整体来说,手机恶意代码造成的危害主要有三类,一个是短信彩信ASP订阅产品资费,第二后台进入链接网络,形成比较大的网络占用。刚才也有嘉宾阐述了这个网络流量占用问题,连接数是一个很重要资源。第三,上传用户个人隐私,包括位置信息,电话簿这样。前面简单从技术角度介绍手机恶意代码和定义传播方式,以及一些形态。下面,我们从技术层面,产业层面来分析带来的一些新的变化和趋势。
我们先来看一看早期手机恶意代码,这里列举了几个,包括手机炸弹,WinCE后门,塞班蠕虫等等。在早期恶意代码形成,主要在手机具备可编程,可拓展平台之后,有一些开发团体逐渐开始形成,有一些人开始以兴趣为出发点来尝试编写恶意代码。早期的恶意代码数量相当少,根据我们的统计,06年之前家数都低于20个,在当时手机技术和策略限制也比较严。比如像05年塞班强制进行推广签名,受限于这些挑战,所以早期的恶意代码相对比较初级。到现在整个情况发生了很大变化,整个产业,包括移动通信产业,包括传统互联网地下产业链这样的一些灰色链条,为手机恶意代码提供一个很快速发展的产业体系。那么,用现在的情况来看,手机恶意代码直接目标就是经济利益。现在手机软件作者整体面向,向趋利化方向发展,导致传统互联网恶意代码地下产业链经过重组进行新的发展,现在目标更加明确,从特定的商业和个人数据信息盗取,手机用户收集到直接盗用用户网银帐户,手机支付帐号,导致地下产业完全专业化和趋利化,这种转化和发展是基于互联网恶意代码体系之上,又以移动终端为特殊载体。
从目前来看,手机恶意代码已经成为传统互联网地下产业链的一个延伸体系,并且以传统互联网恶意代码地下产业链进行整合和发展。那么,这是去年初流行的一个木马,恶意代码借用传统互联网资源发出恶意控制命令,下载APP文件到SD卡指定目录进行安装,感染这个木马手机就会产生大量网络收据流量,攻击者也通过搜索链接访问量进行获益。从木马核心流程我们可以看的见,传统的互联网资源和相关环节,在恶意代码的行为发射过程当中取得非常关键的作用,我们可以看一看,他有一个控制服务器进行分发控制命令和恶意代码触发指令。还有一个数据服务器,提供恶意代码行为所需要的数据和地址,还有一个关健词服务器提供恶意代码行为所需要的参数,还有一个更新的服务器,提供恶意代码进行文件更新服务。
我们这个木马我们的统计来看,当初感染的数量大概在10万个左右,当然因为是比较典型,我们后来公布了恶意代码的分析报告,并且把它的地址和样本提交之后,经过专项治理,恶意代码发布者主动关闭了这几个服务器,然而用户也很快就减少了。我们刚才展示了这个恶意代码,只是地下产业链冰山一角,我们下面看一看从传统互联网地下产业链到移动互联网地下产业链的演进和迁移。这个红色网络是传统互联网网络,地下产业链形成各个链条和获准行为。移动代码在这个基础上进行延伸,最后以直接获取金钱为目的。从这个图可以看的出来,传统恶意代码和移动恶意代码产业链并不是分割的两条线,而是基于成熟的互联网产业链发展,他的趋利化方式更加明显,无论是在编写技术代码技术层面,传播层面,谋利手段方面都完全与传统互联网恶意代码提供的底蕴和基础为依托,在移动产业背景下不断发展,这是一个比传统互联网恶意代码传播链条更复杂,谋利手段更多,犯罪成本更低,以及反向追求成本更高,恶意代码的目的就是直接获取金钱。
最后回到我们产业背景上来看,移动终端,移动网络和互联网业务平台三个端点成为手机恶意代码传播和谋利三个主要支撑点,相对于传统互联网我们对恶意代码监测分析标准更高,手段监测还不够健全。那么,完整恶意代码行为就贯穿这三个点,这使得在面对手机恶意代码产品中,我们需要用体系化的手段来对抗,加快整体的体系化建设,明确在不同环节进行不同解决方案,形成统一机制和联动,这样才能更好的应对手机恶意代码发展与威胁。在网络侧就需要部署恶意代码行为监测和捕获,监测他的行为,捕获其样本。
那么,在终端要进行恶意代码扫描和监测,包括其处置。在应用平台上需要提供应用上限安全监测和服务。那么,在整个体系形成体系化方式才能对抗新的威胁。
最后,给大家介绍一个体系化对抗事例。在这个事例里面主角是一个KungFu的病毒,我们第一时间把相关数据上报到有关机构,并对样本恶意事件进行监测。并且在2月份进行首次专项实战,为了配合这次专项工作,利用体系和对抗能力和相关网络设备节点,在专项过程当中把这个样本推荐成为重点打击对象。我们再看一看,在这个专项打击过程里面当时的一些数据和结论,截止2012年3月,这个样本共捕获同家数样本2075个,提取了其中10天的一个样本数据,累计10天发生事件29700多次,同批次IP有5个,感染IP共700多个,每天活跃的在100到200个。手机恶意代码序幕已经拉开,在这场对抗中,运营商将扮演更加主动的角色。安天愿意在多个层面和运营商进行技术交流和支撑工作,解决手机恶意代码引来的隐患和问题,谢谢大家。
