话”就此不再。同时,近日遭到Google公司Project Zero团队曝光的处理器内核Spectre(幽灵)、Meltdown(熔毁)先天架构设计缺陷漏洞,几乎影响1995年之后包括Intel,AMD,Qualcomm,ARM等绝大多数主流处理器,作为硬件底层漏洞也具备极大的影响范围与严重性。

图4-2 境外科技媒体介绍Spectre时使用了“Nearly All”的说法

  考虑到硬件底层漏洞及操作系统内核级漏洞并非任何常规防御措施,或通常的漏洞挖掘人员及手段能在短时间内提前感知、发现并处置的,结合硬件处理器技术(尤其是移动端使用的嵌入式处理器)计算能力与架构方式不断发展,而其承载的操作系统软件复杂性也日益增长,安天移动安全团队倾向于认为,2018年,与硬件底层及系统内核相关的信息安全威胁仍然会继续发酵,需要密切关注。

4.3 数据及隐私安全问题将在移动终端广泛呈现

  当前,随着移动终端类型及绝对数量的不断增多,以及“大数据时代”的移动应用所承载服务类型及数量的不断增长,移动终端所产生并接触的业务数据类型已经相当可观(例如用户行为数据、用户点击数据及用户习惯数据等)。与此同时,由于智能手机系统本身具备的功能数据及各类指纹数据较为充分(如MAC地址、手机串号、互联网IP地址等),而系统的权限控制机制常令第三方“有机可乘”,国内互联网服务提供商往往通过各种手段“或明或暗”地收集这些“可能与用户隐私高度相关”的数据,并进行各种模式、商业化或非商业化的分析、交换、出售及利用。由于移动终端用户的绝对数量本已较多且仍在大幅增长,加之移动互联网本身具备“弱边界”的特点,导致类似行为对单一用户的影响面必定较广,当前用户业务数据及其隐私数据的风险无疑处在了较高的位置,相对传统互联网而言,具备显而易见的更高风险度。

  由于我国的数据及大数据相关产业相对欧美等发达国家出现较晚,许多数据相关产业发展和数据应用以相对粗犷的方式游走于现行法律法规的边缘,部分“擦边”行为即便给用户带来了显而易见的数据及隐私风险,可依据并处罚的相关法律条文却仍然较少。因此,类似的问题不断产生,且在未来的一段时间里广泛呈现于各方面前,在当前的移动互联网产业及移动安全产业角度,是并无法完全地有效规避的。而经欧美各国实施验证,且行之有效的解决方式,即相关部门出台与数据及隐私相关的法律法规,并以之对移动互联网厂商在移动终端的行为加以有效约束,例如:

  •2012年2月美国商务部颁布的《消费者隐私权法案》,其中从个人权利、透明度、尊重背景、安全、访问与准确性、限定范围收集、说明责任这七个方面规定了消费者“应在这些方面受到保护”;

  •2016年4月欧盟通过《一般数据保护条例》(General Data Protection Regulation,GDPR),该条例不仅明确了用户个人数据受到条例保护,也在实施范围、数据许可、主体权利、数据泄露处理及“默认隐私保护”等方面做出了十分严格的规定,并规定了违法机构或公司的最高罚款额“将是其全球营业额的4%或2000万欧元”。

  针对数据及隐私安全问题,国内外状况如出一辙,美国商务部在2010年曾发布的一份报告——《互联网经济中的商业数据隐私与创新:动态政策框架》中所说:“没有强制性的自主规范是不充分的,要恢复消费者的信任,尤其是在对个人信息进行收集、利用的经营者层出不穷的现在,我们迫切需要一部隐私权法案。”

  无独有偶,在2017年,最高人民法院和最高人民检察院曾出台《关于打击倒卖公民隐私数据的办法》,对隐私泄露类犯罪行为进行专项打击指示;2017年6月,《中华人民共和国网络安全法》的正式实施,为我国互联网用户数据及隐私安全的保护开了一个好头。不过,若想完全规避并“根治”这一领域的安全问题,“立法”本身固然具备里程碑级的重要性,也需要包括国家有关部门、安全行业、互联网行业等多方面在未来较长一段时间通过某些方式进行协作,从而从各个维度对用户数据及隐私安全形成“全周期”的切实保障。

