【偵破紀實】祕密安裝手機木馬竊取情報
來源:資訊時代的犯罪偵查,原創:Pieces0310
現在人倚賴手機處理一切日常事務,所有重要資訊都匯聚其中,一旦安裝了惡意App,就像開門揖盜,毫不設防,個人資訊任人取用。針對以下相關案例進行取證,不論嫌疑犯如何毀滅證據,總能從備份這個層面去尋找突破口,最終找出關鍵證據,順利將其繩之以法。
話說Tornado公司近年來並不平靜,又是接班人選問題,又是經營權之爭,一波未平一波又起,之前的諸多紛爭好不容易暫告一段落。但近幾個月以來,業界屢傳出不利於Tornado公司的風聲,直指該企業的核心技術等營業祕密已外流至競爭對手陣營。
人心惶惶個個都有嫌疑
在一次高層幹部會議上,總裁宣佈為了查明是否真有營業祕密已遭到外洩的情況,決定向警方報案,同時責成核心小組成員全力配合警方調查。據知情人士透露,Tornado公司竟連核心小組的祕密會議所討論的內容也遭外流,不禁令人懷疑是否為有心人士聯合內鬼,企圖竊取機密或是想要搞垮整個公司。
在調查過程中,針對抓內鬼的部分,Tornado公司提供了一份名單,包括了在職員工以及離職員工在內,希望警方能夠快速鎖定可疑物件。
然而,警方在初步對相關人員的電腦及手機進行取證分析之後,暫時排除了名單當中成員涉案的可能性。
由於未能有突破性的進展,案情猶如陷入十里迷霧之中,令總裁感到憂心不已,核心小組裡的這幾個人都是總裁最為信任的人,不可能會是出賣公司的內鬼。此時,總裁的腦海裡突然閃過一幕情節,他憶及有幾回曾讓IT人員幫忙修手機,難不成會是在那樣的情況下被動了手腳?
毫無頭緒先從手機著手
經向警方表明上述情況後,專案調查小組火速將Tornado公司總裁和核心小組成員的手機,送至實驗室進行鑑識分析。鑑識人員R決定先從總裁所使用的手機下手,為了確保資料安全起見,R在訊號完全遮蔽的情況下,關閉了與遠端搜尋裝置的相關功能,避免資料有遭到遠端抹除的風險。
而為了進一步理清該手機內是否有惡意App潛伏其中,首先要讓該手機啟用Wi-Fi連向所準備好的熱點,以進行封包提取,並同時察看手機中執行程式的即時連線狀況。
在經歷一段時間的觀察之後,R留意到一個名稱怪異的程式,其Process ID為9583,如圖1所示。
▲圖1 發現一個名稱怪異的程式
R根據程式名稱中的關鍵字,查詢手機中所安裝的App,確有一個Package Name與那個怪異程式名稱完全相符的App存在其中(如圖2底線部分所示)。進一步查詢此App所在的路徑,並將其apk安裝檔案自手機中提取出來以進行分析,操作步驟如圖2所示。
▲圖2 將apk安裝檔自手機中提取出來進行分析
可疑App資料隨意存取
當對此apk檔進行分析時,檢視其所具備的許可權列表(圖3),映入眼簾的許可權之多著實令R感到吃驚不已。一旦將此apk安裝在手機內,此App將能夠在使用者渾然不覺的情況下存取所有資料,包括通訊錄、簡訊、行事曆、地理位置資訊等等重要資訊在內,甚至還具備可以在背景進行周圍環境錄音的能力。對於這個可以暗中收集使用者敏感性資料而不易被察覺的App,R給了它一個代號“Z”。
▲圖3 檢視apk檔所具備的許可權列表
R接著將“Z”儲存在手機中的整個資料夾匯出,仔細檢視裡頭的各型別檔案,尤其是資料庫檔案,當中可能會儲存所收集到的各種敏感性資料。果不其然,R在一個資料庫檔案中發現瞭如圖4所示的網頁瀏覽紀錄。
▲圖4 找到網頁瀏覽紀錄
不光是這樣而已,還包括LINE的聊天紀錄也是,存在一個名為Linelogs的Table之中,如圖5所示,顯見“Z”亦有側錄(類似旁路複製)LINE聊天紀錄的能力。
▲圖5 在一個名為Linelogs的Table內發現了LINE的聊天紀錄
於此同時,警方來到Thomas住處進行搜尋,這位Thomas就是總裁印象中曾將手機交予進行故障排除及維修的那位IT人員。Thomas顯然對警方的到來感到有些意外,表情及眼神透著一絲的不安,警方自其住處扣得膝上型電腦及手機後一同帶回警局。
