-
-
安天AVL Team发布2015移动安全年报
-
发表于: 2016-2-18 23:34 1788
-
新闻链接:http://www.freebuf.com/articles/terminal/96219.html
新闻时间:2016-02-18
新闻正文:
序言
Android和iOS在2009至2010年期间,均出现具有典型意义和影响力的恶意代码家族。因此,自2009年以来,安全工作者与恶意代码的对抗可谓经历了六年博弈之难。
安天AVL移动安全团队(下文统称AVL Team)有幸从2010年组建开始,经历了一个完整的移动安全发展和威胁对抗的历史时代。我们以安天在传统PC和网络安全上的反病毒引擎技术理念为基础,承接安天在PC反恶意代码上的后端工程化体系的基础能力,结合移动安全的对抗技术新型场景和特点,快速成长和发展,目前已经成为世界范围内顶级的移动安全检测技术团队,以及国内最大的移动反病毒引擎技术和服务供应商。
2015年是移动安全威胁膨胀蔓延的一年,同时也给接下来几年的对抗奠定了新形态和新思路。今年的移动安全在技术和攻防对抗上的大量案例都是现象级的;通过这些案例可以看到,背后的黑科技正在快速发展,并逐步完成从小作坊运作向大数据运用的转变,因而需要我们用不断创新的思维和观念来审视安全威胁。我们今年的移动安全年报,将继续以恶意代码为基础视角,结合过去安全形势的演变历史,通过对2015年新案例的观察,以观点的方式来组织内容,用威胁的概念表达归纳今年的安全事态和趋势。希望通过这份年度报告,向移动安全行业从业者、移动互联网相关企业以及大众用户分享和传达我们的所见所为及所思。
一、不堪重负的数据统计
近几年伴随着智能手机和系统的开疆拓土渐趋成熟,移动恶意代码的对抗形势也在不断演变。移动端频频爆发的恶意代码等威胁日益严重地困扰着每一个用户的隐私和财产安全。纵览历年 Android 恶意代码数量,我们可以发现Android平台下的恶意代码数量增长极其迅速。进入2015年,恶意样本的绝对数量和占比在整体环境放缓的情况下仍在快速提升。可见攻击者的攻击模式并未受到整体环境的影响,反而可能因为巨大盈利空间,选择继续加强投入。
通过2015年TOP10家族统计数据,可以看到以色情应用、广告推送等为代表的恶意家族占比较大,这表明恶意代码通过和其他传统黑色产业合作,已经获得新的盈利空间和生存模式。
此外,2015年,以软件推广等流氓推送为主题的恶意代码类型继续泛滥,从较小比例快速攀升,与恶意扣费类型并驾齐驱。这表明,尽管恶意和流氓推送是当前打击的一个重点,但依旧没有较好的遏制,反而呈现日益扩大的趋势。
从整体统计上看,这些现实威胁和潜在威胁难以用数据统计来呈现。但这些威胁恰恰真实存在,而且不断困扰着移动互联网产业和普通用户。由于移动恶意代码本身行为的泛化、传播和威胁场景的复杂性,我们其实从2014年开始就发现,统计型报告虽然也能反映整体趋势、看到现象;但抛开统计的外衣,深入到移动威胁案例的长尾细节当中,我们才能看到更多丰富的结论。
二、全面泛化的安全威胁
2.1 移动生态环节
从普通公众安全感知角度而言,今年的主要威胁仍然是拦截马等恶意代码、信息泄露、垃圾短信、诈骗短信等常见形态。用户除了遭受钱财损失,也往往对伴随而来的骚扰、诈骗不厌其烦,防不胜防。
透过现象看本质,正是因为移动生态环节中的一些安全脆弱点,导致了这些威胁的频发和泛滥。未来安全趋势极大可能是被多个移动生态环节的安全事件所左右。这些安全事件标志着安全攻防已经不单单是暗流涌动,而是有愈演愈烈的趋势。移动生态的多个环节都面临着愈加明显的安全威胁,安全环境也变得日益复杂。
2.2 应用供应链被多点突破
长期以来,国内安全的关注点较多围绕在CPU和操作系统等少数技术环节的安全风险展开,但从供应链的角度对安全的全景审视并不足够,对供应链中的诸多环节的安全风险没有足够和有效的关注,供应链上的各个环节都有可能影响到最终产品和使用场景的安全性。在这个维度上,开发工具、固件、外设等“非核心环节”的安全风险,并不低于操作系统,而利用其攻击的难度可能更低。
开发工具
XcodeGhost事件1是一个值得所有IT从业人员深刻反思的事件。2015年9月14日,通过对突然爆发的大量同种具有信息泄露威胁的iOS恶意代码的分析发现,这些应用都是来源于被污染过的Xcode编译器。通过其编译出的应用,会自动向编译的应用注入信息窃取和远程控制功能。据统计,包括微信、网易云音乐、高德地图、滴滴出行、铁路12306,甚至一些银行的手机应用均受影响,并最终确认App Store上超过3000个应用被感染。该事件不仅打破了苹果系统的安全神话,也可能成为移动安全史上最为严重的安全事故,因为这些被污染的Xcode编译器,由开发人员从非官网渠道下载并引入开发环节。这反映出我国互联网厂商研发环境的缺陷和安全意识薄弱的现状,再度提醒安全从业人员,要从完整供应链、信息链角度对安全进行全景审视。
第三方SDK
第三方SDK是第三方开发商向应用开发者提供代码包,运行时与宿主应用拥有相同的权限。系统在进行动态访问控制评估时无法区分两者,这也是第三方SDK存在安全性问题的原因所在。第三方SDK的安全风险由来已久,2014年就有如聚合数据SDK使用用户通讯录引发争议2等事件,而在2015年里,第三方SDK问题更是层出不穷,国内影响数亿用户的百度系SDK漏洞WormHole3给企业信誉和用户造成了较大安全隐患。而国外同时出现了爆出影响iOS和Android“后门”SDK——iBackDoor和DroidBackDoor事件4。第三方SDK已经成为整个供应链环节中必不可少的一个环节,因此第三方SDK的安全问题一旦爆发可能会有非常巨大的影响。第三方SDK安全问题的出现更多是由SDK开发商、和应用开发者对安全规范的忽视和相互之间对安全性的推脱导致。
ROM
ROM是一个特殊的产品形态,通过对原生ROM的修改形成定制ROM,从而使用户获得不同于原生ROM的体验。但同时,这种模式也伴随这很大的安全风险。很多ROM是由个人或未知来源制作,通过论坛、网盘等渠道发布,其中很可能被混入各种难以预料的「暗黑佐料」。ROM植入可谓Android恶意代码元老,早在2011年9月,Android平台已经出现了首个ROM植入样本NetiSend5,而后ROM预装恶意代码愈演愈烈,2014年央视315晚会上曝光了手机预装木马黑色产业链。2015年,出现了万蓝和权限杀手这些典型的ROM恶意代码6。最初预装在手机ROM中的恶意代码主要是短信扣费,但随着移动互联网的兴起,软件推广已经变成一块人人都想抢的蛋糕,黑产链也深入其中,很多手机ROM俨然已经成为黑产敛财之所。
手机分销渠道
伴随着ROM问题而来的困扰来源是对手机分销渠道完整性的破坏。即便厂商和开发者能很好的保证自身编码、开发环境、第三方SDK的安全问题,但很多厂商并不能很好地保证在其分发渠道的完整与安全。实体手机分销渠道也会被攻击者利用植入恶意代码。2015年9月,德国安全厂商GDATA在2015年Q2移动恶意病毒报告7中指出,市场上至少有26款Android手机在卖给消费者时藏有恶意程序,受害的品牌主要有小米、华为、联想等厂商。手机中预装病毒确有其事,但这些手机病毒并不是在小米、华为和联想等厂商出厂时安装的,而是在销售的过程中,被经销商预装了病毒或刷入了带有病毒的ROM。
