◆胡 彬

（天津理工大学聋人工学院 天津 300384）

EMM环境下移动终端风险与检测研究

◆胡 彬

（天津理工大学聋人工学院 天津 300384）

随着移动端的安全日益受到重视，企业引入EMM系统提升移动端的管理，但有一些针对EMM的独特攻击方法，也为企业移动设备管理系统引入了新的风险。传统的动态和静态检测方法可以检测已知的风险且存在检测不准确等问题。对于长期、隐蔽的新型持续攻击方法很难检测，针对该攻击多数存在恶意的远程命令执行特性，引入边界网络检测的方法，完善现有的检测措施，提升企业EMM环境下的移动终端安全。

边界网络检测; 动态检测; 静态检测; 移动设备管理

0 前言

随着移动端的安全日益受到重视，企业引入EMM系统提升移动端的管理，但有一些针对EMM的独特攻击方法，也为企业移动设备管理系统引入了新的风险。传统的动态和静态检测方法可以检测已知的风险且存在检测不准确等问题。文献[1]提出对于长期、隐蔽的新型持续攻击方法很难检测，针对该攻击多数存在恶意的远程命令执行特性，引入边界网络检测的方法，完善现有的检测措施，提升企业EMM环境下的移动终端安全。

1 EMM架构分析

首先分析国内如国信灵通，国外如三星KNOX等主流EMM产品的系统架构和主要功能为分析风险做准备。

1.1 EMM架构构成

EMM系统由企业移动管理服务器、安全推送服务器、移动安全接入组件构成，安全推送服务器处于公网，核心管理服务器，安全推送服务器处于内网。内网还应存在LDAP、邮件、文档等提供企业功能的服务器。管理服务器是EMM的核心，与企业内的先关服务对接并提供策略、指令、资源管理; 部分管理服务器位于云端，由厂商直接提供终端管理服务给客户。终端侧只需安装客户端软件即可，对于部队或政府部门还需运营商部署专网。

1.2 EMM主要功能（1）终端主要功能

EMM终端主要功能是作为服务器端的探针，可以提供个人与企业数据隔离，还可监控用户的地理位置，使用情况如耗电、流量、是否丢失等，还监控用户的通讯行为如打电话发送短信的频率。客户端还配合完成策略管理，接受服务端的指令，接受并下发管理策略如地理围栏、锁屏、淘汰设备、报警等指令。应用管理功能包括应用黑白名单管理，应用检测，企业应用商店，从应用的来源一定程度监管设备。

（2）服务端主要功能

EMM服务端为用户和管理员提供管理和统计的功能。普通用户可以通过浏览器登录管理界面对远程设备进行锁定，查看，方便设备丢失时快速定位等功能。管理员用户可对企业内的所有设备的生命周期有效的管理，从上线、使用、注销、淘汰甚至丢失实时监控; 还可对任意单个设备或某群组下发配置策略或强制命令，配置策略包括时间、地理围栏、可使用的功能、可用和禁用的应用列表、设备权限等。

引入EMM能有效的过滤低水平的恶意攻击，EMM使终端安全由保护设备到保护数据，包括控制企业数据如何在应用间流动，和保障数据处于静止和移动状态的安全。但是对于针对性强的恶意攻击者，其实引入了新的攻击入口。

2 EMM面临的风险分析

移动终端安全已经引起企业的注意，针对大型网络环境的攻击技术也不断升级，目前较为流行的是针对特定团体的长期隐蔽的高级可持续攻击方式，针对手机也可以通过http协议远程下发指令，并且长期隐藏，窃取用户信息作为攻击企业的跳板。随着移动终端在工作中的日益重要，某些企业会采用新型的安全产品如EMM来巩固企业信息安全。使移动设备管理更加集中，但也引入了一些不安全因素，文献[2]提出黑客利用这些漏洞仍能进行APT攻击，目前EMM环境下主要存在以下的问题。

2.1 底层漏洞利用

（1）系统漏洞

目前针对手机的远程指令主要有监听短消息，获取通讯录，通话内容，微信。每个版本的Android系统都会存在底层漏洞，如4.4版本及以下存在webview控件漏洞，由于底层代码未对某些关键部分进行过滤或存在缓冲区溢出，内核级别的漏洞导致黑客可以远程恶意执行指令无法避免。还有些第三方厂商定制系统在原生代码上进行界面优化或功能拓展，但这些部分可能存在缓冲区溢出，如小米和华为都存在类似的漏洞，黑客可以通过。应用层指令远程控制，由于一些远程指令基于应用层的http协议，传统的静态检测与动态检测智能检测已知的行为。

