中国移动手机病毒基础知识培训.ppt

2010年9月,手机病毒基础知识培训,提纲,2010年手机安全十大问题,个人名誉因病毒而损失 手机话费被恶意扣除 手机SIM卡被复制 手机硬件和软件受损 私人电话被监听 手机信息被盗 手机骚扰信息 手机病毒传播 手机上网引起的安全问题 山寨机成手机病毒发布平台,各种媒体都分别报道了2010年手机安全的十大问题，而根据对10大安全问题的分析发现，除SIM卡复制外其余9项问题手机病毒都可以直接或间接引起！,手机病毒和恶意软件已成为重要的安全问题影响手机用户使用,据网秦全球手机安全中心不完全统计，截至2009年年底，中国手机病毒及手机恶意软件已直接影响到超过千万的智能手机用户，单个手机病毒造成的直接经济损失高达2000万元。,西班牙互联网安全公司S21Sec在宏达电HTC Magic(G2)智能手机中发现了病毒，这已经是HTC Magic出现的第二起病毒事件，该手机为沃达丰的定制终端。沃达丰表示，在数款HTC Magic手机里发现的恶意软件，是来自内存卡。若要彻底解决该问题必须更换手机或内存卡。,手机病毒已经成为影响智能终端的主要安全问题,恶意软件逐渐成为困扰运营商安全防护的难题,通过手机病毒攫取利益，已成为黑色产业链的新趋势,获利更容易,通过手机病毒进行恶意订购获利，成为了黑色产业链的重要经济基础通过手机病毒窃取用户手机炒股、银行卡号从而获利，已初见端倪通过手机病毒窃取用户QQ、MSN号、网游帐号等成为了新趋势通过手机病毒发送大量垃圾短信、彩信做广告宣传成为可能通过手机病毒搞恶作剧和炫耀技术依然存在,意识更薄弱,法规不完善,手机病毒黑客的获利更加便利，可以通过与违规SP直接分成获得大量收入。,手机用户对手机的防护意识薄弱，特别是在密码保护、病毒防护和安装正版软件方面。,运营商对手机病毒的防护目前不健全，仅对软件内容审核，而对功能代码未作检查。,手机病毒还是一个新鲜事物，因此监管体系还不是很完善，这使得手机黑客有机可乘。,防护不健全,与计算机相比，手机已逐渐成为一片新的黑客获利市场截至2009年黑色产业链年获利已经达到10亿元！,数据来源：网秦全球安全中心2009年统计数据,网内相继出现的手机病毒爆发事件，造成严重危害,手机报“吸费”,手机“骷髅”病毒,手机“僵尸”病毒,今年2月8日起到3月初，广东等8省陆续出现大量通过恶意软件诱骗用户订购手机报问题，涉及客户至少20万，引发客户投诉1700多起。今年3月1日至30日期间，广东省感染“骷髅”病毒并传播的用户有9511名，发送的病毒彩信有131万条，人均发送138条。今年6月23日，在北京、浙江等省出现了手机“僵尸”病毒，该病毒可控制感染用户手机任意发送短/彩信。该病毒感染量已超过10万用户。,手机病毒对用户感知和网络可用性危害极大，已成为信息安全热点问题,随着智能终端的普及和操作系统的统一，手机病毒的影响面将逐步扩大,据Gartner预计，到2013年，全球PC保有量将达到16.2亿部，而智能手机和具备浏览器的传统手机的保有量将达到16.9亿部。手机将超越PC而成为人们的主要上网工具。根据水木清华研究中心报告，预计2012年智能手机占比将达25。据中国移动DM系统中的数据估算，2009年智能终端比已达13%15%（DM平台目前拥有约5000部定制终端数据）随着终端操作系统统一手机病毒将呈现多发趋势。手机存量市场上Symbian 已经超过70%的市场，在此操作系统上能够感染的手机病毒占病毒总数的九成以上。,中国移动网内手机病毒可感染终端规模巨大，已经具备了病毒大规模传播条件,水木清华研究中心2008-2009年全球智能手机市场及产业链研究报告,手机病毒规模迅速扩大，面临全面爆发的风险,数据来源：网秦安全中心数据,手机病毒数量越来越多，发展越来越快将根据沙利文中国手机安全市场研究报告，手机病毒的种类2010年将达到近1600种平均以2个病毒变种/周的速度发展，而且是加速增长,手机病毒影响面越来越广，感染率逐渐增高2007年在黑龙江公司现网检测手机病毒的日传播数量为7次/天；而2010年4月仅江苏省南京地区日均传播就高达1309次/天。2004年首个手机病毒“卡波儿”仅通过蓝牙传播，感染10数米距离相同操作系统的用户，2010年6月手机僵尸病毒易造成至少10万用户感染，当日投诉量超过400起。