移動互聯(lián)網(wǎng)勒索病毒研究報告(二)--威脅場景的還原
移動互聯(lián)網(wǎng)勒索病毒研究報告(二)
--威脅場景的還原
(2017-12-1)
通付盾移動安全實驗室
二〇一七年十二月
移動安全管理現(xiàn)狀
2017年5月,勒索病毒像顆長熟的膿瘡,借著移動互聯(lián)網(wǎng)的“東風”在全球大范圍的爆發(fā)。勒索病毒給網(wǎng)絡用戶特別是移動端設備嚴重依賴人群帶來了惡劣影響。盡管各安全廠商對勒索病毒響應及時,但是不得不承認在這場網(wǎng)絡安全戰(zhàn)中,我們損失慘重。這場網(wǎng)絡攻防戰(zhàn)使得安全廠商們心有余悸,甚至要求安全廠商們重新思考傳統(tǒng)的應用安全管理方法是否能夠經(jīng)得起下一次的病毒攻擊?
移動互聯(lián)網(wǎng)作為這個時代的“弄潮兒”,它的每一場技術革新改變的不僅是信息傳輸?shù)谋憬菪裕瑫r還隱藏著數(shù)以萬計的高危漏洞、惡意程序、仿冒等,僅僅靠對應用進行檢測、加固或者監(jiān)測是遠遠不能取勝的。對于類似勒索病毒這樣級別的威脅攻擊,移動應用安全管理不僅包括輿情監(jiān)察和公開的威脅情報,還需要能夠做到對威脅攻擊場景的還原的移動互聯(lián)網(wǎng)威脅信息管理平臺。
移動互聯(lián)網(wǎng)威脅信息管理平臺
傳統(tǒng)的應用安全管理平臺以威脅識別為主且數(shù)據(jù)處理能力有限,處于被動應急響應,威脅信息之間的關聯(lián)分析維度較低,主要依賴于人工分析,威脅對抗能力不足。在威脅主動防御戰(zhàn)中,我們需要一個高度具備驅(qū)動力的數(shù)據(jù)流轉(zhuǎn)和響應驅(qū)動體系,平臺反饋的威脅信息在時效性、數(shù)據(jù)關聯(lián)復雜性以及威脅信息構(gòu)成多樣性上具有高度要求,不僅僅是一個威脅感知平臺,更是一個基于大數(shù)據(jù)技術的威脅信息分析平臺。
本文將從威脅信息的數(shù)據(jù)來源、數(shù)據(jù)處理以及如何實現(xiàn)威脅信息挖掘三個角度,介紹通付盾移動安全實驗室推出的,一個具有大數(shù)據(jù)智能分析能力的移動互聯(lián)網(wǎng)威脅信息管理平臺。平臺共包含威脅信息采集、數(shù)據(jù)標簽化處理、威脅信息挖掘三個層面。
2.1 應用信息采集:全渠道覆蓋
通付盾移動安全實驗室通過對300多個應用渠道的應用數(shù)據(jù)進行實時采集,實現(xiàn)對全網(wǎng)移動應用數(shù)據(jù)的基本覆蓋。包括手機廠商應用商店、運營商應用商店、第三方應用商店、手機論壇、下載網(wǎng)站、網(wǎng)盤等。
圖2-1 樣本采集覆蓋渠道
在完成應用信息獲取以及清洗之后,研究人員對數(shù)據(jù)進行進一步處理。在分布式文件服務器的支撐下,對獲取的數(shù)據(jù)進行存儲,包括應用的文件信息、運行信息、網(wǎng)絡信息、代碼特征等數(shù)據(jù),基于分布式處理技術,實現(xiàn)數(shù)據(jù)的實時查詢與分析。通過對全渠道應用的增量采集,使應用信息庫保持持續(xù)更新,應用信息達到全網(wǎng)覆蓋,數(shù)據(jù)質(zhì)量高,具備高度可用性。
2.2 數(shù)據(jù)標簽化處理
僅對已有的數(shù)據(jù)進行簡單整合后加上可視化的呈現(xiàn)方法展現(xiàn),這并不足以體現(xiàn)出數(shù)據(jù)的全部價值,對于大數(shù)據(jù)量的應用信息我們采用數(shù)據(jù)標簽化的處理方式。
在警匪類電影中,我們通常會看到破案者在分析案件過程會在白板上標記從已知線索中拆解出的小標簽,利用標簽之間的聯(lián)系梳理案件線索,找出犯罪嫌疑人并最終鎖定罪犯。這其中就體現(xiàn)了數(shù)據(jù)標簽化處理的思想。研究人員對所存儲的應用信息建立應用畫像,給應用從多維度“貼”上不同類型標簽,建立應用“線索”關系圖譜。同時,通過漏洞檢測引擎、病毒檢測引擎、內(nèi)容違規(guī)檢測引擎的多維度分析實現(xiàn)對已知威脅、疑似威脅信息的識別。