2.3 应用生态链的持续污染
同时,在实际应用生态链条中,也往往伴随着盗版、汉化、破解等问题带来的「地下供应链」,以及下载重定向、第三方分发源等带来的风险。这些因素,已经给整个移动应用生态体系造成了大量的安全问题。
应用市场的传播源污染
早在2011年3月,Google 官方Android市场就曾遭受过DroidDream病毒大规模袭击8。2014年初,AVL Team也曾在国内多家知名应用市场上检测到了大量恶意代码,而此类情景在2015年里也继续发生。不仅是国内市场,审核相对严格的Google Play也多次被检测到并下架含恶意行为的应用。作为Android应用和用户手机直接桥梁的应用市场,其向上延伸的应用分发流量以及与分发流量相关的公共云服务器也遭到污染和恶意利用。不仅是迅雷,还有腾讯、百度等分发体系,下载工具的重定向、离线下载等功能确实存在严重的污染风险,甚至还可能通过流量劫持等方式来配合进行攻击。我们在分析和检测各个公共云服务后发现有不少知名云服务器供应商被利用来进行移动恶意代码传播,例如我们在2015年发现有攻击者利用阿里云服务器传播移动恶意代码累计20余万次,这种情况在其它云服务厂商都有普遍出现。此外,2015年11月,TrustLook也曾有报道过通过云服务器传播流氓广告的恶意代码。9
破解和盗版引入
破解、盗版是传统PC流行的地下产业,在移动平台也不例外,但由于此类行业缺乏监管,通常都会传播大量恶意代码。破解类如jianmo家族,利用破解应用传播,植入了锁屏勒索的恶意代码。而盗版类如FakeMoji家族,植入恶意扣费、上传用户隐私的模块化恶意代码到大量的主流知名应用当中。其中最有影响力的盗版应用,莫过于盗版UC浏览器(FxckCPDown.a家族),恶意程序模块随主程序运行并释放恶意子程序,私自下载、静默安装大量恶意程序,同时进行后台发送短信扣费,给大量用户造成资产损失。
邮箱在威胁中的角色凸显
邮件在恶意代码中常用来将窃取到的隐私信息发送给攻击者,在移动恶意代码中,这种技术被频繁使用。拦截马以邮箱为控制端,通过邮件向邮箱上传大量用户隐私信息,包括联系人、短信记录、通话记录、照片,有些甚至还有大量的环境录音、屏幕截图等等。由于邮箱在应用中的研发成本相对较低,且国内有大量免费邮件服务器可以利用。而国内对邮箱的安全重视也主要集中在垃圾邮件方面,因此邮箱被攻击者充分利用,作为隐私收集和存储的媒介。
伪基站和欺诈短信爆发
2014年里大面积爆发的短信拦截类型木马,其最初短信拦截木马攻击模式:通过伪基站发送伪造钓鱼网站地址。虽然运营商积极主动的推动3G乃至4G的升级,但国内以GSM等协议为主要载体的用户群体数量仍然非常庞大。同时,伴随着运营商对移动SP、群发短信接口等加大管理力度,越来越多的欺诈短信、广告推广短信等开始借助伪基站发生作用。由于伪基站具有极强的天然位置属性,可以更好的向特定目标群体针对性发放信息,因此日益成为攻击者青睐的手段。由于GSM等协议短时间内难以完全退出市场,在可以预见的时间范围内,以伪基站为信道、诈骗短信为载体的威胁仍将持续泛滥。
PC与移动威胁联系日益紧密
互联网是一张大网,跨平台攻击早已不是新鲜事儿。2014年,通过PC和Mac感染iOS的WireLurker木马10已让人印象深刻。而在2015年,也有一些类似的事件,例如AVL Team发现的利用Windows与Android平台联动来推广流氓软件的恶意代码;Palo Alto Network发现的PC恶意代码盗取移动设备的备份数据12。移动平台作为网络攻击的重要一环,由于其自身高价值属性,不仅含有大量用户隐私和金融信息,而且其安全防御相对PC网络而言更加脆弱,因而也更易受到各方面的攻击威胁,跨平台攻击已成为其不可避免的风险之一。
2.4 威胁攻击手段持续进化
加固技术进化达到小高峰
Android平台的加固技术(加壳技术)在2015年有了高速的发展。针对Java层的加固方式,在2014年里走完了从整体Dex加密到Dex结构篡改、Opcode自修改,再到Opcode及正确索引信息单独存储,运行后会映射到一片不连续的空间并重新修复索引的过程。而在2015年,Java层加固不仅发展到解密粒度到达类级别或者函数级别,当类被初始化或者函数被调用的时候才执行解密;还出现了类似VMP技术的虚拟壳示例,以及基于自定义LLVM frontend和backend的加固方式。而针对native层的加固方式,目前主要包含执行入口执行解密代码和基于修改LLVM编译器这两种。
恶意软件采用加固技术躲避查杀,使恶意代码的防御成本大大提高。2015年是 Android 平台加固方案高速发展的一年,也是恶意软件采用加固技术躲避安全软件查杀激增的一年。商用加固方案固然不少,但恶意代码更倾向于使用免费方案;如下图所示, DexProtector、APKProtect等就是恶意代码尤为青睐的免费加固技术。此外,还有少量诸如dexunshell等专为恶意代码开发的加固方式。
勒索软件日渐成熟危害显现
勒索软件从2014年开始在PC和移动端同时席卷开来,并在2015年逐渐成为一种成熟的恶意代码攻击模式。移动平台的勒索软件最初发现于东欧,主要恶意行为是通过虚假、色情信息诱导用户激活设备管理器后锁定手机屏幕,显示向用户索要解锁支付相关的勒索信息。2015年国内开始出现以jianmo家族为主,以锁定手机、加密用户通讯录、手机SD卡形态的恶意勒索软件。该类软件技术原理简单、开发门槛低但成效高,不断被不同地下黑产组织进行改装、利用并形成一种成熟的攻击模式。
色情诱导类恶意代码流行
色情应用从2014年开始在移动端流行,主要利用低俗内容通过广告插件向用户推送并引诱用户下载安装。大多此类色情应用当中包含推送其它色情、恶意应用的广告插件并通过第三方支付插件来诱导用户完成支付,逐步形成了一条通过广告与色情交叉推广、支付插件支付获取非法牟利的灰色利益链。下图为恶意色情应用的数量变化趋势,可以看出这些恶意代码主要从2014年开始流行并呈现爆发式增长,到2015年已经演变成了成熟稳定的地下产业。
快速开发模式助力恶意代码
快速开发方法和非常规语言框架,不仅给开发者带来便利,同时也被攻击者利用,也加大了对程序分析的难度,对抗防御手段。Android应用支持多种语言开发,除常规的Java 与C/++,还有易语言、VB、C#、HTML5 、裕语言等,还包含大量在线生成Android应用的网站。下图以易语言为例,可以看出从2014年到2015年易语言使用率有飞速增长。这些开发方式在便利开发者的同时,也给恶意代码作者带来了机会。
顽固的RootKit级恶意代码
伴随着ROM和分发渠道的问题,移动平台也出现了更加深入系统的安全威胁,其隐藏方式更多的则是获取超级用户权限甚至深入到系统底层,达到RootKit、甚至Bootkit级别。长老木马,仍在持续进化,目前已经进化到第四代。2015年,PermAd家族(又名“幽灵推、Ghost Push”),感染了全球大量安卓手机。该恶意代码自带Root功能,利用公开Root工具的提权代码,直接对手机进行Root操作,获取系统最高权限,将恶意代码写入只读文件系统。深度提权的恶意代码,不仅能有效避免被安全软件检测,更在于其难以被用户清除,以便顽固存活。
三、 更具针对性的威胁形态
3.1 针对金融资产的威胁与攻击手法
