引言
安天AVL移動安全團隊(以下簡稱AVL Team)是安天旗下專注于移動安全和移動威脅對抗的安全企業。從2010年至今,我們經歷了一個完整的移動安全發展和威脅對抗的時代,也在此過程中經歷了持續的技術對抗博弈。有幸的是在這個過程中,我們承接安天在PC反惡意代碼上的濃厚基因和基礎,并在總部支持下不斷努力,目前已經成為世界范圍內具有頂級基礎能力的移動安全團隊之一,以及全球最大的移動反病毒引擎技術和服務供應商。
本報告所披露的針對移動金融和移動支付系統的持續性地下產業攻擊和威脅,是從2013年5月至今,歷經近3年時間,通過AVL Team持續的跟進和分析所形成的聚合性情報。早在2013年5月,我們已開始關注到這種在技術上非常簡單粗暴的攻擊形態。同時,我們也看到了這種攻擊和威脅形態是如何從2013年開始持續至今,逐步完善地下產業鏈條的各個環節,催生出不同的分工和地下交易環節,最終發展成為擁有數萬非法從業人員、有明確協作的鏈條模式,以及成熟的地下產業化的持續威脅行動。
鳴謝
本材料從2016年1月開始籌備,在材料組織過程中獲得了高校、安全行業和金融行業同行的支持。
感謝復旦大學楊珉老師及其安全團隊,共同參與準備,協助部分技術和分析材料,并對材料整體表達提供修訂建議。
感謝交通銀行信息技術管理部、招商銀行信息科技部、上海浦東發展銀行信息科技部,對本材料的初期版本提供的發布建議,并和我們共同探討有效的安全治理措施。
背景說明和早期披露信息
在移動互聯網極速發展的背景下,從2012年開始至今,移動支付基本完成了從用戶習慣培養到全面滲透的過程。目前,已有大量金融和支付交易的相關環節逐漸在移動終端側成為用戶主要的需求和關鍵業務場景。我們在通過移動銀行享受便捷的銀行業務的同時,也催生了大量相關的移動支付交易業務和環節。
為了保障用戶在移動支付過程中的安全性,移動銀行采取了大量安全措施。在支付過程中進行身份認證和主要基于手機動態密碼的雙因素認證,通過安全通信防止移動支付過程中發生支付相關信息的泄露。
從在線支付發展到依賴于用戶手機進行基于短信動態密碼的雙因素認證開始,針對用戶的在線金融資產的安全威脅就從PC平臺轉移到了移動平臺。從2010年開始至今,AVL Team所做的一些重要的安全研究已對此做了一些簡單的梳理。
2011年
從2011年開始出現的Zbot家族和Spitmo家族是最早的從PC攻擊場景轉移到移動攻擊場景下的惡意代碼家族。
● Zbot惡意代碼,劫持用戶接收的銀行動態口令短信,并竊取到遠程服務器
● Spitmo,偽裝成Token程序,并竊取銀行的驗證短信到遠程服務器。
2012年末
SmsZombie家族開始在國內活躍,其主要的攻擊目標為用戶收到的銀行類、支付類短信,例如包含有“銀行”、“支付寶”、“驗證碼”等,在后續變種中衍生出了以國內十多家銀行為目標的攻擊行為,其會在后臺監聽銀行應用啟動,并彈出精心偽裝的銀行應用登陸界面,誘使用戶輸入賬戶和密碼信息。
2013年早期
2013年早期,隨著淘寶、支付寶使用的盛行,也出現了針對淘寶、支付寶賬號的攻擊,其以偽裝成淘寶或者偽裝成支付寶應用登錄界面的攻擊方式來竊取用戶的淘寶、支付寶賬戶信息,例如Faketaobao家族。
2013年中期
Googlessms家族開始活躍,其以韓國各家銀行為主要攻擊目標,并采用了一種比較新的攻擊方式,即誘導用戶卸載正常的銀行應用,從而替換為仿冒的惡意銀行應用。
2013年末
一類專門竊取用戶手機隱私數據的威脅開始興起,其主要竊取用戶短信內容、用戶手機通訊錄,以及地理位置信息、電話錄音等。其核心功能基本都以短信攔截或隱私截獲和泄露為主,而短信攔截是其非常標志性的惡意行為,因此大多昵稱為“短信攔截木馬”威脅,其中代表家族是emial家族(早期在該惡意代碼家族的相關核心代碼和C2服務器中均出現該關鍵詞,不知是攻擊者有意還是無意為之,其都接近email,故命名為emial家族),該家族下涉及不同的惡意代碼變種數百個,同類威脅的惡意代碼家族還有數十個,在此我們不一一列舉。
2014年
從2014年起,AVL Team就持續地曝光了相關的攻擊威脅。通過持續跟蹤和分析,我們發現從2013年開始,歷經1年時間,圍繞短信攔截馬的攻擊行為開始催生出較為完善的地下產業鏈,并陸續“吸引”了更多人的加入,從而得到發展壯大。
