年终终结模板汇编2

安全研究中心2013

年度总结汇报者：王宇，张鸿江，阿曼太，张旭时间：2014年1月运营研究中心

部门介绍汇报者：运营研究中心王宇贾凯王文娟

团队人员CNVD运维组3漏洞分析与运营部移动安全研究部安全研究中心王宇公司副总29阿曼太部门总监23张旭部门经理7组长：张旭（兼）陈元诗组长：王莉宋金苓梁健芳CNVD分析组1驻场工程师组1刘鹏

PM移动集团

马宏谋

PM

北京CNCERT邓俊PM南京移动蔚卓林

PM南京移动游戏基地高军PM甘肃移动钟健

PM宁夏移动孔哲

PM电信集团石亚彬北京CNCERT祁海

南京

景浩亮

南京黄国振

移动集团

延金福移动集团

蒋胜友移动集团成堂全

移动集团

董宇奇

移动集团

杨朝欣引擎开发、技术研究郭亮引擎开发、技术研究引擎研发组2李君生

协议分析孙冀川协议分析刘坤

协议分析协议分析组3祝晓波部门经理(TL)史跃虎部门副经理(TL)病毒组15产品移动互联网病毒在线预判平台（文件扫描引擎，静态代码审计，动态沙箱）公司网络侧反病毒类产品特征库支持公司终端侧反病毒类产品特征库支持服务病毒及不知情订购分析（驻场）服务CNVD国家漏洞库运维服务漏洞验证和安全检查服务安全保障（驻场）及信息通报服务基础研究网络攻防及漏洞发现与利用研究漏洞库标准及运营模式探索病毒检测与查杀技术研究反病毒类技术的产品孵化业务介绍支撑支撑三大运营商CNCERT公安，保密局服务于三大运营商CNCERT应用于移动安全研究部

2013年工作回顾汇报者：安全研究中心阿曼太知识库建设-样本分析截至2013年底，累计捕获入库移动互联网恶意程序样本及特征共计159282个（MD5值不同），分析样本数量10147个。2013年新增移动互联网恶意程序样本及特征共计145925个（MD5值不同），较去年13357个新增132568个，增长率高达992.5%。2013年分析样本数量为10147个，较去年5934个新增4213个。增长率高达71%。样本分析判定为手机病毒的为4225个,特征入库为4225个,增长率为227.64%，取得了重大的突破。知识库建设-话单分析2013年共受理移动全国不知情定制投诉20490期，较2012年6226期增加14264期，分析话单21977个。目前能够在24小时内（工作日）处理和反馈全国各地运营商的所有投诉事件。同时跟投诉分析相关的EverCDR平台模块已在2013年进行推广和商用，有待研发调优与升级。产品开发-综合安检引擎病毒扫描引擎API扫描引擎（静态行为扫描引擎）AndroidAPISymbianApiJ2meApiWinMobile动态沙箱J2meboxAndroidboxMD5敏感词扫描引擎代码的违规内容进行扫描EVERCloud-Earlier产品开发-综合安检引擎病毒扫描引擎API扫描引擎（静态行为扫描引擎）AndroidAPISymbianApiJ2meApiWinMobile动态沙箱J2meboxAndroidboxMD5敏感词扫描引擎代码违规内容进行扫描EVERCloud-NOW内容安全检测引擎图片中的违规文字检测脆弱性扫描引擎检查代码潜在风险多维度特征扫描引擎MD5、签名、字节码。。软件漏洞扫描引擎潜在的安全漏洞检测恶意广告扫描引擎检测APK是否包含恶意广告真机检测系统动态仿真拨系统拨测仪器、审计程序拨测系统、拨测脚本、TD猫产品开发-综合安检引擎EVERCloud-NOW动态综合安检引擎代码安全检测引擎（脆弱性）软件漏洞检测引擎动态仿真拨测系统动态仿真拨测平台TD猫拨测池拨测脚本静态综合安检引擎Android静态行为综合安检引擎J2me静态行为综合安检引擎Symbian静态行为综合安检引擎WinMobile静态行为综合安检引擎内容安全检测引擎代码安全检测引擎(脆弱性检测引擎)软件漏洞检测引擎多维度特征安检引擎广告扫描引擎真机检测系统真机拨测程序真机拨测仪器OEM产品

