《手机病毒综合防护平台.ppt》由会员分享,可在线阅读,更多相关《手机病毒综合防护平台.ppt(34页珍藏版)》请在三一办公上搜索。
1、,1,2,3,项目背景,解决方案,手机病毒分析,目录,1.1项目背景手机应用的发展,App Store应用程序数量突破30万大关;Android系统应用软件数量突破10万;2010年手机应用突飞猛进。,据中国互联网络信息中心报告显示,受3G业务开展的影响,我国手机网民数量迅速增长,规模已达2亿。随着手机向智能化发展,用户对手机依赖度不断提升,手机已不再仅仅是通讯终端,还包含了许多生活、工作中必备的功能,诸如手机上网、移动IM、手机银行、微博、LBS、娱乐游戏、电子邮件、移动电视、手机音乐、GPS服务、移动电子商务、移动搜索等。Borrell Associates的调查数据显示,全球手机用户每小
2、时下载的应用数量超过50万款,平均每个智能手机用户拥有22款手机应用。,由于智能手机本身具有独立的操作系统,像个人电脑一样支持用户自行安装软件、游戏等第三方服务商提供的程序,并具备上网功能,使其比非智能手机更易被病毒利用。据报道,截至2010年11月,新增手机病毒1513个,累积病毒数量达2357个。报告预计2010年手机病毒总数将超过2500种以上,同比增长193%,累计感染手机800万部以上。,1.1项目背景手机病毒的肆虐,2010年以来,先是“手机骷髅”,接着是“短信海盗”、“终极密盗”、“手机僵尸病毒”等名字都很恐怖的手机病毒,12月初,名为“给你米”Geinimi的手机后门程序,又在
3、大量手机软件下载网站、论坛中疯狂传播,智能手机似乎一夜之间成了病毒发威的新战场。随着3G时代的到来,智能手机将成为病毒肆虐的温床。,1.1项目背景手机病毒的肆虐,来自业界防病毒公司的数据,截至2010.10,全球已发现超过1400种恶意软件。进入2010年,恶意软件进入空前活跃期,已经形成一条黑色产业链。,1.1项目背景手机病毒的肆虐,1.1项目背景手机病毒的主要危害,手机病毒逐渐由恶搞转向牟去经济利益。国家计算机网络应急技术处理协调中心数据显示,,僵尸病毒变种超过10种,僵尸病毒手机超过100万台,手机病毒超过2100种,感染病毒手机超过150万台,今年病毒数量超过前5年总和,用户每日损失2
4、00万元,黑色产业链价值10亿元,通过山寨机内置恶意软件、或传播手机病毒进行“吸费”行为的手机黑色产业链,保守估计每年收入高达10亿元!当前存在恶意扣费行为的“扣费”类手机病毒从去年的171 个,快速增长到968个,并已占据32%的比例,累积感染手机250万部以上,使得其成为影响用户手机安全的主要威胁。手机病毒泛滥 恶意“扣费”问题严峻。以“手机僵尸”为代表的资费消耗行为和强制开通SP增值服务等恶意扣费类手机病毒,以32%的感染比例成为手机用户面临的最大安全威胁。,1.1项目背景手机病毒的主要危害,传播方式1、www互联网访问 75%2、彩信、短信 14%3、其他方式 11%互联网方式传播手机
5、病毒越来越流行,正逐步取代其他方式手机病毒威胁将爆炸式增长,1.1项目背景手机病毒的传播方式,防止病毒通过移动网络进行传播防止宝贵的通信资源被病毒信息占用为用户提供绿色的移动通信环境提高用户满意度,提高服务质量,为3G发展提供健康的行业环境提升公司的社会形象,防止手机终端运行故障防止话费大量丢失防止影响个人声誉防止个人信息泄露,行业,运营商,用户,手机病毒防护,1.2项目建设的意义,1,2,3,项目背景,解决方案,手机病毒分析,目录,2.1手机病毒的种类,木马病毒,广告软件,恶意程序,2.1手机病毒与操作系统,来自业界防病毒公司的统计数据显示,手机系统平台中,Symbian、Kjava、Win
