企業安全、安全問題入侵應對實務—移動終端篇。在企業運營中(zhōng),日益普及的移動終端,特别是各種智能手機或Pad,在我(wǒ)們企業的整體(tǐ)IT架構内部所占的比重雖然不大(dà),但是如果它們在安全上一(yī)旦出現問題或是被惡意軟件等入侵和攻擊,那麽我(wǒ)們IT系統這顆大(dà)樹(shù)也将會從内部被瓦解甚至崩潰掉。所以我(wǒ)們這次就來聊聊如何做好移動終端的入侵應對吧。
第一(yī)階段:基礎與準備
1. 首先我(wǒ)們要具備APP權限管理方面的基本知(zhī)識。想必大(dà)家都知(zhī)道,對于Android平台的APP而言,其權限是在AndroidManifest.xml中(zhōng)被說明的。我(wǒ)們可以采用如下(xià)的形式,來對APP運行所需要訪問系統的權限和依賴關系進行細粒度的定義。
2. 如果企業有自己開(kāi)發的APP,特别是那些Android版本的,爲了防止各種惡意代碼的攻擊,可以采用軟件加殼和代碼混淆等技術來予以自身的保護和防止被反編譯。另外(wài)在最終交付給用戶使用前,開(kāi)發人員(yuán)也可在APP裏安插一(yī)些函數鈎子,以發現調試器的進程,從而在内存的層面上實現反動态的調試。
3. 适當地進行挑選、安裝能夠有效防範各種本地入侵的手機安全管理軟件,以持續提供病毒查殺、流量監控、騷擾攔截、話(huà)費(fèi)跟蹤、以及“健康”體(tǐ)檢等服務。記得我(wǒ)在某次選型過程中(zhōng),就曾将是否具備識别“僞基站”的功能作爲一(yī)個衡量的指标,在此大(dà)家也可以借鑒一(yī)下(xià)。
4. 如果用戶采用的是BYOD的模式去(qù)使用企業的IT服務資(zī)源的話(huà),那麽應當使用嵌入式移動虛拟化技術,來實現企業所需的可信且安全的APP與用戶自行安裝的第三方的非可信APP,能夠同時共享地運行在同一(yī)台移動終端之上。通過運用沙箱(sandbox)技術,達到每個APP在系統中(zhōng)進行時都能被分(fēn)配到一(yī)個唯一(yī)且固定的UID。不同的APP各自獨立運行在Dalvik虛拟機中(zhōng),從而實現不同APP的進程之間的相互隔離(lí)。
5. 購置并部署移動設備管理(MDM)平台,實現對移動設備的标準化、流程化、統一(yī)的和遠程的安全管理與響應。當然還可以通過該平台去(qù)推送企業爲員(yuán)工(gōng)定制的各種APP。
6. 在用戶的安全意識層面上,要普及如下(xià)基本知(zhī)識點:
· 下(xià)載應用時,優先選擇官方發布且認證過(有簽名)的APP,不要輕信通過旁人掃描二維碼的形式去(qù)下(xià)載安裝。
· 在自行安裝APP的過程中(zhōng),要注意看清楚彈出的有關系統權限的提示信息,不要輕易點擊和開(kāi)放(fàng)終端的最高權限。比如說對Apple産品的“越獄”行爲、或是在Android系統中(zhōng)的Root權限提升都應避免和謹慎。在不确定如何操作的時候,要及時與IT人員(yuán)聯系。
· 定期運行檢查并保持防病毒軟件的病毒庫更新狀态。
· 注意不要點擊帶有亂碼的短/彩信、陌生(shēng)連接請求和獵奇網站。
· 不要随便連接到陌生(shēng)的或是名稱怪異的WiFi熱點之上。
總之,正所謂“凡事預則立、不預則廢”,我(wǒ)們要先發制人,事先做好各種防範工(gōng)作。
第二階段:檢查與識别
近年來Android平台的移動終端漏洞屢屢被曝光,信息盜用和應用入侵事件更是層出不窮。而iOS平台則由于其系統相對是閉源且嚴格,因此曾在傳統觀念上被認爲在非越獄的情況下(xià),其安全性遠高于Android。但是近年來,iOS平台也相繼暴露了一(yī)些XcodeGhost和中(zhōng)間人漏洞等多種惡意的SDK。因此,作爲安全工(gōng)程師的我(wǒ)們,仍然需要發揮精耕細作的精神,在各種入侵事件發生(shēng)前做好預防性檢查。我(wǒ)們可以通過運用各種平台、多種工(gōng)具的混搭,來構建出符合自己企業特點的“百寶箱”。
1. 自動化漏洞掃描,目前國内以3BAT爲首的行業龍頭公司都已經提供了移動終端APP的漏洞檢測相關産品。值得慶幸的是這些大(dà)多數都是免費(fèi)的,而且能夠支持在特定應用場景下(xià)的二次開(kāi)發。
· 對于iOS平台,除了有Idb和Needle這類經典的開(kāi)源的安全評估工(gōng)具之外(wài),也有360NirvanTeam和MobSF(同時支持Android和iOS)這樣的具有iOS App在線審計功能的開(kāi)源方案。它們基本上可以實現對BIN文件的分(fēn)析、XCodeGhost和惡意SDK的檢測、以及第三方庫的漏洞檢測等。