短信拦截木马威胁从2013年开始爆发并持续发酵。如下图所示,2015年全年的短信拦截木马类威胁事件数量仍呈现明显增长。
随着近几年的发展,短信拦截木马类威胁事件已经形成一套非常固定的攻击模式:
主要通过伪基站投放伪装成中国移动、银行等号码发送的钓鱼欺诈短信;
以短链接或者仿冒的网址诱骗受害者打开钓鱼网站;
钓鱼网站诱骗受害者填写部分个人信息并窃取;
诱导受害者下载安装木马程序;
木马程序以发送短信或者发送邮件的方式窃取短信内容;
最终窃取受害者的在线金融资产。
从2015年情况看,针对移动终端支付的用户群体已经发展成为一类非常普遍的威胁类型。短信拦截木马类威胁伴随着移动金融和移动支付的兴起而诞生,当前不仅各大银行均有手机银行类移动终端支付业务,并且通过以支付宝、财付通类的在线支付钱包绑定用户的银行卡即可完成方便快捷的支付,以及像团购类、电商类、打车类、旅游类应用均提供了移动支付类功能,并且能够保存银行卡信息便于再次支付。移动支付业务为了满足用户在支付时的便利性和快捷性,以及保障用户支付时的安全性,除了需要用户提供支付银行卡的部分信息(如卡号)和用户的关键身份信息(如身份证号码、电话号码),还引入了一个非常关键的双因子认证信息——短信验证码,即会在支付过程中,由待支付的商家或者金融企业发送一条含有短信验证码的短信到用户注册时填写的个人手机上。
短信拦截木马类威胁针对使用移动金融和移动支付服务的用户,因而遭受威胁的可能是开通了手机银行支付功能的用户,也有可能是使用在线支付钱包的用户。该类威胁事件以窃取用户手机上的短信箱短信的内容或者接收的短信内容为攻击目标,从而从窃取的短信信息中得到短信验证码信息,并结合其他攻击方式窃取必要的用户资产信息,最终达到窃取用户金融资产的目的。
通过对短信拦截木马威胁事件的快速响应分析,我们发现其中一例威胁事件,自攻击者的控制邮箱激活起,短短2个小时左右,就有60名受害者的短信资产信息被窃取,平均每2分钟就有一名手机用户中招,并且分属于全国多个城市。
3.2 针对特定用户的威胁与攻击手法
从2015年的移动安全威胁来看,移动威胁事件向着针对性攻击威胁发展,攻击者开始有意识的向特定范围的受害者,或者特定的用户群体进行攻击,甚至会出现针对特定企业或组织,特定地域范围的攻击。
以伪基站投放的钓鱼欺诈短信为例,伪装成中国移动的钓鱼短信明显高于伪装其他服务供应商,伪装成工行、建行、招行、交行的钓鱼短信明显高于其他银行,攻击者采用更加精确的投放策略和更加收敛的攻击目标来减小攻击的成本和提高攻击的有效性。攻击者会根据选择攻击的受害者画像来针对性挑选攻击战术和技术,以下总结了短信拦截木马类威胁中主要的几种攻击模式和目标受害者。
除了典型的针对特定用户群体的安全威胁之外,攻击者还可以通过掌握的通讯录等隐私信息,进一步升级攻击威胁,将具有群体针对性的威胁升级为个体威胁,从而提高威胁的准确性和侵略性。在这些隐私信息的指引下,攻击者的攻击手段可以更加具体,不仅包含了受害者的姓名,还有受害者手机联系人的姓名,甚至职务、场景等信息。这些具体的信息会给诈骗成功带来极大帮助。
四、持续扩大的威胁攻击面
4.1 隐私大数据的攻击模式显现
2015年2月,国外媒体披露,优步(Uber)5万名司机的个人信息被不知名的第三方人士获取,包括社保码、司机相片、车辆登记号等信息;4月,遍布19个省份的社保系统相关信息泄露达5279.4万条,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息13;9月,部分支付宝用户发现帐号异地登陆,实为撞库所致,虽然支付宝对资金有保护,但依然给用户造成困扰14;10月,网易邮箱的泄露,导致大量iPhone用户遭到远程锁定勒索的威胁15。
近年来,针对网站系统的脱库、撞库攻击频繁发生,其导致大量的用户隐私数据被泄露,例如用户姓名、电话号码、身份证号码、邮箱帐号等等重要信息被泄露。个人隐私数据经过地下产业链的贩卖渠道,最后形成了各种地下社工库。而这些数据,进一步和移动平台的隐私信息相互关联,大量的联系人姓名、电话及短信内容的泄露,导致用户的社会关系、银行流水等信息被攻击者获取,并且通过分析还能得到用户的近况,更深入的建立了受害者的档案和画像,并会选择性的对高价值目标进行针对性攻击,例如针对性的电话诈骗、恶意营销及近年来时常发生的网购退款诈骗、网购机票退款诈骗等。
这些通过大数据的隐私泄露和利用的事件可以看出,黑色产业链已经完成了对数据的原始积累,并有效使用大数据计算等方式对数据进行加工和利用。因此,我们面对的不再只是简单粗暴的攻击者,而是种种数据泄露和数据威胁;我们需要携起手来,通过大数据机器学习的方式,与黑产较量,尽可能挽救每一个隐私泄露的受害者。
4.2 漏洞的潜在攻击面可能扩大
如果选取2015年对Android平台影响最大的几个漏洞,那么无疑是通用应用更新漏洞“寄生兽”、媒体库Stagefright系列漏洞、以及百度SDK WormHole。严格来说,其实这些漏洞主要是由于开发人员安全意识薄弱、不重视、不在意而导致的。如 “寄生兽”漏洞,主要由于App在更新时未对更新包做校验,加上Zip包解压时的路径遍历问题,从而导致漏洞发生。Stagefright是一个Android代码库,处理集中广泛使用的媒体格式。最严重的利用场景是:使用一条特殊修改的多媒体格式信息(MMS),攻击者只要拥有Android手机电话号码就可实施攻击,被发送的恶意信息将会在漏洞设备上执行恶意代码,无需终端用户的参与且用户不会发现任何异常。“WormHole 漏洞”其实是基于百度的某SDK端口存在身份验证和权限控制缺陷而产生的,此端口本来是用于广告网页、升级下载、推广App,SDK为实现跨应用通信的定制化HTTP服务开放了全域Socket端口,但由于在该SDK设计上并未完全考虑其安全性,缺乏身份验证,而易被远程攻击者绕过安全检查并实施一系列远程指令,包括安装任意APK。
此外,漏洞修复的及时性也会直接影响后续安全防御能力。如上图所示,在爆发百度WormHole事件后一个月内,密集而及时的响应确保了其安全隐患的及时解除。然而,绝大多数现实却是,公开漏洞、历史漏洞和应用漏洞的不及时修补导致的攻击面,无论在PC还是移动平台,都是比较常见的情景。虽然Google原生系统加强了相关响应机制,各个大厂商也在积极开展相关工作;但要看到的是,由于Android系统的碎片化,Android安全更新往往无法到达所有手机,甚至由于碎片化原因导致老设备通常无法修复漏洞。此外,由于漏洞的修复取决于每个设备制造商,而Android补丁到达终端用户手中往往需要几个月时间,因此对于新发现的安全漏洞毫无抵抗之力。移动平台上一个很典型的案例就是Android的WebView控件使用的旧版Chromuim,引入了很多历史漏洞,带来较大安全隐患。此外,2015年12月3日趋势报告19称,由于一个存在三年之久的libupnp软件漏洞,影响了总计610万的设备,包括智能手机、路由器和智能电视,现在都有被远程代码执行攻击的风险。
4.3 iOS安全受到考验
2015年,iOS的安全问题可谓全面开花,从Pawn Storm APT事件里出现的首个iOS平台间谍应用XAgent开始,到Hacking Team泄露事件资料里出现的可监听未越狱设备的Newsstand间谍工具,不仅一次次打破了iOS设备非越狱环境安全的神话,更覆盖了所有用户使用场景。
