8月26日vivo千镜安全实验室技术沙龙-威胁情报与取证分析专场成功举办。本次沙龙由vivo千镜安全实验室主办,旨在为安全从业者提供一个深入了解威胁情报和取证分析的沟通平台。
活动现场图
vivo首席安全官鲁京辉现场出席并指出一个健康安全的移动互联网生态需要安全从业者共同努力。本次沙龙邀请了多位业内专家,围绕威胁情报和取证分析的相关话题展开了深入的讨论。
▲vivo首席安全官-鲁京辉
终端厂商安全情报与取证实践
伴随着移动终端黑灰产的对抗升级,对于黑灰产攻击的感知愈发重要,但是当前移动端的威胁情报需求与传统威胁情报存在差异,如何建设移动终端情报--取证--赋能的闭环?
vivo千镜安全实验室朱远鹏介绍了基于与需求变化下的移动终端威胁情报体系建设,分享捕获到的情报驱动实践案例。阐述如何从威胁感知中前置获取攻击途径、工具、意图等信息。以及从取证视角剖析黑灰产攻击意图,包括保活、防卸载等,并针对取证分析中常见的加密与混淆等对抗手段进行技术对抗思路剖析。
▲vivo千镜安全实验室-朱远鹏
从情报视角看黑灰产设备攻防
随着信息技术的迅猛发展,黑灰产活动在网络安全领域愈发突出。黑产指的是非法的、恶意的网络活动,包括网络犯罪、网络攻击等,而灰产则介于合法和非法之间,涉及一些模糊地带的活动。该议题指出:针对这些恶意活动,从情报视角进行分析与防御至关重要。
在本场沙龙中,该议题深入探讨黑灰产设备攻防的核心战略,从情报收集、攻击工具的利用、防范与入侵检测到恶意代码分析,以及威胁情报共享、深度学习等多个方面来介绍,并通过篡改定位、标识符、验证码的实践案例为与会者呈现一个多面的、深层次的黑灰产设备攻防对抗的过程。
插翅难飞,动态恶意插件监控
移动端恶意APP层出不穷,一旦安装,便通过恶意下载、弹窗广告、保持后台运行等手段牟利。这些手法日益隐蔽,甚至根据用户年龄、使用时间和地理位置动态下发恶意插件,给取证分析带来困难。
小米信息安全专家徐良军在本场沙龙中介绍了一款工具,能24小时监控恶意APP文件,通过云端自动与人工分析识别恶意行为。同时,还引入了一系列优化措施,如根据文件的大小和内容,避免上传不必要的文件;通过缓存列表避免重复本地备份;阻止系统更新防止工具失效等。
该工具可以解决时间段的问题,而通过部署设备给自己长辈使用,又解决了年龄段还有区域问题,由被动转为主动,可以更好地捕获到恶意插件。但随着恶意APP技术的不断演变,恶意应用可能采取更隐蔽手段,而不仅仅局限于下发插件。在较新的Android系统,可以借助EBPF技术,更全面地捕获恶意行为。
▲小米信息安全专家-徐良军
Frida Detection Bypass
在移动端APP逆向分析领域,如果说要在市面上选择一款能够不写一行代码、一键hook与trace成千上万个函数,且同时输出参数调用栈返回值的框架,Frida是首选。攻防对抗此消彼长,过Frida检测成为刚需。
移动安全专家r0ysue总结了检测Frida的常规思路与绕过方法,并对奇技淫巧与SO混淆、分析黄赌币及海内外壳样本中的实际应用,结合内核重编译与eBPF定位法等做出介绍。
▲移动安全专家-r0ysue
互联网业务风控黑灰产情报与取证
来自vivo互联网安全中心信息安全工程师蔡一凡介绍了互联网业务风控关注的三类典型的黑灰产问题、活动作弊问题、流量作弊问题和内容违规问题。
蔡一凡指出针对上述问题可以通过风险点监控、黑产渠道调研、业务安全蓝军演练、威胁情报收集和用户反馈等途径搭建完善的情报获取渠道,获取的情报经过一定的过滤、分析、分类后,通过人工验证和自动化检测相结合的方式,提升取证的效率和准确度,为各业务提供准确的黑灰产情报,用于违规处置和问题修复,保障业务安全平稳运行。
▲vivo互联网安全中心信息安全工程师-蔡一凡
不断创新,互利共赢
分享环节过后,各位老师与业界安全从业者在现场就威胁情报话题积极交流观点,共话发展路径和合作机会。
2023vivo千镜威胁情报与取证分析沙龙·深圳专场也在观点与成果的热烈交汇中进入尾声。
未来,vivo千镜安全实验室也将持续积极应对市场变化,不断创新和优化服务,与安全从业者紧密交流,实现互利共赢。
=END=