EMM環(huán)境下移動終端風(fēng)險與檢測研究

◆胡 彬

（天津理工大學(xué)聾人工學(xué)院 天津 300384）

EMM環(huán)境下移動終端風(fēng)險與檢測研究

◆胡 彬

（天津理工大學(xué)聾人工學(xué)院 天津 300384）

隨著移動端的安全日益受到重視，企業(yè)引入EMM系統(tǒng)提升移動端的管理，但有一些針對EMM的獨(dú)特攻擊方法，也為企業(yè)移動設(shè)備管理系統(tǒng)引入了新的風(fēng)險。傳統(tǒng)的動態(tài)和靜態(tài)檢測方法可以檢測已知的風(fēng)險且存在檢測不準(zhǔn)確等問題。對于長期、隱蔽的新型持續(xù)攻擊方法很難檢測，針對該攻擊多數(shù)存在惡意的遠(yuǎn)程命令執(zhí)行特性，引入邊界網(wǎng)絡(luò)檢測的方法，完善現(xiàn)有的檢測措施，提升企業(yè)EMM環(huán)境下的移動終端安全。

邊界網(wǎng)絡(luò)檢測; 動態(tài)檢測; 靜態(tài)檢測; 移動設(shè)備管理

0 前言

隨著移動端的安全日益受到重視，企業(yè)引入EMM系統(tǒng)提升移動端的管理，但有一些針對EMM的獨(dú)特攻擊方法，也為企業(yè)移動設(shè)備管理系統(tǒng)引入了新的風(fēng)險。傳統(tǒng)的動態(tài)和靜態(tài)檢測方法可以檢測已知的風(fēng)險且存在檢測不準(zhǔn)確等問題。文獻(xiàn)[1]提出對于長期、隱蔽的新型持續(xù)攻擊方法很難檢測，針對該攻擊多數(shù)存在惡意的遠(yuǎn)程命令執(zhí)行特性，引入邊界網(wǎng)絡(luò)檢測的方法，完善現(xiàn)有的檢測措施，提升企業(yè)EMM環(huán)境下的移動終端安全。

1 EMM架構(gòu)分析

首先分析國內(nèi)如國信靈通，國外如三星KNOX等主流EMM產(chǎn)品的系統(tǒng)架構(gòu)和主要功能為分析風(fēng)險做準(zhǔn)備。

1.1 EMM架構(gòu)構(gòu)成

EMM系統(tǒng)由企業(yè)移動管理服務(wù)器、安全推送服務(wù)器、移動安全接入組件構(gòu)成，安全推送服務(wù)器處于公網(wǎng)，核心管理服務(wù)器，安全推送服務(wù)器處于內(nèi)網(wǎng)。內(nèi)網(wǎng)還應(yīng)存在LDAP、郵件、文檔等提供企業(yè)功能的服務(wù)器。管理服務(wù)器是EMM的核心，與企業(yè)內(nèi)的先關(guān)服務(wù)對接并提供策略、指令、資源管理; 部分管理服務(wù)器位于云端，由廠商直接提供終端管理服務(wù)給客戶。終端側(cè)只需安裝客戶端軟件即可，對于部隊(duì)或政府部門還需運(yùn)營商部署專網(wǎng)。

1.2 EMM主要功能（1）終端主要功能

EMM終端主要功能是作為服務(wù)器端的探針，可以提供個人與企業(yè)數(shù)據(jù)隔離，還可監(jiān)控用戶的地理位置，使用情況如耗電、流量、是否丟失等，還監(jiān)控用戶的通訊行為如打電話發(fā)送短信的頻率?？蛻舳诉€配合完成策略管理，接受服務(wù)端的指令，接受并下發(fā)管理策略如地理圍欄、鎖屏、淘汰設(shè)備、報警等指令。應(yīng)用管理功能包括應(yīng)用黑白名單管理，應(yīng)用檢測，企業(yè)應(yīng)用商店，從應(yīng)用的來源一定程度監(jiān)管設(shè)備。

（2）服務(wù)端主要功能

EMM服務(wù)端為用戶和管理員提供管理和統(tǒng)計(jì)的功能。普通用戶可以通過瀏覽器登錄管理界面對遠(yuǎn)程設(shè)備進(jìn)行鎖定，查看，方便設(shè)備丟失時快速定位等功能。管理員用戶可對企業(yè)內(nèi)的所有設(shè)備的生命周期有效的管理，從上線、使用、注銷、淘汰甚至丟失實(shí)時監(jiān)控; 還可對任意單個設(shè)備或某群組下發(fā)配置策略或強(qiáng)制命令，配置策略包括時間、地理圍欄、可使用的功能、可用和禁用的應(yīng)用列表、設(shè)備權(quán)限等。

引入EMM能有效的過濾低水平的惡意攻擊，EMM使終端安全由保護(hù)設(shè)備到保護(hù)數(shù)據(jù)，包括控制企業(yè)數(shù)據(jù)如何在應(yīng)用間流動，和保障數(shù)據(jù)處于靜止和移動狀態(tài)的安全。但是對于針對性強(qiáng)的惡意攻擊者，其實(shí)引入了新的攻擊入口。

