從Windows 到安卓:多重攻擊機制的遠控的分析
0x00 背景
Feye近期檢測到一起透過高度偽造的釣魚郵件(魚叉式釣魚電郵)攻擊,目標直指美國的金融機構。攻擊中用到的惡意程式碼是由一個被作者出售的間諜和監視工具生成。此工具的功能很類似市面上常見的其他遠控軟體。同時,也發現了其他的攻擊者把此工具的惡意程式碼嵌入到宏文字檔案中用來攻擊其他的目標,看上去更像是第二輪的撒網式釣魚郵件攻擊。
用於攻擊金融機構的C&C的網路裝置是被WinSpy的作者控制的。這並不意味著作者有意在背後為攻擊者提供了伺服器。而是攻擊者使用了WinSpy包裡面預設配置儲存受害者的資料。這個功能也許是作者的無心之失。
在分析WinSpy的惡意程式碼的時候,我們發現其中也有AndroidSpy間諜的元件部分,我們稱之為GimmeRat。這個安卓工具有多種功能包括允許被感染的裝置透過簡訊或者其他形式被Windows的裝置控制。基於windows平臺的遠控看上去只能透過物理訪問控制安卓裝置。最近數量上升的安卓遠控如Dendroid或者AndroRAT,表名駭客們對移動裝置更感興趣。GimmeRAT是又一個攻擊者開始轉向andorid系統的例子。
0x01 利用 WinSpy進行攻擊
WinSpy 作為一個間諜和監視工具出售給使用者,其自身的遠端管理功能適合對手找到目標組織的法案.使用WinSpy包的預設指令和預設伺服器為攻擊者提供一層匿名代理。
圖1 – 針對金融機構的攻擊機制
透過偽造過網路釣魚的電子郵件並採用WinSpy的惡意程式碼針對美國金融機構進行攻擊。電子郵件的附件(b430263181959f4dd681e9d5fd15d2a0)是一個大的安裝程式的打包檔案。開啟時用一個工資單的pdf截圖作為誘餌,以避免受害者的關注。它同時會下載和生成如在圖1和圖2所示的各種元件。
圖二:WinSpy的元件
我們觀察到另一個攻擊者在微軟宏文件(78fc7bccd86c645cc66b1a719b6e1258, f496bf5c7bc6843b395cc309da004345) 和獨立的可執行檔案(8859bbe7f22729d5b4a7d821cfabb044, 2b19ca87739361fa4d7ee318e6248d05)中使用WinSpy。 這些惡意檔案作為附件或者是下載連結的形式封裝到電子郵件中。它們包含下列特徵元素:
這些被發現的惡意郵件有下列命名的附件:
Western Union Slip.xls
Money Transfer Wumt.xls
Wumt.xls
0x02 Windows 元件
WinSpy模組使用VB進行編碼的,同時用一些公開的lib庫如modJPEG.bas 和cJpeg.cls。 這些元件支援多種特性如下:
WinSpy木馬軟體會在登錄檔的SOFTWAREMSI64目錄下建立自己的配置。WinSpy的元件在執行時會讀取該配置。此配置包含各種設定,如:使用者名稱,唯一標識,連線引數,遠端FTP和認證,檔名,資料的路徑,當前的狀態等等。例如:DUNIN代表解除安裝日期,FTSV代表的FTP伺服器,FTUS代表著FTP使用者等。SID2表示識別感染的唯一標識,在初始化時候建立。
WinSpy 配置
WinSpy有多個選項配置來生成一個木馬檔案。有趣的是預設配置的引數竟然是作者控制的伺服器。
圖四 WinSpy生成器
控制器可以截圖,鍵盤記錄,也可以上傳下載檔案 執行惡意程式碼。
圖五 WinSpy控制器
圖六 WinSpy檔案瀏覽器
發指令和控制 WinSpy有多種通訊方式進行資料傳遞和指令控制(類似心跳包)。
方法一
反向連線控制者伺服器的14001埠,“/p”表示線上,伺服器也以”/p”回應。
圖七 線上狀態
方法二
透過自己封裝的協議反向連線作者伺服器的27171。
請求包含受害者的IP地址以及前面講的唯一標誌。伺服器返回帶有keep alive的response.
