《手机病毒综合防护平台.ppt》由会员分享,可在线阅读,更多相关《手机病毒综合防护平台.ppt(34页珍藏版)》请在第壹文秘上搜索。
1、1 12 23 3项目背景项目背景解决方案手机病毒分析目录1.1项目背景手机应用的发展App Store应用程序数量突破30万大关;Android系统应用软件数量突破10万;2010年手机应用突飞猛进。据中国互联网络信息中心报告显示,受3G业务开展的影响,我国手机网民数量迅速增长,规模已达2亿。随着手机向智能化发展,用户对手机依赖度不断提升,手机已不再仅仅是通讯终端,还包含了许多生活、工作中必备的功能,诸如手机上网、移动IM、手机银行、微博、LBS、娱乐游戏、电子邮件、移动电视、手机音乐、GPS服务、移动电子商务、移动搜索等。Borrell Associates的调查数据显示,全球手机用户每小
2、时下载的应用数量超过50万款,平均每个智能手机用户拥有22款手机应用。由于智能手机本身具有独立的操作系统,像个人电脑一样支持用户自行安装软件、游戏等第三方服务商提供的程序,并具备上网功能,使其比非智能手机更易被病毒利用。据报道,截至2010年11月,新增手机病毒1513个,累积病毒数量达2357个。报告预计2010年手机病毒总数将超过2500种以上,同比增长193%,累计感染手机800万部以上。1.1项目背景手机病毒的肆虐2010年以来,先是“手机骷髅”,接着是“短信海盗”、“终极密盗”、“手机僵尸病毒”等名字都很恐怖的手机病毒,12月初,名为“给你米”Geinimi的手机后门程序,又在大量手
3、机软件下载网站、论坛中疯狂传播,智能手机似乎一夜之间成了病毒发威的新战场。随着3G时代的到来,智能手机将成为病毒肆虐的温床。1.1项目背景手机病毒的肆虐 来自业界防病毒公司的数据,截至2010.10,全球已发现超过1400种恶意软件。进入2010年,恶意软件进入空前活跃期,已经形成一条黑色产业链。1.1项目背景手机病毒的肆虐1.1项目背景手机病毒的主要危害手机病毒逐渐由恶搞转向牟去经济利益。国家计算机网络应急技术处理协调中心数据显示,僵尸病毒变种超过10种种 僵尸病毒手机超过100万万台 手机病毒超过2100种种 感染病毒手机超过150万万台 今年病毒数量超过前5年年总和 用户每日损失200万
4、元万元 黑色产业链价值10亿元亿元通过山寨机内置恶意软件、或传播手机病毒进行“吸费”行为的手机黑色产业链,保守估计每年收入高达10亿元!当前存在恶意扣费行为的“扣费”类手机病毒从去年的171 个,快速增长到968个,并已占据32%的比例,累积感染手机250万部以上,使得其成为影响用户手机安全的主要威胁。手机病毒泛滥 恶意“扣费”问题严峻。以“手机僵尸”为代表的资费消耗行为和强制开通SP增值服务等恶意扣费类手机病毒,以32%的感染比例成为手机用户面临的最大安全威胁。1.1项目背景手机病毒的主要危害u传播方式1、www互联网访问 75%2、彩信、短信 14%3、其他方式 11%l互联网方式传播手机
5、病毒越来越流行,正逐步取代其他方式l手机病毒威胁将爆炸式增长1.1项目背景手机病毒的传播方式 防止病毒通过移动网络进行传播 防止宝贵的通信资源被病毒信息占用 为用户提供绿色的移动通信环境 提高用户满意度,提高服务质量 为3G发展提供健康的行业环境 提升公司的社会形象 防止手机终端运行故障 防止话费大量丢失 防止影响个人声誉 防止个人信息泄露1.2项目建设的意义1 12 23 3项目背景解决方案手机病毒分析手机病毒分析目录2.1手机病毒的种类66%31%2%1%各手机系统平台手机病毒分布情况各手机系统平台手机病毒分布情况SymbianjavaWindows MobileAndroid2.1手机病
