2017年5月,一种名为WannaCry的病毒席卷全球,利用NSA泄露的漏洞“EternalBlue”(之蓝)。在这场全球性互联网灾难,据不完全统计数据显示,100多个国家和地区超过10万台电脑遭到了病毒、感染。6月出现一种“Petya”变体软件,相继欧洲多国病毒袭击,、银行、电力系统、通讯系统、企业以及机场都不同程度地受到影响。
国内移动互联网已经成为新的主体,为了预防移动互联网病毒大规模爆发,避免企业、个人遭受损失,同时也为行业监管机构提供政策制定提供移动互联网病毒依据,通付盾移动安全实验室依托多年专业的移动安全的服务能力和技术积累发布《移动互联网病毒研究报告》,对病毒形式、产业链等进行了系统的专业分析,希望引起大家对移动互联网安全重视,保障中国移动互联网安全。
2017年5月份,WannaCry“蠕虫”式病毒全面入侵,对PC端造成了严重危害。随后,其变种病毒逐渐向移动平台蔓延,严重了移动平台的安全。作为移动互联网的重要载体,智能手机、平板、可穿戴设备等移动终端设备都有可能成为病毒的目标。移动终端中保存着大量的个人数据,一旦遭受,很可能造成隐私泄露、财产损失等危害。
病毒最早可追溯到1989年,随着互联网技术的不断发展,病毒也在不断的演变进化。2014年以Koler为首的家族病毒在Android平台大面积爆发,病毒实现从PC端到移动端的转变。各类变种病毒在移动互联网中肆意,2016年至今,病毒持续增长。据统计,5月份爆发的WannaCry“蠕虫式”病毒在席卷全球仅仅一天的时间就有242.3万个IP地址遭受该病毒,近3.5万个IP地址被该软件感染,其中我国境内受影响IP约1.8万个。高校、医院、、企业等单位为主的网络大范围瘫痪。、、上海、江苏、天津等地成为受灾重区。随后,在移动端发现大量“WannaCry”病毒变种。
虽然在各类应用程序中的表现形态不尽相同,但是其形式却大同小异,主要通过伪装、的手段吸附在各类应用程序中,具体表现为:
1.伪装成游戏、社交软件、时行软件的插件等,当用户运行时,终端界面就会被恶意程序自身的界面置顶,并无法进行操作;
2.病毒子包隐藏在资源文件中,系统后台自动安装运行,并将子包复制到系统目录下,伪装成系统应用。
病毒表现出的属性十分强烈,根据其目的对被者的终端进行操作及系统的,强制被者付费后被者终端才可以被解锁,否则一般被者将无法对其终端进行继续操作。
2.通过直接激活设备管理器,设置系统解锁密码,被用户因无法得知解锁密码而无法对手机进行操作。
不同于PC端病毒,移动端病毒支付赎金的方式比较简单、灵活,除了比特币支付外,还可以进行微信支付、QQ支付、支付宝等直接转账支付形式。此类单次支付金额较低,但存在重复,收费的情况。以QQ支付为例,被者在解锁过程中需要缴纳入群费、解锁费甚至学徒费。
我们对《网络安全信息共享通报》(以下简称《通报》)中病毒作专项调查和分析,以《通报》中216个病毒样本为分析对象,基于通付盾全渠道应用监测平台,实现对全网病毒数据的挖掘与分析,现5万余个含关联恶意行为的恶意应用。下面我们将从目标、来源、行为三个方面对病毒进行趋势分析。
根据挖掘出的恶意样本数据分析,我们发现恶意应用主要伪装成外挂、插件等。其中QQ抢红包、刷钻助手、王者荣耀辅助、黑客工具箱、神器等应用名称频繁出现且占比较大。
根据病毒应用名称,主要可分为社交类、游戏类、免流插件类以及视频四类。其中,社交类软件已成为恶意的首选,全网病毒中现28143个社交类应用,占总数的55%;其次是免流插件类软件,共9732个;游戏类软件作为移动端热门应用,同样也是病毒的高发区,全网现6754个相关病毒,排名第三。
根据全网的病毒数据分析结果来看,病毒主要分布在互联网发展较好地区或邻近地区。就国内而言,病毒主要来源于监管不严的、审核机制不完善的小型应用市场,从应用市场地理分布来看,病毒的区域主要集中活跃在广东、、湖北等互联网行业发展较好、经济较发达的省市,其中,广东省软件发生频次最高,捕获恶意病毒样本876个。其次是地区,捕获恶意病毒样本873个。
我们对《通报》中的恶意样本进行逆向分析,发现不同病毒样本在代码结构上存在很多共性,且不同病毒开发者之间具有关联性。我们对病毒样本中预留的QQ号以及开发者信息进行追踪,现近百个个具有代表性的QQ群组,数万人受影响。该类QQ群在作为解锁赎金收取渠道之外,群内还通过百度云、贴吧等方式售卖锁机源码、教程、插件、教学视频,病毒。者加入群之后,解锁后往往被成为黑产下线,利用群内兜售的教程向他人发起二次,转变为“菜鸟黑客”,进一步扩大病毒的范围,影响恶劣。不同QQ群之间具有关联性,且的个人信息一般设定为00后、90后学生。