,手机病毒规模正在迅速扩大，正面临着全面大爆发的风险。,手机病毒的传播已引起国家相关部门的高度重视,手机病毒已经引起国家相关部门高度重视，并逐步对运营商提出监管要求,手机的分类,基本手机（Entry Phone):只具备手机的必要功能：电话和短消息增强手机（Feature Phone）：具备增强的功能特征：WAP，JAVA，彩信，蓝牙等目前通常都能够支持JAVA智能手机（Smart Phone）具有开放、通用的手机操作系统能够安装新的应用程序（native应用，而不仅是JAVA应用）,病毒的概念和在手机上的传播,病毒病毒是恶意软件的一种，即可感染的依附性恶意软件。目前发现的恶意软件几乎都是混合型的病毒，加之“病毒”一词非常形象且很具感染力，很多媒体（包括专业性文章）用“病毒”来指学术上的恶意软件，包括传统病毒、木马、蠕虫等等恶意软件指的是在用户不知情情况下侵入到计算机系统的各种软件非智能手机不会感染手机病毒！基本手机只有通话和短信功能，因此无法植入复杂的程序逻辑增强手机程序是固化在ROM中的，无法在手机中安装新的程序（只能安装java程序）能够通过Java程序执行恶意逻辑能够在手机出厂时在ROM中烧制恶意程序，该方式无法清除智能手机类似PC终端，因此手机病毒可以进行感染,能够在手机上运行，并对手机终端、用户和网络和业务造成影响的恶意程序，即手机病毒,手机病毒的发展阶段,手机病毒的发展阶段分为以下三个阶段，目前正处在第二阶段：,当前所处位置,短信病毒阶段,诱因：手机芯片固化程序的缺陷向有缺陷的手机发送带有特殊字符的短信当用户查看这些短信时就会导致固化在手机中的程序出现异常产生各种如关机、重启、删除资料等现象。代表：2002年发现的“洪流（Hack.sms_blood）浏览恶意短信时自动关机,病毒发作过程,恶意短信,第一步：接收恶意短信,恶意短信,第二步：阅读恶意短信,您好哈哈,1、手机死机2、手机重启,病毒传播过程,病毒危害,诱骗型病毒阶段（1/2）,病毒传播过程,恶意彩信,方式二：接收恶意彩信/链接,恶意文件,方式一：接收恶意文件,病毒发作过程,恶意文件,点击执行手机病毒/访问链接,病毒危害,1、手机死机2、手机重启3、订购业务4、隐私泄露5、文件损毁6、骚扰电话7、发送消息8、监听通信,URL:XX.XXX.XX,2005年网络安全报告统计手机病毒的种类已经超过100种，目前种类已有430多种，超过1000种病毒变种平均以2个病毒变种/周的速度发展，而且是加速增长,目前手机病毒以诱骗型病毒为主，由于商业利益的驱使，手机病毒正在向黑客可控制的僵尸网络方向发展。,Internet,诱骗型病毒阶段（2/2）,黑客终端,CMNET,SGSN,GGSN,出入口,通过后台连接互联网获得控制指令,僵尸军团共同发起进攻,受害终端,僵尸军团,手机僵尸已经出现,近期在北京、浙江等地的很多手机用户在下载小游戏类应用软件时中了病毒，出现自动发送短信息等情况。6月23日一天，仅北京就有400名用户反映中毒。该病毒保守估计已经感染了超过10万用户。根据网秦安全中心发布消息，目前已经出现的手机僵尸病毒已经有三个分别是ShadowSrv.A、FC.Downsis.A和BIT.NMapPlug.A,手机僵尸仍处在诱骗阶段,根据对手机僵尸病毒的分析，目前手机僵尸病毒的传播阶段还属于诱骗型病毒。正值世界杯期间，僵尸程序发送“世界杯视频新闻免费直播”欺骗用户点击下载，从而使得手机成为僵尸。从目前的情况看，手机僵尸网络可能会成为本阶段的主要危害，由于手机僵尸可以直接产生费用，因此将对用户和运营商产生更为严重的影响，,SIP：XXX DIP：XXXSPORT：XXDPORT:XXProtocol type:UDP,漏洞型病毒阶段,病毒传播过程,病毒发作过程,病毒危害,1、手机死机2、手机重启3、订购业务4、隐私泄露5、文件损毁6、骚扰电话7、发送消息8、监听通信,方式一：接收恶意彩信被溢出,Content-Type:application/smil;name=01smil Content-Transfer-Encoding:Base64 Content-Id:Content-Location:01smil,恶意彩信,方式二：PC通过分组域攻击,黑客终端,恶意文件,自动执行手机病毒/访问链接,利用漏洞完成手机病毒的植入，其主要方式包括利用软件漏洞如：彩信头域处理溢出等；利用操作系统漏洞和允许用户分组域互访产生远程溢出等；目前尚未发现该类病毒爆发，但已看到黑客的主要研究趋势。