2 EMM面臨的風(fēng)險分析

移動終端安全已經(jīng)引起企業(yè)的注意，針對大型網(wǎng)絡(luò)環(huán)境的攻擊技術(shù)也不斷升級，目前較為流行的是針對特定團(tuán)體的長期隱蔽的高級可持續(xù)攻擊方式，針對手機(jī)也可以通過http協(xié)議遠(yuǎn)程下發(fā)指令，并且長期隱藏，竊取用戶信息作為攻擊企業(yè)的跳板。隨著移動終端在工作中的日益重要，某些企業(yè)會采用新型的安全產(chǎn)品如EMM來鞏固企業(yè)信息安全。使移動設(shè)備管理更加集中，但也引入了一些不安全因素，文獻(xiàn)[2]提出黑客利用這些漏洞仍能進(jìn)行APT攻擊，目前EMM環(huán)境下主要存在以下的問題。

2.1 底層漏洞利用

（1）系統(tǒng)漏洞

目前針對手機(jī)的遠(yuǎn)程指令主要有監(jiān)聽短消息，獲取通訊錄，通話內(nèi)容，微信。每個版本的Android系統(tǒng)都會存在底層漏洞，如4.4版本及以下存在webview控件漏洞，由于底層代碼未對某些關(guān)鍵部分進(jìn)行過濾或存在緩沖區(qū)溢出，內(nèi)核級別的漏洞導(dǎo)致黑客可以遠(yuǎn)程惡意執(zhí)行指令無法避免。還有些第三方廠商定制系統(tǒng)在原生代碼上進(jìn)行界面優(yōu)化或功能拓展，但這些部分可能存在緩沖區(qū)溢出，如小米和華為都存在類似的漏洞，黑客可以通過。應(yīng)用層指令遠(yuǎn)程控制，由于一些遠(yuǎn)程指令基于應(yīng)用層的http協(xié)議，傳統(tǒng)的靜態(tài)檢測與動態(tài)檢測智能檢測已知的行為。

（2）硬件漏洞

某些漏洞存在于硬件，高通芯片曾出現(xiàn)名為Quaroot的漏洞影響超過9億臺設(shè)備，黑客利用該漏洞課題提權(quán)，該漏洞在無需請求任何權(quán)限情況下獲取設(shè)備最高權(quán)限，為用戶安裝惡意應(yīng)用，竊取數(shù)據(jù)，控制移動終端。由于該漏洞存在于硬件，可以影響底層的內(nèi)部通信模塊、內(nèi)核匿名內(nèi)存共享模塊、核心圖像支持模塊，因此可以影響整臺設(shè)備，很難及時的清除或只能更換設(shè)備。服務(wù)器端若安裝較低版本的windows或linux系統(tǒng)也存在緩沖區(qū)溢出，或者來自于第三方軟件的漏洞威脅。

2.2 EMM自身漏洞利用

（1）軟件漏洞利用

安全廠商提供的軟件也會存在漏洞,如三星EMM解決方案KNOX存在漏洞，黑客通過短信,郵箱等方式通知用戶存在更新，誘騙他們點(diǎn)擊構(gòu)建的URL,由于KNOX未對下載的移動應(yīng)用進(jìn)行驗(yàn)證也未對構(gòu)建的URL為進(jìn)行加密或驗(yàn)證，因此在URL執(zhí)行時存在被第三方替換的風(fēng)險,對于未知應(yīng)用安裝時也沒有展示請求權(quán)限列表,因此這個程序可用來在不知情的情況下安裝惡意程序或執(zhí)行惡意指令。移動端設(shè)備的型號和系統(tǒng)版本繁多,某些廠商的適配功能做的不完善,一些核心功能無法全部啟用也會增加風(fēng)險。

（2）網(wǎng)絡(luò)風(fēng)險利用

服務(wù)器端的管理系統(tǒng)也存在xss、sql注入等漏洞,從而泄露核心數(shù)據(jù)庫的數(shù)據(jù)，致使安全軟件可能成為企業(yè)的最大風(fēng)險。由于部分核心功能服務(wù)器存位于企業(yè)內(nèi)網(wǎng)，很容易遭受內(nèi)網(wǎng)其他肉雞的網(wǎng)絡(luò)攻擊,易遭受ddos攻擊有可能使EMM系統(tǒng)癱瘓。某些通訊過程未經(jīng)過證書驗(yàn)證,則存在中間人利用，黑客可通過跳板直接操縱管理端,導(dǎo)致整個企業(yè)的移動設(shè)備收到監(jiān)控,核心數(shù)據(jù)泄露。