6、dows Mobile 病毒占据前三位。,针对移动运营商的“Hack.sms-flood”感染过程新春佳节,用手机给亲朋好友发送祝福,是一种流行时尚,Hack.sms-flood病毒利用各大门户网站的手机服务漏洞,以短信方式进行恶意破坏。破坏者冒充被攻击者在网上注册手机短信请求,并注册密码,之后网站将自动向被攻击者发送密码确认信息,此时破坏者将利用Hack.sms-flood对此过程进行大量的重复,用户可能会在短时间内就收到上百封短信垃圾。大量的垃圾将填满手机存储器,如果短消息的有效期设置过长,则队列中的短消息将难以清除。病毒危害导致网站的短信网关拒绝服务,产生大量费用;导致被攻击用户无法使用
7、手机发送和接收短信。,2.1典型病毒1,针对移动运营商的“蚊子木马”感染过程该病毒隐藏于手机游戏“打蚊子”的破解版中。如果您安装了这个病毒,那么手机就会秘密得自动在后台给英国、德国、荷兰、瑞士用户的收费手机号发送短信或者拨某个手机号。病毒危害虽然该病毒不会窃取或破坏用户资料,但是它会自动拨号,向所在地为英国的号码发送大量文本信息,结果导致用户的信息费剧增,移动运营商通信网络繁忙,服务质量下降。感染范围symbian,2.1典型病毒2,针对移动设备的“Unavailable病毒”感染过程当对方拨电话到来时,本来屏幕上显示的应该是来电者的电话号码,但却显示“Unavailable”字样或一些奇异的
8、符号。此时千万不要答复来电,否则就会染上该种病毒,同时机内所有资讯及设定均将被破坏(包括缴费使用电话卡的电话在内),一旦发生此情况,可能要换上一部新的移动电话。病毒危害这是一种破坏移动电话的病毒。,2.1典型病毒3,RUR UJL service病毒会向外发送20条左右的短信,内容为:“现免费补发一款五星级N81游戏,点击网址下载安装http:/nokia.*.com/*.sis”。,点击之后,自动安装三个文件:Ovi UpdateOvi Store InstallerOvi Store,1、诱骗点击,3、病毒动作,2、自动安装,2.2案例分析FC.ThemeInstaller.A,1,只在手
9、机处于锁键盘状态时才会进行联网。2,上传IMEI/IMSI给服务器。并通过解析服务器下发的报文,响应服务器的指令,执行相应恶意行为。3,“OviStore”执行完任务后会卸载自身。4,在执行任务期间它会监控手机是否开锁。如果发现手机解锁,“OviStore”会自动终止任务,并卸载自己。,2.2案例分析原理,2.2案例分析危害,1)自动发送短信后台会发送20条左右含有毒链接的的短信,进行进一步传播。2)暗中联网偷偷联网窃取用户手机中的隐私,导致流量损失。3)隐私窃取这些安装的插件将对用户手机信息进行全方位的攻击,全面收集手机隐私信息。4)无法卸载为了防止机友手动卸载,病毒具有自我保护机制,并且还
10、会删除相关的安装和通讯记录。5)开机自启自动安装“Ovi Updata”软件包,且这个软件会开机运行。,WAP网站,彩信,手机应用软件带毒,音乐、视频、图片等资源文件带毒,短信,恶意URL,恶意URL,短信病毒,网站挂马,2.3手机病毒来源与危害,彩信附件病毒,其他手段,通过红外、蓝牙自我复制的病毒文件,手机黑屏、死机,手机变慢,待机时间减少,用户个人信息泄露,自动发送大量短、彩信,手机后台自动连接网络,产生大量话费,WAP PUSH,恶意URL,短信病毒,手机邮件,邮件附件病毒,病毒危害,病毒源头,2.4黑色产业价值链,1,2,3,项目背景,解决方案,手机病毒分析,目录,3.1 建设目标,保
