安天移动安全联合猎豹揭秘无形之贼Dosoft免杀病毒
网络安全的核心本质是攻防对抗。 当安全工作者使用手上的安全武器保卫网络安全时,恶意攻击者也在想方设法予以对抗、夹缝求生。 “免杀病毒”便是正邪对抗的产物。免杀是一种避免被杀毒软件查杀的技术,利用这种技…
网络安全的核心本质是进攻性和防御性对抗。
当安全工作者使用他们的安全武器来保护他们的网络安全时,恶意攻击者也在努力争取和生存。
“释放病毒”是正义与邪恶对抗的产物。杀戮自由是一种避免被反病毒软件杀死的技术。通过使用这项技术,可以在不被发现的情况下肆无忌惮地实施无病毒病毒。
最近,Antian移动安全团队和Cheetah安全实验室捕获了一个病毒—— Dosoft,试图绕过反病毒软件以防止查杀。病毒通过捆绑的应用程序潜入用户的手机。应用程序运行后,服务立即启动。代码模块通过修改杀死软数据库的方法来逃避查杀,并通过使用系统根移动电话获取root权限,从而在后台私下推广和安装其他应用程序,消耗用户流量费用,可以描述为一个“看不见的小偷”。
Dosoft病毒界面
静默安装其他App示例
一,恶意行为流程图
二,详细分析恶意行为
步骤1。上传设备信息以获取恶意文件下载地址列表。
应用程序捆绑恶意代码,在运行后启动服务执行恶意代码模块,并上传移动设备信息以获取恶意文件下载地址列表。上传的移动设备信息包括IMEI,IMSI,Android版本,国家代码(ISO标准格式)和其他信息。
[本文由Antian * L团队在安全脉冲账户中发布。请注明源安全脉冲:https://www.com/archives/59466.html]
上传的目标URL:http://smzd.cntakeout.com: 36800/configsc.action
通过网络捕获获取加密的通信数据:
表面上解密返回的数据是一些.png文件的下载地址列表。
但是,在通过字符串拼接完全下载这些下载地址后,将找到访问权限。实际上,png文件不是图像文件,而是加密的ELF,zip和apk文件。
第2步。保存返回的数据并下载恶意子包
Dosoft病毒将Step1获取的返回数据保存到pluginLib.xml文件中。目的是每次请求服务器获取配置信息时,避免软化注意力并影响攻击效率。当Dosoft病毒再次运行时,它将直接读取文件中的数据,并在解密后立即下载恶意文件。
解析保存的数据,解密,然后下载ajsbv43_.png和eql_29.png恶意子包。
第三步。解密下载的恶意子包,动态加载
上一步获得的子包的主要功能是完成其他恶意文件的解密,获取root权限,授权和注入ELF文件,并实施反病毒软件对策。
调用Lib/libNDKlib.so的加载函数来解密eql_29.png子包并动态加载它。
第4步。添加病毒信息以杀死软数据库以防止查杀
检查是否安装了防病毒软件:
如果相关的防病毒软件安装在受害者的手机中,恶意的apk文件信息会被写入软化的sh ** d.db和v_a ***** rus.db数据库,这类似于添加自己的数据。杀死软白名单,防止被杀毒软件杀死。
第五步。获取root权限并将恶意文件注入系统。
Dosoft病毒使用的权限工具将根据移动电话的设备信息发出特定的权限文件。在我们测试病毒的情况下,我们发现Dosoft病毒使用了CVE-2015-3636漏洞。该工具的源地址:http://ad.keydosoft.com/scheme/rpluIn/rpluIn_28.png
实际上,主程序包目录assets \ rpluIn_25.png中还有一个漏洞利用文件,它使用MTK摄像机内核驱动程序来引发权限提升。可以看出,病毒作者已经准备了多个根方案。
获得root权限后,恶意代码使用文件注入方法尝试修改系统配置。在将恶意文件注入系统之前,Dosoft病毒首先检测常见的防病毒软件是否正在运行,如果它正在运行,则会强制关闭软件。
完成上述操作后,Dosoft病毒会将恶意文件qweus,ts注入phone系统/bin /目录和install-recovery.sh文件。
