假装巨匠——XLoader新变种剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

假装巨匠——XLoader新变种剖析

申博_安全防护 申博 195次浏览 已收录 0个评论

如何针对使用HTTP的.NET Remoting寻找并利用反序列化漏洞

一、概述 在NCC Group最近一次的安全评估中,我发现了一个.NET v2.0应用程序,该应用程序使用.NET Remoting通过HTTP方式发送SOAP请求,以与其服务器进行通信。在对应用程序进行了反编译后,我意识到该服务器已经将TypeFilterLevel设置为F

在之前的进击运动中,XLoader假装成Facebook, Chrome和其他正当运用来诱惑用户下载其歹意App。Trend Micro研究人员近日发明一个运用新要领来欺骗用户的XLoader新变种。该XLoader变种假装成安卓装备的平安App,并运用歹意iOSProfile来影响iPhone和iPad装备。除完成手艺的转变外,代码也有一些转变。最新的变种为XLoader version 6.0。

沾染链

假装巨匠——XLoader新变种剖析

进击者运用一些捏造的网站作为主机来欺骗用户下载捏造的安卓平安运用程序(APK文件),捏造的网站主若是一家日本的手机运营商的网站。经由历程监控捏造的网站研究人员发明,捏造网站重要经由历程短信诈骗来流传。停止如今,并没有大规模沾染,但研究人员发明有大批用户已吸收到了渣滓短信的内容。

假装巨匠——XLoader新变种剖析

图1. 寄存XLoader的网站

之前的版本中,XLoader能够在PC机上举行挖矿,能够在iOS装备上举行账户垂纶。这波新变种运用了新的进击向量来进击安卓和iOS装备。

对安卓装备,接见歹意网站或点击恣意按钮都邑弹出APK下载。然则要胜利装置歹意APK须要用户开启许可未知泉源装置设置。若是用户许可这类未知泉源的App装置,那末歹意软件就会胜利装置在受害者装备上了。

对苹果装备来讲,沾染链就轻微庞杂点了。接见雷同的歹意网站会将用重定向到另一个歹意站点(hxxp://apple-icloud[.]qwq-japan[.]com or hxxp://apple-icloud[.]zqo-japan[.]com),该站点会让用户用户装置歹意iOS配置文件来处理影响该站点加载的题目。若是用户装置了该文件,歹意站点就会翻开,显现的是一个苹果的垂纶页面,如图2所示。

假装巨匠——XLoader新变种剖析

图2. 针对iOS装备用户的歹意站点截图

手艺剖析

新XLoder变种的进击要领基础与之前的版本雷同。但研究人员剖析发明与运用要领相干的代码有一些转变。

歹意APK

与之前的版本类似,XLoader 6.0滥用交际媒体用户引见来隐蔽实在的C2地点,然则进击者此次运用的交际媒体是twitter,该平台在之前的进击运动中并未涌现过。实在的C2地点编码在Twitter name中,只要解码后才能够显现。这相当于加了一层来防备被检测到。这一特性的代码和对应的Twitter账户如图3和图4所示。

假装巨匠——XLoader新变种剖析

图3. 滥用twitter来隐蔽实在C2地点的XLoader 6.0代码段

 假装巨匠——XLoader新变种剖析

图4. 隐蔽实在C2地点的Twitter页面

Version 6.0增添了一个C2敕令getPhoneState,用于网络挪动装备的独一识别名,好比IMSI, ICCID, Android ID和装备序列号。考虑到XLoader的其他歹意行动,这一功用异常风险,由于进击者能够应用网络的信息提议有针对性的进击。

假装巨匠——XLoader新变种剖析

图5. XLoader 6.0增添新C2敕令getPhoneState的代码段

歹意iOS Profile

关于苹果装备来讲,下载的歹意iOS引见会网络以下信息:

· Unique device identifier (UDID)

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

· International Mobile Equipment Identity (IMEI)

· Integrated Circuit Card ID (ICCID)

· Mobile equipment identifier (MEID)

· 版本号

· 产物号

Profile的装置历程依据iOS版本分歧而分歧。对v11.0到11.4,装置是直接举行的。若是用户接见profile主机网页并许可装置器下载,iOS体系会实行到Install Profile页面,然后请求用户的password以完成装置的末了一步。

假装巨匠——XLoader新变种剖析

图6. iOS 11.0和iOS 11.4的装置历程

关于iOS11.4以后的版本,装置历程是分歧的。尤其是对iOS 12.1.1和iOS 12.2,profile下载后,iOS体系会首先请求用户在设置中检察profile,用户在设置中能够看到Profile Downloaded。如许用户就能够相识做出的转变。以后,装置历程与iOS 11.0和iOS 11.4的装置历程雷同。

 假装巨匠——XLoader新变种剖析

图7. iOS 12.1.1和iOS 12.2的装置历程

Profile装置后,用户就被重定向到另一个苹果垂纶页面。垂纶网站运用网络的信息作为GET参数,许可进击者接见盗取的用户信息。

假装巨匠——XLoader新变种剖析

图8. Profile网络信息的代码

其他运动

进一步监控该要挟,研究人员发清楚明了另一个假装为成人运用的XLoader变种,该变种的进击目的为韩国用户。APK名为porn kr sex,会在背景连接到运转XLoader的歹意网站。该网站运用一个分歧的流动的twitter账户(https://twitter.com/fdgoer343),该进击彷佛只针对安卓用户。

假装巨匠——XLoader新变种剖析

图9. XLoader变种运用的成人网站截图

进一步监控发明该变种应用了交际媒体平台Instagram和Tumblr而不是Twitter来隐蔽C2地点。研究人员将该变种标记为XLoader version 7.0。

FakeSpy

研究人员进一步剖析发清楚明了XLoader 6.0和FakeSpy之间的联系干系。首先是XLoader 6.0和FakeSpy运用了类似的完成手艺,都克隆了正当的日本网站来生存歹意App,但克隆的网站分歧。两款歹意软件对下载的文件、假装网站的域名构造的定名要领和其他完成手艺的细节都异常类似。

假装巨匠——XLoader新变种剖析

图10. XLoader (左)和FakeSpy(右)运用的歹意网站源代码

XLoader 6.0也镜像了FakeSpy隐蔽实在C2服务器的体式格局。XLoader 6.0之前运用多个分歧的交际媒体平台,如今还运用了Twitter,这与FakeSpy曩昔的进击也是异常类似的。对歹意iOS profile的剖析也注解这两款歹意软件之前存在联系干系,即该profile文件能够从FakeSpy往年早些时候运用的网站中下载。

结论

经由历程对XLoader的延续监控,研究人员发明其运营者在不断更新其特性,好比进击向量完成基础设施和完成的手艺。最新的纪录注解更新运动正在举行中。除此之外,研究人员还发清楚明了XLoader和FakeSpy在定名划定规矩和进击要领等方面异常类似,进一步注解了这两款歹意软件之间的内涵干系和与其背地的进击者之间的干系。

如何针对使用HTTP的.NET Remoting寻找并利用反序列化漏洞

一、概述 在NCC Group最近一次的安全评估中,我发现了一个.NET v2.0应用程序,该应用程序使用.NET Remoting通过HTTP方式发送SOAP请求,以与其服务器进行通信。在对应用程序进行了反编译后,我意识到该服务器已经将TypeFilterLevel设置为F


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明假装巨匠——XLoader新变种剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址