10月21日，遭到黑客攻擊后，半個美國的網站出現了短暫癱瘓的狀況。然而，來自網絡的安全威脅還不僅僅這些，隨著移動互聯網的發展、智能手機的普及，移動端的威脅開始從針對個人擴展到針對企業。日前，360手機衛士對一種名為“DressCode”的惡意代碼進行了解析，這種于Android端發現的高級攻擊階段木馬能夠實現內網穿透，目前傳播量已達24萬之多，危及幾乎全部國家手機用戶，嚴重影響企業內網安全。

　　“DressCode”穿透內網竊隱私數據 Android木馬邁向高階段位

　　360烽火實驗室研究發現有數千個樣本感染了一種名為“DressCode”的惡意代碼，其利用時下流行的SOCKS代理反彈技術能夠突破內網防火墻限制，竊取內網數據。其實，在PC端這種通過代理穿透內網繞過防火墻的手段并不新鮮，然而此次以手機終端為跳板實現對企業內網的滲透尚屬首次。

　　圖1: “DressCode”攻擊過程

　　“DressCode”惡意程序的木馬主要攻擊過程分為三步：木馬運行時主動連接到攻擊者主機(SOCKS客戶端)，建立一個與攻擊者對話的代理通道;作為SOCKS服務端的木馬根據攻擊者傳來的目標內網服務器的IP地址和端口，連接目標應用服務器;木馬在攻擊者和應用服務器之間轉發數據，進行通信。

　　圖2：“DressCode”轉發數據過程

　　當木馬感染目標手機后，首先會連接C&C服務器，連接成功后，那么木馬就與C&C服務器建立了一個對話通道，木馬會讀取C&C服務器傳送過來的指令，當木馬收到以“CREATE”開頭的指令后，就會連接攻擊者主機上的SOCKS客戶端，攻擊者與處于內網中的木馬程序建立了信息傳輸的通道了。而后再獲取CONNECT指令、BIND指令對FTP服務器進行攻擊。如此一來，就能實現對內網文件服務器的數據竊取。

　　逾200國家用戶受到威脅 360安全專家提供安防建議

　　360烽火實驗室公布數據顯示，截至目前，“DressCode”惡意代碼傳播量已達24萬之多，已有200余國家的手機用戶感染了帶有“DressCode”惡意代碼的應用，幾乎覆蓋全球。360手機衛士安全專家表示，該惡意代碼大多寄宿在時下流行的手機游戲中，其擴散能力很強，其中美國、俄羅斯、德國、發過等歐美發達國家屬重災區，而我國的形勢也不容樂觀，企業內網安全正在遭受前所未有的挑戰。

　　圖3：“DressCode”全球感染情況

　　對此，360手機衛士安全專家表示，“DressCode”惡意代碼具備強穿透能力、地域分布亦十分廣泛，已對內網安全構成潛在威脅。針對此類情況，建議企業應做好防范措施，首先嚴格限制不可信的智能終端設備接入公司內部網絡，對要接入公司內網的終端設備進行身份認證，其次建議企業的智能終端設備不應與企業內部服務器處于同一個局域網段內。

　　同時，也建議手機用戶提高安全意識，從正規的安卓應用商店下載手機應用，不安裝來歷不明的應用軟件。可使用360手機衛士等手機安全管理類軟件，可有效為用戶識別山寨、木馬應用，避免受到侵襲，定期查殺手機病毒也可防患于未然。