移動(dòng)惡意代碼威脅的針對(duì)性泛化思考

1、移動(dòng)惡意代碼威脅的針對(duì)性泛化思考惡意移動(dòng)惡意代碼疫情回顧惡意扣費(fèi), 55.0%資費(fèi)消耗,15.3%系統(tǒng)破壞,1.3%隱私竊取,12.9%遠(yuǎn)程控制,4.4%流氓行為,9.7%誘惡騙意欺傳詐播,0.3%2014年移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量按行為屬性統(tǒng)計(jì)1629817028951059610 52671102084161664 624920000040000060000080000010000002005 2006 2007 2008 2009 2010 2011 2012 2013年年年年年年年年年2014年2005年-2014年移動(dòng)互聯(lián)網(wǎng)惡意程序走勢(shì)低危,73.0%高危,1.6%中危,25.3%20

2、14年移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量按危害等級(jí)統(tǒng)計(jì)4525228918379854258658466484796210799705880084405467044392234403211802877995200000006000000400000010000000980000001月 2月 3月 4月 5月 6月 7月 8月 9月 10月11月12月2014年移動(dòng)互聯(lián)網(wǎng)惡意程序傳播事件次數(shù)月度統(tǒng)計(jì)140000001189700212000000移動(dòng)惡意代碼威脅之寡頭Top330% Top2080%色情流氓（偽裝/仿冒/惡意廣告）扣費(fèi)移動(dòng)惡意代碼威脅之寡頭25.0%20.0%15.0%10.0%5.0%0

3、.0%2015年上半年2.2%2.2%9.8%19.9%0.4%17.2%15.8%8.3%20.2%15.4%2.6%4.9%10.5%8.0%13.1%7.8%11.4% 7.3%16.2%2.7%25.6%10.7%0.0%10.0%20.0%30.0% 19.8%12.7%40.0% 10.2%50.0%60.0%70.0%13年3月13年4月13年5月13年6月13年7月13年8月13年9月13年10月13年11月13年12月14年1月14年2月14年3月14年4月14年5月14年6月14年7月14年8月14年9月14年10月14年11月14年12月15年1月15年2月15年3月15

4、年4月4大家族惡意代碼的占比情況FakesysuiGuideadJxtsexplayer60%移動(dòng)惡意代碼威脅之寡頭5月6月7月8月9月10月11月12月惡意色情應(yīng)用互相推廣期間數(shù)量變化情況newpaysdk76yypush剛需簡(jiǎn)單粗暴巨大經(jīng)濟(jì) “利益”移動(dòng)惡意代碼威脅之長(zhǎng)尾2015年上半年0.9%0.8%0.7%0.6%0.5%0.4%0.3%0.2%0.1%0.0%100%4%12.9%間諜欺詐偽裝攔截馬移動(dòng)惡意代碼威脅之長(zhǎng)尾惡意行為及表現(xiàn)攻擊目標(biāo)地理信息聯(lián)系人列表通話錄音環(huán)境錄音偽造界面?zhèn)卧靾D標(biāo)誘騙應(yīng)用無(wú)圖標(biāo)積分馬支付平臺(tái)短信箱內(nèi)容 短信轉(zhuǎn)發(fā)郵箱轉(zhuǎn)發(fā)上傳遠(yuǎn)控 服務(wù)器攔截短信竊取帳號(hào)密碼金

5、融類app電商類app隱私信息針對(duì)性長(zhǎng)期隱蔽長(zhǎng)尾中的“針對(duì)性”杠桿色情流氓 廣告“被動(dòng)需求”“主動(dòng)需求”重度 隱私惡意分發(fā)其 它定向 投放長(zhǎng)尾中的“針對(duì)性”杠桿傳統(tǒng)視角emialsmsmailThiefFaketaobao惡意代碼受害者攻擊者FuckSMSabortlistSMSContactAccountMalware E-MailE-Mail長(zhǎng)尾中的“針對(duì)性”杠桿長(zhǎng)尾視角色情流氓“被動(dòng)需求”惡意分發(fā)“主動(dòng)需求”重度 隱私定向 投放其 它emialsmsmailThiefFaketaobaoFuckSMSabortlist長(zhǎng)尾中的“針對(duì)性”杠桿長(zhǎng)尾視角大眾分眾A類B類C類D類 用戶用戶用戶用

