移动恶意代码威胁的针对性泛化思考

1、移动恶意代码威胁的针对性泛化思考恶意移动恶意代码疫情回顾恶意扣费, 55.0%资费消耗,15.3%系统破坏,1.3%隐私窃取,12.9%远程控制,4.4%流氓行为,9.7%诱恶骗意欺传诈播,0.3%2014年移动互联网恶意程序数量按行为属性统计1629817028951059610 52671102084161664 624920000040000060000080000010000002005 2006 2007 2008 2009 2010 2011 2012 2013年年年年年年年年年2014年2005年-2014年移动互联网恶意程序走势低危,73.0%高危,1.6%中危,25.3%20

2、14年移动互联网恶意程序数量按危害等级统计4525228918379854258658466484796210799705880084405467044392234403211802877995200000006000000400000010000000980000001月 2月 3月 4月 5月 6月 7月 8月 9月 10月11月12月2014年移动互联网恶意程序传播事件次数月度统计140000001189700212000000移动恶意代码威胁之寡头Top330% Top2080%色情流氓（伪装/仿冒/恶意广告）扣费移动恶意代码威胁之寡头25.0%20.0%15.0%10.0%5.0%0

3、.0%2015年上半年2.2%2.2%9.8%19.9%0.4%17.2%15.8%8.3%20.2%15.4%2.6%4.9%10.5%8.0%13.1%7.8%11.4% 7.3%16.2%2.7%25.6%10.7%0.0%10.0%20.0%30.0% 19.8%12.7%40.0% 10.2%50.0%60.0%70.0%13年3月13年4月13年5月13年6月13年7月13年8月13年9月13年10月13年11月13年12月14年1月14年2月14年3月14年4月14年5月14年6月14年7月14年8月14年9月14年10月14年11月14年12月15年1月15年2月15年3月15

4、年4月4大家族恶意代码的占比情况FakesysuiGuideadJxtsexplayer60%移动恶意代码威胁之寡头5月6月7月8月9月10月11月12月恶意色情应用互相推广期间数量变化情况newpaysdk76yypush刚需简单粗暴巨大经济 “利益”移动恶意代码威胁之长尾2015年上半年0.9%0.8%0.7%0.6%0.5%0.4%0.3%0.2%0.1%0.0%100%4%12.9%间谍欺诈伪装拦截马移动恶意代码威胁之长尾恶意行为及表现攻击目标地理信息联系人列表通话录音环境录音伪造界面伪造图标诱骗应用无图标积分马支付平台短信箱内容 短信转发邮箱转发上传远控 服务器拦截短信窃取帐号密码金

5、融类app电商类app隐私信息针对性长期隐蔽长尾中的“针对性”杠杆色情流氓 广告“被动需求”“主动需求”重度 隐私恶意分发其 它定向 投放长尾中的“针对性”杠杆传统视角emialsmsmailThiefFaketaobao恶意代码受害者攻击者FuckSMSabortlistSMSContactAccountMalware E-MailE-Mail长尾中的“针对性”杠杆长尾视角色情流氓“被动需求”恶意分发“主动需求”重度 隐私定向 投放其 它emialsmsmailThiefFaketaobaoFuckSMSabortlist长尾中的“针对性”杠杆长尾视角大众分众A类B类C类D类 用户用户用户用

6、户用户用户企业小众用户用户个人特定 群体重度 隐私攻击 入口高增 值点恶意代码作者互联网黑商如何突破底线来盈利劳力密集/外包型第三方资源和交易移动终端间歇性的 持续参与全过程隐私杠杆价值长尾中的“针对性”杠杆长尾视角大众分众A类B类C类D类 用户用户用户用户用户用户企业小众用户用户个人特定 群体分众攻击攻击人群和 模式相对固 定的威胁形态和代码 机理相对固定的攻击 成本 高攻击 成本 低系统ROMAPP网络 管道在线 内容设备低风 险受 众广高风 险受 众小服务于利基市场威胁点威胁点威胁点针对性攻击碎片化ing长尾的出现和现状精准和高效投放长尾的出现和现状精准和高效投放长尾的出现和现状精准和高

7、效投放总数：49596人次号码总数：17843经理：915主任：1212部长：185人处长：275书记：497，市长：56，*总：45长尾中的“针对性”杠杆长尾视角色情流氓重度 隐私定向 投放水坑诈骗社工钓鱼使用习惯设备号电话号安装应用大众分众A类B类C类D类 用户用户用户用户用户用户企业小众用户用户个人特定 群体筛选 目标长角色流大 用尾中的“针对性”杠杆长尾视电话号设备号社工诈骗安装应用使用习惯钓鱼水坑氓筛选定向重度目标投放隐私情众分众A类B类C类D类企业小众特定 户用户用户用户用户用户用户用户个人群体长尾中的“针对性”杠杆长尾视角色情流氓重度 隐私定向 投放水坑诈骗社工钓鱼使用习惯设备号