我们对抢红包和王者荣耀皮肤两类病毒同发现的锁屏信息进行者溯源分析,追踪到以推广和售卖锁机源码、抢红包、免流插件、秒赞工具等为主的“彼岸花技术”黑产团队,该团队以QQ群、网店的形式活跃,通过百度网盘病毒,人数总计数百人,相关联群总数达千余人。除了进群时需要支付费用之外,群内源码、工具的获取也需要另外付费。下图展示“彼岸花技术”团伙的溯源过程,我们可以看出,大部分病毒开发者之间相互关联。
我们对活跃度集中区的病毒进行分析,根据锁屏实现方式,大体将病毒行为分为两大类:一类是通过修改设备的开机密码来实现,另一类是通过控制悬浮窗置顶属性来实现。
这两类锁屏在实现流程上存在共性,首先,通过伪装获取设备的系统权限;然后,通过系统权限直接激活设备管理器,修改系统开机密码,或控制手机悬浮窗强制置顶属性,使用户无法正常使用设备。同时,有些病毒为防止被破解,设置可反复锁屏机制,即用户在破解第一层锁屏之后会出现第二层锁屏,反复循环。最后被者需要通过被锁屏幕中预留的QQ码、邮箱、手机号等信息联系者缴纳赎金方可解锁。下图展示了病毒实现的具体流程。
本次报告中,我们采样的数据为2016年9月到2017年9月全网范围内的恶意病毒,从分析结果来看,病毒活跃度总体呈上升趋势,每月新增病毒数持续增加。其中,2017年4月份病毒急剧增加,新增病毒总数达812个,比3月份增加了160.2%。国家互联网应急响应中心从4月份起发布一系列病毒通报,相关单位和部门对病毒采取了一定的防御措施。5月份之后,虽然病毒总体仍然处于上升趋势,但每月病毒新增速度有所放缓。9月份新增219个病毒,增长速度有所下降但仍然相当活跃。
从恶意样本的地理分布图中可以看出,病毒主要活跃在广东、等互联网氛围较好地区。2016年9月份到2017年1月份,病毒集中活跃在、广东、湖北经济发达地区,2017年2月至5月份,病毒活跃范围在原来的基础上向湖南、福建、安徽、四川、天津等邻近省市扩散,直至9月份,、广东仍然是病毒的重灾区,除此以外,在上海、浙江等经济发展较好的省市也发现了病毒的踪迹并且数量逐月增加,经济发达地区仍将是病毒的主要目标。
为了逃避安全产品的查杀,病毒开发者开始利用各种手段,提高病毒免杀能力。我们在逆向分析病毒样本时发现,部分病毒使用加密平台进行加密,不仅难以破解,而且加密过后能够躲过病毒防御类产品检测查杀。某些加固产品无安全认证机制,免费为各类开发者包括病毒程序开发者提供加密服务。经过此类加固平台加固的病毒,恶意代码被隐藏,查杀难度增大,提高了查杀成本。下图为捕获到的使用某加固平台加固后的病毒样本代码示例。
当移动端遭受恶意时,被者通常为非专业技术人员,比起报案或请求技术破解,绝大部分被者更愿意“主动”交费以解除。而者的主要目的就是通过非法手段钱财,从这一角度来看,移动端具有“诱人”的黑色收益,且这种收益并不会随着技术的创新或防御手段提升而减少,反而者利用用户的依赖心理表现的更加,移动端的将持续发生。
在社会工程学中的主要表现为直接和利用好奇心理达到目的。直接中,者将恶意程序乔装成与用户利益直接相关或有利可图的助手软件,如在社交类软件中,“红包”几乎是聊天必备,“抢红包”作为一种新型庆祝和游戏方式十分受用户欢迎。者利用红包的伪装成红包助手类应用下载,如“秒抢红包”、“红包速抢”、“红包外挂”等带有直接性的词语。另一种不同的心理方是利用人的好奇心理,通常恶意应用的名称带有一定的“劝诫或”意义,如软件“不要点我”、“千万别点开”等。当用户“不听劝诫”点开软件图标则面临系统锁住的。
以00后、90后为主的互联网技术爱好者、学习者在的下或为满足自身的逐渐成为“新人”黑客,在网络中占比较大。病毒开发者呈现低龄化趋势。此类“菜鸟黑客”由于年龄小,缺乏健全的法制教育,自身抵制的能力较弱,在非法收益驱动下,对网络的热情相对较高。虽然“菜鸟黑客”的病毒目前没有达到完全免杀,但技术能力仍然持续提升。“菜鸟黑客”范围日益扩大,难清理、难监管,逐渐成为网络的主力军,需要重点打击。
病毒开发者之间相互关联,团伙相对固定。从捕获到的病毒样本分析来看,虽然行为相同,但收款账号信息却不尽相同,我们认为同一病毒程序在反复流转过程中如锁屏图片、收款信息等部分信息可根据需求实现定制化,地下黑产行业已由原先的“个体户”变成“服务商”。恶意程序、锁机工具等开发者团队或视频教程、源码售卖团队担当“源码服务商”的角色向黑产下游团队提供丰富的用户数据资源以及技术,并形成完整的方案,使得地下黑产行业运作流程市场化。此类服务的提供,缩短病毒开发的周期、降低成本,使得收益大幅提高。
推荐:
网友评论 ()条 查看