3 針對EMM攻擊的檢測方法

3.1 靜態(tài)代碼檢測

靜態(tài)檢測可以快速根據(jù)檢測終端應(yīng)用的靜態(tài)特征，匹配是否含有惡意特征，提取特征需要反編譯，對于一些混淆和加密過的代碼無法檢測。文獻(xiàn)[3]提出通過控制流技術(shù)構(gòu)建程序的執(zhí)行流程，通過數(shù)據(jù)流手機(jī)程序的語義，進(jìn)一步分析程序運(yùn)行時數(shù)據(jù)傳遞的過程，還可利用動態(tài)污點(diǎn)跟蹤技術(shù)，識別數(shù)據(jù)輸入輸出、隱私數(shù)據(jù)等。通過提取惡意行為的函數(shù)，惡意網(wǎng)址及電話號碼，以及病毒家族的代碼特征如資費(fèi)消耗、隱私竊取、系統(tǒng)破壞、遠(yuǎn)程操控等惡意行為，可從特征字符、二進(jìn)制、哈希值等層面豐富程序靜態(tài)的特征庫。

3.2 動態(tài)行為檢測

啟發(fā)式動態(tài)監(jiān)測技術(shù)應(yīng)用廣泛，模擬出虛擬環(huán)境供未知的應(yīng)用運(yùn)行，利用提取的規(guī)則通過分析程序的結(jié)構(gòu)和行為來攻擊?？赏ㄟ^監(jiān)控網(wǎng)絡(luò)流量、短信收發(fā)、權(quán)限運(yùn)行、語音撥叫、音視頻操作、系統(tǒng)資源占用等提取出惡意行為，根據(jù)經(jīng)驗(yàn)或引入專家系統(tǒng)可提取惡意規(guī)則。

可引入機(jī)器學(xué)習(xí)中的關(guān)聯(lián)分析，神經(jīng)網(wǎng)絡(luò)分析應(yīng)用的行為，該方法需要收集病毒樣本，并進(jìn)行模型訓(xùn)練后可對未知的應(yīng)用判定是否存在惡意行為，動態(tài)檢測系統(tǒng)對于性能要求較高很難移植到移動端。

3.3 基于邊界網(wǎng)絡(luò)的檢測

EMM環(huán)境面臨高級可持續(xù)的隱蔽攻擊，該攻擊多存在惡意攻擊指令下發(fā)的特征，多數(shù)通過應(yīng)用層協(xié)議及其他0day漏洞實(shí)現(xiàn)遠(yuǎn)程控制的功能。文獻(xiàn)[4]提出針對該特性引入邊界網(wǎng)絡(luò)檢測的技術(shù)，針對EMM環(huán)境的C&C攻擊不同于傳統(tǒng)網(wǎng)絡(luò)，指令下發(fā)可通過http、短信、釣魚URL等方式完成，還存在指令下發(fā)周期不定，指令較短且加密，通過把攻擊分為滲入網(wǎng)絡(luò)，傳播惡意應(yīng)用，隱蔽指令下發(fā)，竊取資料四個步驟，并結(jié)合動態(tài)檢測的機(jī)器學(xué)習(xí)模型,對未知的C&C攻擊進(jìn)行抵御。結(jié)合蜜罐技術(shù),在內(nèi)網(wǎng)架設(shè)虛擬Android設(shè)備供黑客攻擊可以緩解EMM環(huán)境下的風(fēng)險。

4 結(jié)語

EMM系統(tǒng)在醫(yī)院、銀行等等越來越多的場景使用，更多的智能終端，甚至比如iwatch、三星智能手表、智能家居等智能硬件都會被接入企業(yè)內(nèi)網(wǎng)，獲取企業(yè)核心數(shù)據(jù)，需要新的模式來應(yīng)對。通過傳統(tǒng)的靜態(tài)動態(tài)監(jiān)測結(jié)合邊界網(wǎng)絡(luò)檢測技術(shù)可以緩解智能終端來自遠(yuǎn)程指令的威脅。隨著虛擬化技術(shù)的興起，EMM系統(tǒng)也在進(jìn)步，深化權(quán)限管理、企業(yè)數(shù)據(jù)個人數(shù)據(jù)的隔離，開發(fā)企業(yè)桌面等底層定制的功能，可以為終端安全保駕護(hù)航，但攻擊技術(shù)也在不斷加強(qiáng)，Android內(nèi)核漏洞、第三方系統(tǒng)的漏洞無法避免，還需要我們時刻加強(qiáng)防范做好應(yīng)急響應(yīng)。

[1]Thanh H L.Analysis of Malware Families on Android Mobiles:Detection Characteristics Recognizable by Ordinary Phone Users and How to Fix It[J].Journal of Information Security,2013.

[2]Jiang X,Zhou Y.Dissecting Android Malware： Characterization and Evolution[C]//IEEE Symposium on Security & Privacy.IEEE,2012.

[3]胡全，莫秀良，王春東.基于Markov鏈模型的Android平臺惡意APP檢測研究[J].天津理工大學(xué)學(xué)報，2016.

[4]Wang X，Zheng K，Niu X，et al.Detection of command and control in advanced persistent threat based on independent access[C]// ICC 2016 - 2016 IEEE International Conference on Communications,2016.