YD/T 3483-2019 移动智能终端恶意代码处理指南.pdf
- 文档部分内容预览:
端虫是一种通过网络自我传播的移动智能终端恶意代码,它最大的特性就是利用移动智能终端操作 系统和应用程序所提供的功能或漏洞主动进行攻击。这是一种恶意代码技术和黑客技术结合的产物,可 以在短时间内通过蓝牙(BT)或彩信(MIMS)等途径蔓延至整个网络,造成用户财产损失和系统资源 的消耗。其主要特征如下。 a)结合黑客技术:虫入侵后,能够在宿主移动智能终端设备中留下后门等黑客工具。 b)传染方式多:蠕虫可利用的传播途径包括移动智能终端系统的漏洞、文件、电子邮件、网络共 享等。 c)破坏性强:一般情况下,蠕虫的破坏性主要体现在占用网络带宽资源,轻则降低移动智能终端 网络的通信速度,影响工作效率,重则破坏系统资源,造成网络系统瘫。
YD/T34832019
木马是一种特殊的移动智能终端恶意代码。其主要特征如下。 a)隐蔽性:隐蔽性主要体现在木马程序不产生图标及不出现在任务管理器中,移动智能终端用户 不易发现。 b)自启动性:木马可能潜伏在系统的启动配置文件、注册表中,随移动智能终端开机而自动运行。 c)欺骗性:木马程序经常使用与常见文件名或扩展名类似的名字,或者仿制一些不易被区分的文 件名(例如,字母1和数字1,字母0和数字0),达到欺骗性目的。 d 自动恢复功能:很多木马程序中的功能模块不是由单一文件组成且分散存储的,这些分散的文 件可以相互恢复,以提高存活能力
流氓软件指采用特殊手段频紧弹出产告窗口,危及用户隐私,严重干扰移动智能终端用户的正常工 车、数据安全和个人隐私的一类移动智能终端恶意代码。其主要特征如下。 a)强迫性安装:包括不经用户许可自动安装,不给出明显提示以欺骗用户安装,反复提示用户安 装、使用户不厌其烦而不得不安装等。 b)无法卸载:包括正常手段无法卸载、无法完全卸载、不提供卸载程序或者提供的卸载程序不能 使用等。 c)干扰正常使用:包括频繁弹出广告窗口,引导用户使用某些功能等。 d)具有恶意行为和黑客特征:包括窃取用户信息、耗费机器资源等
公路标准规范范本4.2移动智能终端典型恶意代码威胁
移动智能终端恶意代码通常具有恶意扣费, 远程控制、恶意传播、资费消耗、系统 秀骗欺诈、流氓行为等行为属性。这些行为属性不仅损害用户利益,而且威胁国家安全。
发动攻击,通过感染、劫持、篡改、删除、终止程序 导致移动智能终端整体或某些功能无法正常使用,干扰、破坏、阻断移动通信网络、网络服务或 法业务正常运行,造成系统破坏;获得终端的控制权,在用户不知情的情况下,通过隐蔽执行、
YD/T3483=2019
进行监测、分析、通报,协调处置传播服务器、控制服务器和攻击源。 监测中心应与基础电信运营企业、恶意代码防范软件厂商、应用商店运营企业等共同协作对移动智 能终端恶意代码进行监测,监测中心应具备跨不同企业移动互联网的监测能力。 监测中心应汇总用户提交、基础电信运营企业报送、监测网络捕获和其他渠道获得的疑似恶意代码 样本,依据YD/T2439一2012进行分析、认定和命名,并且在工信部保(2011)545号《移动互联网恶 意程序监测与处置机制》第九条规定的时间内,将认定结果和处置建议反馈给相关部门。 监测中心应留存所检测和处置移动智能终端恶意代码的相关数据或资料,以备查验
5.1.2基础电信运营企业
