通付盾发布2017移动互联网勒索病毒研究报告:深

  付费盾发布2017移动互联网Ransomware研究报告:深度恢复威胁方案

  12月12日消息,2017年11月,支付盾盾移动安全实验室发布了“移动互联网勒索分析报告”,从威胁行为,三大移动互联网勒索攻击目标来源攻击模式和整体趋势做出详细的声明。本报告将重点分析病毒样本分析和样本数据可靠性验证两个方面。当然,这份报告还将包括如何在整个网络上进行勒索软件数据挖掘的详细说明。在此基础上,阐述了构建移动互联网威胁信息平台的价值,并详细介绍了基于威胁信息平台的TBS病毒挖掘模型的工作机制。威胁信息平台构建威胁场景,恢复威胁跟踪来源,未知威胁感知。在保证威胁信息及时性的基础上,实现了利用威胁信息驱动安全管理的主动防御机制。注:报告中的数据和观点均来源于对互联网公布数据的独立分析,仅供参考。手机安全管理现状2017年5月,勒索软件就像是一个老字号的脓肿,通过移动互联网“东风”在全球爆发。勒索软件对互联网用户造成了不良影响,尤其是在严重依赖人口的移动设备上。尽管各种安全公司对勒索软件的及时响应,但我们不得不承认,在这场网络战争中,我们遭受了惨重的损失。这场网络防御战让安全公司心有余悸,甚至要求安全厂商重新思考应对安全管理的传统方法,以抵御下一次病毒攻击。移动互联网作为这个时代的“中介”,技术创新不仅改变了信息传输的便捷性,而且还隐藏了数以万计的高风险漏洞,恶意程序,假冒等。检测,加强或监控应用程序。对于勒索软件等威胁,移动应用安全管理不仅包括舆情监控和开放威胁情报,还包括移动互联网威胁信息管理平台,能够恢复威胁攻击场景。移动互联网威胁信息管理平台传统的应用安全管理平台具有威胁识别和数据处理能力有限,被动响应,威胁分析等信息维度之间相关性较低,主要依靠人工分析,缺乏威胁对抗能力。在主动防御的威胁下,我们需要一个高度驱动的数据流和响应驱动系统。平台提供的威胁信息在时间性,数据关联的复杂性和威胁信息的多样性方面要求很高,不仅仅是一个威胁感知平台,而且还要基于大数据技术威胁信息分析平台。本文将介绍通屯盾构移动安全实验室引入的移动互联网威胁信息管理平台,该平台具有从威胁信息数据源,数据处理以及如何挖掘威胁信息等方面进行大数据情报分析的能力。平台共包含威胁信息收集,数据标记,威胁信息挖掘三个层次。 2.1应用信息采集:全渠道覆盖分配屏蔽移动安全实验室从300多个应用通道实时采集应用数据,实现对整个移动应用数据网络的基本覆盖。包括手机厂商应用商店,运营商应用商店,第三方应用商店,移动论坛,下载网站,网盘等。图2-1收购覆盖渠道示例完成信息获取和清理应用后,研究人员进一步处理数据。在分布式文件服务器的支持下,根据分布式处理技术存储获取的数据,包括应用的文件信息,操作信息,网络信息和代码特征,以及对数据的实时查询和分析。通过增量获取全渠道应用,应用信息库不断更新,应用信息达到全网覆盖,数据质量高,可用性高。 2.2数据标注只有将现有的数据加以简单的整合,再加上可视化的展现方式,这并不足以体现数据的全部价值,对于大量数据的信息应用我们采用数据标注的方式。在警察和盗匪片中,我们通常会看到狱卒在分析案件时会在白板上标明从已知的线索上拆卸下来的小标签,利用卡片之间的联系梳理案件线索,找出嫌疑人最终锁定罪犯。这反映了数据标记的想法。研究人员创建存储的应用程序信息的应用程序肖像,并为应用程序提供来自多维“贴纸”上不同类型标签的应用程序的“线索”关系图。同时通过对漏洞检测引擎,病毒检测引擎和内容违规检测引擎的多维分析,识别出已知威胁和可疑威胁。图2-2数据标记 - 多维分析线索图形数据标记有助于更好地关联应用程序和应用程序,并在降低威胁情况和威胁行为可追溯性方面发挥支持作用。 2.3威胁信息挖掘:基于实现已知威胁的数据标签中的TBS病毒挖掘模型已经与安全管理平台确定。为了增强威胁信息挖掘能力的深度和应对威胁的应急能力。在此基础上,TPS Shield移动安全实验室提出并引入了TBS病毒挖掘模型(TBS模型; Target-Behavior-Source,简称:TBS)。 TBS病毒挖掘模型基于现有的应用数据标签,从攻击目的,传播方式和恶意行为三个方面构建多层次挖掘模型。实现从威胁识别到威胁感知和溯源的系统升级。 