4.4 特征明确的精准APT将考验传统安全防御体系

  近年来,部分商业利益或政治因素驱动的移动终端恶意软件(往往以潜伏的APT或类APT形式被发现)更为频繁出现,其精确打击、具备战术性及攻击链逻辑的特点符合“网络战“定义,考验了传统基于“病毒特征库”启发检出机制及各方情报收集、分析及预警能力的同时,可能导致较为重要的商业秘密或较高密级的国家基础设施信息等遭到持续泄漏,且往往发现时可能已造成一定难以估量且难以补救的恶劣影响。

  例如2017年内活动较为频繁的Lazarus(可能具备朝鲜网军背景的黑客组织)、APT28(具备俄罗斯网军背景的黑客组织)、APT34(伊朗背景黑客组织)等,根据部分证据推测,上述黑客组织在2017年内都曾经或曾经试图以某些形式发动过对政治倾向对立面国家的APT或类APT攻击。

图4-4: Lazarus黑客组织近年来针对(过)的目标国家和地区一览(图片来自卡巴斯基实验室)

  鉴于源于或目的为相关敏感方向(朝鲜半岛、中东地区)的攻击事件及组织在近两到三年的活跃程度往往超过各方预期,且其部署攻击事件的手法往往具备严谨的战术思维,结合相关敏感地区的政治局势发展方向以及我国周边的地缘政治状况,安天移动安全团队倾向于认为,“网络战”式的APT攻击或类APT攻击形势将在2018年显得更为严峻

  与此同时,当前任何形式的移动终端(包括但不限于智能手机、平板电脑、嵌入式终端等)在许多行业的生产经营活动各环节得到了大范围普及应用,这些设备接触业务数据的敏感度与频次往往都较高,且部分设备存在许多常被忽视的安全问题,例如:

  •利用相关硬件模块直接通过传统网络架构接入企业内部办公网络(如通过运营商定制化APN虚拟链路实现移动接入的设备等);

  •在缺乏必要安全措施的状况下承载企业内部系统重要登陆凭据(如使用了硬件证书校验,但未通过指/声纹、令牌等形式进行双因子“实人”认证的内部办公应用等);

  •用于办公的移动终端设备存在针对性的“定制”后门(如大批量定制的嵌入式设备投放在办公场景使用,但本身硬件/软件中具备恶性且难以发现的后门模块)。

  正如上述案例所示,部分用于办公的移动终端由于安全认知、厂商技术或采购成本等方面限制,在本身硬件设备(如硬件模块安全程度)及各环节软件应用(如设备操作系统不具备相关安全防御模块,或缺乏针对外部攻击的发现及反制能力等)缺乏审计的同时,相关停留在理论及技术层面的安全标准也未能足够产生与各行业业务逻辑及其实现模块相结合的最佳实践,同时其设备基数相对传统办公计算机数量往往较大,且可控性较低,较易为企业或组织带来难以发现且影响恶劣的安全隐患。尽管在一般企业安全应用场景下,所应用的技术可能已经足够保证企业内部生产业务安全,但对较大规模的商业实体而言,其生产活动的各环节之间存在类似与移动终端相关的安全细节问题,无疑是外部攻击者,尤其是具备策划并发动APT级攻击的攻击组织十分乐意看到的。有鉴于此,安天移动安全团队倾向于认为,在将来较长的一段时间中,针对各类商业实体,如大型互联网公司、金融实体及跨国公司等高价值目标的APT攻击趋势也应引起足够重视。

4.5 移动终端安全屹立“风口”,IoT及车联网“粉墨登场”

  近一两年,移动终端上也出现了影响较广的加密勒索软件、隐私窃取及控制软件等,不仅对用户数据直接“致命”,给用户带来各种形式损失,还可能致使用户终端设备沦为僵尸网络节点,遭到攻击者的全盘控制以及丧失各方面隐私,影响极为恶劣。

  例如2017年年中开始出现的“一键生成”移动端加密勒索木马工具,又如针对IoT(物联网)设备的Mirai蠕虫变种,这二者皆在2017年内出现频繁,对较大数量用户造成影响,且影响范围极广。