圖2-2 數(shù)據(jù)標簽化--多維分析線索圖示
數(shù)據(jù)標簽化的處理可以使得應用與應用之間更好的關聯(lián)起來,對威脅場景還原、威脅行為溯源起到支撐作用。
2.3 威脅信息挖掘:TBS病毒挖掘模型
在數(shù)據(jù)標簽處理的基礎上,就已經(jīng)實現(xiàn)對已知威脅的識別具備安全管理平臺的功能。為了提升威脅信息的深度挖掘能力和對威脅事件的應急響應能力。在此基礎上,通付盾移動安全實驗室提出并引入了TBS病毒挖掘模型(簡稱TBS模型;Target-Behavior-Source,縮寫:TBS)。TBS病毒挖掘模型基于已有的應用數(shù)據(jù)標簽,從惡意程序的攻擊目的、傳播方式和惡意行為三個方面的特征建立多層挖掘模型,實現(xiàn)從威脅識別到威脅感知、威脅溯源的體系升級。
2.3.1 TBS病毒挖掘模型的依據(jù)
惡意程序的三個重要特征為目的性、傳播性和破壞性,這三者也是判斷一個程序是否為惡意應用的主要依據(jù)。其中,目的性是惡意代碼的基本特征,也是法律上判斷惡意程序的標準;傳播性是惡意程序達到攻擊目的的重要手段;破壞性體現(xiàn)了惡意程序的攻擊行為,例如破壞軟硬件系統(tǒng)、竊取用戶數(shù)據(jù)等。不同的惡意應用,在攻擊目的、傳播方式和惡意行為這三個方面也會有所區(qū)別。
圖2-3 惡意程序基本特征
移動端惡意應用與PC端應用相比具有不同的特點。例如,移動惡意應用的來源主要為第三方應用市場、網(wǎng)站以及公開的論壇等,通過社交軟件、網(wǎng)盤、惡意網(wǎng)站等方式傳播,獲取用戶的個人數(shù)據(jù)或勒索用戶個人財產(chǎn)是其主要的攻擊目的,因此,所利用的攻擊行為與PC端存在顯著差異。我們在傳統(tǒng)惡意程序特征的基礎上進行調(diào)整和細化,衍生出針對移動端惡意應用的三類特征作為TBS病毒挖掘模型的三個主要依據(jù),分別為:攻擊目標、威脅行為、傳播源。
- 攻擊目標(Target):與惡意攻擊的目標和目標用戶等相關的信息,例如惡意應用的目標用戶、偽裝方式等信息。
- 威脅行為(Behavior):與具體惡意破壞行為相關的特征,例如惡意扣費、信息竊取、遠程控制、惡意傳播、資費消耗、系統(tǒng)破壞、誘騙欺詐、流氓行為等。
- 傳播源(Source):與移動端惡意應用的傳播方式、傳播來源相關的信息,例如相關的社交賬號信息、網(wǎng)址、開發(fā)者信息等。
圖2-4 移動端惡意程序特征衍生關系
2.3.2 TBS病毒挖掘模型單層結(jié)構(gòu)
如前文所述,TBS病毒挖掘模型在應用數(shù)據(jù)標簽的基礎上,將惡意程序樣本特征作為病毒挖掘依據(jù),實現(xiàn)多層迭代式搜索挖掘。每層搜索過程分別檢測與樣本集合特征相匹配的應用。當某個應用有兩種以上特征符合病毒樣本特征,則認為該應用為相關惡意應用。而符合一個病毒特征的視為潛在惡意應用。下一層的迭代搜索以對應的上一層獲得的惡意應用為基礎。
圖2-5 TBS病毒挖掘模型頂層示意圖
圖2-5描述了TBS模型基本的病毒挖掘過程。將移動應用從傳播源、攻擊目標以及威脅行為三個特征匹配的結(jié)果作為三個集合,根據(jù)集合之間的關系,每層挖掘得到的病毒樣本結(jié)果分為7個部分。
具有兩種或兩種以上病毒樣本特征的應用均具有較高的惡意性,我們將這些樣本作為捕獲的新增病毒樣本,并且在下一層的挖掘過程中作為分析病毒特征的依據(jù)。主要包括以下4個部分:
1)新增同質(zhì)病毒樣本
三個集合交集處的應用與原始樣本具有相同的傳播源、攻擊目標以及威脅行為特征(即具有同質(zhì)性),可以認為這些樣本的惡意性程度很高。我們稱這些新增的樣本為同質(zhì)病毒樣本。
2)威脅行為變異型病毒
若應用的傳播源和攻擊目標特征與原始病毒樣本匹配,而在威脅行為方面有所不同,可以認為這些樣本具有較高的惡意性,我們將其標記為威脅行為變異型病毒。
