从00后攻击金融行业看移动攻防对抗第三阶段

 　　在过去的几年中，伴随移动互联网的发展，移动应用作为越来越多企业最重要的业务渠道之一，发挥着越来越重要的作用。移动应用的业务丰富性、便捷性不断提升，移动安全防护也成为企业安全防护中重要的一个环节。然而最近一个公开案例，又再一次让我们把目光转向了移动安全。

　　2019年10月，只有初中文化的00后田某被福建省厦门市思明区人民法院以非法获取计算机信息系统数据罪判处有期徒刑三年，并处罚金人民币一万元。判决文书表示，田某在2019年1月5日至1月15日期间，通过软件抓包、PS身份证等非法手段，在某银行手机银行App内使用虚假身份信息注册银行Ⅱ、Ⅲ类账户，非法销售获利。2018年5月也曾有类似案例发生，当时黑客发现某银行App软件中的质押贷款业务存在安全漏洞，遂使用非法手段获取了5套该行的储户账户信息，在账户中存入少量金额后办理定期存款，后通过技术软件成倍放大存款金额，藉此获得质押贷款，累计非法获利2800余万元。

　　笔者就这两次攻击事件采访了梆梆安全移动安全攻防实验室高级研究员谭阳，谭阳表示，这两起案件里的黑客行动从本质上来讲其核心指向的攻击就是：非授权恶意渗透测试+前端数据造假。

　　金融行业作为目前对于安全要求极高的行业之一，一直以来走在攻防对抗的前线。从移动安全防护本身来讲，金融行业在移动安全防护中已经采取了众多安全手段，如安全加固、渗透测试、安全键盘等，甚至更多的企业建立了完善的业务风控或反欺诈的保护机制。在攻防对抗不断提升的大背景下，这类事件的发生，所有人都想问一个问题：作为安全防护等级要求已经很高的金融行业，为什么还会出现这类事件?除了金融行业是攻击者关注的重点行业外，其最重要的一个方面是移动安全攻防对抗进入了新阶段：动态安全对抗阶段。

　　谭阳介绍说，当前移动安全攻防主要经历了三个阶段：静态保护阶段、业务安全阶段以及当前最新的动态安全对抗阶段。

　　移动安全攻防对抗的第一阶段：静态保护阶段

　　在过去的很长一段时间，移动安全的攻防对抗，仍然停留在静态保护和破解之间的对抗，来回交手数次，攻击者门槛和成本逐渐提升。防御者一般会：

　　1. 通过应用加固，防止黑客破解应用，分析业务逻辑找出漏洞或绕过安全控制措施，或进行篡改二次打包;

　　2. 通过安全键盘，防止用户输入账号密码被窃取;

　　3. 通过渗透测试/代码审计，尽可能的找出业务缺陷并在发布前修复掉;

　　4. 通过密钥白盒，保证本地密钥存储的安全性;。

　　移动安全的第二阶段：业务安全阶段

　　业务安全阶段最典型的特征就是通过制定专家规则或者利用机器学习技术，分析各类交易行为数据，试图找出各种违反规则或者异常交易行为，防御者一般会：

　　1、 通过业务规则，从IP、地理位置、设备、身份证、手机号等多个维度制定业务规则，防止薅羊毛、刷单、批量开卡等业务交易行为;

　　2、 通过模型，利用机器学习及关联分析，找出异常可疑交易行为。

　　通过第一阶段和第二阶段的保护，绝大部分移动应用的安全防护达到了一个新的高度，攻击者的攻击门槛和攻击成本也在显著提升。然而攻防对抗总是在不断的提升，攻击者正在另辟蹊径，寻求产出投入比更好的攻击路径。移动安全攻防对抗也随之逐步进入第三阶段：动态安全防护阶段。

　　在动态安全防护阶段中，攻击者的典型特征表现为：

　　1、 充分利用业务漏洞的普遍性：在传统的静态安全保护中，渗透测试本质上是用来降低业务漏洞带来的影响。但渗透测试对渗透测试人员的依赖度过高，且无法保证所有的业务漏洞都被找到，而自动化检测技术则无法达到人工的深度，加之业务迭代更新快速，无法保证每个版本都进行人工渗透测试。这些都导致了业务系统会有很大几率存在潜藏、尚未被及时发现的安全漏洞。

　　2、 非授权渗透测试的便捷性：在第一阶段和第二阶段的防护中，无法鉴别和阻止非授权渗透测试行为，这个给黑客攻击者制造了天然的攻击条件。

　　3、 前端数据造假的低门槛：利用一些成熟的黑客攻击软件，能够相对容易的实现终端设备信息造假、终端位置信息造假、影音数据造假。

　　谭阳提出，在这个攻防对抗的提升过程中，防守方目前处于弱势，主要表现在几个方面：

　　1、 在无法确保业务缺陷被完全消除的情况下，现有安全措施无法有效防御未经授权渗透测试行为;

　　2、 在终端数据造假的低门槛下，无法保证前端采集数据的真实性;

　　3、 对于依赖于前端执行的某些业务规则，无法保证是否正常执行或被绕过，如拍照(绕过拍照上传一张本地PS照片)、OCR识别(绕过OCR识别填写任意信息)等。

　　在这个大背景下，中国人民银行在2019年发布的《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》银发【2019】237号文中，已经再一次明确要求：各金融机构要建立健全客户端软件风险监测管理机制，充分利用客户端软件风险监测平台，识别和处置客户端软件潜在的安全漏洞、权限滥用、信息泄露等风险隐患，对发现的漏洞和潜在的风险及时采取补救措施。237号文的发布，是金融行业移动安全走向第三阶段的重要标志。谭阳认为，在第三个阶段的动态安全防护的对抗过程中，以下几方面的能力获取对于防守方而言显得尤为重要：

　　1、 静态保护闭环监测能力：对于传统的加固、安全键盘等静态保护手段，需要监测其是否遭受攻击，是否还有效;

　　2、 终端环境可信检测能力：对于系统环境风险、恶意软件风险、终端数据造假等情况的检测预警能力;

　　3、 非授权渗透测试行为监测能力：及时发现终端非授权渗透测试行为，及时作出预警和处置;

　　4、 终端恶意违规行为监测能力：及时发现绕过拍照、OCR识别等前端业务逻辑的恶意使用行为;

　　5、 持续的攻防对抗监测能力提升：能够及时针对攻击方式的转变，及时分析攻击路径，提升监测对抗能力。

　　攻防对抗不断提升是整个安全发展的必然趋势，唯有安全厂商与客户一起同步能力提升，才能有效应对新形势下的安全挑战。