冬训营丨移动终端高级威胁的新挑战与对抗发现
时间 : 2022年01月28日 来源: 安天
1.移动网络安全现状及威胁
随着全面进入移动互联网时代,使用移动网络设备的人群规模经远超过使用个人电脑的人群规模,而移动互联网的使用场景也远多过了传统互联网使用场景。据公开数据统计,至2021年中,移动互联网用户规模已达到10.07 亿。伴随着网络基础设施的发展以及各类移动应用的产生,更是衍生出了多项包括直播、短视频产业;除了生活、娱乐的使用场景,移动互联网环境下办公领域也在不断扩大。2021年钉钉用户数突破5亿,企业微信用户达4亿,飞书用户数量也在猛增中。全民工作生活的移动化进程已不可阻挡,所面临的安全威胁也同样与日剧增。
移动互联网相交传统互联网而言是一个更加开放的生态,在这个生态下的各个环节都存在着威胁。从终端层角度考虑,面临系统安全和应用安全的考验;从传输管道层角度考虑,复杂和不可控的网络节点带来的威胁也不可小觑,呈现难防御、难追踪的特点;从云端层面考虑,数据的防护与管控也在面临着较大考验;尤其是在5G的网络基础下,会面临范终端新系统的安全问题、边缘计算网络架构变化带来的安全问题、以及我们这两年持续关注的移动应用的生命周期安全风险以及新兴业务场景下的各类安全威胁和风险,移动互联网环境下面临的新威胁将呈指数型增长。
2.网络军火武器商拥有极强的移动侧攻击能力
安天移动威胁情报团队分析并总结了全球主要的APT组织和网络军火商,他们都将移动侧的攻击能力作为必备能力。其中比较典型的是在2021年下旬引起广泛关注的NSO售卖的Pegasus项目窃听事件。从这次窃听丑闻事件可知,漏洞利用成为突破系统防护的重要手段之一,且防护的成本更高,实现的效果更好。并且针对各种设备、系统的间谍软件研究从未停止。因为iOS的封闭性和安全性让更多注重隐私保护的人群选择了iPhone,但世上没有据对安全的系统,攻克iOS系统只是增加了研究成本,绝不是无法攻克。可以想见的是,更加开放的Android系统面临的危机远胜于此。目前安天移动威胁情报团队收集的网络军火商所售卖的间谍软件均具备对安卓系统的攻击能力。
3.第三方SDK:潜在的移动端供应链威胁
第三方SDK即软件开发工具包本是提供研发便利,降低应用研发成本的优秀工具,却也在一定程度上增加了用户使用应用的风险。此外,第三方SDK其横向穿透能力突破了监管单位构建起的APP分类监管的数据枷锁即—《常见类型移动互联网应用程序必要个人信息范围规定》《个人信息保护法》收集最小必要原则。第三方SDK寄生在APP内部,数据获取权限与APP共享,且具有隐形合法效果。且单一SDK嵌入不同类别APP实现多类数据收集和关联,打破监管最小化获取用户数据的保护措施。
就目前调查可知,全球市面上多款SDK过于收集用户个人信息用于二次统计加工贩卖,使得用户信息在应用使用过程中流转到多家厂商手中,数据管控风险性大大增加。甚至国外的地图类SDK公司会将收集的用户数据贩卖给国外军方,在一定程度上此类威胁的影响不小于专业间谍件带来的影响。
以某社交类应用为例,所使用的APP sflyer可以收集到用户的设备标识信息、精确位置信息、用户邮箱信息等。
并且从该应用的第三方SDK使用说明服务中,几乎所有的第三方 SDK 服务商都获取到了设备标识信息,部分第三方 SDK 服务商拿到了地理位置信息。
安天移动威胁情报团队共对百余款境外 SDK 的数据获取情况做了分析统计,截至 2021 年 7 月,根据安天移动大数据查询,我国 10 万头部应用中检测出共有 2.3万余例样本有使用境外 SDK,在全国覆盖的终端为 3.8 亿左右,能获得用户终端标识、地理位置、操作系统、手机型号、电话号码等。部分用于广告推广功能的SDK还能获取用户的行为习惯。
结合种种情报分析,移动端的价值在于更精细,更个人化的数据,而恶意木马只是最“不体面”的一种途径。用户应该警惕所有具备强信息收集属性的软件,客观评估自身信息泄漏所带来的风险。
4.基于应用SDK的画像能力是移动APT的新形态
随着我国移动网络相关法律法规的完善以及技术的升级进步,APT组织随意以间谍木马发起威胁攻击的可行性越来越小,为了达到终端资产信息和身份信息窃取目的,另一层更隐秘、方便和高效的攻击方式应机而生:基于移动供应链SDK信息收集、整合、分析能力的用户画像是移动APT攻击隐藏形态之一;作为移动供应链组成部分,第三方SDK在当今移动智能世界已经成为移动应用研发中最重要的一项服务,不仅可以提供应用基础功能支持,还可以提供增幅分析服务;但随之而来的安全风险却隐隐被忽视,第三方SDK会伴随移动APP进行用户隐私数据的收集,共享APP数据获取权限;目前国内移动应用正在大规模使用境外第三方SDK, 而这些SDK收集的数据会在境外由专门机构进行收集、细分标签体系,分类整合,形成大数据综合分析研判能力。