基础电信运营企业负责报送移动智能终端恶意代码疑似样本,对监测中心认定通报的移动智能终端 恶意代码进行监测、处置和反馈,为本企业所服务的用户提供信息提示和查杀技术咨询。 基础电信运营企业应与移动智能终端恶意代码监测中心协作对移动智能终端恶意代码进行监测,基 础电信运营企业应具备覆盖本企业网内的监测处置能力。 基础电信运营企业自主捕获或从其他渠道获得疑似恶意代码样本,应于发现后进行初步分析并提出 命名建议,在工信部保(2011)545号《移动互联网恶意程序监测与处置机制》第九条规定的时间内, 将样本和分析结果报送监测中心。 基础电信运营企业应通过自有的移动智能终端恶意代码监测处置平台采取处置措施,并对本企业所 服务的用户提供信息提示和查杀技术咨询。 基础电信运营企业应留存所检测和处置移动智能终端恶意代码的相关数据或资料以备查验
5.1.3恶意代码防范软件厂商
恶意代码防范软件厂商需对恶意代码进行分析,升级恶意代码特征库以及扫描引擎等,并将恶意代 码的防范建议公布给用户。 恶意代码防范软件厂商需与移动智能终端恶意代码监测中心、基础电信运营企业协作对移动智能终 端恶意代码进行监测。恶意代码防范软件厂商应具备跨不同企业移动互联网的监测能力。 恶意代码防范软件厂商获得样本后即应组织专业人员分析该样本,分析的结果包括:该恶意代码的 制作技术、恶意代码的特征代码、恶意代码的清除方法、恶意代码的防范建议等。针对该恶意代码的防 范建议及其工作原理将通过特定的媒体发布给公众,以防止该恶意代码进一步传播。 恶意代码防范软件广商测试新恶意代码特征码的可用性后,需及时有效升级自已的恶意代码特征库 使自己的软件具有防范该种新恶意代码的能力。 必要时还需升级扫描引擎
5.1.4应用商店运营企业
YD/T34832019
移动应用商店安全监测与处置平台在接收数据后,应对数据的有效性进行验证,若符合规范终 立对数据进行相关处理并反馈结果
5.1.5互联网域名注册管理和服务机构
互联网域名注册管理机构和注册服务机构负责对恶意代码检测中心通报的由自身管理的恶意域名 进行处置。 互联网域名注册管理机构和注册服务机构应对移动互联网恶意程序控制服务器和传播服务器使用 的恶意域名进行处置。 互联网域名注册管理机构和注册服务机构应留存所监测和处置的移动互联网恶意程序相关数据或 资料以备查验。 互联网域名注册管理机构和注册服务机构应保护用户正当权益,加强用户信息保护,建立用户投诉 机制,妥善解决用户争议。
5.2移动智能终端恶意代码的检测
5.2.1检测工具和资源
b)用来分析恶意代码的软件和硬件工
YD/T34832019
1)移动智能终端和笔记本电脑:笔记本电脑可用作提供便携式工作站,用于分析数据和嗅探 包。 2)备用工作站、服务器、网络设备:可以用来在孤立的环境中测试恶意代码;为减少设备投 资,可考虑使用测试实验室中的设备,或者使用操作系统仿真软件建立虚拟实验室。 3)空白的存储介质,入光盘:用来保存和传输恶意代码样本和其他需要的文件。 4)包膜探器和协议分析仪:针对可疑的恶意代码活动,抓取数据包和分析网络流量。 5)最新的可信版本操作系统可执行分析工具:用来检测可能存在恶意代码感染的操作系统 (例如,防病毒软件、间谍软件检测和清除工具、系统管理工具、网络取证工具)。 c)用于清除恶意代码的软件工具 1)传播媒介,包括操作系统及应用程序。 2)操作系统和应用程序供应商提供的安全补丁。 3)光盘镜像软件,操作系统、应用程序、存储在辅助媒介中数据的备份镜像。
移动智能终端恶意代码具有隐蔽性和再生性强、易传播、发作快、危害严重等特点,需及时对移动 智能终端的恶意代码进行识别和判定。针对目前使用的几种常用检测方法,本标准列举如下。