从技术角度来看,iOS恶意代码也颇有新意。越狱木马KeyRaider通过Cydia框架Hook iTunes通信协议的SSL读写函数来获取iCloud帐号,进一步还能够利用他人帐号来消费;而TinyV木马并未使用Cydia框架,而是自己实现了一套Hook方案。同时还出现了利用私有API的流氓推广色情件YiSpecter,以及通过SDK植入后门的iBackDoor。
本以为iOS安全问题到此为止,而XcodeGhost事件的出现,再次刷新了安全界的认知。最终发现App Store 上大量应用被感染,其中包括主流的知名应用,该事件刷新了移动安全史上安全事故记录,同时也再度提醒安全从业人员要从完整供应链、信息链角度来形成全景的安全视野、安全建模与评价、感知能力。
通过进一步研究可以发现上述恶意代码和安全事件其实大部分都是出自国内,国内制作、国内分发、国内传播,不得不感叹国内移动黑产已经走在了世界前列。
4.4 IoT威胁攻击逐渐摆脱概念
2015年,针对智能设备、物联网的安全研究如火如荼,从金融支付、智能家居、无人机、SSL,到摄像头、安防、豆浆机、洗衣机,被攻击被Pwn掉的设备覆盖了生活的方方面面。这些案例,虽然有博眼球的性质,但真实的反应出智能设备的现状当前在不断把各种智能传感、网络连接的技术加入的同时,也扩大了系统的风险面。更进一步来讲,这些系统往往来源于传统工控系统,设备往往脱胎于传统制造业,安全思路往往固限于传统的安防控制,难以对这些新兴安全威胁做到充分考虑。工控设备、路由器等各类设备安全保护能力同样薄弱,尽管用户和生产商对传统计算机和设备的安全保护愈加重视,但对联网「智能」设备的安全保护却往往熟视无睹。人们常常会忘了这些智能设备同样也是功能强大的计算机,但由于缺少足够的安全保护措施,很容易被黑客攻破甚至导致更严重的后果。因而,IoT涉及的安全问题涵盖了硬件、web、信道、通信协议、移动终端、系统、应用等各个方面,可谓木桶效应完美体现,任何一点防范不周,都将导致严重后果。
虽然这些问题,仅仅还处在了解和探索阶段,但事实上,随着物联网的发展,智能设备逐渐开始渗透生活各个方面,突然大面积爆发某个安全事件是非常有可能的。而我们应该做的是,一方面保持对安全风险的警醒、加强潜在安全事件的监控,另一方面探索与相关企业、行业的合作,共同探索相关安全模式。
4.5 2016年移动安全趋势
2015年,随着短信拦截木马、色情件传播恶意广告、锁屏勒索、流氓推广等黑产的发展和日趋成熟,以及ROM植入样本、利用漏洞提权样本的大量出现,恶意代码更是大量利用加固手段,给恶意代码检测能力带来了严重挑战。而随着寄生兽这种通用App更新机制漏洞的出现,到媒体库Stagefright系列漏洞,Android平台已然千疮百孔;随后更出现了百度SDK WormHole漏洞,影响了大量App和数亿用户,此刻才惊觉Android安全形势远比想象的要严峻。
2016年,随着互联网+的概念深入人心,大量传统企业引入互联网相关资源并进行改革,移动互联网必然得到更加高速的发展。但在这些产业快速发展的同时,我们也应该警醒威胁形态会日益泛化,威胁目标会更具针对性,资产损失可能会更加惨重。
从移动端系统平台来看,Android平台将会继续出现多样化、更加成熟化的勒索木马程序,流氓恶意推广软件继续更加规模化的发展,会出现大量黑产利用泄露的用户隐私数据进行更加精细化的渗透和攻击的情景,Android系统将会被披露出大量的安全漏洞。同时,iOS无毒的神话在2015年被彻底打破,目前不论是安全研究者、安全厂商还是攻击者,都对iOS的安全研究投入了更多精力和成本。伴随iOS应用和开发者的进一步增加,我们相信在2016年,iOS有迎来更大规模的移动恶意代码爆发和威胁的可能性。
从用户隐私泄露来看,通过伪基站和钓鱼网站,网站被脱库攻击等相关手段仍然会导致大量的用户通讯录、邮箱、社交账号、互联网金融类账号和身份信息等隐私不同程度的泄露并被地下黑产利用。这些会产生更具针对性、更系统化的攻击手段和威胁模式,这将是未来不小的挑战。 从其他方面来看,针对不同类型的物联网和智能家居的木马程序可能会逐渐增多,并且木马程序进入到智能设备的途径不断丰富多样。传统互联网、移动互联网、物联网等多网融合背景下,统一的安全模型会受到更大的挑战,泛化威胁下的防御体系需要升级。
结语:移动安全防御新时代
跟着“数据感觉”走的安全防御体系
回望过去几年的移动安全,恶意代码层出不穷;攻击者用短短1-2年时间完成了PC安全手段近乎20年的进化——从功能机时代各种J2me形态的Demo玩物和遗物,到Symbian、iOS、Android等平台上的形态各异的恶意代码。从2010年到2012年,从数据上看到的是恶意代码的几何级数的爆发式增长,从形态上看到的是FakePlayer、Geinimi、 Adrd、Zitmo、DroidDream、Nickispy、Anserver等一个个各具特点的案例,迅速让Android平台的各种安全风险被暴露。
展望未来,我们看到的是一方面攻击者在技术上不断创新,从早期的如Kungfu、FakeInst到后来的Obad、长老木马等恶意代码也在不断挑战安全底线,各种提权、混淆、加密、加壳等各种技术不断促使安全工程师加强防御技术,导致安全厂商在系统化对抗手段上不断进化。另一方面,我们看到的是各种移动生态链的脆弱点被攻击者利用。例如,Carrier IQ事件标志着隐私的滥用,而这些隐私滥用风险并没有得到充分认识和限制。
从最近一两年来看,恶意代码的安全防护边界持续得到保障,正面战场危险得到有效控制。但伪基站、拦截马、隐私泄露等问题的持续积累却得到爆发,各种新生威胁不断交织演变。当各种指名道姓的电话短信诈骗,金融、账户资产被欺骗盗取的时候,人们真正体会到移动威胁,也真正开始意识到移动安全的必要性和紧迫性。XcodeGhost让iOS生态风险再次被大家关注,而在开发工具、SDK、ROM、广告渠道等这些生态的基础环节出现的安全威胁,让问题看起来怎么都不那么轻松:一方面是我们做的越来越完善,另一方面确实各种问题不经意间刺痛我们的神经。
面向“威胁情报”的安全防御体系
当威胁膨胀蔓延的时候,原有的解决方案仍然扮演着基石般的作用。防火墙过时了么?反病毒软件过时了么?恰恰不是。这些解决方案,单个肯定不足以解决所有安全问题,银弹是不存在的。但正是这些解决方案,将整体安全威胁通过有效的安全边界划定,形成有效的正面阻遏。在面对正面防御体系的时候,攻击者无法再有所作为,转而选择针对防御体系中的薄弱环节,向安全意识不足的薄弱群体发起攻击。因此,各种泛化的威胁形态掩盖的是具有针对性的攻击战术。
对于各种层出不穷的威胁,不是我们的“感觉”不灵敏了,而是我们的触角不够,无法给我们的“感觉”提供足够和重要的信息用于安全决策。因此,形成的局面是威胁只有一再发生的时候,我们才能感知到,才能跟着数据趋势去决策和加强防御能力。对安全公司来说,这个决策链是快速和足够的;但对于用户来说,可能已经是明显迟滞了。如果我们不有效抽丝剥茧,将难以应对这些具有针对性的攻击战术。
面对威胁精确化和离散化的现状,进一步加强用户侧对威胁的感知能力,可能是安全厂商的必由之路。通过威胁情报的分析、加工和分享,从而对威胁进行准确定性、定位、定量。通过这样有针对性的服务,来满足和解决特定用户群体所面临的特定安全威胁,并向用户提供切实有效的解决方案,这样的体系或许是未来的发展方向。
