EMM環(huán)境下移動終端風險與檢測研究

◆胡 彬

（天津理工大學聾人工學院 天津 300384）

EMM環(huán)境下移動終端風險與檢測研究

◆胡 彬

（天津理工大學聾人工學院 天津 300384）

隨著移動端的安全日益受到重視，企業(yè)引入EMM系統(tǒng)提升移動端的管理，但有一些針對EMM的獨特攻擊方法，也為企業(yè)移動設備管理系統(tǒng)引入了新的風險。傳統(tǒng)的動態(tài)和靜態(tài)檢測方法可以檢測已知的風險且存在檢測不準確等問題。對于長期、隱蔽的新型持續(xù)攻擊方法很難檢測，針對該攻擊多數(shù)存在惡意的遠程命令執(zhí)行特性，引入邊界網(wǎng)絡檢測的方法，完善現(xiàn)有的檢測措施，提升企業(yè)EMM環(huán)境下的移動終端安全。

邊界網(wǎng)絡檢測; 動態(tài)檢測; 靜態(tài)檢測; 移動設備管理

0 前言

隨著移動端的安全日益受到重視，企業(yè)引入EMM系統(tǒng)提升移動端的管理，但有一些針對EMM的獨特攻擊方法，也為企業(yè)移動設備管理系統(tǒng)引入了新的風險。傳統(tǒng)的動態(tài)和靜態(tài)檢測方法可以檢測已知的風險且存在檢測不準確等問題。文獻[1]提出對于長期、隱蔽的新型持續(xù)攻擊方法很難檢測，針對該攻擊多數(shù)存在惡意的遠程命令執(zhí)行特性，引入邊界網(wǎng)絡檢測的方法，完善現(xiàn)有的檢測措施，提升企業(yè)EMM環(huán)境下的移動終端安全。

1 EMM架構(gòu)分析

首先分析國內(nèi)如國信靈通，國外如三星KNOX等主流EMM產(chǎn)品的系統(tǒng)架構(gòu)和主要功能為分析風險做準備。

1.1 EMM架構(gòu)構(gòu)成

EMM系統(tǒng)由企業(yè)移動管理服務器、安全推送服務器、移動安全接入組件構(gòu)成，安全推送服務器處于公網(wǎng)，核心管理服務器，安全推送服務器處于內(nèi)網(wǎng)。內(nèi)網(wǎng)還應存在LDAP、郵件、文檔等提供企業(yè)功能的服務器。管理服務器是EMM的核心，與企業(yè)內(nèi)的先關(guān)服務對接并提供策略、指令、資源管理; 部分管理服務器位于云端，由廠商直接提供終端管理服務給客戶。終端側(cè)只需安裝客戶端軟件即可，對于部隊或政府部門還需運營商部署專網(wǎng)。

1.2 EMM主要功能（1）終端主要功能

EMM終端主要功能是作為服務器端的探針，可以提供個人與企業(yè)數(shù)據(jù)隔離，還可監(jiān)控用戶的地理位置，使用情況如耗電、流量、是否丟失等，還監(jiān)控用戶的通訊行為如打電話發(fā)送短信的頻率。客戶端還配合完成策略管理，接受服務端的指令，接受并下發(fā)管理策略如地理圍欄、鎖屏、淘汰設備、報警等指令。應用管理功能包括應用黑白名單管理，應用檢測，企業(yè)應用商店，從應用的來源一定程度監(jiān)管設備。

（2）服務端主要功能

EMM服務端為用戶和管理員提供管理和統(tǒng)計的功能。普通用戶可以通過瀏覽器登錄管理界面對遠程設備進行鎖定，查看，方便設備丟失時快速定位等功能。管理員用戶可對企業(yè)內(nèi)的所有設備的生命周期有效的管理，從上線、使用、注銷、淘汰甚至丟失實時監(jiān)控; 還可對任意單個設備或某群組下發(fā)配置策略或強制命令，配置策略包括時間、地理圍欄、可使用的功能、可用和禁用的應用列表、設備權(quán)限等。

引入EMM能有效的過濾低水平的惡意攻擊，EMM使終端安全由保護設備到保護數(shù)據(jù)，包括控制企業(yè)數(shù)據(jù)如何在應用間流動，和保障數(shù)據(jù)處于靜止和移動狀態(tài)的安全。但是對于針對性強的惡意攻擊者，其實引入了新的攻擊入口。