qweus文件实际上是一个su文件,只需调用qweus qweoy命令再次获得root权限。ts文件与恶意子包的行为一致,后者被注入install-recovery.sh,以便手机可以自动启动恶意程序并在启动后运行。
为防止系统注入文件被删除,恶意开发人员还会将恶意文件备份到/data/local/tmp目录,以确保文件可以在删除后立即从目录中恢复,或直接从目录中恢复。
此外,Dosoft病毒使用获取的root权限将Nuxikypurm.apk(包名:com.android.uhw.btf)恶意子包注入System/app /目录,以防止其被卸载。
第六步。下载促销应用并以静默方式安装。
经过上述操作后,Dosoft病毒通过一系列手段实现了自我保护。接下来,Dosoft可以执行恶意促销并静默安装和推广应用程序。
再次请求URL:smzd.cntakeout.com: 36800/feedbacksc.action返回促销应用的下载地址。
在解密之后,获得明文URL。分析文件后,下载文件的URL和文件类型如下:
在完成其他应用程序的下载后,Dosoft使用已应用的root权限在用户不知情的情况下静默安装在后台下载的应用程序,以达到最终的恶意推广目的并获得非法利益。
总结一下
此时,Dosoft病毒使用一系列手段来保护自己并实现恶意下载和推广的目的。为了逃避反病毒软件的检测,病毒开发人员可以说是苦心经营。其核心恶意逻辑通过云动态加载以完成配置文件。云发送的恶意文件通过多级加密处理,依赖关系的解密方法可以用于解密。 (解密过程首先通过A文件解密B文件,然后通过B文件解密其他文件)。权限链接是通过云启动权限提升策略并利用VVE漏洞来提高根成功率。此外,Dosoft病毒还将自己的文件信息写入反病毒软件数据库,最终增加了查杀反病毒软件的难度。
简单的恶意行为逻辑图
安全建议
对于Dosoft病毒,与Antiy * L移动反病毒引擎集成的Cheetah Security Master等安全产品已经过全面测试。 Antian移动安全团队和猎豹安全实验室提醒您:
1.建议从正规应用程序市场下载该应用程序,不要从非官方网站,论坛,应用程序市场和其他非正式渠道下载该应用程序;
2,培养良好的安全感,使用与Anet * L引擎集成的安全产品,如猎豹安全大师,定期进行病毒检测,以更好地识别和防御恶意应用;
3.当手机中出现新的安装应用程序等异常情况时,请使用安全产品扫描手机并卸载异常软件。
[本文由Antian * L团队在安全脉冲账号中发布,请注明源安全脉冲]
Dosoft病毒界面
静默安装其他App示例
一,恶意行为流程图
二,详细分析恶意行为
步骤1。上传设备信息以获取恶意文件下载地址列表。
应用程序捆绑恶意代码,在运行后启动服务执行恶意代码模块,并上传移动设备信息以获取恶意文件下载地址列表。上传的移动设备信息包括IMEI,IMSI,Android版本,国家代码(ISO标准格式)和其他信息。
[本文由Antian * L团队在安全脉冲账户中发布。请注明源安全脉冲:https://www.com/archives/59466.html]
上传的目标URL:http://smzd.cntakeout.com: 36800/configsc.action
通过网络捕获获取加密的通信数据:
表面上解密返回的数据是一些.png文件的下载地址列表。
但是,在通过字符串拼接完全下载这些下载地址后,将找到访问权限。实际上,png文件不是图像文件,而是加密的ELF,zip和apk文件。
第2步。保存返回的数据并下载恶意子包
Dosoft病毒将Step1获取的返回数据保存到pluginLib.xml文件中。目的是每次请求服务器获取配置信息时,避免软化注意力并影响攻击效率。当Dosoft病毒再次运行时,它将直接读取文件中的数据,并在解密后立即下载恶意文件。
解析保存的数据,解密,然后下载ajsbv43_.png和eql_29.png恶意子包。
第三步。解密下载的恶意子包,动态加载
上一步获得的子包的主要功能是完成其他恶意文件的解密,获取root权限,授权和注入ELF文件,并实施反病毒软件对策。