内容安全监测引擎(图片)-X源代码审计—X动态沙箱AndroidboxJ2mebox产品开发-技术预演与实现Android主动防御技术研究及DEMO实现；1)研究android下的注入以及hook技术。其中hook包含两种方式（导入表和导出表），并应用到主动防御中2)主动防御研究开发了拦截手机imei、imsi、msisn3)主动防御研究开发了拦截获取地理位置4)主动防御研究开发了程序锁5)主动防御研究开发了拦截通过contentprovider读取短信6)研究开发了拦截通过contentprovider读取通话记录，通讯录。静态API扫描引擎Symbian扫描引擎BytePair逆向算法代码集成；Android终端广告扫描功能预演开发DEMO，移交终端开发组；基于Linux平台的静态引擎功能合并；代码安检引擎（脆弱性扫描引擎）开发与集成；CuckooSandbox前期研究；Clamav杀毒软件源码和功能前期研究；木马植入；动态仿真拨测程序与TD拨测仪开发（拨测WX、ML、FX、QQ）；产品开发-技术预演与实现Android沙箱维护与升级J2me沙箱维护与升级；WindowPhone样本自动化样本扫描技术研究（新版本样本使用AES加密算法样本无法实现解压扫描，结论是目前无法实现）；综合安检静态扫描引擎：1)研究出解析dex文件格式的方法；2)研究出解析axml文件的方法；3)研究出davik字节码解码算法，该算法可有效的对API调用是的字符串参数进行扫描；4)实现了apk样本广告扫描方法；5)实现包名、类名、方法名、字符串等特征的扫描；6)研究出APKAPI调用图的扫描生成方法，鉴于时间紧急，尚未实现；7)提出一种基于SVM分类算法的未知病毒扫描实现机制，今后考虑增加。漏洞分析与运营部

2013年工作回顾汇报者：安全研究中心张旭运维支撑服务CNVD漏洞平台2013年度共收集通用型漏洞8381条，事件型3574条。其中高危漏洞2762条，有POC的漏洞1069条，补丁信息5734条。发布安全公告（或重大漏洞行业通报）43项，热点新闻90条。发布漏洞周报51期，月报12期。完善、发布早期漏洞9000条。收录漏洞总数在国内三家漏洞库中数量最多。协助CNCERT处置漏洞事件721次。颁发漏洞证书919张。协助CNCERT为分中心验证任务评分3次。2. ANVA联盟平台2013年度发布新闻、公告9条，手机病毒知识8篇。更新成员单位、白名单工作组、应用商店自律组企业名单69家。漏洞验证安全检查任务协助CNCERT验证漏洞事件1246次。2.收集CMS类产品URL特征：72类（包含绝对路径URL特征20类，InURL特征52类），CMS类产品页面特征：60类，CMS类产品资源文件特征：89类。3.协助CNCERT对民政部，财政部，人力资源保障部，司法部，国务院网站进行三中全会前安全专项检测工作。还对人民网、中国网、中国青年网、中国台湾网等四个新闻类网站的门户网站、主邮件系统、主域名系统、子站进行安全测试。获得专项工作参与8家单位中：漏洞数量第一，总分第二的好成绩。漏洞库网站平台建设1、协助CNVD改版和新平台上线测试。建立CNVD四大行业漏洞库（电信、移动互联网、工控系统、电子政务），总结出电信行业关键词82条，资产1503类；移动互联网关键词42条，资产131类；工控系统关键词59条，资产170类；电子政务关键词10条，资产43类。2、配合研发对CNVD成员单位以及外部协作单位开放漏洞信息同步接口，有助于CNVD兼容性推广、漏洞条目补充以及重要漏洞深度分析和利用。3、协助CNCERT建立ANVA移动互联网自律白名单工作，包含：协助筹备“白名单发布会”、管理、督促成员单位使用白名单平台等。4、积极拓展漏洞库在其他企业用户的应用。协助建立保密局漏洞库工作。安全研究中心

2014年工作展望汇报者：运营研究中心张鸿江2014年工作重点移动安全研究部：01：知识库的积累02：逆向和协议分析技术积累03：引擎前沿技术研究与积累04：合作伙伴拓展05：驻场工作加强06：中国