方法三
smtp 在配置了SMTP選項的情況下,他透過SMTP回傳鍵盤記錄的資料。作者伺服器STMP執行在37埠。37埠通常是用於NTP協議,但WinSpy的作者把它配置成STMP伺服器。SysMon v1.0.0的響應頭非常明顯。
圖十 SMTP
方法四
FTP 透過自定義的FTP伺服器進行定期傳輸。FTP帳號密碼等在前面說的登錄檔配置中。
方法五
直接控制 Rdbms.exe模組監聽受害者機器的443埠。攻擊者可以直接從WinSpy控制器連線到該埠併發出各種命令來下載資料,上傳/下載檔案,執行檔案,傳送郵件,檢視攝像頭等。資料傳輸使用埠444。它支援各種命令,如下所示。在初始連線的命令表,作者打算在某個時間點來實現認證,但目前的情況是任何人都可以使用這個命令連線到受感染的機器 。
表示各種低小下啊!!!
0x03 安卓元件
終於有些感興趣的了。
在調查WinSpy的過程中發現一些android木馬元件。我們已經發現三個不同應用是該套件的一部分。其中一個應用,需要透過一個Windows伺服器進行控制。只能物理接觸androids裝置感染。其他兩個應用是C-S架構,透過另一個android手機進行遠端控制。
圖11 安卓元件
0x04 Windows 控制器
Windows的控制器需要對android裝置進行直接的物理接觸,可執行攻擊者獲取感染裝置的截圖。選項如下:
元件一 :GlobalService.apk
Components:
a. Services
Global Service
b. Methods
Sleeper
ScreenCapturer
ServiceActivity
Activity元件
該應用以intent繫結機制啟動android桌面應用。使用Intent連線com.google.system.service.StartUpReceiver服務時使用附加資訊。字串格式如下: “interval@@hostname@@port@@username@@password@@working_directory@@delete_after_upload” 伺服器名,埠,使用者名稱,密碼連線攻擊者的FTP伺服器。在後面介紹如何傳遞截圖。一旦此intent接收到就會讓 GlobalService服務一個間隔引數重啟。
GlobalService元件
服務包含下列變數
private static final String TAG = "GlobalService";
private static boolean isScreenON;
private int mInterval;
private KeyguardManager mKeyGaurdManager;
private BroadcastReceiver mPowerKeyReceiver;
private Timer mSyncTimer;
private TimerTask mSyncTimerTask;
他會一直檢測鍵盤鎖是否解鎖,如果螢幕鍵盤鎖被解,他會呼叫startScreenCaptureThread()擷取螢幕。
startScreenCaptureThread 該執行緒設定毫秒的時間間隔,將結果傳遞給服務。它還設定了 mSyncTimerTask的值(任務同步),呼叫ScreenCapturer. takeScreenshot方法,可以讓執行緒呼叫時,每隔多少秒進行截圖。
ScreenCapturer. takeScreenshot 使用socket連線到 localhost:42345埠,GlobalNativeService監聽此埠接收socket傳來的資料。
takeScreenshot以字串的形式傳送‘/data/local/tmp/images/screenshot_DATE.png’到GlobalNativeService。GlobalNativeService檢測接收的字串最後/的是否有screenshot,如果有 則呼叫screencap –P 路徑 截圖。
takeScreenshot 返回截圖的路徑作為引數傳給screenCaptureThread方法。該方法呼叫FTPService傳截圖給攻擊者的C&C伺服器。
GlobalNativeService
除了上面說的監聽 等待截圖指令還有其他類似 刪除檔案,儲存FTP資訊到/data/local/tmp/ftpInformation中。 此外 ,如果socket 傳來GPSLocationInfo這樣的字串,它會建立/data/local/tmp/GPSLocations.txt(但不含GPS資訊 未完善的功能)。
0x05 Android 遠端控制
元件1 GPSTracker.apk
GPSTracker的啟動和GlobalService一樣,以一個時間間隔啟動。記錄裝置的GPS位置,定期五分鐘。只有當現在位置離開先前位置200m後才會記錄。 當某個位置已被新增到資料庫中的所有以前的位置被刪除。因此,它只能維持最後的位置。
這個應用監控所有傳進來的資訊,如果SMS (簡訊)帶有 [gmyl] (Short for (g)ive (m)e (y)our (l)ocation) 簡訊時,它會終止該簡訊的接收,並進行資料庫查詢。並回復簡訊 類似下面:
[himl]<>DATE><LATITUDE##LONGTITUDE
“himl” is short for (h)ere (i)s (m)y (l)ocation。只回復最後的位置。
元件2 GPSTrackerClient.apk
此應用是上一個應用的控制器。GPSTrackerClient.apk安裝到攻擊者的裝置上。他向被攻擊者傳送一個帶有“[gmyl]”的簡訊。呼叫本地地圖顯示被攻擊者的方位。
這裡值得注意的是,兩個模組之前沒有任何驗證機制。WTF!