2.3.1 TBS病毒挖掘模型基于恶意程序的三个重要特征为目的,具有通信和破坏性,这三者也是判断程序是否为恶意应用程序的主要依据。其中,目的是恶意代码的基本特征,也是判定恶意程序的法律标准;沟通是达到恶意程序恶意目的的重要手段;破坏性的体现了恶意程序的攻击,如破坏硬件和软件系统来窃取用户数据等等。不同的恶意应用程序在这三个方面的攻击目的,通信方式和恶意行为将有所不同。图2-3恶意程序基本功能与PC端应用程序相比,移动终端上的恶意应用程序具有不同的特征。例如,手机恶意应用程序的来源主要针对第三方应用程序市场,网站和公共论坛等,通过社交软件,网络磁盘,恶意网站等获取用户的个人资料或勒索个人财物是其主要攻击目标,因此所使用的漏洞与PC端存在较大差异,针对传统恶意软件的特点,我们对移动终端上恶意应用特有的三种特征进行了调整和细化, TBS病毒挖掘模型的主要基础:攻击目标,威胁行为,传播源目标:恶意攻击的目标用户和恶意攻击的目标用户信息,例如恶意应用的目标用户和伪装方式行为:与特定相关的特征恶意收费,信息窃取,远程控制,恶意传输,资费消耗,系统损坏,诱骗欺诈,恶意破坏等破坏行为你的行为,等等。来源(Source):用移动恶意应用来传播通信相关信息的来源,如相关社交账号信息,网站,开发者信息等。图2-4移动终端恶意软件特征导出关系2.3.2 TBS病毒挖掘模型单层结构如上所述,TBS病毒挖掘模型在应用数据标记的基础上,以恶意程序的特征为样本,对病毒进行点击实现更多的迭代搜索挖掘的基础。搜索进程的每一层都会检测与样本集合的特征相匹配的应用程序。如果某个应用程序具有两个或更多与病毒样本的特征相匹配的特征,则该应用程序被视为恶意应用程序。与病毒签名一致被认为是潜在的恶意应用程序。迭代搜索的下一个级别基于在先前级别上获得的对应的恶意应用。图2-5顶层TBS病毒挖掘模型图图2-5描述了基本TBS模型病毒挖掘的过程。根据集合之间的关系,挖掘源的三个特征的结果,攻击目标和威胁行为的结果分为七个部分。具有两个或两个以上病毒样本特征的应用程序具有高度恶意性,我们将这些病毒样本用作捕获的附加病毒样本,并将其作为下一级采矿过程中病毒特征的基础。主要包括以下四个部分:1,在三套交叉点上应用新同质病毒样本具有相同的传播源,攻击目标和威胁行为特征(即同质性)原始样本,可以认为是高度恶意的。我们称这些新样品为同源病毒样品。 2.威胁行为变体病毒如果应用程序的源和目标特征与原始病毒样本相匹配,但其威胁行为不同,则可能被视为具有高度恶意行为,我们将其标记为威胁行为变化的类型病毒。 3.攻击目标变量如果应用的威胁行为和传播源特征与原始病毒样本相匹配,并且攻击目标不同,则可以认为样本具有高度恶意,我们将其标记为目标突变型病毒。 4.传播源变体如果应用的威胁行为和攻击目标特征与原始病毒样本相匹配,并且在传播源方面不同,则样本可能被认为具有高度恶意,我们将它们标记为传播源变体。病毒。只有与某项功能相匹配的应用程序才被标记为潜在恶意应用程序,包括:传播源派生的潜在恶意应用程序,利用目标潜在恶意应用程序以及威胁行为衍生出潜在恶意应用程序3部分。 1.传播源导出潜在恶意应用程序如果扫描的应用程序具有原始病毒样本源作为传播源的特征,则该应用程序具有一定的恶意潜力,我们称该应用程序为传播源的潜在恶意应用程序。 2.攻击目标导出潜在恶意应用程序如果扫描具有原始病毒样本的攻击目标特征,则具有潜在的恶意潜力的应用程序被称为潜在恶意应用程序的攻击目标。 3.潜在恶意应用程序导致的威胁如果扫描的应用程序具有原始病毒样本的威胁行为特征,则该应用程序也具有一定的恶意潜力,我们称其为威胁行为的潜在恶意应用程序。 2.3.3 TBS病毒挖掘模型的多层迭代过程基于单层病毒挖掘模型,通过获取病毒样本进行多层迭代搜索,获得更多的病毒和潜在的恶意应用,以便于获得更全面的恶意样本库应用,为分析威胁情况提供可靠的依据。图2-6 TBS虚拟化模型分层迭代过程TBS模型的第n层的病毒挖掘是基于在第n-1层获得的病毒样本,并根据第n-1层获得的样本源属于:威胁行为变体病毒:这个集合增加了威胁行为特征,即搜索与汇集样本具有相同威胁行为的应用样本。攻击目标变体:扩展攻击目标特征,即搜索与团队样本具有相同攻击目标的应用样本。传播源变体:传播源性状的样本扩展,即搜索与收集具有相同传播源特征的应用样本。通过这个示例扩展,可以在保持模型可靠性的同时挖掘更多的病毒变体,并尽可能避免重复搜索。