手機病毒綜合防護平臺

1 2 3 項目背景 解決方案 手機病毒分析 目錄 1.1項目背景 手機應(yīng)用的發(fā)展 App Store應(yīng)用程序數(shù)量突破 30萬大關(guān)； Android系統(tǒng)應(yīng)用軟件數(shù)量突破10萬； 2010年手機應(yīng)用突飛猛進。 據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心報告顯示 ，受 3G業(yè)務(wù)開展的影響，我國手機 網(wǎng)民數(shù)量迅速增長，規(guī)模已達 2億 。 隨著手機向智能化發(fā)展，用戶對手機依賴度不斷提升，手機已不再僅僅是通訊終端，還包含了許多生活、工作中必備的功能，諸如手機上網(wǎng)、移動IM、手機銀行、微博、 LBS、娛樂游戲、電子郵件、移動電視、手機音樂、 GPS服務(wù)、移動電子商務(wù)、移動搜索等。 Borrell Associates的調(diào)查數(shù)據(jù)顯示，全球手機用戶每小時下載的應(yīng)用數(shù)量超過 50萬款，平均每個智能手機用戶擁有 22款手機應(yīng)用。 由于智能手機本身具有獨立的操作系統(tǒng)，像個人電腦一樣支持用戶自行安裝軟件、游戲等第三方服務(wù)商提供的程序，并具備上網(wǎng)功能，使其比非智能手機更易被病毒利用。 據(jù)報道，截至 2010年 11月，新增手機病毒 1513個，累積病毒數(shù)量達 2357個。報告預(yù)計 2010年手機病毒總數(shù)將超過 2500種以上，同比增長193%，累計感染手機 800萬部以上。 1.1項目背景 手機病毒的肆虐 2010年以來，先是“手機骷髏”，接著是“短信海盜”、“終極密盜” 、“手機僵尸病毒”等名字都很恐怖的手機病毒， 12月初，名為“給你米” Geinimi的手機后門程序，又在大量手機軟件下載網(wǎng)站、論壇中瘋狂傳播，智能手機似乎一夜之間成了病毒發(fā)威的新戰(zhàn)場。 隨著 3G時代的到來，智能手機將成為病毒肆虐的溫床。 1.1項目背景 手機病毒的肆虐 來自業(yè)界防病毒公司的數(shù)據(jù)，截至 2010.10，全球已發(fā)現(xiàn)超過1400種惡意軟件。 進入 2010年，惡意軟件進入空前活躍期，已經(jīng)形成一條黑色產(chǎn)業(yè)鏈。 手機惡意軟件數(shù)02004006008001000120014002005 2006 2007 2008 2009 2010(p)1.1項目背景 手機病毒的肆虐 1.1項目背景 手機病毒的主要危害 手機病毒逐漸由惡搞轉(zhuǎn)向牟去經(jīng)濟利益。國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心數(shù)據(jù)顯示， 僵尸病毒變種超過 10種 僵尸病毒手機超過 100萬 臺 手機病毒超過 2100種 感染病毒手機超過 150萬 臺 今年病毒數(shù)量超過前 5年 總和 用戶每日損失 200萬元 黑色產(chǎn)業(yè)鏈價值 10億元 通過山寨機內(nèi)置惡意軟件、或傳播手機病毒進行“吸費”行為的手機黑色產(chǎn)業(yè)鏈，保守估計每年收入高達 10億元！ 當(dāng)前存在惡意扣費行為的“扣費”類手機病毒從去年的 171 個，快速增長到 968個，并已占據(jù) 32%的比例，累積感染手機 250萬部以上，使得其成為影響用戶手機安全的主要威脅。 手機病毒泛濫 惡意“扣費”問題嚴峻。以“手機僵尸”為代表的資費消耗行為和強制開通 SP增值服務(wù)等惡意扣費類手機病毒，以 32%的感染比例成為手機用戶面臨的最大安全威脅。 1.1項目背景 手機病毒的主要危害 傳播方式 1、 www互聯(lián)網(wǎng)訪問 75% 2、彩信、短信 14% 3、其他方式 11% 互聯(lián)網(wǎng)方式傳播手機病毒越來越流行，正逐步取代其他方式 手機病毒威脅將爆炸式增長 1.1項目背景 手機病毒的傳播方式 防止病毒通過移動網(wǎng)絡(luò)進行傳播 防止寶貴的通信資源被病毒信息占用 為用戶提供綠色的移動通信環(huán)境 提高用戶滿意度，提高服務(wù)質(zhì)量 為 3G發(fā)展提供健康的行業(yè)環(huán)境 提升公司的社會形象 防止手機終端運行故障 防止話費大量丟失 防止影響個人聲譽 防止個人信息泄露 1.2項目建設(shè)的意義 1 2 3 項目背景 解決方案 手機病毒分析 目錄 2.1手機病毒的種類 66% 31% 2% 1% 各手機系統(tǒng)平臺手機病毒分布情況 SymbianjavaWindows MobileAndroid2.1手機病毒與操作系統(tǒng) 來自業(yè)界防病毒公司的統(tǒng)計數(shù)據(jù)顯示，手機系統(tǒng)平臺中， Symbian、 Kjava、 Windows Mobile 病毒占據(jù)前三位。 