天创培训:您身旁的信息安全培训专家!
栏目列表
开班方案
CISP-PTE浸透测试工程师7月班
主讲教师   张教师、高教师等
开课工夫   2019年7月22日-30日
培训方法   实地/面授
讲课天次   9天
上课工夫   09:00 -- 17:00
课程引见 在线报名
2019年7月CISP培训开班告诉
主讲教师   张教师、王教师等
开课工夫   2019年7月16日-21日
培训方法   实地/面授
讲课天次   培训5天+测验半天
上课工夫   09:00 -- 16:30
课程引见 在线报名
手艺中心您当前位置: > 资本专区 > 手艺中心

当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计

作者:天创培训  滥觞:px.tcnet.com.cn  更新工夫:2016-12-20  关键词:病毒

媒介
“明修栈道,暗渡陈仓”的典故许多人都听说过,该典故出自楚汉争霸期间,刘邦企图进入关中,需求攻陷关中咽喉之地——陈仓。韩信献出一计:表面上汹涌澎湃地修复通往陈仓的栈道以利诱陈仓守将,背后派兵从小道狙击陈仓。终极刘邦接纳此计一举攫取关中之地,为后续争霸全国铺路。
经由过程外表的动作利诱仇敌,躲藏本人的进犯路线,背后施行真正的进犯,这不断是战役中的常用伎俩。现在这一伎俩却被歹意开发者学了去,在病毒中利用该伎俩利诱传染用户,进犯用户手机于无形之中。
近期,安天AVL挪动安全和猎豹挪动安全实验室捕捉一种病毒法式” Camouflage”,该病毒恰是操纵暗渡陈仓之计进犯用户手机:按照长途掌握指令弹出锁屏界面,强迫锁定用户手机屏幕,锁屏界面假装成内存清算界面以利诱用户;实践在在锁屏时期,该病毒会擅自拨打扣费电话、发送扣费短信并删除通话、短信记载,在用户绝不知情的状况下使其接受资费丧失。
除此之外,该病毒还会联网下载歹意子包,操纵子包联网获得多种root东西对用户手机提权,一旦提权胜利立刻删除并交换体系root东西,使本身成为手机中唯一具有root权限的使用。与此同时,该病毒经由过程联网获得相干推送数据,向用户手机推送告白,擅自下载同类歹意使用并安装运转,严峻影响用户手机利用体验。为避免本身被卸载,该病毒会监控手机中正在运转的使用包名,假如与指定杀毒软件的包名重合,则立刻卸载该使用。


恶意程序运转流程图
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
病毒传布路子和传染数据
传布路子
经由过程阐发大量Camouflage病毒家属样本,我们发明该类病毒次要经由过程重打包成游戏类、休闲类使用停止传布,部门使用称号如下图所示。
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
用户传染数据
在2016年10月1日至12月1日时期, 该病毒累计传染518,311次,其日均传染变乱数如下图所示:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
统计该病毒的传染地区信息,我们发明传染状况最严峻的是广东省,其次是四川省、北京市:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
具体阐发
推送告白和其他同类歹意使用
该病毒运转时在当地解密url和网址后缀并拼接,以获得告白和其他歹意使用推送数据的下载地址。
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
网址后缀及其对应功用以下表所示:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
告白数据:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
推送的使用数据:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
该病毒会不竭获得推送信息和下载使用,并将这些文件保留在SD卡指定目次下。
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
在获得推送信息后,该病毒会按时以告白弹窗、告诉栏提醒、安装快捷方式和提醒用户安装的方法停止告白推送。
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
推送的使用被安装后会通过am号令启动:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
联网下载歹意子包
该病毒在推送告白和歹意使用的同时,当地解密URL后联网获得子包相干的数据和下载地址。
联网获得的歹意数据:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
解密后数据以下:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
该病毒擅自下载歹意子包文件并将其保留到SD卡/.w/目次下(手机中文件夹名前带“.”的为躲藏文件夹,能够利用shell号令“ls -a”检察),文件名称为119.tmp,解密后即获得子包文件,最初操纵反射挪用子包的MS服务运转。

