基于Android OS的移动僵尸网络防护与检测研究初探

摘要：本文首先说明了僵尸网络的构成以及智能设备的发展，其次介绍了基于Android系统的移动僵尸网络，最后提出了抵御基于Android的移动僵尸网络所面临的挑战及解决思路。

关键词：移动僵尸网络；安卓系统

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 （2013） 02-0000-02

1 僵尸网络与智能设备

在安全领域，僵尸网络（botnet）并不新鲜。它是指采用一种或多种传播手段将大量PC感染僵尸程序病毒，从而在控制者和被感染PC之间形成的一个可实现一对多控制的网络。正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这就是僵尸网络攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，僵尸网络充当了一个攻击平台的角色，这也就使得它不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。一般的botnet组成可分为三部份：botherder：下达指令给botnet僵尸网络成员的司令官，为攻击者本身；botclient：被遥控的受害者电脑，受害者通常不会察觉自己已经遭受感染，而成为botnet的一份子；Command and Control server （C&C server）：负责管理控制整个botnet的server，并将botherder的指令传递给botclient。

工信部电信研究院最近的《移动互联网白皮书（2013年）》显示，与计算机产业的摩尔定律相比，移动互联网终端硬件、软件、应用、流量都已6个月的短周期升级或增长。过去几年间，操作系统格局全面翻盘，Android已占到主导地位。当前，便携式智能设备领域正在进行一场及其显著的变革。首先，一些智能手机、智能平板电脑的硬件配置已经超越早期的PC；其次，移动3G与未来的4G在通信容量方面已经接近PC的级别；再次，下一代移动宽带网络的实时在线特性使得移动智能设备的网上应用更加便捷。正是由于这些原因，越来越多的移动网上应用蓬勃发展，比如移动网上商店、手机银行等。也因为如此，这些智能设备也成为了恶意软件的新宠，这不仅会导致隐私泄露，更严重的是网络中会产生大量的恶意流量，造成拥堵甚至崩溃。

2 基于Android OS设备的僵尸网络

与传统桌面操作系统相比，尽管iOS和Android移动设备操作系统在安全性方面有所改进，但仍比较脆弱，无法抵御现有的很多类型攻击。iOS所用的安全模式能有力地抵御传统恶意软件的攻击，这主要得益于苹果公司拥有严格的应用程序认证程序及软件开发者认证程序，通过这些认证，每款软件的作者都有相应身份记录，有利于杜绝恶意攻击软件[1]。谷歌的认证程序则没有那么严格，它允许任何软件开发者在匿名状态下创建和应用程序，而无需接受检测，特别是Android OS开放源代码，任何人可以修改系统甚至是内核代码，这使其比iOS更易受到攻击。日前，研究人员已经发现了由安卓手机组成的僵尸网络来发送垃圾短信[2]。2012年2月，赛门铁克曾就感染设备多达数十万部的Android.Bmaster（又名Rootstrap）过通报。在当时，它是有疫情记录以来最大的移动僵尸网络。不过就在最近，B.master僵尸网络已被最新发现的MDK僵尸网络所超越。赛门铁克的分析指出，MDK特洛伊木马是Android.Backscript的一个新变种，自2012年9月便已侦测到这一系列威胁。MDK的代码与Android.Backscript非常类似，二者还使用相同的APK签名证书。然而，与之前版本不同的是，这个新的变种采用高级加密标准（AES）算法来加密文件中的数据，如服务器和命令。

3 抵御基于Android OS的移动僵尸网络所面临的挑战及其思路

当前，设计一种有效的针对基于Android OS的僵尸网络防护与检测，面临如下几个问题。

3.1 僵尸网络通常利用软件的漏洞或者用户在不知情的情况下在他们的移动设备上运行了恶意软件而开始其生命周期。恶意软件主要通过本地应用进行传播。谷歌的Android应用商店向所有人开放，并且无需安全检查即可应用，这更增加了恶意软件的传播风险。Jeter[3]在现有的安全框架中设计并添加了额外的插件来帮助防止未来可能的攻击。但是，现阶段以下问题依然没有得到令人满意的解决。

1）无法对抗致命的攻击；

2）设备可作为节点攻击其它目标；

3）不能鉴别和抵抗DDoS攻击；

4）恶意软件专门针对守护机制实施的欺骗；

5）用户不理解报警的涵义而不采取恰当的行动；

6）不同的用户对应用程序有着不同的使用与判断。

3.2 针对botnet的对抗总是落后于攻击者。每当我们发现并寻找到一种解决方法来解决botnet，botherder通过修改botclient进行反攻。每次对移动设备进行修复之后，botclient往往又会出现新的变种。Botherder将botclient的通信隐藏在正常通信之中，很难被察觉和禁止，例如MMS和SMS通信，更加增大了定位botclient的难度。此外，他们甚至利用P2P技术来实现回跳，使侦测几乎不可能。

鉴于当前没有一种有效的机制来对抗移动botnet，作者旨在提出一种防御与检测基于Android OS的botnet的思路。研究内容包括如下几个方面：

1）分析Android OS的安全模型与现有针对恶意软件的解决方案，设计一种新的恶意软件防御机制来防止Android OS移动设备感染botclient，并迅速发现安装在设备中的botclient；

2）分析现有与其它潜在的移动botnet及其运作机制，找到其薄弱环节，提出一种有效的botnet防护与检测方法；

3）通过认证与模型仿真，证明此方法有效并在基于Android的移动设备上易于开发与实现。

具体的实施方法有：设置蜜罐；基于主动的网络流量监测与分析；基于签名的检测；异常检测；基于DNS的检测；基于数据挖掘的检测。

参考文献：

[1]Porras， P.， Saidi， H. and Yegneswaran， V.， An analysis of the Ikee.B （Duh） iPhone botnet，2009.

[2]Virus News of Kasperksy Lab， Popular Porn Sites Distribute a New Trojan Targeting Android Smartphones，2010.

[3]Lukas Jeter， Meenakshi Mani and Tia Reinschmidt， Smart Phone Malware： The danger and protective strategies， Mar，2010.

[4]D. C. Nash， T. L. Martin， D. S. Ha， and M. S. Hsiao， Towards an intrusion detection system for battery exhaustion attacks on mobile computing devices， Proceedings of the Third IEEE International Conference on Pervasive Computing and Communications Workshops， pp.141145，2005.

[5]H. Kim， J. Smith， and K. G. Shin， Detecting energy-greedy anomalies and mobile malware variants， Proceeding of the 6th international conference on Mobile systems， applications， and services， pp. 239252， 2008.

[6]Flo，A.R. and Josang， A.， Consequences of Botnets Spreading to Mobile Devices， Proceedings of 14th Nordic Conference on Secure IT Systems， Oslo， 2009.

[7]Yong Li， Pan Hui， Depeng Jin， Li Su and Lieguang Zeng， An optimal distributed malware defense system for mobile networks with heterogeneous devices， Proceedings of Sensor， Mesh and Ad Hoc Communications and Networks （SECON）， 2011， pp.314-322，2011.