抽絲剝繭膝上型電腦找尋線索
R在檢視Thomas的膝上型電腦時,在對各項痕跡進行分析之後,從郵件中得到了重要的線索。如圖6所示,這是一封提供帳號、密碼及登入網址的郵件,光從名稱難以判斷它是與何種服務有關聯,但從其內包含了“Monitor”的敏感字眼,可合理推論其與案情應有高度相關。
▲圖6 找到一封提供帳號、密碼及登入網址的郵件
R在以該封郵件中所提供的資訊登入後,赫然發現這便是可以檢視“Z”所收集到之資料的後臺,如圖7的儀表板所示。
▲圖7 發現可以檢視“Z”所收集到之資料的後臺
換言之,只要將“Z”安裝在使用者的手機內,再透過以瀏覽器登入後臺的方式,便可以對被監控物件的一舉一動了若指掌了。
R接著檢視後臺中記錄了哪些重要資訊,果然如同“Z”的許可權列表中所呈現的,確能收集使用者的地理位置資訊,如圖8所示。
▲圖8 找到所收集的地理位置資訊
R在核對過後臺中所記錄的資訊,與總裁手機中的資訊相符後,已幾乎可斷定Thomas的犯罪手法是,將“Z”偷偷安裝在總裁的手機中,令其以系統服務的形式偷偷竊取資料,且自動上傳至後臺。對照手機的網路連線狀況,亦可得知有對此後臺的IP位址進行加密傳輸,如圖9所示。
▲圖9 對後臺的IP位址進行加密傳輸
在警方向Thomas出示相關證據後,Thomas表示他確有偷偷安裝監控App在總裁手機之中,但只是因為好玩才試一下,自已不曾登入後臺,更不曾將登入後臺的賬號密碼交予其他人。
警方對其供詞抱持高度懷疑,從Thomas的銀行帳戶連續好幾個月陸續有大筆不明資金轉入的情況研判,此種對價關係非比尋常,不排除是Thomas將自後臺所收集到的重要情報,轉售給Tornado公司的競爭對手而得到的報酬。
R針對Thomas的手機進行取證,發現相當的“乾淨”,在其使用的聊天軟體LINE中竟然看不到幾筆聊天紀錄。Thomas供稱是最近才剛換新手機,且沒有處理好資料移轉之故,導致很多資料都不見了。
此一說詞完全無法令人信服,這擺明了應是Thomas努力滅證所致,至於舊手機如今在何處,Thomas依舊說詞反覆,一會兒說回收掉了,一會兒說上網拍賣了,但就是說不出個所以然來,R研判舊手機應是已遭到Thomas刻意滅證譭棄。同樣的情況亦發生在Thomas的膝上型電腦,取證團隊未能再發現其他與案情相關的跡證,警方專案小組內部也傳出打算就此結案的風聲。
結案在即加快辦案步伐
眼看著嫌疑犯Thomas可能因其處心積慮地進行滅證而能安全下莊之際,R仍不打算就此放棄,他嘗試著查詢有無手機的備份資料存在於嫌疑犯的膝上型電腦內,這樣的思路是基於人性及使用習慣而生的,一般人對於手機資料往往是很怕遺失的,因此通常會善用各種備份機制以確保手機資料安全。
如此一來,往往會造成連到底用了幾種型別的備份?共備了幾份?存放在哪裡?連使用者自已都搞不清楚。果不其然,在Thomas的膝上型電腦中有一個完整檔名為“msgstore.db.crypt12”的檔案引起了R的注意,至於它是跟什麼有關聯的檔案,R已瞭然於胸,這有可能就是破案的重要關鍵線索。
從這檔案的檔名“msgstore.db”進行研判,應就是Thomas手機上的WhatsApp聊天紀錄備份,至於“crypt12”,即代表其為加密型態的檔案。這也與WhatsApp現行備份機制會產生加密檔案的特性相吻合。
若以Hex Editor嘗試開啟此一檔案時,結果便會如圖10所示,內容根本完全無法辨識,亦可佐證其經過加密處理。
▲圖10 內容完全無法辨識
解密成功嫌犯俯首認罪
R便開始著手要對此加密備份檔進行解密,但還尚須一個元素,那就是WhatsApp儲存在手機內一個名為“key”的檔案(圖11),儘管因安全性的緣故,無法自手機中進行提取,幸而在Thomas膝上型電腦裡的備份資料夾中亦查得它的蹤跡,如此一來,解密所需的元素就齊全了。
▲圖11 找到解密所需的key檔案
解密過程如圖12所示,選取要解密的備份檔案以及Key file即可,點選〔OK〕按鈕後開始解密。
