5月28日,由InForSec主办,清华大学(网络研究院)-奇安信联合研究中心、复旦大学系统软件与安全实验室承办,中国科学院计算技术研究所计算机体系结构国家重点实验室、中国科学院软件研究所可信计算与信息保障实验室、百度安全、奇安信集团、蚂蚁集团、阿里安全协办的“网络安全四大顶会研究成果分享”之“移动互联网安全”(一)论坛在线上成功召开。中国科学技术大学特任教授糜相行、香港理工大学博士生赵开发 、香港理工大学助理教授薛磊、香港中文大学博士生徐枫皓在会上作了精彩的报告。本次会议由复旦大学教授张源主持,共156人参加会议。
InForSec将对会议精彩报告进行内容回顾,本文分享的是糜相行教授的报告——《针对大规模住宅网络代理的安全研究》。
住宅网络代理在近些年兴起,并逐渐成为各类网络攻击的重要基础设施。基于现有研究,糜相行教授首先介绍了通过住宅网络代理发起自动化网络攻击的态势。在2019年二季度,使用住宅网络代理的自动化网络攻击,相比一季度,环比增加了361%。此外, 相关报道也显示实际生活中存在着大量通过住宅网络代理发起的恶意攻击。同时,他介绍了住宅代理网络的生态系统概要。
接下来,糜教授还介绍了通过自设的web客户端以及服务器,购买五个较为典型的住宅网络代理服务,在几个月时间内抓取了住宅网络代理服务所掌控的出口节点,分析和梳理了住宅网络代理的规模。同时基于收集到的流量与机器学习方式,训练了高效的住宅网络代理IP的分类器,并进一步评估其是否被收录在开源的代理数据库内或是IP黑名单列表内。
糜教授还进一步介绍了其研究关注的住宅代理商的招募和审核过程,其结果表明,仅有Luminati服务商存在合法的招募流程。
随后,对于抓取到的代理IP,糜教授研究组进行了设备类型嗅探,发现主流用于住宅网络代理的设备有一部分很可能是IoT类型的设备。
通过和一家网络安全公司合作,糜教授研究组还将收集到的住宅代理网络渗透流量与安全公司收集到的用户侧的流量通过uuid等标识符进行了精确匹配。
结果显示,在至少几千台windows设备平台上检测出存在67个PUP(Potentially Unwanted Programs)代理软件,其中50个被各类反病毒引擎标记为恶意,同时侦测到的代理程序覆盖了全部五个住宅网络代理服务供应商。结果揭示了 目前的住宅网络代理服务生态内的招募过程是良恶兼具的状况。
紧接着,糜教授介绍了从前述67个代理软件流量日志提取的流量目的地的研究,结果显示有近10%被著名恶意软件检测引擎VirusTotal标记为恶意网址。
类似地,糜教授相应介绍了住宅代理网络以移动设备作为媒介的生态问题。
基于代理应用的特征形成签名,糜教授研究组进行了两百万大规模移动应用的扫描,扫描出的代理应用其下载量累积超过了惊人的3亿次。同时经过研究发现,集成了代理SDK的应用更容易被恶意软件检测引擎如VirusTotal标记为恶意。与Google security team以及anti-abuse team的沟通也表明此类集成住宅网络代理的应用更容易被认定为恶意且下架。
更为重要的,研究揭示了住宅网络代理服务提供商采用隐晦的方式告知用户,相应的代理行为也会依据当前移动设备的状态来决定自身代理的行为,用户本身并无直接有效的方式去管控这种代理行为。
最后,他总结了住宅代理网络对于整个网络安全空间以及用户所带来的威胁,启示研究人员进一步关注住宅代理网络与网络犯罪,黑灰产等之间的关联。
演讲者简介
糜相行 (Mi, Xianghang) 博士,现任中科大计算机学院特任教授,主要研究方向包括网络安全、网络空间犯罪、以及物联网安全等。其于2020年从印第安纳大学获得计算机科学博士学位,曾任纽约州立大学布法罗分校助理教授(2020~2021)、脸书公司研究科学家(2019~2020)、以及百度公司研发工程师(2014~2015)等职。糜博士的研究围绕人、机、物互联与融合空间,致力于通过数据驱动与智能增强的方法,来预测、发现、理解、并解决其中的重要安全威胁。最近五年,其开展了世界上首个针对分布式住宅网络代理的安全研究,首批针对语音助手的攻击与防护,及首批针对物联网互联互通平台的安全研究。其中语音助手安全性的工作荣获 2019 年北美安全研究评比最佳论文奖 (CSAW’19),恶意域名取缔的工作获得了NDSS 2019 杰出论文奖。此外其研究还获得了谷歌、亚马逊、脸书、阿里巴巴等公司的认可。
视频回顾: 针对大规模住宅网络代理的安全研究