6、毒与操作系统来自业界防病毒公司的统计数据显示,手机系统平台中,Symbian、Kjava、Windows Mobile 病毒占据前三位。操作系统操作系统SymbianAndroidWindows Mobile其他(其他(iphoneiphone,ophoneophone,palmpalm)用户数量最多发展较快较少较少软件认证需要不需要不需要需要软件权限较高最高较高不高危险程度较高最高中等较低针对移动运营商的针对移动运营商的“Hack.sms-flood”感染过程感染过程新春佳节,用手机给亲朋好友发送祝福,是一种流行时尚,Hack.sms-flood病毒利用各大门户网站的手机服务漏洞,以短信方式
7、进行恶意破坏。破坏者冒充被攻击者在网上注册手机短信请求,并注册密码,之后网站将自动向被攻击者发送密码确认信息,此时破坏者将利用Hack.sms-flood对此过程进行大量的重复,用户可能会在短时间内就收到上百封短信垃圾。大量的垃圾将填满手机存储器,如果短消息的有效期设置过长,则队列中的短消息将难以清除。病毒危害病毒危害导致网站的短信网关拒绝服务,产生大量费用;导致被攻击用户无法使用手机发送和接收短信。2.1典型病毒1针对移动运营商的针对移动运营商的“蚊子木马蚊子木马”感染过程感染过程该病毒隐藏于手机游戏“打蚊子”的破解版中。如果您安装了这个病毒,那么手机就会秘密得自动在后台给英国、德国、荷兰、
8、瑞士用户的收费手机号发送短信或者拨某个手机号。病毒危害病毒危害虽然该病毒不会窃取或破坏用户资料,但是它会自动拨号,向所在地为英国的号码发送大量文本信息,结果导致用户的信息费剧增,移动运营商通信网络繁忙,服务质量下降。感染范围感染范围symbian2.1典型病毒2针对移动设备的针对移动设备的“Unavailable病毒病毒”感染过程感染过程当对方拨电话到来时,本来屏幕上显示的应该是来电者的电话号码,但却显示“Unavailable”字样或一些奇异的符号。此时千万不要答复来电,否则就会染上该种病毒,同时机内所有资讯及设定均将被破坏(包括缴费使用电话卡的电话在内),一旦发生此情况,可能要换上一部新的
9、移动电话。病毒危害病毒危害这是一种破坏移动电话的病毒。2.1典型病毒3RUR UJL service病毒会向外发送20条左右的短信,内容为:“现免费补发一款五星级N81游戏,点击网址下载安装http:/nokia.*.com/*.sis”。点击之后,自动安装点击之后,自动安装三个文件:三个文件:Ovi UpdateOvi Store InstallerOvi Store1、诱骗点击、诱骗点击3、病毒动作、病毒动作2、自动安装、自动安装2.2案例分析FC.ThemeInstaller.A1,只在手机处于锁键盘状态时才会进行联网。2,上传IMEI/IMSI给服务器。并通过解析服务器下发的报文,响应
10、服务器的指令,执行相应恶意行为。3,“OviStore”执行完任务后会卸载自身。4,在执行任务期间它会监控手机是否开锁。如果发现手机解锁,“OviStore”会自动终止任务,并卸载自己。2.2案例分析原理2.2案例分析危害1)自动发送短信后台会发送20条左右含有毒链接的的短信,进行进一步传播。2)暗中联网偷偷联网窃取用户手机中的隐私,导致流量损失。3)隐私窃取这些安装的插件将对用户手机信息进行全方位的攻击,全面收集手机隐私信息。4)无法卸载为了防止机友手动卸载,病毒具有自我保护机制,并且还会删除相关的安装和通讯记录。5)开机自启自动安装“Ovi Updata”软件包,且这个软件会开机运行。WA