圖12 進行解密程式
果然順利解密成功,將結果匯入一個名為“msgstore.decrypted.db”的資料庫內,如圖13所示。
▲圖13 將結果匯入至資料庫內
R接著開啟此資料庫檔案,仔細地檢視後,果然發現Thomas與幾個可疑物件之間,提及情報交易和報酬等相關細節,如圖14所示。
▲圖14 找到重要關鍵證據
當警方向Thomas出示相關跡證後,Thomas面如死灰,自知再也無法狡賴,便一五一十地將如何在總裁的手機上安裝監控App,以及自後臺竊取了多少情報等等,全部和盤拖出。
Thomas不但是智慧型的罪犯,他從一開始便打定主意直接從總裁的手機下手,以竊取重要情報,是基於手機裡的App幾乎可說是包辦了使用者的一切食衣住行育樂等需求,因此若能自手機進行資料的收集,便等於掌握了被監控者的一切。
由這點看來,Thomas也深諳人的心理並充分利用人們依賴智慧手機太深的弱點。
【作者注】取證所基於的思路,不外乎是從人性和使用習慣等層面下手,不論嫌疑犯是如何工於心計進行滅證,總還是能從備份這個層面去尋找突破口,不論這備份是在嫌疑犯的電腦、儲存媒體或是雲端之上皆不可輕易錯過。如此一來,就能掌握破案契機,順利將罪犯繩之以法。
相關文章
- 安卓手機木馬出現新變種,可禁用指紋、人臉識別以竊取密碼安卓密碼
- 【阿里聚安全·安全週刊】一種祕密竊取資料的新型Android木馬|iOS11相機驚現BUG阿里AndroidiOS
- 竊取加密貨幣的新型木馬:InnfiRAT加密
- 警惕破解軟體!APS 竊密木馬已感染萬餘臺裝置
- 涉嫌竊取最高機密 前NSA承包商馬丁已認罪
- 如何用計算機電源竊取機密資料?計算機
- 卡巴斯基實驗室:2019年Q3檢測到1.3萬個手機銀行木馬安裝包
- 扒了手機監控木馬後臺!
- 峰會預告 | 情報為王,TSCM技術反竊密
- 揭祕“支付木馬”:鉅額黑產背後的操盤手
- AgentTesla 2021年度資料竊取情況報告
- 密碼是如何被竊取的密碼
- “竊密寄生蟲”木馬偽裝成商務郵件釣魚 數千家外貿企業遭攻擊
- 盜號木馬瘋狂竊取遊戲幣,竟還利用搜尋引擎打廣告?!遊戲
- 【android】獲取手機安裝的所有程式Android
- 年關需警惕!商業間諜木馬AZORult通過條碼列印軟體傳播竊密
- 千萬部安卓手機中招,惡意軟體每月竊取數百萬英鎊安卓
- 高通晶片關鍵漏洞暴露三星、LG手機上的機密資料,你的密碼可被輕鬆竊取!晶片密碼
- 命案偵破過程揭示Google能夠跟蹤全世界的手機Go
- 黑狐”木馬分析報告
- vivo手機安裝應用自動輸入密碼密碼
- 比特幣暴漲引發挖礦木馬成倍增長,企業如何衝破“木馬圍城”?比特幣
- 網站伺服器木馬後門查詢之威脅情報分析網站伺服器
- 懸賞五百萬抓捕的俄羅斯黑客,被指控使用銀行木馬竊取超過1億美元黑客
- redis-番外篇:唯快不破的祕密Redis
- 特斯拉起訴前工程師:涉嫌竊取“Dojo 專案”超級計算機機密工程師計算機
- 隨機森林的祕密隨機森林
- 404 Keylogger最新木馬,盜取受害者瀏覽器網站帳號和密碼瀏覽器網站密碼
- 以色列諜戰術:竟能靠調節螢幕亮度,行竊取機密之事?
- 卡巴斯基實驗室:2018年Q1手機勒索木馬數量下降明顯
- 偽裝成百度安卓APP的木馬可劫持路由流量|安卓APP路由
- 超過5000個安裝!新的Android惡意軟體利用VNC監視和竊取受害者密碼AndroidVNC密碼
- 黑客利用“Simjacker”漏洞竊取手機資料,或影響十億人黑客
- 破解梵蒂岡祕密檔案,這個AI認識中世紀手寫拉丁文AI
- Torchwood遠控木馬“魚目混珠”,終被識破打回原形……
- 探祕《SSRPG》:手機螢幕上的復古SRPG情結
- 竊取終端資料成本低,謹防Formbook惡意軟體入侵竊密ORM
- 2021年挖礦木馬趨勢報告