,手机病毒的感染方式,程序加壳,预置软件,网络挂马,提纲,手机病毒的传播方式,手机病毒,对于运营商而言，不属于运营商网内的病毒传播运营商难以感知。因此，通过蓝牙、红外和与PC交互等方式进行的病毒传播，运营商难以进行控制。,传播方式与运营商相关,传播方式与运营商业务无关,彩信携带病毒附件，用户执行病毒附件造成感染；彩信或短信正文中携带恶意URL，用户点击URL，经互联网下载了病毒体并执行，造成病毒感染。用户通过运营商网络上网下载并安装携带病毒的软件。,病毒体未通过运营商网络或业务传播给用户，而是通过蓝牙或红外方式传输病毒文件，或是用户手机与PC互操作时感染病毒文件，用户执行了病毒文件的安装，从而感染了手机病毒。,手机病毒的分类,信息破坏类,资源控制类,资费消耗类,窃取欺诈类,新的手机病毒将会集多种危害于一体，而且将更加隐蔽，更难清除！,CommXiongmao病毒 删除存储卡上的所有数据。同类病毒：骷髅头病毒Skulls，FmtDev等,FC.ThemeInstaller病毒 伪装成nokia升级软件，引诱用户安装，能全面收集手机隐私信息。同类病毒：BIT.NmapPlug，FlexiSpy等,InstallGuide病毒 在后台进行联网，并向指定号码发送短信定制SP服务。同类病毒：HttpMessage，DefWatch等,LanPackage病毒 控制用户发带恶意链接的信息，控制用户在后台下载安装其它程序。同类病毒：手机僵尸ShadowSrv，FC.Downsis等,强制删除用户数据，或破坏手机系统及常用软件,窃取用户邮件、通信录、短信、等隐私信息，甚至冒充发送服务信息,使用户不停的发送短/彩信，甚至被动制定SP服务,控制用户执行预设操作，或控制用户访问指定地址,彩信传播典型病毒Commwarrior,传播方式：彩信出现时间：2005.7.3操作系统：Symbian S60表现形式：当用户打开含有CommWarrior病毒的MMS消息后，该病毒将在手机中进行安装，并开始向手机号码薄中的用户随机发送含有自身拷贝的MMS消息，导致用户产生大量计费。,蓝牙传播典型病毒Cabir,传播方式：蓝牙 出现时间：2004.6.15 操作系统：Symbian S60 表现形式：终端染毒后使用蓝牙对邻近的其它手机进行扫描，在发现漏洞手机后即进行病毒复制。甚至可能替换终端上的文件，使其不可用,蓝牙传播典型病毒Skull（骷髅）,传播方式：蓝牙 出现时间：2004.11.19 操作系统：Symbian S60、S80 表现形式：替换一些系统文件，使得除电话功能外的所有功能都无法使用。,双路传播典型病毒 Lasco,传播方式蓝牙：类似于Cabir文件：搜索手机中的安装包（.sis文件），然后将自己附着在这些.sis文件之中，在安装其他软件之前首先安装Lasco.A出现时间：2005.1.10操作系统：Symbian S60表现形式：类似于Cabir,多种传播方式典型病毒午夜凶铃,传播方式蓝牙文件感染方式彩信出现时间：2005.7操作系统：Symbian S60表现形式：早上9：0012：00通过蓝牙方式传播晚上12：003：00，搜索电话簿群打电话，发骚扰短信，发彩信传播自身变种情况：是Commwarrior病毒的变种,手机木马典型-SMS Message Spy,感染操作系统：Android 传播方式：Tipster本身后门功能：将该用户手机的收到的所有短信定时发送给指定邮箱。,吸费软件典型-MSO.BTSer,感染操作系统：Symbian S60 传播方式：捆绑主题软件传播功能：强行用户订阅高资费SP业务，恶意扣费，从中谋取暴利,盗号典型-FLStealer（又名同花顺大盗）,感染操作系统：Symbian S60 传播方式：捆绑在同花顺软件KeyCapture正常下载软件中功能：在后台运行，监听用户登录同花顺，用户登录成功后将捕获的账号和密码发送到一个固定的手机号码中,手机病毒的主要危害,手机病毒对用户和运营商将产生巨大危害,设备,隐私,信息,经济,可用性,信用,手机病毒对手机电量的影响很大，导致死机、重启，甚至可以烧毁芯片。