以新加坡的移动营销平台ADTiming为例,其合作遍布全球40+国家和地区,为全球超过1500家应用开发商提供SDK服务;它可以通过人群分组技术将用户细分为30000+的广告标签,掌握这些应用终端数据的同时,还整合多家广告平台数据,打破数据孤岛,形成大数据能力,形成人群标签画像。《纽约时报》报导可以通过对1200万部手机相关500亿实时位置数据的分析,可以精准跟踪特朗普一天的行踪轨迹;美国Anomaly Six声称他们的SDK嵌入全球超过500款软件,可以对全球数亿用户的位置信息进行跟踪。
基于第三方SDK信息的分布式收集能力,可以对终端活动轨迹,行为偏好、家庭、收入等形成深度刻画,帮助APT组织达成攻击目的。
5.移动端木马日益增强的对抗手段
云服务的发展为整个互联网行业的发展都提供了不容小觑的贡献,但同时也为不法犯罪分子提供了优秀便利的工具,使得网络资产的更换成本大大降低,在移动端APT的攻击中更呈现出一次性的特点。近两年,多个活跃的APT组织都更换了以云服务为核心的指令下发功能和作为受害者资产存储,据分析统计,今年多个组织的网络资产就高达数百个。同时因网络设施资产的更换成本大大降低,单个网络设施活跃的时间也大幅度缩短,这无疑增加了安全研究员发现并取证的难度。
除了云服务以外,安天移动威胁情报团队还发现了利用社交聊天软件提供的bot api作为c2回传窃取的用户隐私信息的情况。今年较多发现到使用telegram bot的api作为回传载体。共发现使用telegram bot的恶意样本高达3955例。而在telegram上申请bot的流程非常简单,就算资产暴露也可以即使更换,且无法简单粗暴的将关于telegram bot的网络流量作为恶意流量加入安全防护规则。
商业间谍木马能够提供详尽的间谍功能以及完善的后台控制系统,其“即买即用”的性质也也使得它一直拥有庞大的用户市场。攻击者使用商业间谍木马的好处是可以极大的解决木马的研发成本、维护成本。且因为会有大量使用相同武器的人群,安全人员在分析往往很难通过武器技术特征和网络资产判定攻击者的目的和实际针对的目标。
开源木马项目因为其人人可接触的特性在武器特征上不存在任何身份背景指向,这也使得其深受部分APT组织的原因。开源木马的项目提供了完整的间谍功能,在技术层面上降低了攻击者的研发成本,但是在安全防护良好的市场中检出率也无限趋近于100%,因此开源间谍木马的攻击活动受限于攻击者自身的社工能力以及攻击对象的防护能力。
此外,移动端的攻击载荷制作也愈加精美,攻击者愿意投入大量成本在提升受害者信任的环节上,例如制作精美的仿冒应用商店或者是应用官网等。抗手段日益激烈。
对这些特点反映出真正的移动端攻击载荷极其隐蔽、极难发现和溯源。
6.移动端威胁的对抗发现
7.移动样本云分析能力全景
针对以上移动端攻击渗透趋势,移动供应链的新生的SDK应用威胁形势,以及近年来发现的更高级的移动网络攻击事件,移动端正面临着更为严峻的威胁挑战。我们提出通过基于大数据样本分析处理技术、样本特征关联技术,集合移动恶意代码分析运营体系,构建移动样本全维度分析能力的移动样本云分析作业平台(以下简称“云析”)。并采用威胁情报处理流程,从“收集数据、获取信息、分析评估、整合转化”实现针对移动样本威胁对抗发现、样本检索、标签标定、高价值样本推荐、样本云端管理、同源分析和聚合分析等业务目标。
1. 样本信息关联检索能力
云析平台基于系统亿级的样本知识库,提供移动样本全维度检索过滤功能,通过众多应用样本基础信息、检出信息以及动静态分析特征信息,将各种维度数据形成索引主题,基于索引主题形成分片存储机制,方便用户检索查询使用。
2. 样本特征信息查看能力
云析平台具有对移动样本进行多维度特征信息查看能力,特征信息包括:样本基本信息、静态检测信息、动态检测信息、样本关联信息、样本同源信息、样本标签信息等;并且可以基于样本特征信息进行关联查看。
3. 样本标签标定能力
云析平台根据样本的APT组织标签、技术策略标签、软件标签、小众标签、其他标签和个人标签等进行标签标定的展示,并且系统支持个人自定义标签,根据标签名称、标签描述进行样本的标签标定。
4. 同源关联分析
云析平台根据样本的家族信息、包名信息、版本信息、归属标签、网络传播信息、特殊字符串等进行同源样本发现,并根据每一类型的同源信息进行多维度的数据信息展示。