新闻时间:2016-02-18
新闻正文:
序言
Android和iOS在2009至2010年期间,均出现具有典型意义和影响力的恶意代码家族。因此,自2009年以来,安全工作者与恶意代码的对抗可谓经历了六年博弈之难。
安天AVL移动安全团队(下文统称AVL Team)有幸从2010年组建开始,经历了一个完整的移动安全发展和威胁对抗的历史时代。我们以安天在传统PC和网络安全上的反病毒引擎技术理念为基础,承接安天在PC反恶意代码上的后端工程化体系的基础能力,结合移动安全的对抗技术新型场景和特点,快速成长和发展,目前已经成为世界范围内顶级的移动安全检测技术团队,以及国内最大的移动反病毒引擎技术和服务供应商。
2015年是移动安全威胁膨胀蔓延的一年,同时也给接下来几年的对抗奠定了新形态和新思路。今年的移动安全在技术和攻防对抗上的大量案例都是现象级的;通过这些案例可以看到,背后的黑科技正在快速发展,并逐步完成从小作坊运作向大数据运用的转变,因而需要我们用不断创新的思维和观念来审视安全威胁。我们今年的移动安全年报,将继续以恶意代码为基础视角,结合过去安全形势的演变历史,通过对2015年新案例的观察,以观点的方式来组织内容,用威胁的概念表达归纳今年的安全事态和趋势。希望通过这份年度报告,向移动安全行业从业者、移动互联网相关企业以及大众用户分享和传达我们的所见所为及所思。
一、不堪重负的数据统计
近几年伴随着智能手机和系统的开疆拓土渐趋成熟,移动恶意代码的对抗形势也在不断演变。移动端频频爆发的恶意代码等威胁日益严重地困扰着每一个用户的隐私和财产安全。纵览历年 Android 恶意代码数量,我们可以发现Android平台下的恶意代码数量增长极其迅速。进入2015年,恶意样本的绝对数量和占比在整体环境放缓的情况下仍在快速提升。可见攻击者的攻击模式并未受到整体环境的影响,反而可能因为巨大盈利空间,选择继续加强投入。
通过2015年TOP10家族统计数据,可以看到以色情应用、广告推送等为代表的恶意家族占比较大,这表明恶意代码通过和其他传统黑色产业合作,已经获得新的盈利空间和生存模式。
此外,2015年,以软件推广等流氓推送为主题的恶意代码类型继续泛滥,从较小比例快速攀升,与恶意扣费类型并驾齐驱。这表明,尽管恶意和流氓推送是当前打击的一个重点,但依旧没有较好的遏制,反而呈现日益扩大的趋势。
从整体统计上看,这些现实威胁和潜在威胁难以用数据统计来呈现。但这些威胁恰恰真实存在,而且不断困扰着移动互联网产业和普通用户。由于移动恶意代码本身行为的泛化、传播和威胁场景的复杂性,我们其实从2014年开始就发现,统计型报告虽然也能反映整体趋势、看到现象;但抛开统计的外衣,深入到移动威胁案例的长尾细节当中,我们才能看到更多丰富的结论。
二、全面泛化的安全威胁
2.1 移动生态环节
从普通公众安全感知角度而言,今年的主要威胁仍然是拦截马等恶意代码、信息泄露、垃圾短信、诈骗短信等常见形态。用户除了遭受钱财损失,也往往对伴随而来的骚扰、诈骗不厌其烦,防不胜防。
透过现象看本质,正是因为移动生态环节中的一些安全脆弱点,导致了这些威胁的频发和泛滥。未来安全趋势极大可能是被多个移动生态环节的安全事件所左右。这些安全事件标志着安全攻防已经不单单是暗流涌动,而是有愈演愈烈的趋势。移动生态的多个环节都面临着愈加明显的安全威胁,安全环境也变得日益复杂。
2.2 应用供应链被多点突破
长期以来,国内安全的关注点较多围绕在CPU和操作系统等少数技术环节的安全风险展开,但从供应链的角度对安全的全景审视并不足够,对供应链中的诸多环节的安全风险没有足够和有效的关注,供应链上的各个环节都有可能影响到最终产品和使用场景的安全性。在这个维度上,开发工具、固件、外设等“非核心环节”的安全风险,并不低于操作系统,而利用其攻击的难度可能更低。
开发工具
XcodeGhost事件1是一个值得所有IT从业人员深刻反思的事件。2015年9月14日,通过对突然爆发的大量同种具有信息泄露威胁的iOS恶意代码的分析发现,这些应用都是来源于被污染过的Xcode编译器。通过其编译出的应用,会自动向编译的应用注入信息窃取和远程控制功能。据统计,包括微信、网易云音乐、高德地图、滴滴出行、铁路12306,甚至一些银行的手机应用均受影响,并最终确认App Store上超过3000个应用被感染。该事件不仅打破了苹果系统的安全神话,也可能成为移动安全史上最为严重的安全事故,因为这些被污染的Xcode编译器,由开发人员从非官网渠道下载并引入开发环节。这反映出我国互联网厂商研发环境的缺陷和安全意识薄弱的现状,再度提醒安全从业人员,要从完整供应链、信息链角度对安全进行全景审视。
第三方SDK
第三方SDK是第三方开发商向应用开发者提供代码包,运行时与宿主应用拥有相同的权限。系统在进行动态访问控制评估时无法区分两者,这也是第三方SDK存在安全性问题的原因所在。第三方SDK的安全风险由来已久,2014年就有如聚合数据SDK使用用户通讯录引发争议2等事件,而在2015年里,第三方SDK问题更是层出不穷,国内影响数亿用户的百度系SDK漏洞WormHole3给企业信誉和用户造成了较大安全隐患。而国外同时出现了爆出影响iOS和Android“后门”SDK——iBackDoor和DroidBackDoor事件4。第三方SDK已经成为整个供应链环节中必不可少的一个环节,因此第三方SDK的安全问题一旦爆发可能会有非常巨大的影响。第三方SDK安全问题的出现更多是由SDK开发商、和应用开发者对安全规范的忽视和相互之间对安全性的推脱导致。
ROM
ROM是一个特殊的产品形态,通过对原生ROM的修改形成定制ROM,从而使用户获得不同于原生ROM的体验。但同时,这种模式也伴随这很大的安全风险。很多ROM是由个人或未知来源制作,通过论坛、网盘等渠道发布,其中很可能被混入各种难以预料的「暗黑佐料」。ROM植入可谓Android恶意代码元老,早在2011年9月,Android平台已经出现了首个ROM植入样本NetiSend5,而后ROM预装恶意代码愈演愈烈,2014年央视315晚会上曝光了手机预装木马黑色产业链。2015年,出现了万蓝和权限杀手这些典型的ROM恶意代码6。最初预装在手机ROM中的恶意代码主要是短信扣费,但随着移动互联网的兴起,软件推广已经变成一块人人都想抢的蛋糕,黑产链也深入其中,很多手机ROM俨然已经成为黑产敛财之所。
手机分销渠道
伴随着ROM问题而来的困扰来源是对手机分销渠道完整性的破坏。即便厂商和开发者能很好的保证自身编码、开发环境、第三方SDK的安全问题,但很多厂商并不能很好地保证在其分发渠道的完整与安全。实体手机分销渠道也会被攻击者利用植入恶意代码。2015年9月,德国安全厂商GDATA在2015年Q2移动恶意病毒报告7中指出,市场上至少有26款Android手机在卖给消费者时藏有恶意程序,受害的品牌主要有小米、华为、联想等厂商。手机中预装病毒确有其事,但这些手机病毒并不是在小米、华为和联想等厂商出厂时安装的,而是在销售的过程中,被经销商预装了病毒或刷入了带有病毒的ROM。
2.3 应用生态链的持续污染
同时,在实际应用生态链条中,也往往伴随着盗版、汉化、破解等问题带来的「地下供应链」,以及下载重定向、第三方分发源等带来的风险。这些因素,已经给整个移动应用生态体系造成了大量的安全问题。