2 EMM面臨的風險分析

移動終端安全已經(jīng)引起企業(yè)的注意，針對大型網(wǎng)絡環(huán)境的攻擊技術(shù)也不斷升級，目前較為流行的是針對特定團體的長期隱蔽的高級可持續(xù)攻擊方式，針對手機也可以通過http協(xié)議遠程下發(fā)指令，并且長期隱藏，竊取用戶信息作為攻擊企業(yè)的跳板。隨著移動終端在工作中的日益重要，某些企業(yè)會采用新型的安全產(chǎn)品如EMM來鞏固企業(yè)信息安全。使移動設備管理更加集中，但也引入了一些不安全因素，文獻[2]提出黑客利用這些漏洞仍能進行APT攻擊，目前EMM環(huán)境下主要存在以下的問題。

2.1 底層漏洞利用

（1）系統(tǒng)漏洞

目前針對手機的遠程指令主要有監(jiān)聽短消息，獲取通訊錄，通話內(nèi)容，微信。每個版本的Android系統(tǒng)都會存在底層漏洞，如4.4版本及以下存在webview控件漏洞，由于底層代碼未對某些關(guān)鍵部分進行過濾或存在緩沖區(qū)溢出，內(nèi)核級別的漏洞導致黑客可以遠程惡意執(zhí)行指令無法避免。還有些第三方廠商定制系統(tǒng)在原生代碼上進行界面優(yōu)化或功能拓展，但這些部分可能存在緩沖區(qū)溢出，如小米和華為都存在類似的漏洞，黑客可以通過。應用層指令遠程控制，由于一些遠程指令基于應用層的http協(xié)議，傳統(tǒng)的靜態(tài)檢測與動態(tài)檢測智能檢測已知的行為。

（2）硬件漏洞

某些漏洞存在于硬件，高通芯片曾出現(xiàn)名為Quaroot的漏洞影響超過9億臺設備，黑客利用該漏洞課題提權(quán)，該漏洞在無需請求任何權(quán)限情況下獲取設備最高權(quán)限，為用戶安裝惡意應用，竊取數(shù)據(jù)，控制移動終端。由于該漏洞存在于硬件，可以影響底層的內(nèi)部通信模塊、內(nèi)核匿名內(nèi)存共享模塊、核心圖像支持模塊，因此可以影響整臺設備，很難及時的清除或只能更換設備。服務器端若安裝較低版本的windows或linux系統(tǒng)也存在緩沖區(qū)溢出，或者來自于第三方軟件的漏洞威脅。

2.2 EMM自身漏洞利用

（1）軟件漏洞利用

安全廠商提供的軟件也會存在漏洞,如三星EMM解決方案KNOX存在漏洞，黑客通過短信,郵箱等方式通知用戶存在更新，誘騙他們點擊構(gòu)建的URL,由于KNOX未對下載的移動應用進行驗證也未對構(gòu)建的URL為進行加密或驗證，因此在URL執(zhí)行時存在被第三方替換的風險,對于未知應用安裝時也沒有展示請求權(quán)限列表,因此這個程序可用來在不知情的情況下安裝惡意程序或執(zhí)行惡意指令。移動端設備的型號和系統(tǒng)版本繁多,某些廠商的適配功能做的不完善,一些核心功能無法全部啟用也會增加風險。

（2）網(wǎng)絡風險利用

服務器端的管理系統(tǒng)也存在xss、sql注入等漏洞,從而泄露核心數(shù)據(jù)庫的數(shù)據(jù)，致使安全軟件可能成為企業(yè)的最大風險。由于部分核心功能服務器存位于企業(yè)內(nèi)網(wǎng)，很容易遭受內(nèi)網(wǎng)其他肉雞的網(wǎng)絡攻擊,易遭受ddos攻擊有可能使EMM系統(tǒng)癱瘓。某些通訊過程未經(jīng)過證書驗證,則存在中間人利用，黑客可通過跳板直接操縱管理端,導致整個企業(yè)的移動設備收到監(jiān)控,核心數(shù)據(jù)泄露。

