九月威胁情报态势报告-腾讯哈勃分析系统.PDF

腾讯反病毒实验室 哈勃分析系统 九月威胁情报态势报告 ——安卓活跃木马篇 报告编号：2016第6期 发布时间：2016年10月 目录 一、 报告概述1 1． 关于我们1 2． 关于本报告1 二、 木马数据概述2 三、 典型木马分析3 1． 资费消耗类木马3 2． 恶意扣费类木马3 3． 隐私窃取类木马4 4． 诱骗欺诈类木马6 四、 总结与建议7 一、报告概述 威胁情报，指的是对计算机系统 （包括但不限于大型机、服务站、个人电脑、手机等移 动设备、嵌入式设备等）中，可能对使用者产生威胁的程序、数据、流量等，进行感知、识 别、提取、汇总后归纳而成的情报。 随着恶意产业的不断发展，在传统的基于恶意代码和特征的打击方式之外，基于威胁情 报的恶意威胁检测和防御的方法正在兴起，并成为近几年的热门方向。 在这个背景下，腾讯反病毒实验室哈勃分析系统推出 “威胁情报态势报告”系列报告， 目的是在安全行业内交流我们对于威胁情报的认识，分享我们对于威胁情报的利用方法，同 时曝光恶意木马作恶手法和恶意产业资源，携手各安全厂商共同开展打击。 1．关于我们 腾讯反病毒实验室是腾讯旗下的安全特色团队，从 “自研引擎能力、哈勃分析系统、 APT前沿技术分析”等多个角度入手，通过建立 “安全查杀能力、热点快速响应能力及病 毒样本分析”等全面、系统、一体化的防护措施，为腾讯安全实力进一步提供了强大技术支 撑。独立开发的杀毒引擎以及云引擎已经获得了VB100、AV-C、西海岸、AV-TEST等多家 国际著名评测机构认证，并且已被用于腾讯电脑管家和手机管家等安全产品之中。 哈勃分析系统是腾讯反病毒实验室依托多年技术积累自主研发的一套样本安全检测系 统，支持对Windows程序、安卓应用、文档、脚本等文件类型的分析检测。哈勃系统采用 虚拟运行环境，在该环境中使用行为激发系统诱使样本运行出与真实环境一致的动态行为， 并且对其执行过程进行完整捕获。通过重点监控其中的高可疑异常行为，同时结合行为判定、 静态特征判定、大数据学习引擎判定等多种手段，哈勃系统可以有效地识别出恶意样本。哈 勃分析系统拥有调度灵活的大规模分析集群，实现了千万级的样本日吞吐量，可以对海量样 本进行高效的筛选和识别。 2．关于本报告 本报告是哈勃分析系统2016年发布的第6期威胁情报态势报告，子主题是 “安卓活跃 木马篇”。 依托于海量样本吞吐处理能力，哈勃分析系统当前每日会对真实环境中捕获到的大量样 本进行自动化分析，并且根据样本的动态行为特点，对恶意样本进行筛选、判定和分类。对 于同一家族的恶意样本而言，其在虚拟环境中运行时表现出的动态行为会存在比较高的一致 性和趋同性，因此动态行为是对这些样本进行类别、家族划分的一个重要且有效的手段。 哈勃分析系统在九月全月系统自动捕获的安卓样本威胁情报中，整理并挑选了一些真实 环境中出现比较频繁、影响范围比较广泛的木马，并对它们的动态行为进行了总结和分析。 1 二、木马数据概述 在九月自动捕获的安卓威胁样本中，资费消耗类的木马占据的比例最大，接近七成。此 类木马会在用户不知情的情况之下，于后台悄悄下载大量用不上甚至完全无用的应用，消耗 手机流量和电池等。 图1. 报毒类型分布图 从时间维度来看，占比最大的资费消耗类木马，捕获数量呈逐渐上涨的态势；恶意扣费 类木马全月波动较大；隐私窃取类木马则是在9月15 日中秋节、10月1 日国庆节这类假日 之前几天达到发作峰值。 图2. 日报毒类型变化图 2 三、典型木马分析 接下来，对于各大类中活跃的几种典型样本进行进一步分析。 1．资费消耗类木马 此类木马主要伪装成色情类应用，通过小型网站和网盘进行传播，通过诱惑性的图标和 标题吸引受害者下载。 图3. 木马图标示意 安