应用市场的传播源污染
早在2011年3月,Google 官方Android市场就曾遭受过DroidDream病毒大规模袭击8。2014年初,AVL Team也曾在国内多家知名应用市场上检测到了大量恶意代码,而此类情景在2015年里也继续发生。不仅是国内市场,审核相对严格的Google Play也多次被检测到并下架含恶意行为的应用。作为Android应用和用户手机直接桥梁的应用市场,其向上延伸的应用分发流量以及与分发流量相关的公共云服务器也遭到污染和恶意利用。不仅是迅雷,还有腾讯、百度等分发体系,下载工具的重定向、离线下载等功能确实存在严重的污染风险,甚至还可能通过流量劫持等方式来配合进行攻击。我们在分析和检测各个公共云服务后发现有不少知名云服务器供应商被利用来进行移动恶意代码传播,例如我们在2015年发现有攻击者利用阿里云服务器传播移动恶意代码累计20余万次,这种情况在其它云服务厂商都有普遍出现。此外,2015年11月,TrustLook也曾有报道过通过云服务器传播流氓广告的恶意代码。9
破解和盗版引入
破解、盗版是传统PC流行的地下产业,在移动平台也不例外,但由于此类行业缺乏监管,通常都会传播大量恶意代码。破解类如jianmo家族,利用破解应用传播,植入了锁屏勒索的恶意代码。而盗版类如FakeMoji家族,植入恶意扣费、上传用户隐私的模块化恶意代码到大量的主流知名应用当中。其中最有影响力的盗版应用,莫过于盗版UC浏览器(FxckCPDown.a家族),恶意程序模块随主程序运行并释放恶意子程序,私自下载、静默安装大量恶意程序,同时进行后台发送短信扣费,给大量用户造成资产损失。
邮箱在威胁中的角色凸显
邮件在恶意代码中常用来将窃取到的隐私信息发送给攻击者,在移动恶意代码中,这种技术被频繁使用。拦截马以邮箱为控制端,通过邮件向邮箱上传大量用户隐私信息,包括联系人、短信记录、通话记录、照片,有些甚至还有大量的环境录音、屏幕截图等等。由于邮箱在应用中的研发成本相对较低,且国内有大量免费邮件服务器可以利用。而国内对邮箱的安全重视也主要集中在垃圾邮件方面,因此邮箱被攻击者充分利用,作为隐私收集和存储的媒介。
伪基站和欺诈短信爆发
2014年里大面积爆发的短信拦截类型木马,其最初短信拦截木马攻击模式:通过伪基站发送伪造钓鱼网站地址。虽然运营商积极主动的推动3G乃至4G的升级,但国内以GSM等协议为主要载体的用户群体数量仍然非常庞大。同时,伴随着运营商对移动SP、群发短信接口等加大管理力度,越来越多的欺诈短信、广告推广短信等开始借助伪基站发生作用。由于伪基站具有极强的天然位置属性,可以更好的向特定目标群体针对性发放信息,因此日益成为攻击者青睐的手段。由于GSM等协议短时间内难以完全退出市场,在可以预见的时间范围内,以伪基站为信道、诈骗短信为载体的威胁仍将持续泛滥。
PC与移动威胁联系日益紧密
互联网是一张大网,跨平台攻击早已不是新鲜事儿。2014年,通过PC和Mac感染iOS的WireLurker木马10已让人印象深刻。而在2015年,也有一些类似的事件,例如AVL Team发现的利用Windows与Android平台联动来推广流氓软件的恶意代码;Palo Alto Network发现的PC恶意代码盗取移动设备的备份数据12。移动平台作为网络攻击的重要一环,由于其自身高价值属性,不仅含有大量用户隐私和金融信息,而且其安全防御相对PC网络而言更加脆弱,因而也更易受到各方面的攻击威胁,跨平台攻击已成为其不可避免的风险之一。
2.4 威胁攻击手段持续进化
加固技术进化达到小高峰
Android平台的加固技术(加壳技术)在2015年有了高速的发展。针对Java层的加固方式,在2014年里走完了从整体Dex加密到Dex结构篡改、Opcode自修改,再到Opcode及正确索引信息单独存储,运行后会映射到一片不连续的空间并重新修复索引的过程。而在2015年,Java层加固不仅发展到解密粒度到达类级别或者函数级别,当类被初始化或者函数被调用的时候才执行解密;还出现了类似VMP技术的虚拟壳示例,以及基于自定义LLVM frontend和backend的加固方式。而针对native层的加固方式,目前主要包含执行入口执行解密代码和基于修改LLVM编译器这两种。
恶意软件采用加固技术躲避查杀,使恶意代码的防御成本大大提高。2015年是 Android 平台加固方案高速发展的一年,也是恶意软件采用加固技术躲避安全软件查杀激增的一年。商用加固方案固然不少,但恶意代码更倾向于使用免费方案;如下图所示, DexProtector、APKProtect等就是恶意代码尤为青睐的免费加固技术。此外,还有少量诸如dexunshell等专为恶意代码开发的加固方式。
勒索软件日渐成熟危害显现
勒索软件从2014年开始在PC和移动端同时席卷开来,并在2015年逐渐成为一种成熟的恶意代码攻击模式。移动平台的勒索软件最初发现于东欧,主要恶意行为是通过虚假、色情信息诱导用户激活设备管理器后锁定手机屏幕,显示向用户索要解锁支付相关的勒索信息。2015年国内开始出现以jianmo家族为主,以锁定手机、加密用户通讯录、手机SD卡形态的恶意勒索软件。该类软件技术原理简单、开发门槛低但成效高,不断被不同地下黑产组织进行改装、利用并形成一种成熟的攻击模式。
色情诱导类恶意代码流行
色情应用从2014年开始在移动端流行,主要利用低俗内容通过广告插件向用户推送并引诱用户下载安装。大多此类色情应用当中包含推送其它色情、恶意应用的广告插件并通过第三方支付插件来诱导用户完成支付,逐步形成了一条通过广告与色情交叉推广、支付插件支付获取非法牟利的灰色利益链。下图为恶意色情应用的数量变化趋势,可以看出这些恶意代码主要从2014年开始流行并呈现爆发式增长,到2015年已经演变成了成熟稳定的地下产业。
快速开发模式助力恶意代码
快速开发方法和非常规语言框架,不仅给开发者带来便利,同时也被攻击者利用,也加大了对程序分析的难度,对抗防御手段。Android应用支持多种语言开发,除常规的Java 与C/++,还有易语言、VB、C#、HTML5 、裕语言等,还包含大量在线生成Android应用的网站。下图以易语言为例,可以看出从2014年到2015年易语言使用率有飞速增长。这些开发方式在便利开发者的同时,也给恶意代码作者带来了机会。
顽固的RootKit级恶意代码
伴随着ROM和分发渠道的问题,移动平台也出现了更加深入系统的安全威胁,其隐藏方式更多的则是获取超级用户权限甚至深入到系统底层,达到RootKit、甚至Bootkit级别。长老木马,仍在持续进化,目前已经进化到第四代。2015年,PermAd家族(又名“幽灵推、Ghost Push”),感染了全球大量安卓手机。该恶意代码自带Root功能,利用公开Root工具的提权代码,直接对手机进行Root操作,获取系统最高权限,将恶意代码写入只读文件系统。深度提权的恶意代码,不仅能有效避免被安全软件检测,更在于其难以被用户清除,以便顽固存活。
三、 更具针对性的威胁形态
3.1 针对金融资产的威胁与攻击手法
短信拦截木马威胁从2013年开始爆发并持续发酵。如下图所示,2015年全年的短信拦截木马类威胁事件数量仍呈现明显增长。