3)攻擊目標變異型病毒
若應用的威脅行為和傳播源特征與原始病毒樣本匹配,而在攻擊目標方面有所不同,可以認為這些樣本具有較高的惡意性,我們將其標記為攻擊目標變異型病毒。
4)傳播源變異型病毒
若應用的威脅行為和攻擊目標特征與原始病毒樣本匹配,而在傳播源方面有所不同,可以認為這些樣本具有較高的惡意性,我們將其標記為傳播源變異型病毒。
僅匹配了一種特征的應用程序被標記為潛在惡意應用,包括:傳播源衍生潛在惡意應用、攻擊目標衍生潛在惡意應用以及威脅行為衍生潛在惡意應用3個部分。
1)傳播源衍生潛在惡意應用
若被掃描應用具有原始病毒樣本的傳播源特征,則該應用具有一定的潛在惡意性,我們將此類應用稱為傳播源衍生潛在惡意應用。
2)攻擊目標衍生潛在惡意應用
若被掃描應用具有原始病毒樣本的攻擊目標特征,則該應用具有一定的潛在惡意性,我們將此類應用稱為攻擊目標衍生潛在惡意應用。
3)威脅行為衍生潛在惡意應用
若被掃描應用具有原始病毒樣本的威脅行為特征,則該應用同樣具有一定的潛在惡意性,我們將此類應用稱為威脅行為衍生潛在惡意應用。
2.3.3 TBS病毒挖掘模型多層迭代過程
在單層病毒挖掘模型的基礎上,進行多層迭代搜索,通過已經(jīng)獲得的病毒樣本得到更多的病毒和潛在惡意應用,使我們能夠獲得更完備的惡意應用樣本庫,為分析威脅態(tài)勢提供可靠依據(jù)。
圖2-6 TBS病毒挖掘模型層級迭代過程
TBS模型第n層的病毒挖掘以n-1層獲得的病毒樣本為基礎,并且根據(jù)第n-1層的獲得的樣本所屬的來源集合進行擴張:
- 威脅行為變異型病毒:對該集合,在威脅行為特征上進行擴充,即:搜索與該集合樣本具有相同威脅行為的應用樣本。
- 攻擊目標變異型病毒:在攻擊目標特征上進行擴充,即:搜索與該集合樣本具有相同攻擊目標的應用樣本。
- 傳播源變異型病毒:在傳播源特征上進行樣本擴充,即:搜索與該集合樣本具有相同傳播源特征的應用樣本。
通過這種樣本擴充方式,能夠在維持模型可靠性的同時挖掘出更多的變種病毒樣本,并且盡可能避免了重復的搜索。
與單層模型相同,迭代獲得的樣本根據(jù)所屬的集合分為同質(zhì)病毒樣本、威脅行為變異型病毒、攻擊目標變異型病毒、傳播源變異型病毒、傳播源衍生潛在惡意應用、攻擊目標衍生潛在惡意應用、威脅行為衍生潛在惡意應用7類。并且根據(jù)樣本所匹配的病毒特征的個數(shù),分別作為新增病毒樣本和新增潛在惡意應用。
2.3.4 TBS病毒挖掘模型效果驗證
此前,我們針對勒索病毒進行了全網(wǎng)的態(tài)勢分析,基于TBS病毒挖掘模型我們對勒索型惡意應用進行了全網(wǎng)搜尋,通過三層的檢測過程,共檢測到5萬余勒索類病毒樣本和30萬余潛在的惡意應用。圖2-7展示了經(jīng)過TBS模型各層檢測過程捕獲的樣本數(shù)量,包括病毒樣本和潛在的惡意應用。圖中,每層對應的樣本數(shù)量為累積值(例如Level 1的樣本數(shù)量為第一輪檢測所獲得的數(shù)量,Level 2的樣本量為前兩輪獲取和病毒樣本去重后結(jié)果,以此類推)。
圖2-7 TBS模型每層捕獲樣本數(shù)量
下面,結(jié)合獲得的病毒樣本的數(shù)量和增長局勢的情況來看TBS病毒挖掘模型的實際挖掘效果。
1)TBS模型具有較強的病毒樣本挖掘能力
TBS模型具有較高的病毒挖掘能力經(jīng)過第一層的基于TBS模型的檢測,我們從200余個病毒樣本的原始樣本集出發(fā),獲取到51151個惡意應用和潛在惡意應用247332個。從比例來看,第一層檢測捕獲的病毒樣本數(shù)量是原始樣本個數(shù)的兩百余倍、捕獲的潛在惡意應用數(shù)量原始樣本個數(shù)的一千余倍。這表明,TBS模型具有較高的病毒樣本挖掘能力,能夠通過有限個數(shù)的原始病毒樣本迅速地挖掘出大量相關病毒樣本和潛在惡意程序樣本,從而能夠有效地評估和預測病毒威脅態(tài)勢。
2)TBS模型具有較準確的病毒識別能力