AVL Team發布的攻擊銀行類威脅分析報告列表(2014-2016):
2015年,國外安全廠商開始大量披露針對歐美銀行的攻擊案例,如SlemBunk、GM Bot、Marcher等等,其主要攻擊方式也是監聽銀行應用,彈出釣魚登陸界面,竊取銀行賬戶信息,同時竊取用戶收到的短信內容,與2013年和2014年早期在我國出現的情況如出一轍。
攻擊者通過多年積累和構造的攻擊模式已經持續滲透到方方面面,對攻擊者來說,廣大的潛在受害者和已經被攔截馬控制的受害者不僅僅構造成了一個可以被攻擊者控制的移動僵尸網絡,更成了攻擊者的天然提款機,已然如同一家攻擊者擁有的私有銀行一般,正因此,我們對整個黑產和威脅用代號名稱 DarkMobileBank來命名。
OSINT整理和聚合分析
我們整理了從2013年至今對移動銀行和金融支付交易類攻擊威脅的OSINT(地區:中國),并按時間進行了梳理(截止到2016年4月10號),同時對其中有相關性的OSINT進行了一定的聚合標定。國內披露相關OSINT總共41篇:其中2012年1篇、2013年7篇、2014年13篇、2015年12篇、2016年8篇。我們按照報告中所披露的關鍵內容進行了分類(其中省去了安天分享的部分):
威脅整體概述和威脅攻擊鏈
為了更好的對整體威脅攻擊行為的完整要素和信息進行呈現,AVL Team分析人員按照攻擊鏈的環節,對攻擊的各個環節進行了整理和呈現,通過對不同的攻擊環節的重要元素和信息進行標識,快速地描述整個攻擊行動的重要環節和方式。
說明:目前對攻擊鏈的描述方法中以適用于APT和Cyber場景的Kill Chain最為著名,由于威脅場景的不同,我們在移動威脅場景下進行了一定程度的精簡和改進。其中最關鍵的攻擊場景是攻擊者利用遠控手段持續侵害受害者,竊取隱私并獲利,故將其合并為C2-Obj階段。
總體威脅圖示
攻擊鏈清單
攻擊鏈各個階段和環節的主要戰術和技術手法清單:
1
攻擊準備(Reconnaissance)
攻擊者在發起攻擊之前,通常需要進行前期的準備工作。包括各種物料的準備、加入相關的交流群獲得最新的經驗和分享信息等等。
由于本報告所披露的攻擊者群體形成了非常成熟的分工體系和內部交易體系,因此通常新加入的攻擊者會先加入網上尋求積極的交流,以獲得相關的經驗。在部分情況下,會有“師父“的角色來幫助新加入的攻擊者熟悉相關攻擊過程。
同時,伴隨攻擊者整體的不斷發展和成熟,攻擊者對不同地區、不同銀行或支付交易體系的攻擊有效性,對不同人群等均形成了很豐富的“積累經驗”。
2
攻擊武器化(Weaponize)
攻擊者會精心制作木馬程序、釣魚網站,并注冊大量的域名、郵箱、手機號碼用于攻擊使用。在此環節,還伴隨了大量的內部交易和各種倒賣的環節(由于惡意代碼本身的機理較為簡單,同時目前惡意代碼高度流通化和標準化,也導致了基于惡意代碼本身的溯源難度急劇增加)。
● 三大運營商用戶中,攻擊者更加偏愛偽裝為移動運營商,其中68%的偽裝運營商釣魚短信都是偽裝的10086號碼。
● 銀行用戶中,攻擊者更加偏愛招商銀行和建設銀行的用戶,其中接近60%的釣魚網站都是偽裝成招商銀行和建設銀行的官網。
3
攻擊投放(Delivery)
攻擊者主要使用偽基站,偽裝成例如10086,95555,95533等號碼發送欺詐的釣魚短信或含有惡意代碼鏈接的欺詐短信,短信內容中包含類似官方網址的URL或者短URL鏈接誘騙用戶點擊,并跳轉到偽裝的釣魚網站。
4
攻擊實施(Attack)
攻擊者會偽裝成正常的應用名稱或圖標,誘導用戶安裝木馬程序到手機。從威脅Incidents中受害用戶感染的“短信攔截木馬”類惡意代碼統計來看:
● 70%的威脅攻擊都是偽裝成手機聯系人、朋友發來的相冊、資料、相片、聚會相冊等名稱
● 15%的威脅攻擊偽裝成來自三大運營商,諸如中國移動端、掌上營業廳等名稱
● 偽裝成銀行客戶端的占到8%
● 其他還有偽裝為車管所,學校等等
5
持續侵害(c2obj)
在移動威脅的場景中,我們發現有大量的C2控制行為和對受害者目標的進一步侵害行為的聚合度非常高,通常持續侵害行為都是高頻度地和C2的控制行為集合在一起的。因此我們對這個環節的攻擊進行了整合標記。在本文的短信攔截木馬的攻擊當中,通常會具備基于短信(由遠程手機號碼控制)、郵箱回傳、網絡控制和回傳等綜合的“多通道”控制能力。同時,對受害者的侵害行為,通常伴隨著較高實時度的遠程控制行為(例如,實時轉發在線交易的動態驗證碼)。