6、戶用戶用戶企業(yè)小眾用戶用戶個(gè)人特定 群體重度 隱私攻擊 入口高增 值點(diǎn)惡意代碼作者互聯(lián)網(wǎng)黑商如何突破底線來(lái)盈利勞力密集/外包型第三方資源和交易移動(dòng)終端間歇性的 持續(xù)參與全過(guò)程隱私杠桿價(jià)值長(zhǎng)尾中的“針對(duì)性”杠桿長(zhǎng)尾視角大眾分眾A類B類C類D類 用戶用戶用戶用戶用戶用戶企業(yè)小眾用戶用戶個(gè)人特定 群體分眾攻擊攻擊人群和 模式相對(duì)固 定的威脅形態(tài)和代碼 機(jī)理相對(duì)固定的攻擊 成本 高攻擊 成本 低系統(tǒng)ROMAPP網(wǎng)絡(luò) 管道在線 內(nèi)容設(shè)備低風(fēng) 險(xiǎn)受 眾廣高風(fēng) 險(xiǎn)受 眾小服務(wù)于利基市場(chǎng)威脅點(diǎn)威脅點(diǎn)威脅點(diǎn)針對(duì)性攻擊碎片化ing長(zhǎng)尾的出現(xiàn)和現(xiàn)狀精準(zhǔn)和高效投放長(zhǎng)尾的出現(xiàn)和現(xiàn)狀精準(zhǔn)和高效投放長(zhǎng)尾的出現(xiàn)和現(xiàn)狀精準(zhǔn)和高

7、效投放總數(shù)：49596人次號(hào)碼總數(shù)：17843經(jīng)理：915主任：1212部長(zhǎng)：185人處長(zhǎng)：275書記：497，市長(zhǎng)：56，*總：45長(zhǎng)尾中的“針對(duì)性”杠桿長(zhǎng)尾視角色情流氓重度 隱私定向 投放水坑詐騙社工釣魚使用習(xí)慣設(shè)備號(hào)電話號(hào)安裝應(yīng)用大眾分眾A類B類C類D類 用戶用戶用戶用戶用戶用戶企業(yè)小眾用戶用戶個(gè)人特定 群體篩選 目標(biāo)長(zhǎng)角色流大 用尾中的“針對(duì)性”杠桿長(zhǎng)尾視電話號(hào)設(shè)備號(hào)社工詐騙安裝應(yīng)用使用習(xí)慣釣魚水坑氓篩選定向重度目標(biāo)投放隱私情眾分眾A類B類C類D類企業(yè)小眾特定 戶用戶用戶用戶用戶用戶用戶用戶個(gè)人群體長(zhǎng)尾中的“針對(duì)性”杠桿長(zhǎng)尾視角色情流氓重度 隱私定向 投放水坑詐騙社工釣魚使用習(xí)慣設(shè)備號(hào)

8、電話號(hào)安裝應(yīng)用大眾分眾A類B類C類D類 用戶用戶用戶用戶用戶用戶企業(yè)小眾用戶用戶個(gè)人特定 群體篩選 目標(biāo)agent移動(dòng)惡意代碼檢測(cè)和工程化對(duì)抗 的經(jīng)驗(yàn)的分享移動(dòng)惡意代碼檢測(cè)技術(shù)純本地反病毒檢測(cè)引擎，本地靜態(tài)對(duì)抗，深度檢測(cè)，啟發(fā) 式能力后端自動(dòng)化分析和深度分析支撐20dynamicSandbox為主基于特征和模式的檢 測(cè)引擎AVL SDK for MobilestaSc移動(dòng)惡意代碼檢測(cè)技術(shù)的系統(tǒng)思辨色情流氓惡意分發(fā)重度 隱私定向 投放其 它smsmailThiefFaketaobaoFuckSMSabortlist1，部分捕獲困難2，行為藏匿和對(duì)抗3，難準(zhǔn)確進(jìn)行界定1，攻擊手段多樣2，惡意代碼結(jié)

9、構(gòu)和機(jī) 理差異較大3，更新迭代較快1，攻擊手段相對(duì)單一2，混淆和對(duì)抗劇烈3，免殺和迭代較快家族A家族BB變種變種A家族CB變種變種A家族DB變種變種A家族A家族BB變種變種A家族CBemial變種變種A家族DB變種變種A家族A家族BB變種變種A家族CB變種變種A家族DB變種變種A移動(dòng)惡意代碼檢測(cè)技術(shù)的系統(tǒng)思辨攻擊碎片化ing攻擊成本成本高設(shè)備ROM系統(tǒng)APP網(wǎng)絡(luò)內(nèi)容低渠道低風(fēng)高風(fēng)險(xiǎn)受險(xiǎn)受眾廣眾小威脅點(diǎn)威脅點(diǎn)威脅點(diǎn)分眾攻擊針對(duì)性攻擊 攻擊人群和模式相對(duì)固威脅形態(tài)和代碼服務(wù)于利基市場(chǎng)定的機(jī)理相對(duì)固定的大眾分眾A類B類C類D類企業(yè)小眾特定 用戶用戶用戶用戶用戶用戶用戶用戶個(gè)人群體強(qiáng)對(duì)抗高級(jí)工程師嘗試