当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
擅自root提权
歹意子包运转时会联网获得多种root计划和root东西的下载地址并下载,擅自对用户手机停止提权。攻击者经由过程测验考试多种root计划和东西终极到达root用户手机的歹意目标。
联网获得的歹意数据:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
解密后的数据为:
www.js53660.com
下载的文件阐明:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
Testcomn.zip文件解压后内里包罗多个文件,文件名与功用以下:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
交换体系文件
歹意子包在胜利提权后,经由过程postsh剧本号令删除体系本来的权限管理文件,并将本人的权限管理文件以及启动剧本推送到指定目次下,招致用户无法获得root权限。
删除体系本来的权限管理文件:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
复制手机本身的权限管理文件到体系目次中:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
在启动剧本中以保护历程的情势启动指定目次下的提权文件:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
在获得Root权限后,该病毒还会将子包推送到体系目次下,招致用户即便胜利卸载该病毒主程序,也会持续遭到该病毒歹意举动的影响。
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
擅自扣费
歹意子包在运转时,该病毒会联网获得扣费指令信息并下载锁屏图片,强迫置顶锁屏动图对用户手机停止锁屏,在锁屏时背景擅自施行拨打扣费电话、发送扣费短信等歹意举动。在发送短信和拨打电话后,该病毒会将相干短信、通话记录删除,利用户完整无法感知资费耗损。联网获得的扣费指令信息:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
对扣费指令信息停止解密后,解密信息以下:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
该病毒假装成清算内存的界面,对用户手机停止锁屏:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
对用户手机锁屏后,该病毒会擅自在背景发送扣费短信:
金沙网址澳门官方网址
监听用户领受的回执短信并删除相干的短信记载:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
用户手机被锁屏后擅自拨打扣费的sp号码:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
监听通话形态,解锁屏幕时完毕通话并删除通话记录:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计

卸载指定法式和杀毒软件
歹意子包在运转时会按照指定包名列表–UPKEY中的包名与正在运转的法式比照,若包名不异则将其禁用,后续经由过程号令间接卸载该使用。包名列表中包罗了与该病毒类似的歹意使用,遐想到该病毒下载并安装其他歹意使用的举动,我们公道揣测这部门歹意使用就是该病毒下载的使用,在完成推行举动或歹意举动以后停止卸载。另外我们在该病毒的代码中也发明了很多出名杀软的包名,该病毒一旦检测到这些杀毒软件正在运转,会立刻禁用并卸载,以躲避杀毒软件的查杀。
UPKEY中的包名列表:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
病毒代码中的包名列表:
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
金沙4166.am官网登录
下载相干文件和数据
在施行歹意举动的历程中,该恶意程序会下载大量文件和数据,以到达施行歹意举动的目标。
当攻击者熟读兵书,Camouflage病毒实战演示暗渡陈仓之计
总结
Camouflage病毒经由过程重打包游戏类、休闲类使用停止传布,从传染状况来看,这类假装手腕带来了惊人的传布量。经由过程阐发发明,该病毒主程序自己代码歹意性不强,可是在进入传染手机后经由过程解密、拼接URL的情势下载歹意子包、推行数据以施行其次要歹意攻击行为,举动方法十分荫蔽。另外,该病毒以监控运转法式的方法对手机中的杀毒软件停止卸载,以此逃走杀毒软件的查杀。
为胜利root手机,该病毒会下载多种root计划和东西对手机停止提权,并交换体系的提权文件,使得本身成为手机中唯一具有root权限的使用,在一定程度上制止本身被卸载,同时为后续的歹意扣费的举动做好铺垫。
该病毒在施行擅自歹意扣费举动时,经由过程置顶一个内存清算的页面来棍骗用户,并在扣费完成以后,删除对应的短信、电话记载,利用户在毫无感知的状况下承受较大的资费消耗。
安全倡议
针对Camouflage系列病毒,AVL挪动反病毒引擎协作方产物和猎豹专杀东西曾经实现片面查杀。天创红客锻炼营提示您:
请连结优良的上彀风俗,不要在非官方网站大概不知名使用市场下载任何使用;
当发明手机中忽然呈现不知滥觞告白或页面时,请立刻下载安全软件停止查杀;
倡议利用手机安全软件,并连结按期扫描的良好习惯。
 


0金沙js333娱乐场官网

推荐浏览

www.js53660.com
 |  关于天创 |  课程体系 |  最新动态 |  联络我们 |  网站舆图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
姑苏总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000
金莎娱乐场手机版