随着近几年的发展,短信拦截木马类威胁事件已经形成一套非常固定的攻击模式:
主要通过伪基站投放伪装成中国移动、银行等号码发送的钓鱼欺诈短信;
以短链接或者仿冒的网址诱骗受害者打开钓鱼网站;
钓鱼网站诱骗受害者填写部分个人信息并窃取;
诱导受害者下载安装木马程序;
木马程序以发送短信或者发送邮件的方式窃取短信内容;
最终窃取受害者的在线金融资产。
从2015年情况看,针对移动终端支付的用户群体已经发展成为一类非常普遍的威胁类型。短信拦截木马类威胁伴随着移动金融和移动支付的兴起而诞生,当前不仅各大银行均有手机银行类移动终端支付业务,并且通过以支付宝、财付通类的在线支付钱包绑定用户的银行卡即可完成方便快捷的支付,以及像团购类、电商类、打车类、旅游类应用均提供了移动支付类功能,并且能够保存银行卡信息便于再次支付。移动支付业务为了满足用户在支付时的便利性和快捷性,以及保障用户支付时的安全性,除了需要用户提供支付银行卡的部分信息(如卡号)和用户的关键身份信息(如身份证号码、电话号码),还引入了一个非常关键的双因子认证信息——短信验证码,即会在支付过程中,由待支付的商家或者金融企业发送一条含有短信验证码的短信到用户注册时填写的个人手机上。
短信拦截木马类威胁针对使用移动金融和移动支付服务的用户,因而遭受威胁的可能是开通了手机银行支付功能的用户,也有可能是使用在线支付钱包的用户。该类威胁事件以窃取用户手机上的短信箱短信的内容或者接收的短信内容为攻击目标,从而从窃取的短信信息中得到短信验证码信息,并结合其他攻击方式窃取必要的用户资产信息,最终达到窃取用户金融资产的目的。
通过对短信拦截木马威胁事件的快速响应分析,我们发现其中一例威胁事件,自攻击者的控制邮箱激活起,短短2个小时左右,就有60名受害者的短信资产信息被窃取,平均每2分钟就有一名手机用户中招,并且分属于全国多个城市。
3.2 针对特定用户的威胁与攻击手法
从2015年的移动安全威胁来看,移动威胁事件向着针对性攻击威胁发展,攻击者开始有意识的向特定范围的受害者,或者特定的用户群体进行攻击,甚至会出现针对特定企业或组织,特定地域范围的攻击。
以伪基站投放的钓鱼欺诈短信为例,伪装成中国移动的钓鱼短信明显高于伪装其他服务供应商,伪装成工行、建行、招行、交行的钓鱼短信明显高于其他银行,攻击者采用更加精确的投放策略和更加收敛的攻击目标来减小攻击的成本和提高攻击的有效性。攻击者会根据选择攻击的受害者画像来针对性挑选攻击战术和技术,以下总结了短信拦截木马类威胁中主要的几种攻击模式和目标受害者。
除了典型的针对特定用户群体的安全威胁之外,攻击者还可以通过掌握的通讯录等隐私信息,进一步升级攻击威胁,将具有群体针对性的威胁升级为个体威胁,从而提高威胁的准确性和侵略性。在这些隐私信息的指引下,攻击者的攻击手段可以更加具体,不仅包含了受害者的姓名,还有受害者手机联系人的姓名,甚至职务、场景等信息。这些具体的信息会给诈骗成功带来极大帮助。
四、持续扩大的威胁攻击面
4.1 隐私大数据的攻击模式显现
2015年2月,国外媒体披露,优步(Uber)5万名司机的个人信息被不知名的第三方人士获取,包括社保码、司机相片、车辆登记号等信息;4月,遍布19个省份的社保系统相关信息泄露达5279.4万条,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息13;9月,部分支付宝用户发现帐号异地登陆,实为撞库所致,虽然支付宝对资金有保护,但依然给用户造成困扰14;10月,网易邮箱的泄露,导致大量iPhone用户遭到远程锁定勒索的威胁15。
近年来,针对网站系统的脱库、撞库攻击频繁发生,其导致大量的用户隐私数据被泄露,例如用户姓名、电话号码、身份证号码、邮箱帐号等等重要信息被泄露。个人隐私数据经过地下产业链的贩卖渠道,最后形成了各种地下社工库。而这些数据,进一步和移动平台的隐私信息相互关联,大量的联系人姓名、电话及短信内容的泄露,导致用户的社会关系、银行流水等信息被攻击者获取,并且通过分析还能得到用户的近况,更深入的建立了受害者的档案和画像,并会选择性的对高价值目标进行针对性攻击,例如针对性的电话诈骗、恶意营销及近年来时常发生的网购退款诈骗、网购机票退款诈骗等。
这些通过大数据的隐私泄露和利用的事件可以看出,黑色产业链已经完成了对数据的原始积累,并有效使用大数据计算等方式对数据进行加工和利用。因此,我们面对的不再只是简单粗暴的攻击者,而是种种数据泄露和数据威胁;我们需要携起手来,通过大数据机器学习的方式,与黑产较量,尽可能挽救每一个隐私泄露的受害者。
4.2 漏洞的潜在攻击面可能扩大
如果选取2015年对Android平台影响最大的几个漏洞,那么无疑是通用应用更新漏洞“寄生兽”、媒体库Stagefright系列漏洞、以及百度SDK WormHole。严格来说,其实这些漏洞主要是由于开发人员安全意识薄弱、不重视、不在意而导致的。如 “寄生兽”漏洞,主要由于App在更新时未对更新包做校验,加上Zip包解压时的路径遍历问题,从而导致漏洞发生。Stagefright是一个Android代码库,处理集中广泛使用的媒体格式。最严重的利用场景是:使用一条特殊修改的多媒体格式信息(MMS),攻击者只要拥有Android手机电话号码就可实施攻击,被发送的恶意信息将会在漏洞设备上执行恶意代码,无需终端用户的参与且用户不会发现任何异常。“WormHole 漏洞”其实是基于百度的某SDK端口存在身份验证和权限控制缺陷而产生的,此端口本来是用于广告网页、升级下载、推广App,SDK为实现跨应用通信的定制化HTTP服务开放了全域Socket端口,但由于在该SDK设计上并未完全考虑其安全性,缺乏身份验证,而易被远程攻击者绕过安全检查并实施一系列远程指令,包括安装任意APK。
此外,漏洞修复的及时性也会直接影响后续安全防御能力。如上图所示,在爆发百度WormHole事件后一个月内,密集而及时的响应确保了其安全隐患的及时解除。然而,绝大多数现实却是,公开漏洞、历史漏洞和应用漏洞的不及时修补导致的攻击面,无论在PC还是移动平台,都是比较常见的情景。虽然Google原生系统加强了相关响应机制,各个大厂商也在积极开展相关工作;但要看到的是,由于Android系统的碎片化,Android安全更新往往无法到达所有手机,甚至由于碎片化原因导致老设备通常无法修复漏洞。此外,由于漏洞的修复取决于每个设备制造商,而Android补丁到达终端用户手中往往需要几个月时间,因此对于新发现的安全漏洞毫无抵抗之力。移动平台上一个很典型的案例就是Android的WebView控件使用的旧版Chromuim,引入了很多历史漏洞,带来较大安全隐患。此外,2015年12月3日趋势报告19称,由于一个存在三年之久的libupnp软件漏洞,影响了总计610万的设备,包括智能手机、路由器和智能电视,现在都有被远程代码执行攻击的风险。
4.3 iOS安全受到考验
2015年,iOS的安全问题可谓全面开花,从Pawn Storm APT事件里出现的首个iOS平台间谍应用XAgent开始,到Hacking Team泄露事件资料里出现的可监听未越狱设备的Newsstand间谍工具,不仅一次次打破了iOS设备非越狱环境安全的神话,更覆盖了所有用户使用场景。