10、工程化強(qiáng)對(duì)抗 較多中級(jí)工程師移動(dòng)惡意代碼檢測(cè)技術(shù)的系統(tǒng)思辨家族A家族B變種B變種A家族C變種B變種A家族D變種B變種A以數(shù)據(jù)挖掘和自動(dòng)化 學(xué)習(xí)訓(xùn)練進(jìn)行嘗試以結(jié)構(gòu)檢測(cè)分支為主的歸一化反病毒引擎架構(gòu)1，部分捕獲困難2，行為藏匿和對(duì)抗3，難準(zhǔn)確進(jìn)行界定1，攻擊手段多樣2，惡意代碼結(jié)構(gòu)和機(jī) 理差異較大 3，更新迭代較快1，攻擊手段相對(duì)單一2，混淆和對(duì)抗劇烈3，免殺和迭代較快移動(dòng)惡意代碼檢測(cè)技術(shù)的系統(tǒng)思辨樣本分布式計(jì) 算/存儲(chǔ)節(jié)點(diǎn)樣本分布式計(jì) 算/存儲(chǔ)節(jié)點(diǎn)樣本分布式計(jì) 算/存儲(chǔ)節(jié)點(diǎn)樣本分布式計(jì) 算/存儲(chǔ)節(jié)點(diǎn)任務(wù)調(diào)度和迭代訓(xùn)練和學(xué)習(xí) 初始化構(gòu)建訓(xùn)練結(jié)果自動(dòng)化驗(yàn)證細(xì)粒度反病毒檢 測(cè)和解析引擎威脅場(chǎng)景識(shí)別人工

11、設(shè) 定訓(xùn)練 模型大數(shù)據(jù)基礎(chǔ)平臺(tái)工程師知識(shí)歸一化檢測(cè)和識(shí)別自動(dòng)化學(xué)習(xí)和驗(yàn)證移動(dòng)惡意代碼檢測(cè)技術(shù)的系統(tǒng)思辨攔截馬的通用檢測(cè)模型決策樹部分通用符號(hào)信息決策樹用來(lái)表達(dá)多個(gè)統(tǒng)計(jì)條件的滿足狀況通用符號(hào)信息則是由人工提取測(cè)試結(jié)果1.選取黑庫(kù)100萬(wàn)個(gè)樣本：可容忍些錯(cuò)報(bào)3檢出效力，1:100002.隨機(jī)選取了白灰?guī)?00萬(wàn)樣本檢出21條，是否誤報(bào)進(jìn)一步人工驗(yàn)證移動(dòng)惡意代碼檢測(cè)技術(shù)的系統(tǒng)思辨3F6C5D0496B7698311EF9308D02416FFG41F5522E141A1E2FE1CD5FA389A34235W5419D757D4AA9B77AA59601FD076129DG572806347770A

12、CED167D8195ED48E5CFG7AF73A18568A58B69D132FACE7BF34B6B8B157CD4F23AC77EF42C98CE2519E635B8B265DDFE97A38EEDE762A5105E970E0B91F5B9C882830CA41C369736701F9703BAA21306324A865E9D4190767B6914B15WAB96F603AA84F8AAB9276BB37BE131B9GB0A6474576E6722B13ADD223154379C2GE044BFA8BAA520EF46A761C4CEAC5FD4W0FC79738D3C03F11

13、AC5573678B031E2EB203436AAB83B5B1FDA2AD5AD5A99CB21B4C314BECEB77914C2016BED938D846FCB4EE39661AB6F5A3E958727A0F5CE19CCB6AD91761669551717937A41BF4343196B9FF7C046965C53C478D22ECB2CCCE366GC326A9121E7CFD81FEF177F9D43FFE1CGCB206A03676476284A627B19F1C56F3FGD68FD900341DBF16B2C2FEEFDFB39603G綠色合理檢出，藍(lán)色可規(guī)避誤報(bào)，黃色可 容忍誤報(bào)，紅色需規(guī)避誤報(bào)移動(dòng)惡意代碼檢測(cè)技術(shù)的系統(tǒng)思辨家族A家族B變種B變種A家族C變種B變種A家族D變種B變種A以數(shù)據(jù)挖掘和自動(dòng)化 學(xué)習(xí)訓(xùn)練進(jìn)行嘗試以結(jié)構(gòu)檢測(cè)分支為主的歸一化反病毒引擎架構(gòu)1，樣本分析工程師的作業(yè)能力單個(gè)樣本，單個(gè)家族的作業(yè)突圍通過(guò)一個(gè)準(zhǔn)自動(dòng)化的訓(xùn)練平臺(tái)，能夠使得樣本分析工程師的作業(yè)規(guī) 模提升到多家族，甚至是特定惡意代碼機(jī)理類型的規(guī)模通過(guò)粗粒度的廣譜特征的組合達(dá)到匹敵高精度特征的效果2，產(chǎn)