基于特征码检测是指从已知恶意应用中提取若干段具有唯一性、固定性的字节代码作为特征码,形 成恶意代码特征库,通过扫描对比特征库来检测恶意代码。 基于特征码检测具有准确性高、误报率低等优点;其缺点是无法检测到未知病毒,并且需要不断维 护和更新恶意代码库。
5.2.2.2基于代码分析检测
基于代码分析检测是指在不运行代码的方式下,通过语法分析、语言结构分析和数据流分析等技未 来对程序代码进行扫描分析。这种方法利用反编译工具,通过逆尚工程等手段,从而得到应用的源码、 配置文件各种资源文件等,通过分析语义和逻辑流程,还原出主要功能和流程,从而检测是否存在恶意 行为。 基于代码分析检测具有速度快、实时性要求低、低风险和高效率等优点;其缺点是对于经过自修改 或者加壳加密技术处理的恶意软件,检测率和误报率较低,
5.2.2.3基于行为监视检测
基于行为监视检测是指在严格控制的环境中(如沙盒、虚拟机、物理隔绝的主机等)执行软件的安 装和运行等操作,通过对行为状况的分析来检测软件是否具有窃取隐私、吸费、非法内容传播等恶意行 为。 基于行为监视检测能实时监控待测应用运行过程中的各种行为,并详细记录相关的操作和数据,其 监测结果更加真实、可信;缺点是对实时性的要求较高,能耗较大,并且存在危害测试环境的危险,在
YD/T3483—2019
上定程度上降低了检测结果的准确性
5.2.3.1防恶意代码能力
5.2.3.2检测和清除恶意代码能力
5.2.3.2.1检测恶意代码能力
D/T2848.22015中7.2
5.2.3.2.2清除恶意代码能力
D/T2848.2—2015中7.2
5.2.3.2.3恶意代码误报率
见YD/T2848.2—2015中7.2.c。
5.2.3.2.4备份能力
清除恶意代码时,应具有对恶意代码事件日志和恶意代码样本备份的能力。
5.2.3.2.5更新能力
5.2.3.2.6实时监控能力
移动智能终端恶意代码检测产品应具备开机自启动保护移动智能终端安全的能力,并支持由 主选择是否开启。
5.2.3.3产品兼容性
能终端恶意代码检测产品需具备适配多种移动智
5.2.3.4产品扫描性能
移动智能终端恶意代码检测产品应具备计划扫描、选择路径扫描、整机扫描、内存扫描的能力农业标准,并 且各类扫描时间需控制在几分钟内。
5.2.3.5扫描引擎性能
YD/ 34832019
扫描引擎在不需要联网的条件下能够快速对移动智能终端已安装的软件和即将安装的软件进行快 速病毒查杀,第一时间保护移动智能终端的安全。同时,在用户允许的前提下,终端可以联网将本地的 软件信息及行为特征上传到云端服务器,服务器根据所上传的信息进行精准的病毒特征信息扫描和研判 将最终云查杀结果返回给终端。
5.3移动智能终端恶意代码的清除
移动智能终端恶意代码清除策略的主要任务是清除被感染系统内的恶意代码,但不局限于此。如果 感染是由于系统漏洞或其他安全缺陷引起的,比如不安全的文件共享,那么清除工作还应包括修复系统 快陷,防止系统再次感染。恶意代码的清除主要可分为手动清除和自动清除两种方法。 手动清除方法是指借助于对某种恶意代码的具体认识,使用某些简单工具从感染恶意代码的文件中 摘取恶意代码,使之复原。 自动清除方法是指使用查杀软件自动清除恶意代码并使之复原的方法。自动清除方法操作简单、效 率高、风险小。 恶意代码的清除通常是从手工清除开始,获取一定经验后再研制成相关的软件产品,使移动智能终 端自动完成全部清除工作。当恶意代码破坏性很强,影响了系统功能和数据时,需重建系统或从一个完 好的备份中恢复系统,并采取安全措施以保证系统不会再次感染。
pvc标准YD/T3483—2019
....- 相关专题: 智能终端