《阿里聚安全2016年報(bào)》發(fā)布,本報(bào)告重點(diǎn)聚焦在2016年阿里聚安全所關(guān)注的移動(dòng)安全及數(shù)據(jù)風(fēng)控上呈現(xiàn)出來(lái)的安全風(fēng)險(xiǎn),在移動(dòng)安全方面重點(diǎn)分析了病毒、仿冒、漏洞三部分,幫助用戶了解業(yè)務(wù)安全端安全方面應(yīng)該注意的風(fēng)險(xiǎn),之后會(huì)描述阿里聚安全在業(yè)務(wù)安全防控方面做的一些努力和觀點(diǎn),幫助企業(yè)在建設(shè)互聯(lián)網(wǎng)業(yè)務(wù)安全時(shí),考慮安全策略和防護(hù)應(yīng)該往哪部分傾斜。 

Android平臺(tái)約10臺(tái)設(shè)備中就有1臺(tái)染毒,設(shè)備感染率達(dá)10%

2016年度,Android平臺(tái)約10臺(tái)設(shè)備中就有1臺(tái)染毒,設(shè)備感染率達(dá)10%,阿里聚安全病毒掃描引擎共查殺病毒1.2億,病毒木馬的查殺幫助用戶抵御了大量的潛在風(fēng)險(xiǎn)。

每天新增近9000個(gè)新移動(dòng)病毒樣本,每10秒生成1個(gè)

阿里聚安全移動(dòng)病毒樣本庫(kù)2016年新增病毒樣本達(dá)3284524個(gè),平均每天新增9000個(gè)樣本,這相當(dāng)于每10秒生成一個(gè)病毒樣本。我們也看到在9月份后病毒樣本有比較明顯的增加趨勢(shì)。雖然原生Android系統(tǒng)的安全性越來(lái)越高,但移動(dòng)病毒利用多種手法如重打包知名應(yīng)用、偽裝成生活類、色情類應(yīng)用等傳播,在每天新增如此多病毒的惡意環(huán)境下,Android用戶必須時(shí)刻警惕在官方場(chǎng)合下載應(yīng)用。

2016年,我們發(fā)現(xiàn)“惡意扣費(fèi)”類在病毒樣本量占比最高,達(dá)72%。該類病毒應(yīng)用未經(jīng)用戶允許私自發(fā)送短信和扣費(fèi)指令,對(duì)用戶手機(jī)的資費(fèi)造成一定風(fēng)險(xiǎn),而在客戶端檢測(cè)到樣本的“流氓行為”占比最高,“惡意扣費(fèi)”其次。

對(duì)比客戶端病毒樣本和樣本庫(kù)類型,雖然“惡意扣費(fèi)”的樣本數(shù)非常龐大,但在客戶端感染的數(shù)量已經(jīng)成反比,這是因?yàn)閲?guó)家著重針對(duì)影響范圍大、安全風(fēng)險(xiǎn)較高的移動(dòng)互聯(lián)網(wǎng)惡意程序進(jìn)行專項(xiàng)治理,“惡意扣費(fèi)”類惡意程序治理效果顯著,而“流氓行為”、“隱私竊取”、“短信劫持”及“誘騙欺詐”類病毒還是以較少的樣本數(shù)占領(lǐng)了大多數(shù)客戶端,尤其是黑產(chǎn)用于詐騙的“短信劫持”和“誘騙欺詐” 病毒基本是以1:10的比率影響用戶端。此外干擾用戶正常使用軟件,影響用戶體驗(yàn),隨意添加廣告書(shū)簽、廣告快捷方式或鎖屏等行為的“流氓行為”類病毒也占據(jù)大量用戶客戶端,此類病毒一般用于惡意廣告推廣為主。

89%的熱門應(yīng)用存在仿冒

從16個(gè)行業(yè)分類分別選取了15個(gè)熱門應(yīng)用,共240個(gè)應(yīng)用進(jìn)行仿冒分析,發(fā)現(xiàn)89%的熱門應(yīng)用存在仿冒,總仿冒量高達(dá)12859個(gè),平均每個(gè)應(yīng)用的仿冒量達(dá)54個(gè),總感染設(shè)備量達(dá)2374萬(wàn)臺(tái)。3月份的仿冒應(yīng)用量大幅下降,符合黑灰產(chǎn)在春節(jié)假期前后的活動(dòng)較少的規(guī)律。