从技术角度来看,iOS恶意代码也颇有新意。越狱木马KeyRaider通过Cydia框架Hook iTunes通信协议的SSL读写函数来获取iCloud帐号,进一步还能够利用他人帐号来消费;而TinyV木马并未使用Cydia框架,而是自己实现了一套Hook方案。同时还出现了利用私有API的流氓推广色情件YiSpecter,以及通过SDK植入后门的iBackDoor。
本以为iOS安全问题到此为止,而XcodeGhost事件的出现,再次刷新了安全界的认知。最终发现App Store 上大量应用被感染,其中包括主流的知名应用,该事件刷新了移动安全史上安全事故记录,同时也再度提醒安全从业人员要从完整供应链、信息链角度来形成全景的安全视野、安全建模与评价、感知能力。
通过进一步研究可以发现上述恶意代码和安全事件其实大部分都是出自国内,国内制作、国内分发、国内传播,不得不感叹国内移动黑产已经走在了世界前列。
4.4 IoT威胁攻击逐渐摆脱概念
2015年,针对智能设备、物联网的安全研究如火如荼,从金融支付、智能家居、无人机、SSL,到摄像头、安防、豆浆机、洗衣机,被攻击被Pwn掉的设备覆盖了生活的方方面面。这些案例,虽然有博眼球的性质,但真实的反应出智能设备的现状当前在不断把各种智能传感、网络连接的技术加入的同时,也扩大了系统的风险面。更进一步来讲,这些系统往往来源于传统工控系统,设备往往脱胎于传统制造业,安全思路往往固限于传统的安防控制,难以对这些新兴安全威胁做到充分考虑。工控设备、路由器等各类设备安全保护能力同样薄弱,尽管用户和生产商对传统计算机和设备的安全保护愈加重视,但对联网「智能」设备的安全保护却往往熟视无睹。人们常常会忘了这些智能设备同样也是功能强大的计算机,但由于缺少足够的安全保护措施,很容易被黑客攻破甚至导致更严重的后果。因而,IoT涉及的安全问题涵盖了硬件、web、信道、通信协议、移动终端、系统、应用等各个方面,可谓木桶效应完美体现,任何一点防范不周,都将导致严重后果。
虽然这些问题,仅仅还处在了解和探索阶段,但事实上,随着物联网的发展,智能设备逐渐开始渗透生活各个方面,突然大面积爆发某个安全事件是非常有可能的。而我们应该做的是,一方面保持对安全风险的警醒、加强潜在安全事件的监控,另一方面探索与相关企业、行业的合作,共同探索相关安全模式。
4.5 2016年移动安全趋势
2015年,随着短信拦截木马、色情件传播恶意广告、锁屏勒索、流氓推广等黑产的发展和日趋成熟,以及ROM植入样本、利用漏洞提权样本的大量出现,恶意代码更是大量利用加固手段,给恶意代码检测能力带来了严重挑战。而随着寄生兽这种通用App更新机制漏洞的出现,到媒体库Stagefright系列漏洞,Android平台已然千疮百孔;随后更出现了百度SDK WormHole漏洞,影响了大量App和数亿用户,此刻才惊觉Android安全形势远比想象的要严峻。
2016年,随着互联网+的概念深入人心,大量传统企业引入互联网相关资源并进行改革,移动互联网必然得到更加高速的发展。但在这些产业快速发展的同时,我们也应该警醒威胁形态会日益泛化,威胁目标会更具针对性,资产损失可能会更加惨重。
从移动端系统平台来看,Android平台将会继续出现多样化、更加成熟化的勒索木马程序,流氓恶意推广软件继续更加规模化的发展,会出现大量黑产利用泄露的用户隐私数据进行更加精细化的渗透和攻击的情景,Android系统将会被披露出大量的安全漏洞。同时,iOS无毒的神话在2015年被彻底打破,目前不论是安全研究者、安全厂商还是攻击者,都对iOS的安全研究投入了更多精力和成本。伴随iOS应用和开发者的进一步增加,我们相信在2016年,iOS有迎来更大规模的移动恶意代码爆发和威胁的可能性。
从用户隐私泄露来看,通过伪基站和钓鱼网站,网站被脱库攻击等相关手段仍然会导致大量的用户通讯录、邮箱、社交账号、互联网金融类账号和身份信息等隐私不同程度的泄露并被地下黑产利用。这些会产生更具针对性、更系统化的攻击手段和威胁模式,这将是未来不小的挑战。 从其他方面来看,针对不同类型的物联网和智能家居的木马程序可能会逐渐增多,并且木马程序进入到智能设备的途径不断丰富多样。传统互联网、移动互联网、物联网等多网融合背景下,统一的安全模型会受到更大的挑战,泛化威胁下的防御体系需要升级。
结语:移动安全防御新时代
跟着“数据感觉”走的安全防御体系
回望过去几年的移动安全,恶意代码层出不穷;攻击者用短短1-2年时间完成了PC安全手段近乎20年的进化——从功能机时代各种J2me形态的Demo玩物和遗物,到Symbian、iOS、Android等平台上的形态各异的恶意代码。从2010年到2012年,从数据上看到的是恶意代码的几何级数的爆发式增长,从形态上看到的是FakePlayer、Geinimi、 Adrd、Zitmo、DroidDream、Nickispy、Anserver等一个个各具特点的案例,迅速让Android平台的各种安全风险被暴露。
展望未来,我们看到的是一方面攻击者在技术上不断创新,从早期的如Kungfu、FakeInst到后来的Obad、长老木马等恶意代码也在不断挑战安全底线,各种提权、混淆、加密、加壳等各种技术不断促使安全工程师加强防御技术,导致安全厂商在系统化对抗手段上不断进化。另一方面,我们看到的是各种移动生态链的脆弱点被攻击者利用。例如,Carrier IQ事件标志着隐私的滥用,而这些隐私滥用风险并没有得到充分认识和限制。
从最近一两年来看,恶意代码的安全防护边界持续得到保障,正面战场危险得到有效控制。但伪基站、拦截马、隐私泄露等问题的持续积累却得到爆发,各种新生威胁不断交织演变。当各种指名道姓的电话短信诈骗,金融、账户资产被欺骗盗取的时候,人们真正体会到移动威胁,也真正开始意识到移动安全的必要性和紧迫性。XcodeGhost让iOS生态风险再次被大家关注,而在开发工具、SDK、ROM、广告渠道等这些生态的基础环节出现的安全威胁,让问题看起来怎么都不那么轻松:一方面是我们做的越来越完善,另一方面确实各种问题不经意间刺痛我们的神经。
面向“威胁情报”的安全防御体系
当威胁膨胀蔓延的时候,原有的解决方案仍然扮演着基石般的作用。防火墙过时了么?反病毒软件过时了么?恰恰不是。这些解决方案,单个肯定不足以解决所有安全问题,银弹是不存在的。但正是这些解决方案,将整体安全威胁通过有效的安全边界划定,形成有效的正面阻遏。在面对正面防御体系的时候,攻击者无法再有所作为,转而选择针对防御体系中的薄弱环节,向安全意识不足的薄弱群体发起攻击。因此,各种泛化的威胁形态掩盖的是具有针对性的攻击战术。
对于各种层出不穷的威胁,不是我们的“感觉”不灵敏了,而是我们的触角不够,无法给我们的“感觉”提供足够和重要的信息用于安全决策。因此,形成的局面是威胁只有一再发生的时候,我们才能感知到,才能跟着数据趋势去决策和加强防御能力。对安全公司来说,这个决策链是快速和足够的;但对于用户来说,可能已经是明显迟滞了。如果我们不有效抽丝剥茧,将难以应对这些具有针对性的攻击战术。
面对威胁精确化和离散化的现状,进一步加强用户侧对威胁的感知能力,可能是安全厂商的必由之路。通过威胁情报的分析、加工和分享,从而对威胁进行准确定性、定位、定量。通过这样有针对性的服务,来满足和解决特定用户群体所面临的特定安全威胁,并向用户提供切实有效的解决方案,这样的体系或许是未来的发展方向。
赞赏
看原图
赞赏
雪币:
留言: