7月16日,由360承辦的2014亞洲知名安全技術峰會SyScan360強勢登陸北京。會上,來自360的90后安全研究員申迪現場展示了利用Bootkit攻擊技術攻破安卓手機的視頻,引起與會者的極大興趣。據悉,為期兩天的SyScan360共有數百位全球知名安全技術專家及頂級安全極客在現場分享最新信息安全技術成果。
2013年,安卓平臺不死木馬(Oldboot)的出現,給安全廠商帶來不小挑戰。申迪介紹,首先,Android平臺惡意程序被刷入手機ROM,刪除這類惡意程序必須獲取root權限。此外,比安全軟件更早啟動也給安全軟件查殺這類惡意程序帶來挑戰。第三個挑戰則是惡意程序容易檢測但難以清除。正因如此,Android平臺惡意程序利用手機預裝或內核漏洞獲取root權限、采用更早啟動、更強的自我保護技術將成為一種趨勢。
數據顯示,2014年一季度360互聯網安全中心共截獲Android平臺新增惡意程序樣本21.53萬個,較2013年同期的9.96萬個增長116%,共監測到Android用戶感染惡意程序3791萬人次,同比增長48.8%。一年來,360首席科學家蔣旭憲教授持續發現了Android系統多個高危系統漏洞,安卓系統安全問題不容忽視。
申迪表示,更為高級bootkit攻擊技術會比Oldboot具有更大威脅。通過動態感染、在系統內核中完成自我隱藏等手段,無需預裝到ROM中就可以實現對Android的惡意攻擊。采用bootkit攻擊技術能夠產生更嚴重的感染,難以清除,然而這些技術都已經被破解。
此外,360手機安全專家陳章琪還介紹一套強兼容性的內核模塊加載技術,開發內核模塊并非易事,拿不到設備源代碼、內核對模塊的檢查以及內核版本差別都讓開發內核模塊十分困難。然而,采用繞過內核檢查等手段,并通過隱藏bootkit蹤跡、驅動模塊以及被感染的部分可以讓編譯出來的內核模塊正常運行。
接下來,申迪通過視頻展示了內核模塊加載的視頻,引起了與會者的極大興趣,并就bootkit攻擊技術、防御隱藏技術等問題和與會者進行了討論。據介紹,陳章琪在在Linux內核、驅動、應用開發都有豐富的經驗。申迪則關注安卓平臺的惡意軟件和系統安全問題,擅長逆向工程。
SyScan360前瞻信息安全技術大會是國際知名的信息安全會議之一,自2004年在新加坡首次舉辦以來已成功了22次會議,2012年10月SyScan首次登陸北京,今年SyScan再次攜手中國第一大互聯網安全公司360,合力舉辦2014年的SyScan360國際前瞻信息安全會議。
(新聞稿 2014-07-16)