金融行業(yè)銀行類仿冒居多,某銀行仿冒應(yīng)用全部具有短信劫持行為

金融行業(yè)選取銀行、錢包和理財(cái)3個(gè)子分類,分別選取10個(gè)熱門應(yīng)用進(jìn)行分析,共發(fā)現(xiàn)仿冒應(yīng)用407個(gè)。銀行類仿冒應(yīng)用占53%,錢包類 仿冒應(yīng)用占36%,理財(cái)類仿冒應(yīng)用占11%。

2016年金融行業(yè)仿冒應(yīng)用分布情況 ↓

在本次分析中,某銀行共發(fā)現(xiàn)30個(gè)仿冒應(yīng)用,全部具有短信劫持行為,感染設(shè)備量為33863臺(tái),感染用戶主要分布在廣東、北京和江蘇等 省份。

阿里聚安全移動(dòng)安全掃描器創(chuàng)新迭代快速,幫助企業(yè)提高前置安全感知能力

阿里聚安全移動(dòng)安全掃描器2016 年全年成功提供的掃描服務(wù)305909 次, 平均每天提供的服務(wù)838次, 檢測(cè)漏洞數(shù)量達(dá)17698883個(gè),全年所有掃描的App中有殼的App占比16.54%,產(chǎn)品迭代發(fā)布次數(shù)21次,新增規(guī)則16條。其中啟發(fā)式規(guī)則掃描可檢測(cè)外部可控?cái)?shù)據(jù)對(duì)應(yīng)用內(nèi)部邏輯的影響, 掃描器能夠根據(jù)socket、網(wǎng)絡(luò)、intent傳入的數(shù)據(jù),進(jìn)行各種判斷,進(jìn)而判斷是否存在可以被惡意用戶使用的漏洞,涵蓋了網(wǎng)絡(luò)釣魚(yú)、外部操作系統(tǒng)文件、命令執(zhí)行、反射操作、啟動(dòng)私有組件( activity 、service等)等各種類型的漏洞。此外,新增的拒絕服務(wù)掃描規(guī)則還可支持掃描動(dòng)態(tài)注冊(cè)的組件是否能夠引起拒絕服務(wù)漏洞。

18個(gè)行業(yè)的Top10應(yīng)用中98%的應(yīng)用都存在漏洞,但Webview遠(yuǎn)程執(zhí)行代碼漏洞迅速下降

為分析移動(dòng)應(yīng)用各行業(yè)的漏洞情況,我們?cè)诘谌綉?yīng)用市場(chǎng)分別下載了18個(gè)行業(yè)的Top10應(yīng)用共計(jì)180個(gè),使用阿里聚安全漏洞掃描引擎對(duì)這批樣本進(jìn)行漏洞掃描。18個(gè)行業(yè)的Top10應(yīng)用中,98%的應(yīng)用都有漏洞,總漏洞量14798個(gè),平均每個(gè)應(yīng)用有82個(gè)漏洞。旅游、游戲、影音、社交類產(chǎn)品漏洞數(shù)量靠前。但是高危漏洞占比最高的依次是辦公類、工具類、游戲類和金融類。企業(yè)在移動(dòng)數(shù)據(jù)化進(jìn)程過(guò)程中更需注意員工在使用這些行業(yè)APP時(shí)的安全威脅。

其中漏洞類型主要集成中“拒絕服務(wù)”、“Webview明文存儲(chǔ)密碼”、“密鑰硬編碼風(fēng)險(xiǎn)”及“AES/DES弱加密風(fēng)險(xiǎn)”中,“密鑰硬編碼風(fēng)險(xiǎn)”和“AES/DES弱加密風(fēng)險(xiǎn)” 漏洞會(huì)讓基于密碼學(xué)的信息安全基礎(chǔ)瓦解,因?yàn)槌S玫拿艽a學(xué)算法都是公開(kāi)的,加密內(nèi)容的保密依靠的是密鑰的保密,密鑰如果泄露,對(duì)于對(duì)稱密碼算法,根據(jù)用到的密鑰算法和加密后的密文,很容易得到加密前的明文;對(duì)于非對(duì)稱密碼算法或者簽名算法,根據(jù)密鑰和要加密的明文,很容易獲得計(jì)算出簽名值,從而偽造簽名。

這里建議企業(yè)用戶在開(kāi)發(fā)App過(guò)程中,通過(guò)阿里聚安全的漏洞掃描來(lái)檢測(cè)應(yīng)用是否具有密鑰硬編碼風(fēng)險(xiǎn),使用阿里聚安全的安全組件中的安全加密功能保護(hù)開(kāi)發(fā)者密鑰與加密算法實(shí)現(xiàn),保證密鑰的安全性,實(shí)現(xiàn)安全的加解密操作及安全簽名功能。