操作系統(tǒng) Symbian Android Windows Mobile 其他（ iphone，ophone， palm ） 用戶數(shù)量 最多 發(fā)展較快 較少 較少 軟件認證 需要 不需要 不需要 需要 軟件權(quán)限 較高 最高 較高 不高 危險程度 較高 最高 中等 較低 針對移動運營商的“ Hack.sms-flood” 感染過程 新春佳節(jié)，用手機給親朋好友發(fā)送祝福，是一種流行時尚， Hack.sms-flood病毒 利用各大門戶網(wǎng)站的手機服務(wù)漏洞，以短信方式進行惡意破壞。破壞者冒充被 攻擊者在網(wǎng)上注冊手機短信請求，并注冊密碼，之后網(wǎng)站將自動向被攻擊者發(fā) 送密碼確認信息，此時破壞者將利用 Hack.sms-flood對此過程進行大量的重復(fù)， 用戶可能會在短時間內(nèi)就收到上百封短信垃圾。大量的垃圾將填滿手機存儲器， 如果短消息的有效期設(shè)置過長，則隊列中的短消息將難以清除。 病毒危害 導(dǎo)致網(wǎng)站的短信網(wǎng)關(guān)拒絕服務(wù)，產(chǎn)生大量費用； 導(dǎo)致被攻擊用戶無法使用手機發(fā)送和接收短信。 2.1典型病毒 1 針對移動運營商的“蚊子木馬” 感染過程 該病毒隱藏于手機游戲“打蚊子”的破解版中。如果您安裝了這 個病毒，那么手機就會秘密得自動在后臺給英國、德國、荷蘭、 瑞士用戶的收費手機號發(fā)送短信或者撥某個手機號。 病毒危害 雖然該病毒不會竊取或破壞用戶資料，但是它會自動撥號，向所 在地為英國的號碼發(fā)送大量文本信息，結(jié)果導(dǎo)致用戶的信息費劇 增，移動運營商通信網(wǎng)絡(luò)繁忙，服務(wù)質(zhì)量下降。 感染范圍 symbian 2.1典型病毒 2 針對移動設(shè)備的“ Unavailable病毒” 感染過程 當(dāng)對方撥電話到來時，本來屏幕上顯示的應(yīng)該是來電者的電話號碼， 但卻顯示“ Unavailable”字樣或一些奇異的符號。此時千萬不要答復(fù) 來電，否則就會染上該種病毒，同時機內(nèi)所有資訊及設(shè)定均將被破 壞 (包括繳費使用電話卡的電話在內(nèi) )，一旦發(fā)生此情況，可能要換上 一部新的移動電話。 病毒危害 這是一種破壞移動電話的病毒。 2.1典型病毒 3 RUR UJL service 病毒會向外發(fā)送 20條左右的短信，內(nèi)容為：“現(xiàn)免費補發(fā)一款五星級 N81游戲，點擊網(wǎng)址下載安裝http:/nokia.*.com/*.sis”。 點擊之后，自動安裝三個文件： Ovi Update Ovi Store Installer Ovi Store 1、誘騙點擊 3、病毒動作 2、自動安裝 2.2案例分析 FC.ThemeInstaller.A 1，只在手機處于鎖鍵盤狀態(tài)時才會進行聯(lián)網(wǎng)。 2，上傳 IMEI/IMSI給服務(wù)器。并通過解析服務(wù)器下發(fā)的報文，響應(yīng)服務(wù)器的指令，執(zhí)行相應(yīng)惡意行為。 3，“ OviStore”執(zhí)行完任務(wù)后會卸載自身。 4，在執(zhí)行任務(wù)期間它會監(jiān)控手機是否開鎖。如果發(fā)現(xiàn)手機解鎖，“ OviStore”會自動終止任務(wù)，并卸載自己。 2.2案例分析 原理 2.2案例分析 危害 1）自動發(fā)送短信 后臺會發(fā)送 20條左右含有毒鏈接的的短信，進行進一步傳播。 2）暗中聯(lián)網(wǎng) 偷偷聯(lián)網(wǎng)竊取用戶手機中的隱私，導(dǎo)致流量損失。 3）隱私竊取 這些安裝的插件將對用戶手機信息進行全方位的攻擊，全面收集手機隱私信息。 4）無法卸載 為了防止機友手動卸載，病毒具有自我保護機制，并且還會刪除相關(guān)的安裝和通訊記錄。 5）開機自啟 自動安裝“ Ovi Updata”軟件包，且這個軟件會開機運行。 