TBS模型具有較準確的病毒樣本識別能力TBS模型是通過應用特征多次迭代進行挖掘,因此,如果模型所基于的檢測特征不夠準確、缺乏代表性,會導致每次迭代引入大量無關的(非惡意)樣本,使得檢測結(jié)果不可信。從實際數(shù)據(jù)來看,前三層檢測過程所獲取的新增病毒數(shù)依次為50935個、2943個、1218個。換言之,對于TBS模型每層檢測到的病毒樣本數(shù)量,其增長趨勢是逐層減緩并收斂的。這表明TBS模型所選擇的三個方面特征能夠捕捉到病毒程序的特性,與我們對TBS模型捕獲的樣本進行抽樣核驗的結(jié)論相符。因此可以認為,我們此次獲取的樣本具有較高的覆蓋率和可信性,并且能夠反映勒索類病毒的分布和數(shù)量趨勢。
價值落地:從威脅識別到威脅感知和溯源
平臺搭建的最終目的是對威脅數(shù)據(jù)的有效利用,輸出具有時效性強、數(shù)據(jù)關聯(lián)復雜度高的威脅信息。高覆蓋率和高可信度的樣本數(shù)據(jù)的價值也從威脅識別提升到威脅感知和溯源。
3.1 多維度感知,源頭可溯
要想洞悉整個威脅場景,要求安全研究人員對威脅信息的分析維度要足夠全面。在此前發(fā)布的勒索病毒研究報告中,通付盾移動安全實驗室研究員在自動化感知的病毒數(shù)據(jù)基礎上,針對勒索病毒從偽裝類型、傳播源、威脅行為三個維度上展開分析,在威脅地域、時間、攻擊者特征等方面得出重要結(jié)論,并以此追蹤到較大的犯罪團伙—彼岸花技術團隊。針對攻擊場景的威脅信息能夠更直觀的反映出攻擊目的,為相關部門采取防護行動提供參考。我們已經(jīng)具備在獲悉部分條件的情況下,還原整個威脅場景的能力。
圖3-1 多維度威脅溯源分析示意圖
3.2 多角度告警,隱患可防
在利用數(shù)據(jù)關聯(lián)性分析還原威脅事件的前提下,我們對威脅趨勢進行預判,從攻擊手段、攻擊地域、攻擊目的等不同角度分析威脅趨勢,針對攻擊者本身以及攻擊事件向移動網(wǎng)絡用戶個人、企業(yè)發(fā)出告警信號并提供專業(yè)、全面的防護措施方案,形成具有決策性的威脅情報。
移動互聯(lián)網(wǎng)威脅信息平臺的搭建實現(xiàn)了威脅場景還原、威脅來源追蹤、未知威脅感知等。在保證威脅信息時效性的基礎上,實現(xiàn)了利用威脅信息驅(qū)動安全管理的主動防御機制。
當然,威脅情報驅(qū)動安全威脅信息管理平臺要想實現(xiàn)大范圍的威脅告警需要和企業(yè)、公安部門、監(jiān)管部門、應用商店以及各安全廠商等建立聯(lián)動機制,保證威脅信息時效性的前提下采取網(wǎng)絡威脅的應急措施,在遭受攻擊之前排查隱患、修復漏洞,切實的保護網(wǎng)絡數(shù)據(jù)安全和個人財產(chǎn)安全。
總結(jié)
窮源溯流,網(wǎng)絡安全威脅的來源主要包含技術風險、網(wǎng)絡安全管理環(huán)節(jié)薄弱以及人為攻擊三個因素。盡管目前移動安全管理處于初步階段,但是隨著國家相關政策的支持,尤其是《網(wǎng)絡安全法》的出臺,網(wǎng)絡安全管理機制逐漸完善,公安部、監(jiān)管部門、網(wǎng)絡運營者、安全廠商等各方面的力量逐漸匯聚在一起,政企聯(lián)合、警企聯(lián)動的防御體系逐漸形成,安全團隊正逐漸擴大,共同維護網(wǎng)絡安全。
參考資料
[1]《移動互聯(lián)網(wǎng)勒索病毒分析報告》
http://mp.weixin.qq.com/s/VG0M8zoljckR1f9g7K33fg
[2]數(shù)據(jù)與威脅情報
http://www.jianshu.com/p/036e33992deb
[3]如何評估安全威脅情報對企業(yè)的價值
https://zhidao.baidu.com/question/692428794650528164.html
[4]以數(shù)據(jù)為核心的SOC3.0時代到來
http://blog.51cto.com/yepeng/1729338
[5]如何利用用戶標簽數(shù)據(jù)
http://f.dataguru.cn/forum.php?mod=viewthread&tid=537447