最復(fù)雜老道的iOS APT攻擊出現(xiàn)

PEGASUS——三叉戟攻擊鏈 是在對(duì)阿聯(lián)酋的一位人權(quán)活動(dòng)家進(jìn)行APT攻擊的時(shí)候被發(fā)現(xiàn)。整個(gè)攻擊鏈由三個(gè)漏洞組成:JS遠(yuǎn)程代碼執(zhí)行(CVE-2016- 4657),內(nèi)核信息泄露(CVE-2016-4655),內(nèi)核UAF代碼執(zhí)行(CVE-2016-4656)。

利用該攻擊鏈可以做到iOS上的遠(yuǎn)程完美越獄,完全竊取Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, Wechat SS, Tango等應(yīng)用的敏感信息。PEGASUS可以說(shuō)是近幾年來(lái)影響最大iOS漏洞之一,也是我們認(rèn)為最復(fù)雜和穩(wěn)定的針 對(duì)移動(dòng)設(shè)備APT攻擊,可以認(rèn)為是移動(dòng)設(shè)備攻擊里程碑。利用移動(dòng)設(shè)備集長(zhǎng)連接的Wi-Fi,3G/4G,語(yǔ)音通信,攝像頭,Email,即時(shí)消 息,GPS,密碼,聯(lián)系人與一身的特性,針對(duì)移動(dòng)設(shè)備的APT攻擊會(huì)越來(lái)越多。

羊毛黨、黃牛黨在2016年成為互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展過(guò)程中最大的毒瘤

2016年在各種互聯(lián)網(wǎng)業(yè)務(wù)活動(dòng)中,羊毛黨、黃牛黨繼續(xù)盛行,各種沒(méi)有安全防控的紅包/優(yōu)惠券促銷活動(dòng),會(huì)被羊毛黨以機(jī)器/小號(hào)等各種手段搶到手,基本70%~80%的促銷優(yōu)惠會(huì)被羊毛黨薅走,導(dǎo)致商家和平臺(tái)的促銷優(yōu)惠最終進(jìn)入了羊毛黨的口袋。黃牛黨能夠利用機(jī)器下單、人肉搶單,將大優(yōu)惠讓利產(chǎn)品瞬間搶到手,然后高價(jià)格售出賺取差價(jià)。大規(guī)模的批量機(jī)器下單,還會(huì)對(duì)網(wǎng)站的流量帶來(lái)壓力,產(chǎn)生類似DDOS攻擊,甚至能夠造成網(wǎng)站癱瘓。此外使用簡(jiǎn)單維度的密碼驗(yàn)證手法已經(jīng)演變成使用復(fù)雜機(jī)器人猜測(cè)密碼的技術(shù),來(lái)逃避簡(jiǎn)單的策略防御。企業(yè)需要更多維度、指標(biāo),使用更復(fù)雜的規(guī)則、模型進(jìn)行防御。

人機(jī)對(duì)抗-滑動(dòng)驗(yàn)證碼作為對(duì)抗黑產(chǎn)的重要手段

滑動(dòng)驗(yàn)證碼作為對(duì)抗人機(jī)黑產(chǎn)的重要手段,對(duì)篩查出來(lái)的“灰黑用戶”需要進(jìn)一步精細(xì)判斷。進(jìn)化的滑動(dòng)驗(yàn)證碼已經(jīng)不再基于知識(shí)進(jìn)行人機(jī)判斷,而是基于人類固有的生物特征以及操作的環(huán)境信息綜合決策,來(lái)判斷是人類還是機(jī)器。并且不會(huì)打斷用戶操作,進(jìn)而提供更好的用戶體驗(yàn)。驗(yàn)證碼系統(tǒng)在對(duì)抗過(guò)程中,感知到風(fēng)險(xiǎn),需要企業(yè)實(shí)時(shí)切換混淆和加密算法,極大提高黑產(chǎn)進(jìn)行破解的成本。

阿里聚安全的人機(jī)識(shí)別系統(tǒng),接口調(diào)用是億級(jí)別,而誤識(shí)別的數(shù)量只有個(gè)位數(shù)。除了誤識(shí)別,我們的技術(shù)難點(diǎn)還在于如何找出漏報(bào)。一般情況下,會(huì)對(duì)整體用戶流量的“大盤”進(jìn)行監(jiān)控,一旦監(jiān)測(cè)到注冊(cè)或登錄流量異常,我們的安全攻防技術(shù)專家就會(huì)緊急響應(yīng)。這種響應(yīng)速度是小時(shí)級(jí)別的。