  事实上,不仅传统智能移动终端(智能手机、平板电脑)用户数量从近两到三年的数据反映出保持稳固增长的态势,新兴的IoT(如智能POS机、智能穿戴设备、智能家居设备等)甚至车联网设备数量(如Tesla Autopilot,Cadillac Super Cruise等)亦在2017年内呈现了急剧增长的趋势,而相关的安全基线、安全标准以及最佳实践往往未模式化且较为缺乏的;同时由于技术应用领域较新,许多攻击手法亦未能提前被设备研发团队预判得知并适当防御,相关案例2017年亦已屡见不鲜,如外媒报道的中国安全研究员成功“黑入”特斯拉事件。

图4-5:外媒报道中国安全研究员成功“黑入”特斯拉

  结合IoT及车联网设备的发展态势及预测,安天移动安全团队倾向于认为,2018年,类似的加密勒索及深度控制利用不仅会在传统智能移动终端领域活跃,也同样会在安全防御更为薄弱的IoT及车联网领域出现甚至频发。

5 合:结语

  过去几年,我国移动网络相关产业进入了高速领跑发展期,不仅在各类通信业、互联网业及互联网服务等方面全面领先欧洲、美洲发达国家,自主品牌的手机产业也蓬勃发展,诸如华为、OPPO等品牌凭借更精细的本地化系统及高性价比占领了国内市场领先地位,同时近亿级的出货量也已跃居全球第一。

  伴随着产业、服务与相关应用的高速发展,移动威胁近些年来的快速增长也是显而易见,有目共睹的。与新千年以来的传统互联网服务具备最大不同的是,移动互联网及相关服务具备较强的弱边界及快速迭代的特性,这导致了恶意应用将会持续造成威胁,而新的威胁点及利用手段也必然会不断涌现。并不像传统互联网架构中一般,使用安全设备及安全软件即可基本“一劳永逸”,保证用户及服务提供商的安全,移动终端作为服务承载端,与用户的粘性(即设备与用户的绑定关系)前所未有的强,容易遭到安全威胁的数据种类及内容详尽程度,也是传统互联网从未面对过的。如此语境下的各色威胁,面临着安全重视度不足、外部监管尚不十分完善、安全事业各参与方“各自作战”的状况,依然常常为用户及服务提供商带来巨大的潜在安全风险与相关资产的实质性损失。

  正如本《年报》副标题所提到的“起承转合间的方兴未艾与暗流涌动”一般,用户与互联网服务所共存的每一天正犹如“起承转合”,而其间既有移动安全领域新技术的“方兴未艾”,亦有对立面上攻击技术、黑色产业链等各方面的“暗流涌动”。纵观全局,移动安全在2018年的整体态势仍然不容乐观。事实上,面对“暗流涌动”的各类移动威胁,在威胁检测,工程化对抗和基于海量数据的威胁情报“感知——处置”各环节间,安天移动安全团队已经有了比较充分的积累及相关能力储备,能够在威胁存在早期,甚至威胁出现之前形成可防御的能力;但单一团队的能力与我国庞大网络黑产和移动威胁相比,确可谓是“螳臂当车”。若想要扩大这种能力的影响范围,为国内互联网安全环境注入切实的“正能量”,确实仍需思考如何与各参与角色的进一步联动,以更好的发挥优势作用;同时仍需持续研究如何将技术与市场需求、商业规律结合,以确定技术的价值定位,保证团队及厂商的生存空间。这种能力并非是朝夕之间能够具备的,理想中的“联动”体系也并非是任意一方努力即可达成的目标。

  过去的2017年,安天移动安全团队持续致力于移动安全领域,加强对移动领域威胁的观察、感知、分析、追溯、处置、研究,并试图以体系化的方式加强与移动威胁的对抗。这份《年报》,也旨在表述团队过去一年的所见、所为及所思,并为任何需要或试图了解移动安全现状的用户提供一份令人信服的中立意见。由于移动安全威胁态势的复杂性,以及团队知识水平必然存在的限度,这份报告中的部分观点可能并不成熟;但我们会持续在移动安全领域耕耘,为更加安全的移动安全环境贡献出自己微薄的力量。安天移动安全团队将本着对关键、基础、共性、领先技术手段的持续创新,更加积极的开展产业协作,并与信息流和供应链中的所有角色一起建设更加完善的移动安全体系,以更好地将领先的安全技术转化为坚实的用户安全价值。

 更多信息详见公司官网:http://www.avlsec.com   

 转载请注明来源:http://blog.avlsec.com/?p=5150

更多技术文章,请关注安天移动安全官方微信号