与单层模型一样,迭代获得的样本被分类为同源病毒样本,受威胁的病毒变体,目标变体病毒,传播源变异病毒,源自传播源的潜在恶意应用以及从相应集合导出的潜在攻击目标恶意应用程序,威胁行为来源于潜在恶意应用程序7类。并根据样本数量匹配病毒特征,分别作为新的病毒样本和添加潜在的恶意应用。 2.3.4 TBS病毒挖掘模型的验证在此之前,我们对RRS的整个网络进行了情况分析。基于TBS病毒挖掘模型,我们对Rogue恶意应用进行了全面的网络搜索。通过三层检测程序,我们检测到500万件勒索软件样本和30万个潜在恶意应用程序。图2-7显示了TBS模型检测过程的每一层捕获的样本数量,包括病毒样本和潜在的恶意应用程序。在图中,对应于每一层的样本数是累计值(例如,第1级的样本数是第一轮测试中获得的数量,第2层的样本数是第一个两轮抽样和病毒样本的重量等)。图2-7 TBS模型捕获每层样本数量接下来,结合获得的样本数量和情况,对TBS病毒挖掘模型的增长情况进行实际挖掘的结果。 TBS模型具有较强的病毒样本挖掘能力TBS模型具有很高的病毒挖掘能力TBS模型基于第一层测试,我们从200多个样本中抽出原始病毒样本,获得51151个恶意应用和247332个潜在恶意应用。一级检测所捕获的病毒样本比例是原始样本数量的两百倍,潜在的恶意应用程序数量是原始样本数量的一千倍以上。这表明TBS模型挖掘病毒样本的能力较强,能够从有限的原始病毒样本中快速提取大量相关病毒样本和潜在恶意程序样本,从而有效评估和预测病毒威胁情况。 TBS模型具有更准确的病毒识别能力TBS模型具有更准确的病毒样本识别能力TBS模型通过多次迭代应用于挖掘,因此,如果基于模型的检测特征不够准确,缺乏表示会导致每次子迭代都会引入大量无关(非恶意)的样本,使得测试不可信。根据实际数据,前三个检测过程中获得的新病毒数量分别为50935,2943和1218。换句话说,对于每层TBS模型检测到的病毒样本数,其增长趋势是逐渐减缓并逐层汇聚。这表明TBS模型选择捕捉病毒程序特征的三个方面与我们对TBS模型的样本测试的结论是一致的。因此,我们这次获得的样本可以认为具有较高的覆盖率和可信度,可以反映勒索病毒的分布和数量趋势。价值地点:从威胁识别到威胁意识和追踪平台的终极目标是有效利用威胁数据,输出高时间性,高数据关联复杂度的威胁信息。具有高覆盖率和高可信度的样本数据的价值也从威胁识别升级到威胁感知和可追溯性。 3.1多维感知的来源可以通过追溯来了解整个威胁场景,要求安全研究人员分析信息维度的威胁应该足够全面。在之前发布的勒索软件研究报告中,研究人员在伪装类型,传播源,三维威胁行为自动感知病毒数据的基础上,为盾牌移动安全实验室付费,开始分析在威胁区,时间,攻击者等方面达到了重要结论的特点,从而追踪到更大的犯罪团伙 - 巴纳技术团队。攻击场景的威胁信息可以更直接反映攻击的目的,为有关部门采取预防措施提供参考。我们已经有能力恢复整个威胁情况,知道一些条件。图3-1多维威胁源跟踪分析3.2多角度报警,隐患在利用数据相关性分析来恢复威胁的前提下,我们预测威胁趋势是来自攻击,攻击区域,攻击目的等。从攻击者自身和攻击事件的角度分析威胁趋势,向移动互联网用户和个人发出警报信号,提供专业全面的防护措施,形成决策威胁情报。移动互联网威胁信息平台构建威胁场景减少,威胁源跟踪,未知威胁感知。在保证威胁信息及时性的基础上,实现了利用威胁信息驱动安全管理的主动防御机制。当然,为了实现广泛的威胁警报,威胁智能驱动的安全威胁信息管理平台需要建立网络威胁在保证威胁信息及时性的前提下,通过与企业,公安部门,监管部门,应用商店和各种安全厂商建立联动机制,在攻击调查前隐藏应急措施,修复漏洞,有效保护网络数据安全和个人财产安全。综上所述,网络安全威胁的来源主要包括技术风险,网络安全管理薄弱环节和人为攻击。尽管移动安全管理初期,在国家有关政策,特别是“网络安全法”颁布的支持下,网络安全管理机制逐步完善。公安部,监管部门,网络运营商和安全厂商的各个方面逐步把政府和企业的力量,警察和企业联合起来。安全队伍正在逐步扩大,共同维护网络安全。参考文献[1]“互联网Ransomware分析报告”[2]数据与威胁情报[3]如何评估企业安全威胁的价值[4]以数据为中心的SOC3.0时代[5]如何使用用户标签数据