3 針對EMM攻擊的檢測方法

3.1 靜態(tài)代碼檢測

靜態(tài)檢測可以快速根據(jù)檢測終端應用的靜態(tài)特征，匹配是否含有惡意特征，提取特征需要反編譯，對于一些混淆和加密過的代碼無法檢測。文獻[3]提出通過控制流技術(shù)構(gòu)建程序的執(zhí)行流程，通過數(shù)據(jù)流手機程序的語義，進一步分析程序運行時數(shù)據(jù)傳遞的過程，還可利用動態(tài)污點跟蹤技術(shù)，識別數(shù)據(jù)輸入輸出、隱私數(shù)據(jù)等。通過提取惡意行為的函數(shù)，惡意網(wǎng)址及電話號碼，以及病毒家族的代碼特征如資費消耗、隱私竊取、系統(tǒng)破壞、遠程操控等惡意行為，可從特征字符、二進制、哈希值等層面豐富程序靜態(tài)的特征庫。

3.2 動態(tài)行為檢測

啟發(fā)式動態(tài)監(jiān)測技術(shù)應用廣泛，模擬出虛擬環(huán)境供未知的應用運行，利用提取的規(guī)則通過分析程序的結(jié)構(gòu)和行為來攻擊。可通過監(jiān)控網(wǎng)絡流量、短信收發(fā)、權(quán)限運行、語音撥叫、音視頻操作、系統(tǒng)資源占用等提取出惡意行為，根據(jù)經(jīng)驗或引入專家系統(tǒng)可提取惡意規(guī)則。

可引入機器學習中的關(guān)聯(lián)分析，神經(jīng)網(wǎng)絡分析應用的行為，該方法需要收集病毒樣本，并進行模型訓練后可對未知的應用判定是否存在惡意行為，動態(tài)檢測系統(tǒng)對于性能要求較高很難移植到移動端。

3.3 基于邊界網(wǎng)絡的檢測

EMM環(huán)境面臨高級可持續(xù)的隱蔽攻擊，該攻擊多存在惡意攻擊指令下發(fā)的特征，多數(shù)通過應用層協(xié)議及其他0day漏洞實現(xiàn)遠程控制的功能。文獻[4]提出針對該特性引入邊界網(wǎng)絡檢測的技術(shù)，針對EMM環(huán)境的C&C攻擊不同于傳統(tǒng)網(wǎng)絡，指令下發(fā)可通過http、短信、釣魚URL等方式完成，還存在指令下發(fā)周期不定，指令較短且加密，通過把攻擊分為滲入網(wǎng)絡，傳播惡意應用，隱蔽指令下發(fā)，竊取資料四個步驟，并結(jié)合動態(tài)檢測的機器學習模型,對未知的C&C攻擊進行抵御。結(jié)合蜜罐技術(shù),在內(nèi)網(wǎng)架設虛擬Android設備供黑客攻擊可以緩解EMM環(huán)境下的風險。

4 結(jié)語

EMM系統(tǒng)在醫(yī)院、銀行等等越來越多的場景使用，更多的智能終端，甚至比如iwatch、三星智能手表、智能家居等智能硬件都會被接入企業(yè)內(nèi)網(wǎng)，獲取企業(yè)核心數(shù)據(jù)，需要新的模式來應對。通過傳統(tǒng)的靜態(tài)動態(tài)監(jiān)測結(jié)合邊界網(wǎng)絡檢測技術(shù)可以緩解智能終端來自遠程指令的威脅。隨著虛擬化技術(shù)的興起，EMM系統(tǒng)也在進步，深化權(quán)限管理、企業(yè)數(shù)據(jù)個人數(shù)據(jù)的隔離，開發(fā)企業(yè)桌面等底層定制的功能，可以為終端安全保駕護航，但攻擊技術(shù)也在不斷加強，Android內(nèi)核漏洞、第三方系統(tǒng)的漏洞無法避免，還需要我們時刻加強防范做好應急響應。

[1]Thanh H L.Analysis of Malware Families on Android Mobiles:Detection Characteristics Recognizable by Ordinary Phone Users and How to Fix It[J].Journal of Information Security,2013.

[2]Jiang X,Zhou Y.Dissecting Android Malware： Characterization and Evolution[C]//IEEE Symposium on Security & Privacy.IEEE,2012.

[3]胡全，莫秀良，王春東.基于Markov鏈模型的Android平臺惡意APP檢測研究[J].天津理工大學學報，2016.

[4]Wang X，Zheng K，Niu X，et al.Detection of command and control in advanced persistent threat based on independent access[C]// ICC 2016 - 2016 IEEE International Conference on Communications,2016.