另外黑產(chǎn)通過(guò)刷庫(kù)撞庫(kù)也體現(xiàn)出業(yè)務(wù)時(shí)序的不同而不同。以2016年Q4為例,在雙十一之前,黑產(chǎn)主要精力用于各平臺(tái)的活動(dòng)作弊,而過(guò)了雙十一,刷庫(kù)撞庫(kù)風(fēng)險(xiǎn)就開(kāi)始持續(xù)走高,穩(wěn)定占據(jù)了所有風(fēng)險(xiǎn)的一半以上。

2016年移動(dòng)欺詐損失超數(shù)億美金

目前移動(dòng)應(yīng)用通過(guò)資源換量、搜索平臺(tái)、廣告網(wǎng)絡(luò)及代理商、直接推廣及自然安裝等渠道來(lái)推廣和互動(dòng)。但推廣者發(fā)現(xiàn)投入的費(fèi)用反映的 推廣數(shù)據(jù)良好,但是沉淀到真是用戶卻表現(xiàn)非常不樂(lè)觀。大量的渠道欺詐使得移動(dòng)應(yīng)用推廣者損失巨大,根據(jù)某平臺(tái)分析,2016年移動(dòng)欺 詐金額已經(jīng)超數(shù)億美金。

常用移動(dòng)欺詐通過(guò)機(jī)刷、模擬器、改機(jī)工具等手段作弊,如通過(guò)一鍵生成改機(jī)軟件修改手機(jī)硬件參數(shù)IMEI、MAC、藍(lán)牙地址等,偽造新手 機(jī)多次安裝激活A(yù)pp;通過(guò)腳本批量操作各種安卓模擬器如天天模擬器、海馬玩模擬器、夜神模擬器等,反復(fù)進(jìn)行機(jī)刷-App安裝-App激 活等操作。阿里聚安全使用穩(wěn)定的設(shè)備指紋技術(shù) + 大數(shù)據(jù)分析,能準(zhǔn)備識(shí)別各種作弊手段和作弊設(shè)備。為用戶節(jié)約推廣成本、時(shí)間成本、 開(kāi)發(fā)成本,保障推廣者獲取真實(shí)的用戶數(shù)據(jù)為業(yè)務(wù)服務(wù)。

創(chuàng)造縱深的有適應(yīng)力的數(shù)字化業(yè)務(wù)系統(tǒng)

互聯(lián)網(wǎng)+或者企業(yè)在面對(duì)互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展過(guò)程中的安全威脅時(shí),實(shí)施數(shù)字化業(yè)務(wù)系統(tǒng)適應(yīng)力所需的實(shí)踐,對(duì)傳統(tǒng)公司具有極大的挑戰(zhàn),在面對(duì)各種業(yè)務(wù)部門參與、協(xié)作的過(guò)程中,需要區(qū)分業(yè)務(wù)風(fēng)險(xiǎn)優(yōu)先級(jí),關(guān)注縱深防御節(jié)點(diǎn),做出平衡業(yè)務(wù)的取舍,才能使業(yè)務(wù)安全部門更敏捷,更具有彈性。阿里聚安全幫助企業(yè)評(píng)估業(yè)務(wù)安全資產(chǎn)與風(fēng)險(xiǎn)優(yōu)先級(jí),使用縱深防御保護(hù)關(guān)鍵價(jià)值鏈上重要節(jié)點(diǎn)的安全,在實(shí)踐中為業(yè)務(wù)提供針對(duì)性的保護(hù)。

阿里聚安全作為提供互聯(lián)網(wǎng)業(yè)務(wù)解決方案的領(lǐng)先者,能力涉及移動(dòng)安全、內(nèi)容安全、數(shù)據(jù)風(fēng)控、實(shí)人認(rèn)證等多個(gè)緯度。其中內(nèi)容安全包括智能鑒黃、文本過(guò)濾、圖文識(shí)別等,移動(dòng)安全包括漏洞掃描、應(yīng)用加固、安全組件、仿冒監(jiān)測(cè)等,數(shù)據(jù)風(fēng)控包括安全驗(yàn)證、風(fēng)險(xiǎn)識(shí)別等,實(shí)人認(rèn)證包括身份造假和冒用的識(shí)別。

目前阿里聚安全已經(jīng)有超過(guò)8億多終端,使互聯(lián)網(wǎng)企業(yè)享受到淘寶、天貓、支付寶的“同款”安全防護(hù)技術(shù),保護(hù)互聯(lián)網(wǎng)企業(yè)的業(yè)務(wù)安全。

http://www.cnblogs.com/alisecurity/p/6525807.html