8、电话号安装应用大众分众A类B类C类D类 用户用户用户用户用户用户企业小众用户用户个人特定 群体筛选 目标agent移动恶意代码检测和工程化对抗 的经验的分享移动恶意代码检测技术纯本地反病毒检测引擎，本地静态对抗，深度检测，启发 式能力后端自动化分析和深度分析支撑20dynamicSandbox为主基于特征和模式的检 测引擎AVL SDK for MobilestaSc移动恶意代码检测技术的系统思辨色情流氓恶意分发重度 隐私定向 投放其 它smsmailThiefFaketaobaoFuckSMSabortlist1，部分捕获困难2，行为藏匿和对抗3，难准确进行界定1，攻击手段多样2，恶意代码结

9、构和机 理差异较大3，更新迭代较快1，攻击手段相对单一2，混淆和对抗剧烈3，免杀和迭代较快家族A家族BB变种变种A家族CB变种变种A家族DB变种变种A家族A家族BB变种变种A家族CBemial变种变种A家族DB变种变种A家族A家族BB变种变种A家族CB变种变种A家族DB变种变种A移动恶意代码检测技术的系统思辨攻击碎片化ing攻击成本成本高设备ROM系统APP网络内容低渠道低风高风险受险受众广众小威胁点威胁点威胁点分众攻击针对性攻击 攻击人群和模式相对固威胁形态和代码服务于利基市场定的机理相对固定的大众分众A类B类C类D类企业小众特定 用户用户用户用户用户用户用户用户个人群体强对抗高级工程师尝试

10、工程化强对抗 较多中级工程师移动恶意代码检测技术的系统思辨家族A家族B变种B变种A家族C变种B变种A家族D变种B变种A以数据挖掘和自动化 学习训练进行尝试以结构检测分支为主的归一化反病毒引擎架构1，部分捕获困难2，行为藏匿和对抗3，难准确进行界定1，攻击手段多样2，恶意代码结构和机 理差异较大 3，更新迭代较快1，攻击手段相对单一2，混淆和对抗剧烈3，免杀和迭代较快移动恶意代码检测技术的系统思辨样本分布式计 算/存储节点样本分布式计 算/存储节点样本分布式计 算/存储节点样本分布式计 算/存储节点任务调度和迭代训练和学习 初始化构建训练结果自动化验证细粒度反病毒检 测和解析引擎威胁场景识别人工

11、设 定训练 模型大数据基础平台工程师知识归一化检测和识别自动化学习和验证移动恶意代码检测技术的系统思辨拦截马的通用检测模型决策树部分通用符号信息决策树用来表达多个统计条件的满足状况通用符号信息则是由人工提取测试结果1.选取黑库100万个样本：可容忍些错报3检出效力，1:100002.随机选取了白灰库100万样本检出21条，是否误报进一步人工验证移动恶意代码检测技术的系统思辨3F6C5D0496B7698311EF9308D02416FFG41F5522E141A1E2FE1CD5FA389A34235W5419D757D4AA9B77AA59601FD076129DG572806347770A

12、CED167D8195ED48E5CFG7AF73A18568A58B69D132FACE7BF34B6B8B157CD4F23AC77EF42C98CE2519E635B8B265DDFE97A38EEDE762A5105E970E0B91F5B9C882830CA41C369736701F9703BAA21306324A865E9D4190767B6914B15WAB96F603AA84F8AAB9276BB37BE131B9GB0A6474576E6722B13ADD223154379C2GE044BFA8BAA520EF46A761C4CEAC5FD4W0FC79738D3C03F11

13、AC5573678B031E2EB203436AAB83B5B1FDA2AD5AD5A99CB21B4C314BECEB77914C2016BED938D846FCB4EE39661AB6F5A3E958727A0F5CE19CCB6AD91761669551717937A41BF4343196B9FF7C046965C53C478D22ECB2CCCE366GC326A9121E7CFD81FEF177F9D43FFE1CGCB206A03676476284A627B19F1C56F3FGD68FD900341DBF16B2C2FEEFDFB39603G绿色合理检出，蓝色可规避误报，黄色可 容忍误报，红色需规避误报移动恶意代码检测技术的系统思辨家族A家族B变种B变种A家族C变种B变种A家族D变种B变种A以数据挖掘和自动化 学习训练进行尝试以结构检测分支为主的归一化反病毒引擎架构1，样本分析工程师的作业能力单个样本，单个家族的作业突围通过一个准自动化的训练平台，能够使得样本分析工程师的作业规 模提升到多家族，甚至是特定恶意代码机理类型的规模通过粗粒度的广谱特征的组合达到匹敌高精度特征的效果2，产