● 部分木馬程序會接收短信指令或者網絡指令,并控制具體的攻擊行為。
● 通常木馬程序會隱藏自身圖標或者提示用戶激活設備管理器的行為來避免被卸載。
● 用戶的隱私數據被竊取,并進行地下販賣和交易。
● 受害者的選擇并不是盲目的,大多伴隨了對用戶身份,賬號和資產信息的綜合分析與判斷。
受害者關鍵資產與影響
在本文所披露的威脅行動中,有多個重度用戶隱私或財產相關的資產都在受影響的范圍內。
1.資產類型:通訊錄
為了更好的實施針對性的欺詐,并擴大攻擊范圍,木馬通常都會對通訊論進行遍歷回傳。
影響:隱私泄露,攻擊者二次利用。
影響量化:過去3年,預計累計超過1億以上電話號碼信息泄露。
2.資產類型:環境錄音或通話錄音
在早期,木馬會進行環境錄音或通話錄音的回傳,在中后期則并未普遍出現。
影響:隱私泄露,攻擊者二次利用。
3.資產類型:短信-歷史短信箱
為了完成對受害者用戶的精準定性和篩選,木馬通常會對歷史短信進行整體回傳。由于在歷史短信中包含有大量的重度個人隱私信息,以及重要的銀行,支付交易的通知信息留存。因此歷史短信箱成為高價值的攻擊目標資產之一。
歷史短信箱中通常還包含的資產類型有:
銀行和銀行賬號信息、銀行末4位尾號、銀行流水信息、支付交易行為信息、企業銀行賬號信息、企業實名信息、第三方支付賬號和其它業務賬號身份信息等。
影響:隱私泄露,金融標識信息泄露,攻擊者二次利用。
影響量化:過去3年,預計累計超過2億條以上包含用戶隱私的短信信息泄露。
4.資產類型: 短信-實時攔截短信
為了實現對受害者財產進一步的侵害,木馬通常會具備定向實時短信攔截和轉發能力,通過關鍵字識別特定的實時短信,對包含動態驗證碼,密碼的短信進行中轉,繞過基于短信驗證碼的雙因素驗證。
影響:驗證繞過(登錄,轉賬,密碼重置等)。
影響量化:過去3年,預計有接近100萬規模的用戶存在潛在遭受驗證繞過的危險。
5.資產類型: 姓名,證件號碼,銀行卡號,密碼,CVV碼,手機號碼
在部分情況下,攻擊者會通過釣魚網站,或銀行應用界面攔截等手段對用戶進行欺詐和釣魚,獲得姓名,證件號碼,銀行卡號,密碼,CVV碼,手機號碼等信息。
影響:身份信息泄露,銀行賬戶信息泄露
影響量化:過去3個月,預計有數十萬用戶的信息被泄露
6.資產類 型:資金,第三方賬號余額/積分
攻擊者的最終目的是實現對受害者的資金或相關高價值資產的竊取。
影響:財產損失或信譽損失。
影響量化:過去3個月,預計有接近數十億的資金處于被竊取風險下。
以上內容為《針對移動銀行和支付交易系統的持續黑產行動披露——DarkMobileBank跟蹤分析報告》節選部分,預閱讀詳細版本,點擊左下角藍色字體“ 閱讀原文”。
關于安天和安天AVL Team
安天從反病毒引擎研發團隊起步,目前已發展成為擁有四個研發中心、監控預警能力覆蓋全國、產品與服務輻射多個國家的先進安全產品供應商。安天歷經十五年持續積累,形成了海量安全威脅知識庫,并綜合應用網絡檢測、主機防御、未知威脅鑒定、大數據分析、安全可視化等方面經驗,推出了應對持續、高級威脅(APT)的先進產品和解決方案。安天技術實力得到行業管理機構、客戶和伙伴的認可,安天已連續四屆蟬聯國家級安全應急支撐單位資質,亦是CNNVD六家一級支撐單位之一。安天移動檢測引擎是獲得全球首個AV-TEST(2013)年度獎項的中國產品,全球超過十家以上的著名安全廠商都選擇安天作為檢測能力合作伙伴。
AVL Team是安天實驗室旗下的獨立移動安全公司,成立于2010年。成立至今,AVL Team始終專注于移動反病毒領域,致力于向合作伙伴提供最好的反病毒引擎和解決方案,對用戶需求有著深刻的理解,并積累了豐富的經驗和技術。AVL Team還對重大安全威脅作出高效的應急響應,并積極參與學術界和產業界活動。 AVL Team的主要產品是名為AVL SDK for Mobile的移動反病毒引擎中間件,可以用于檢測移動平臺的惡意代碼、廣告件和間諜件等。通過移動反病毒引擎中間件的廣泛合作,AVL Team和40多家移動安全領域合作伙伴建立起來覆蓋全球過億用戶的威脅感知和監控網絡,并在2015年推出了全球首個移動威脅情報平臺和相關服務。
京公網安備 11010502049343號