11、护用户合法利益,提高运营商服务器质量,控制病毒的传播,建立完善的病毒发现、阻止和监控机制,病毒制造者,传播渠道控制者,经销渠道,漏洞研究,病毒代码,病毒测试,病毒兜售,入侵移动网关,入侵SP网站服务器,入侵手机应用软件下载服务器,入侵微博等web网站,购买病毒,购买传播渠道病毒捆绑工具,散播病毒,将中毒手机的可用资源变卖赚钱,使用者,利用中毒手机资源,并为此付费,病毒捆绑工具,3.1整体思路手机病毒产业链分析,病毒制造者,传播渠道控制者,经销渠道,病毒程序,病毒捆绑,散播病毒,用户下载,病毒爆发,将中毒手机的可用资源变卖赚钱,使用者,利用中毒手机资源,并为此付费,传播网站,恶意扣费,用户投诉,
12、最佳拦截位置,3.1整体思路拦截手机病毒的最佳位置,1、手机病毒传播源头发现通过基于云计算的手机病毒恶意源分析系统7*24小时不间断分析互联网上的手机病毒恶意源和传播url;2、手机病毒传播阻断采用在CMWap、彩信、CMNet等网关处实时分析手机用户上网访问的URL,阻断带病毒的文件、软件和网页的下载;3、可疑文件扫描,病毒感染监控对垃圾彩信进行扫描,发现病毒文件对垃圾短信中的可疑url进行分析,发现病毒传播url,监控感染手机对不良信息系统的文件进行扫描,发现病毒文件,监控病毒感染情况4、病毒行为分析,病毒疫情监控对cmwap、cmnet、短信、彩信、邮件网关日志进行数据挖掘分析,发现病毒
13、行为特征,监控病毒爆发情况对不良信息系统的数据进行挖掘分析,发现病毒行为特征,监控病毒爆发情况,3.2病毒治理措施,可疑网站爬行系统,多引擎扫描系统,病毒样本,结果汇聚,疑似病毒样本,网站黑名单,带毒文件网址,IP黑名单,可信数据,文件更新识别、文件下载、文件缓存、扫描任务调度,网秦引擎,趋势引擎,360引擎,智能识别引擎,病毒传播源URL数据,3.2.1手机病毒传播源分析系统,建立手机病毒云安全体系,3.2.2手机病毒阻断系统,3.2.2手机病毒阻断系统工作原理,1、采用高性能FPGA芯片实现http、wap、彩信等手机上网协议的解析和病毒传播源的匹配功能;2、从用户发起http请求发出,到
14、http响应并返回页面或文件下载完成,需要数秒几十秒;3、病毒阻断设备能够在0.1秒内完成url的检查并发出Tcp reset包,此时通信双方的堆栈将会把这个RESET包解释为另一端的回应,然后停止整个通信过程,释放缓冲区并撤销所有TCP状态信息。,阻断内容包括:,网站黑名单URL黑名单IP黑名单病毒传播源号码中毒号码,可疑文件,网秦,趋势,智能识别引擎,360,垃圾彩信系统,垃圾短信系统,不良信息系统,多引擎扫描,手机病毒样本,3.2.3可疑文件扫描系统,病毒样本,数据源,中毒号码,中毒号码行为记录,病毒传播源号码,病毒传播行为记录,垃圾彩信系统,垃圾短信系统,139邮件交互信息,wap网关log,用户终端数据库,不良信息系统,数据收集,异常数据抽取模型,恶意行为及恶意源识别模型,数据分析,可信数据,中毒号码统计,中毒号码行为统计,病毒传播源号码统计,病毒传播行为统计,统计分析,手机病毒实时分析系统,关联分析,3.2.4手机病毒行为分析系统,3.2.4工作原理图,3.3设备部署,3.3设备部署,谢谢!,