0x06 總結
PC端其實是比較低階的遠控 通訊處理的一般,而且儲存惡意檔案。特徵也非常明顯。 Android端也是處於一般水平,畢竟Android 的資料加密和簽名機制比IOS要簡單的多。
相關文章
- 談談比特幣的機制及攻擊比特幣
- 來自 LumiaWoA 的“黑客攻擊”:將 Windows10 系統“移植”到微軟安卓手機及 Surface Duo 裝置上黑客Windows微軟安卓
- 從《免費》到Oracle的攻勢分析薦Oracle
- 安卓5.1原始碼解析 : ListView解析 從繪製,重新整理機制到Item的回收機制全面講解安卓原始碼View
- Windows 核心攻擊Windows
- 安卓之同步機制優劣分析安卓
- 分析Windows的死亡藍屏(BSOD)機制Windows
- 勒索軟體攻擊的階段:從最初訪問到勒索
- 隱秘的攻擊形式:無檔案攻擊型別分析型別
- 從linux接入到windows遠端桌面LinuxWindows
- 安卓觸控事件與單擊事件的區別安卓事件
- 360安卓系統報告:超九成裝置存在遠端攻擊漏洞安卓
- WMI 的攻擊,防禦與取證分析技術之攻擊篇
- CC攻擊:CC攻擊的原理便是攻擊者控制某些主機不停地發許
- 對門控系統的攻擊面檢查
- Windows作業系統的基本攻擊方式Windows作業系統
- 科幻:Windows核心攻擊是指標對Windows作業系統核心的惡意攻擊行為Windows指標作業系統
- 從資料粉碎機ZeroCleare,看伊朗黑客的“摧毀型”攻擊黑客
- 深入分析Redis的主從複製機制Redis
- 故障分析 | 從一則錯誤日誌到 MySQL 認證機制與 bug 的深入分析MySql
- 遠端攻擊Android藍芽Android藍芽
- Windows CE 系統易受手機病毒攻擊(轉)Windows
- 從代理機制到Spring AOPSpring
- DDoS攻擊工具HOIC分析
- SIM Jacker攻擊分析
- 谷歌發現的 iPhone 攻擊者同樣也在攻擊 Android 和 Windows 系統谷歌iPhoneAndroidWindows
- Java 從入門到精通-反射機制Java反射
- 攻擊域控絲滑小連招
- 對某單位的 APT 攻擊樣本分析APT
- ROVNIX攻擊平臺分析 -利用WordPress平臺傳播的多外掛攻擊平臺
- 安卓新型變種病毒出現專門攻擊手機銀行應用安卓
- Citrix NetScaler多重漏洞導致DoS攻擊和資料洩露
- Hundred Finance 攻擊事件分析NaN事件
- TARA攻擊樹分析方法論
- 安卓簽名校驗機制安卓
- 保護你的路由器遠離字典 DoS 攻擊(轉)路由器
- 加密你的資料並使其免受攻擊者的攻擊加密
- 利聯科技:無錫BGP伺服器受到的DNS汙染攻擊和其他型別攻擊的分析伺服器DNS型別