7月16日,由360承办的2014亚洲知名安全技术峰会SyScan360强势登陆北京。会上,来自360的90后安全研究员申迪现场展示了利用Bootkit攻击技术攻破安卓手机的视频,引起与会者的极大兴趣。据悉,为期两天的SyScan360共有数百位全球知名安全技术专家及顶级安全极客在现场分享最新信息安全技术成果。
2013年,安卓平台不死木马(Oldboot)的出现,给安全厂商带来不小挑战。申迪介绍,首先,Android平台恶意程序被刷入手机ROM,删除这类恶意程序必须获取root权限。此外,比安全软件更早启动也给安全软件查杀这类恶意程序带来挑战。第三个挑战则是恶意程序容易检测但难以清除。正因如此,Android平台恶意程序利用手机预装或内核漏洞获取root权限、采用更早启动、更强的自我保护技术将成为一种趋势。
数据显示,2014年一季度360互联网安全中心共截获Android平台新增恶意程序样本21.53万个,较2013年同期的9.96万个增长116%,共监测到Android用户感染恶意程序3791万人次,同比增长48.8%。一年来,360首席科学家蒋旭宪教授持续发现了Android系统多个高危系统漏洞,安卓系统安全问题不容忽视。
申迪表示,更为高级bootkit攻击技术会比Oldboot具有更大威胁。通过动态感染、在系统内核中完成自我隐藏等手段,无需预装到ROM中就可以实现对Android的恶意攻击。采用bootkit攻击技术能够产生更严重的感染,难以清除,然而这些技术都已经被破解。
此外,360手机安全专家陈章琪还介绍一套强兼容性的内核模块加载技术,开发内核模块并非易事,拿不到设备源代码、内核对模块的检查以及内核版本差别都让开发内核模块十分困难。然而,采用绕过内核检查等手段,并通过隐藏bootkit踪迹、驱动模块以及被感染的部分可以让编译出来的内核模块正常运行。
接下来,申迪通过视频展示了内核模块加载的视频,引起了与会者的极大兴趣,并就bootkit攻击技术、防御隐藏技术等问题和与会者进行了讨论。据介绍,陈章琪在在Linux内核、驱动、应用开发都有丰富的经验。申迪则关注安卓平台的恶意软件和系统安全问题,擅长逆向工程。
SyScan360前瞻信息安全技术大会是国际知名的信息安全会议之一,自2004年在新加坡首次举办以来已成功了22次会议,2012年10月SyScan首次登陆北京,今年SyScan再次携手中国第一大互联网安全公司360,合力举办2014年的SyScan360国际前瞻信息安全会议。