调用Lib/libNDKlib.so的加载函数来解密eql_29.png子包并动态加载它。
第4步。添加病毒信息以杀死软数据库以防止查杀
检查是否安装了防病毒软件:
如果相关的防病毒软件安装在受害者的手机中,恶意的apk文件信息会被写入软化的sh ** d.db和v_a ***** rus.db数据库,这类似于添加自己的数据。杀死软白名单,防止被杀毒软件杀死。
第五步。获取root权限并将恶意文件注入系统。
Dosoft病毒使用的权限工具将根据移动电话的设备信息发出特定的权限文件。在我们测试病毒的情况下,我们发现Dosoft病毒使用了CVE-2015-3636漏洞。该工具的源地址:http://ad.keydosoft.com/scheme/rpluIn/rpluIn_28.png
实际上,主程序包目录assets \ rpluIn_25.png中还有一个漏洞利用文件,它使用MTK摄像机内核驱动程序来引发权限提升。可以看出,病毒作者已经准备了多个根方案。
获得root权限后,恶意代码使用文件注入方法尝试修改系统配置。在将恶意文件注入系统之前,Dosoft病毒首先检测常见的防病毒软件是否正在运行,如果它正在运行,则会强制关闭软件。
完成上述操作后,Dosoft病毒会将恶意文件qweus,ts注入phone系统/bin /目录和install-recovery.sh文件。
qweus文件实际上是一个su文件,只需调用qweus qweoy命令再次获得root权限。ts文件与恶意子包的行为一致,后者被注入install-recovery.sh,以便手机可以自动启动恶意程序并在启动后运行。
为防止系统注入文件被删除,恶意开发人员还会将恶意文件备份到/data/local/tmp目录,以确保文件可以在删除后立即从目录中恢复,或直接从目录中恢复。
此外,Dosoft病毒使用获取的root权限将Nuxikypurm.apk(包名:com.android.uhw.btf)恶意子包注入System/app /目录,以防止其被卸载。
第六步。下载促销应用并以静默方式安装。
经过上述操作后,Dosoft病毒通过一系列手段实现了自我保护。接下来,Dosoft可以执行恶意促销并静默安装和推广应用程序。
再次请求URL:smzd.cntakeout.com: 36800/feedbacksc.action返回促销应用的下载地址。
在解密之后,获得明文URL。分析文件后,下载文件的URL和文件类型如下:
在完成其他应用程序的下载后,Dosoft使用已应用的root权限在用户不知情的情况下静默安装在后台下载的应用程序,以达到最终的恶意推广目的并获得非法利益。
总结一下
此时,Dosoft病毒使用一系列手段来保护自己并实现恶意下载和推广的目的。为了逃避反病毒软件的检测,病毒开发人员可以说是苦心经营。其核心恶意逻辑通过云动态加载以完成配置文件。云发送的恶意文件通过多级加密处理,依赖关系的解密方法可以用于解密。 (解密过程首先通过A文件解密B文件,然后通过B文件解密其他文件)。权限链接是通过云启动权限提升策略并利用VVE漏洞来提高根成功率。此外,Dosoft病毒还将自己的文件信息写入反病毒软件数据库,最终增加了查杀反病毒软件的难度。
简单的恶意行为逻辑图
安全建议
对于Dosoft病毒,与Antiy * L移动反病毒引擎集成的Cheetah Security Master等安全产品已经过全面测试。 Antian移动安全团队和猎豹安全实验室提醒您:
1.建议从正规应用程序市场下载该应用程序,不要从非官方网站,论坛,应用程序市场和其他非正式渠道下载该应用程序;
2,培养良好的安全感,使用与Anet * L引擎集成的安全产品,如猎豹安全大师,定期进行病毒检测,以更好地识别和防御恶意应用;
3.当手机中出现新的安装应用程序等异常情况时,请使用安全产品扫描手机并卸载异常软件。
[本文由Antian * L团队在安全脉冲账号中发布,请注明源安全脉冲]
- 发表于 2017-07-25 08:00
- 阅读 ( 690 )
- 分类:黑客技术