WAP網(wǎng)站 彩信 手機應(yīng)用軟件帶毒 音樂、視頻、圖片等資源文件帶毒 短 信 惡意 URL 惡意 URL，短信病毒 網(wǎng)站掛馬 2.3手機病毒來源與危害 彩信附件病毒 其他手段 通過紅外、藍牙自我復(fù)制的病毒文件 手機黑屏、死機 手機變慢，待機時間減少 用戶個人信息泄露 自動發(fā)送大量短、彩信 手機后臺自動連接網(wǎng)絡(luò) 產(chǎn)生大量話費 WAP PUSH 惡意 URL，短信病毒 手機郵件 郵件附件病毒 病毒危害 病毒源頭 2.4黑色產(chǎn)業(yè)價值鏈 1 2 3 項目背景 解決方案 手機病毒分析 目錄 3.1 建設(shè)目標 保護用戶合法利益 提高運營商服務(wù)器質(zhì)量 控制病毒的傳播 建立完善的病毒發(fā)現(xiàn)、阻止和監(jiān)控機制 病毒制造者 傳播渠道控制者 經(jīng)銷渠道 漏洞研究 病毒代碼 病毒測試 病毒兜售 入侵移動網(wǎng)關(guān) 入侵 SP網(wǎng)站服務(wù)器 入侵手機應(yīng)用軟件下載服務(wù)器 入侵微博等 web網(wǎng)站 購買病毒 購買傳播渠道 病毒捆綁工具 散播病毒 將中毒手機的可用資源變賣賺錢 使用者 利用中毒手機資源，并為此付費 病毒捆綁工具 3.1整體思路 手機病毒產(chǎn)業(yè)鏈分析 病毒制造者 傳播渠道控制者 經(jīng)銷渠道 病毒程序 病毒捆綁 散播病毒 用戶下載，病毒爆發(fā) 將中毒手機的可用資源變賣賺錢 使用者 利用中毒手機資源，并為此付費 傳播網(wǎng)站 惡意扣費 用戶投訴 最佳攔截位置 3.1整體思路 攔截手機病毒的最佳位置 1、手機病毒傳播源頭發(fā)現(xiàn) 通過基于云計算的手機病毒惡意源分析系統(tǒng) 7*24小時不間斷分析互聯(lián)網(wǎng)上的手機病毒惡意源和傳播 url； 2、手機病毒傳播阻斷 采用在 CMWap、彩信、 CMNet等網(wǎng)關(guān)處實時分析手機用戶上網(wǎng)訪問的URL，阻斷帶病毒的文件、軟件和網(wǎng)頁的下載； 3、可疑文件掃描，病毒感染監(jiān)控 對垃圾彩信進行掃描，發(fā)現(xiàn)病毒文件 對垃圾短信中的可疑 url進行分析，發(fā)現(xiàn)病毒傳播 url，監(jiān)控感染手機 對不良信息系統(tǒng)的文件進行掃描，發(fā)現(xiàn)病毒文件，監(jiān)控病毒感染情況 4、病毒行為分析，病毒疫情監(jiān)控 對 cmwap、 cmnet、短信、彩信、郵件網(wǎng)關(guān)日志進行數(shù)據(jù)挖掘分析，發(fā)現(xiàn)病毒行為特征，監(jiān)控病毒爆發(fā)情況 對不良信息系統(tǒng)的數(shù)據(jù)進行挖掘分析，發(fā)現(xiàn)病毒行為特征，監(jiān)控病毒爆發(fā)情況 3.2病毒治理措施 可疑網(wǎng)站爬行系統(tǒng) 多引擎掃描系統(tǒng) 病毒樣本 結(jié)果匯聚 疑似病毒樣 本 網(wǎng)站黑名單 帶毒文件網(wǎng)址 IP黑名單 可信數(shù)據(jù) 文件更新識別、文件下載、文件緩存、掃描任務(wù)調(diào)度 網(wǎng)秦引擎 趨勢引擎 360引擎 智能識別引擎 病毒傳播源 URL數(shù)據(jù) 3.2.1手機病毒傳播源分析系統(tǒng) 建立手機病毒云安全體系 3.2.2手機病毒阻斷系統(tǒng) 3.2.2手機病毒阻斷系統(tǒng)工作原理 1、采用高性能 FPGA芯片實現(xiàn) http、 wap、彩信等手機上網(wǎng)協(xié)議的解析 和病毒傳播源的匹配功能； 2、從用戶發(fā)起 http請求發(fā)出，到 http響應(yīng)并返回頁面或文件下載完 成，需要數(shù)秒 幾十秒； 3、病毒阻斷設(shè)備能夠在 0.1秒內(nèi)完 成 url的檢查并發(fā)出 Tcp reset包，此 時通信雙方的堆棧將會把這個 RESET 包解釋為另一端的回應(yīng)，然后停止 整個通信過程，釋放緩沖區(qū)并撤銷 所有 TCP狀態(tài)信息。 阻斷內(nèi)容包括： 網(wǎng)站黑名單 URL黑名單 IP黑名單 病毒傳播源號碼 中毒號碼 可疑文件 網(wǎng)秦 趨勢 智能識別引擎 360 垃圾彩信系統(tǒng) 垃圾短信系統(tǒng) 不良信息系統(tǒng) 多引擎掃描 手機病毒樣本 3.2.3可