（2）硬件漏洞

某些漏洞存在于硬件，高通芯片曾出现名为Quaroot的漏洞影响超过9亿台设备，黑客利用该漏洞课题提权，该漏洞在无需请求任何权限情况下获取设备最高权限，为用户安装恶意应用，窃取数据，控制移动终端。由于该漏洞存在于硬件，可以影响底层的内部通信模块、内核匿名内存共享模块、核心图像支持模块，因此可以影响整台设备，很难及时的清除或只能更换设备。服务器端若安装较低版本的windows或linux系统也存在缓冲区溢出，或者来自于第三方软件的漏洞威胁。

2.2 EMM自身漏洞利用

（1）软件漏洞利用

安全厂商提供的软件也会存在漏洞,如三星EMM解决方案KNOX存在漏洞，黑客通过短信,邮箱等方式通知用户存在更新，诱骗他们点击构建的URL,由于KNOX未对下载的移动应用进行验证也未对构建的URL为进行加密或验证，因此在URL执行时存在被第三方替换的风险,对于未知应用安装时也没有展示请求权限列表,因此这个程序可用来在不知情的情况下安装恶意程序或执行恶意指令。移动端设备的型号和系统版本繁多,某些厂商的适配功能做的不完善,一些核心功能无法全部启用也会增加风险。

（2）网络风险利用

服务器端的管理系统也存在xss、sql注入等漏洞,从而泄露核心数据库的数据，致使安全软件可能成为企业的最大风险。由于部分核心功能服务器存位于企业内网，很容易遭受内网其他肉鸡的网络攻击,易遭受ddos攻击有可能使EMM系统瘫痪。某些通讯过程未经过证书验证,则存在中间人利用，黑客可通过跳板直接操纵管理端,导致整个企业的移动设备收到监控,核心数据泄露。

3 针对EMM攻击的检测方法

3.1 静态代码检测

静态检测可以快速根据检测终端应用的静态特征，匹配是否含有恶意特征，提取特征需要反编译，对于一些混淆和加密过的代码无法检测。文献[3]提出通过控制流技术构建程序的执行流程，通过数据流手机程序的语义，进一步分析程序运行时数据传递的过程，还可利用动态污点跟踪技术，识别数据输入输出、隐私数据等。通过提取恶意行为的函数，恶意网址及电话号码，以及病毒家族的代码特征如资费消耗、隐私窃取、系统破坏、远程操控等恶意行为，可从特征字符、二进制、哈希值等层面丰富程序静态的特征库。

3.2 动态行为检测

启发式动态监测技术应用广泛，模拟出虚拟环境供未知的应用运行，利用提取的规则通过分析程序的结构和行为来攻击。可通过监控网络流量、短信收发、权限运行、语音拨叫、音视频操作、系统资源占用等提取出恶意行为，根据经验或引入专家系统可提取恶意规则。

可引入机器学习中的关联分析，神经网络分析应用的行为，该方法需要收集病毒样本，并进行模型训练后可对未知的应用判定是否存在恶意行为，动态检测系统对于性能要求较高很难移植到移动端。

3.3 基于边界网络的检测

EMM环境面临高级可持续的隐蔽攻击，该攻击多存在恶意攻击指令下发的特征，多数通过应用层协议及其他0day漏洞实现远程控制的功能。文献[4]提出针对该特性引入边界网络检测的技术，针对EMM环境的C&C攻击不同于传统网络，指令下发可通过http、短信、钓鱼URL等方式完成，还存在指令下发周期不定，指令较短且加密，通过把攻击分为渗入网络，传播恶意应用，隐蔽指令下发，窃取资料四个步骤，并结合动态检测的机器学习模型,对未知的C&C攻击进行抵御。结合蜜罐技术,在内网架设虚拟Android设备供黑客攻击可以缓解EMM环境下的风险。

4 结语

EMM系统在医院、银行等等越来越多的场景使用，更多的智能终端，甚至比如iwatch、三星智能手表、智能家居等智能硬件都会被接入企业内网，获取企业核心数据，需要新的模式来应对。通过传统的静态动态监测结合边界网络检测技术可以缓解智能终端来自远程指令的威胁。随着虚拟化技术的兴起，EMM系统也在进步，深化权限管理、企业数据个人数据的隔离，开发企业桌面等底层定制的功能，可以为终端安全保驾护航，但攻击技术也在不断加强，Android内核漏洞、第三方系统的漏洞无法避免，还需要我们时刻加强防范做好应急响应。

[1]Thanh H L.Analysis of Malware Families on Android Mobiles:Detection Characteristics Recognizable by Ordinary Phone Users and How to Fix It[J].Journal of Information Security,2013.

[2]Jiang X,Zhou Y.Dissecting Android Malware： Characterization and Evolution[C]//IEEE Symposium on Security & Privacy.IEEE,2012.

[3]胡全，莫秀良，王春东.基于Markov链模型的Android平台恶意APP检测研究[J].天津理工大学学报，2016.

[4]Wang X，Zheng K，Niu X，et al.Detection of command and control in advanced persistent threat based on independent access[C]// ICC 2016 - 2016 IEEE International Conference on Communications,2016.