11、P网站彩信手机应用软件带毒音乐、视频、图片等资源文件带毒短信恶意URL恶意URL,短信病毒网站挂马2.3手机病毒来源与危害彩信附件病毒其他手段通过红外、蓝牙自我复制的病毒文件手机黑屏、死机手机黑屏、死机手机变慢,待机时间减少手机变慢,待机时间减少用户个人信息泄露用户个人信息泄露自动发送大量短、彩信自动发送大量短、彩信手机后台自动连接网络手机后台自动连接网络产生大量话费产生大量话费WAP PUSH恶意URL,短信病毒手机邮件邮件附件病毒病毒危害病毒源头2.4黑色产业价值链1 12 23 3项目背景解决方案解决方案手机病毒分析目录3.1 建设目标保护用户保护用户合法利益合法利益提高运营提高运营商服
12、务器商服务器质量质量控制病毒控制病毒的传播的传播建立完善的病毒发现、阻止和监控机制病毒制造者传播渠道控制者经销渠道漏洞研究病毒代码病毒测试病毒兜售入侵移动网关入侵SP网站服务器入侵手机应用软件下载服务器入侵微博等web网站购买病毒购买传播渠道病毒捆绑工具散播病毒将中毒手机的可用资源变卖赚钱使用者利用中毒手机资源,并为此付费病毒捆绑工具3.1整体思路手机病毒产业链分析病毒制造者传播渠道控制者经销渠道病毒程序病毒捆绑散播病毒用户下载,病毒爆发将中毒手机的可用资源变卖赚钱使用者利用中毒手机资源,并为此付费传播网站恶意扣费用户投诉最佳拦截位置3.1整体思路拦截手机病毒的最佳位置1、手机病毒传播源头发现
13、通过基于云计算的手机病毒恶意源分析系统7*24小时不间断分析互联网上的手机病毒恶意源和传播url;2、手机病毒传播阻断采用在CMWap、彩信、CMNet等网关处实时分析手机用户上网访问的URL,阻断带病毒的文件、软件和网页的下载;3、可疑文件扫描,病毒感染监控对垃圾彩信进行扫描,发现病毒文件对垃圾短信中的可疑url进行分析,发现病毒传播url,监控感染手机对不良信息系统的文件进行扫描,发现病毒文件,监控病毒感染情况4、病毒行为分析,病毒疫情监控对cmwap、cmnet、短信、彩信、邮件网关日志进行数据挖掘分析,发现病毒行为特征,监控病毒爆发情况对不良信息系统的数据进行挖掘分析,发现病毒行为特征
14、,监控病毒爆发情况3.2病毒治理措施可疑网站爬行系统多引擎扫描系统病毒样本结果汇聚疑似病毒样本网站黑名单带毒文件网址IP黑名单可信数据文件更新识别、文件下载、文件缓存、扫描任务调度网秦引擎趋势引擎360引擎智能识别引擎病毒传播源URL数据3.2.1手机病毒传播源分析系统建立手机病毒云安全体系建立手机病毒云安全体系3.2.2手机病毒阻断系统3.2.2手机病毒阻断系统工作原理1、采用高性能FPGA芯片实现http、wap、彩信等手机上网协议的解析和病毒传播源的匹配功能;2、从用户发起http请求发出,到http响应并返回页面或文件下载完成,需要数秒几十秒;3、病毒阻断设备能够在0.1秒内完成url
15、的检查并发出Tcp reset包,此时通信双方的堆栈将会把这个RESET包解释为另一端的回应,然后停止整个通信过程,释放缓冲区并撤销所有TCP状态信息。阻断内容包括:网站黑名单URL黑名单IP黑名单病毒传播源号码中毒号码可疑文件网秦趋势智能识别引擎360垃圾彩信系统垃圾短信系统不良信息系统多引擎扫描手机病毒样本3.2.3可疑文件扫描系统病毒样本数据源中毒号码中毒号码行为记录病毒传播源号码病毒传播行为记录垃圾彩信系统垃圾短信系统139邮件交互信息wap网关log用户终端数据库不良信息系统数据收集异常数据抽取模型恶意行为及恶意源识别模型数据分析可信数据中毒号码统计中毒号码行为统计病毒传播源号码统计病毒传播行为统计统计分析手机病毒实时分析系统关联分析3.2.4手机病毒行为分析系统3.2.4工作原理图3.3设备部署3.3设备部署谢谢!谢谢!