,手机病毒可能窃取用户的隐私，特别是用户电话簿，短信，甚至可以接通电话。,由于传播病毒和发送恶意的文字给朋友，因此造成在朋友中的信用度下降。,手机病毒导致用户终端被黑客控制，大量发送短/彩信或直接发起对网络的攻击时，对网络运行安全造成威胁。,手机病毒引发短/彩信发送和病毒体传播，还可能给用户恶意订购业务，导致用户话费损失。,手机病毒可能造成用户信息的丢失和应用程序损毁。,手机病毒不仅对用户经济和隐私等产生危害，运营商也直接或间接受到损失,提纲,手机病毒防护方案分类,控制软件源头,控制病毒传播和行为,控制软件运行环境,CMnet,Internet,1、MM平台2、网上营业厅3、定制终端预置4、SP推送5、,1、软件销售平台2、开源和盗版网站3、邮件和FTP下载4、P2P共享5、,E 终端软件认证,C PS域控制,D 互联互通点检测,GGSN,Gi,Gn,B 彩信中心控制,A 终端防病毒软件,更新平台,终端侧方案-A杀毒软件,方案总体描述：该方案需要在定制终端上预置防病毒软件，可用于查杀在终端上传播和执行的手机病毒。对于非定制终端只能通过提供防病毒软件的下载解决。在网络侧建立病毒升级服务器，用于定期对终端防病毒软件升级。,方案优势,1、能够解决除山寨机本身预置病毒模块的问题外的全部手机病毒问题2、网络改造量最小3、部署成本较低,方案劣势,1、存量市场推广速度较慢，终端软件部署不可控2、用户接受程度较低3、终端电量影响和使用感受可能成为新的问题,病毒检测,网络侧方案 B彩信中心防病毒模块,方案优势,1、对用户透明2、仅彩信中心需改造3、部署成本较低,方案劣势,1、仅能够解决通过彩信传播的手机病毒，不能根本改善手机病毒的传播现状。2、容易与其他部署方案形成重复检测,SGSN,GGSN,WAP,MMSC,病毒检测,防病毒MMSC,方案总体描述：在MMSC上安装防病毒检测模块或在MM1/MM4/MM7接口上安装外置的防病毒网关，用于查杀经彩信传播的手机病毒。,网络侧方案 C PS域防病毒网关,CLIENT,MMSC,手机病毒监控,GGSN,SGSN,病毒检测,控制点1,控制点3,控制点2,方案优势,1、能够满足通过PS域传播的全部手机病毒控制2、仅Gi/Gn/GGSN中的一个点需要改造3、部署成本尚可接受4、对用户透明,方案劣势,1、误报时用户感受较差2、随着TD的PS域数据流量激增，性能可能产生瓶颈3、串入网络的单点故障风险增加,方案总体描述：在GGSN处安装防病毒网关，用于查杀经PS域传播的手机病毒。部署方式：Gi部署防病毒网关、或Gn分光检测并通过干扰包控制，或在GGSN内内置防病毒模块,网络侧方案 D互联互通点检测,僵木蠕检测,方案优势,1、能够检测到外网病毒传播进入中国移动网络2、该检测点今年将上线，因此无额外改造量3、部署成本低4、对用户透明,方案劣势,1、中国移动网络内部传播的病毒无法发现2、检测流量较大,方案总体描述：利用近期部署在互联互通出口和国际互联出口的僵木蠕检测系统，检测出入口流量，发现并告警手机病毒，可通过推送用户提示或发送干扰包两种方式避免用户中毒。,E终端软件认证方案,病毒检测,应用程序+签名,安全应用程序+检查签名,安全的应用程序,安全的安装过程,方案优势,1、能够解决全部的应用程序带有病毒的问题2、一定程度上解决应用软件泄露隐私和吸费问题3、无网络改造需求,方案劣势,1、对用户要求较高，普通客户不会使用2、工作量较大，对上线的全部应用软件需检查3、用户感受较差,方案总体描述：首先对现网中国移动提供的应用业务软件进行代码检查，检测是否存在病毒、吸费和获取用户信息等恶意操作，对合法软件进行数字签名。用户下载检查签名的软件和中国移动签名公钥，在软件安装过程中校验签名，对没有签名的软件提示用户，使用风险。,提纲,总结,手机病毒已经成为全社会关注的重点，其对用户和运营商的影响十分严重手机病毒可以通过网络侧、终端侧安全方案得到缓解，彻底解决需要加强对手机应用软件代码的全面审查现网需要进行手机病毒的试点，并密切跟踪研究，提出可以在大规模爆发时进行快速控制的方法,谢谢！,附录二：主要手机病毒汇总,附录一：主要手机病毒汇总,手机病毒汇总（一）,手机病毒汇总（二）,手机病毒汇总（三）,手机病毒汇总,