· 對于Android平台,既然剛才有提到過3BAT,那麽依次對應的在線掃描系統有:360APP漏洞掃描(http://dev.360.cn/html/vulscan/scanning.html)、百度的MTC(http://mtc.baidu.com)、阿裏的聚安全(http://jaq.alibaba.com/)和騰訊的金剛審計系統(http://service.security.tencent.com/kingkong),它們都在不同程度上做到了對本地的文件内容讀寫和IPC通信的監控、Manifest信息和Logcat日志(zhì)的查看,敏感文件加密與傳輸操作的審查等,也實現了對Android App的自動化靜态與動态的分(fēn)析。
2. 人工(gōng)綜合分(fēn)析,主要包括對網絡數據包的分(fēn)析、應用行爲的分(fēn)析、源代碼的分(fēn)析等,這往往需要人員(yuán)具有一(yī)定的網絡和開(kāi)發方面的經驗。
· 網絡數據包分(fēn)析:是運用Wireshark之類的包分(fēn)析工(gōng)具,抓取終端在網絡通信時候的收發數據包,對源/目的IP地址、URL、以及各層的數據進行解析的操作。
· 應用行爲的分(fēn)析:是運用DDMS之類的調試工(gōng)具,通過對APP的各種操作日志(zhì)的記錄,來對其運行狀态和操作行爲屬性等進行監控。另外(wài),還可以通過對服務端施以模拟攻擊的滲透測試,來偵測APP的各種響應,從而挖掘出不安全的因素。
· 源代碼分(fēn)析:則是對可疑的APP進行源代碼級别的邏輯分(fēn)析和審驗,找出安全隐患或惡意代碼行。不過,這一(yī)般是可以委托給專業的第三方軟件分(fēn)析公司來完成。
我(wǒ)們再來看看遭遇式的識别流程。一(yī)般如果在用戶的移動終端上出現如下(xià)這些異常的狀态,那麽十之八九就昭示着該設備已經中(zhōng)招了!
1. 防病毒軟件顯示報警信息。
2. 系統響應的異常延遲狀态。
3. 網絡浏覽的異常緩慢(màn)狀态。
4. 系統異常的重啓、死機或關機。
5. 某個/些APP的異常關閉或閃退。
6. 出現包含有奇怪字符或亂碼的提示信息。
7. 異常高額的電(diàn)話(huà)費(fèi)或上網流量的使用。
8. 頻(pín)繁的陌生(shēng)或是無号碼信息的電(diàn)話(huà)呼入與呼出。
所以,一(yī)旦發生(shēng)了上述情況以及出現移動終端設備異常發熱的時候,我(wǒ)們就應該立即使用一(yī)些比較“稱手的兵器”來進行抽絲剝繭。這裏主要和大(dà)家分(fēn)享的是針對Android平台的入侵識别。
1. 使用Intent Sniffer工(gōng)具,來檢查應用程序之間進行過通信的最近的任務或廣播。
2. 使用MindMac工(gōng)具,通過模糊測試的方法來發現導緻設備、APP在運行過程中(zhōng)出現的異常閃退的原因,甚至是系統崩潰的bug。
3. 使用經典的X-Ray工(gōng)具,來檢查是否帶有由提權類漏洞所引發的後台自動發送付費(fèi)類短信,和上傳各種個人隐私等迹象。
4. 使用Drozer工(gōng)具,來發現和挖掘Android上是否存在被利用的公共漏洞和遠程漏洞。
5. 以及使用“瑞士軍刀”類型的工(gōng)具-- SPF(Smartphone Pentest Framework)進行全面檢查。它能夠支持Android,iPhone和blackberry。
第三階段:取證與調查
每當用戶一(yī)臉無辜地将有問題的移動終端放(fàng)到你面前的時候,其實它早就已經是“一(yī)塊窟窿眼兒的瑞士奶酪”了。面對這樣的殘局,你要做的事情就是要根據既定的流程,認真仔細地進行取證與調查。具體(tǐ)步驟可參照如下(xià):
1. 将設備複位,以止損。即屏蔽掉所有的網絡活動,如WiFi、藍(lán)牙連接等;拔下(xià)記憶卡(SD卡),如果可以移除電(diàn)池的話(huà),也應拔下(xià)。
2. 将移動終端與一(yī)台處于standalone模式(脫機、與企業内容斷開(kāi),但必要是可以連接互聯網)的電(diàn)腦相連接,運行與智能終端類型相符的管理軟件,進行病毒查殺。
3. 備份終端上的數據,運行與智能終端類型相符的管理軟件,進行基本信息檢查與同步,将SIM卡、記憶卡和終端内部的存儲空間裏的各種曆史數據、日志(zhì)信息等,根據既定的checklist逐一(yī)導出。
4. 定位入侵與威脅,将發現的惡意内容和APP進行有效的隔離(lí),以待進一(yī)步研究并最終形成報告。
5. 待取證和調查結束後,按照相關的操作規則擦除掉(Wipe)該移動終端或将其整體(tǐ)系統重置爲出廠時的原始狀态,以備封存期(一(yī)般爲半年)後再次分(fēn)配給用戶使用。當然如果事關重要,也可不做任何重置操作,直接封存之。
上一(yī)篇:《網絡安全法》對網絡運營者的影響
下(xià)一(yī)篇:惡意軟件成爲當下(xià)網絡安全的巨大(dà)威脅