Roaming Mantis进击运动又更新 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Roaming Mantis进击运动又更新

申博_安全防护 申博 155次浏览 未收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

1年前,研究人员就对Roaming Mantis进击运动举行过剖析。往年2月,研究人员检测到该进击运动的新动向,本文主要引见对象和手艺方面的更新。

Apple垂纶的mobile config

研究人员的主要发明之一就是进击者继承寻觅要领来入侵iOS装备,并为iOS用户构建了新的加载页面。当iPhone用户接见该加载页时,就会看到一个弹窗音讯指点用户举行歹意的iOS mobile config文件装置:

弹出音讯和歹意mobile config文件装置

Mobile config装置完成后,垂纶页面会自动在web浏览器中翻开,并网络装备的相干信息发送到进击者的效劳器。网络的信息包孕DEVICE_PRODUCT, DEVICE_VERSION, UDID, ICCID, IMEI和MEID。

mobile config中的XML和CA

CA中含有疑似开发者的邮件地点[email protected][.]jp。

研究人员创建了一个测试账号,并用该账号凭据进入垂纶网站。当进击者接收到ID和暗码后,犯罪分子就实验从中国香港上岸该账号。在输入凭据后,研究人员进入了下一个页面,该页面会实验盗取发送给装备的双因子认证码(PIN)。

盗取apple ID和双因子认证的垂纶页面

再次流传sagawa.apk Type A (MoqHao/XLoader)

在安卓端,研究人员发明一大波歹意APK文件正在流传,即Trojan-Dropper.AndroidOS.Wroba.g。

sagawa.apk Type A从2月26日最先流传

研究人员剖析歹意APK文件后确认这是sagawa.apk Type A歹意软件的一个变种,也叫做MoqHao (Mcafee)或XLoader (TrendMicro)。Type A歹意软件之前就在日本经由过程SMS举行流传。

研究人员还发明进击者入侵了路由器来重写DNS设置,并且还更新了2个特性:

· 一是木马开释模块中加密payload的解密算法

· 二是生存的地点和用于猎取实在C2的账号

木马开释模块中加密payload的解密算法

与之前版本比拟,木马开释期的解密函数有所转变(修正的局部见图中紫色局部):

在反编译的代码中增加了4个字节的跳过

进击者为何要这么做呢?研究人员预测进击者在解密算法上做出了一些转变以绕过安全产物和研究人员的检测。

研究人员已依据这一转变更新了用于解密的python剧本:

sagawa.apk_typeA_payload_extractor_1.01.py
 #!/usr/bin/env python
 
import sys
import zlib
import base64
 
data = open(sys.argv[1],"rb").read()
dec_z = zlib.decompress(data[4:])            # open.skip(4);
dec_b = base64.b64decode(dec_z)
 
with open(sys.argv[1]+".dec","wb") as fp:
    fp.write(dec_b)

生存的地点和用于猎取实在C2的账号

在之前的进击运动中,有@outlook.com的3个账户“haoxingfu11”, “haoxingfu22”和“haoxingfu33”生存在样本中来提取C2效劳器的地点。为了取回C2效劳器的地点,邮件效劳运用的是实在的C2目标地点,然则是以加密情势出现在邮件的主题subject地区。在新变种中,进击者运用twitter来提取C2地点。

https://twitter.com/%s生存在歹意软件中

研究人员剖析发明了3个可疑的twitter账户,样本中的账号ID和twitter账号是一同生存的,只运用|字符支解来:

门罗币挖矿+远控木马样本剖析

近日,威胁情报小组在对可疑下载类样本进行分析时,发现一起门罗币挖矿+木马的双功能样本。该样本会在执行挖矿的同时,通过C2配置文件,到指定站点下载具有远控功能的样本,获取受害主机信息,并进一步控制受害主机。 详细分析过程: 样

用“|”支解的账号ID

歹意软件会经由过程web socket来连接到提取的实在C2地点,除此以外,研究人员还发明了其他几个账号:

· lucky88755

· lucky98745

· lucky876543

· gyugyu87418490

· luckyone1232

· sadwqewqeqw

从中文字符中提取实在C2地点的解密算法和之前是一样的。一切账号都与雷同的IP地点联系关系,分歧的是端口号。下表申明了账号@luckyone1232中提取的转变。

研究人员注意到进击者还引入了一个新的后门敕令getPhoneState。下表对歹意软件分歧版本举行了对照。

在被黑的路由器上修正DNS设置

客岁2月,研究人员检测到歹意DNS修正器的URL查询,示例以下:

歹意DNS修正器的URL查询

若是装备从本地网络鄙人面的条件下读取DNS修正器的URL查询,那末路由器的DNS装备能够就被修正了:

· 从本地网络中路由器面板没有认证

· 装备有对路由器面板的admin会话

· 简朴ID和暗码,admin:admin

研究人员发明有上百个路由器被黑了,都指向歹意DNS IP:

· 171.244.33[.]114

· 171.244.33[.]116

地理位置散布

下图是卡巴斯基安全产物检测到的2月25日-3月20日时期sagawa.apk Type A新变种的数目和地理位置散布。

进击运动的地理位置散布

受影响最大的国度是俄罗斯、日本、印度、印度、孟加拉、哈萨克斯坦、阿塞拜疆、伊朗和越南。卡巴斯基产物检测到歹意软件在这段时候沾染了凌驾950个用户,检测次数凌驾6800次。研究人员置信这只是进击运动的冰山一角。

总结

从2019年2月起,研究人员发明sagawa.apk Type A疾速流传,这波进击是运用歹意mobile config来举行垂纶进击的新进击要领。研究人员发明歹意的mobile config会给用户带来异常严峻的安全问题。因而,研究人员发起用户:

· 修正默许的ID和暗码,运用相干安全补丁来应对此类要挟;

· 对安卓用户,不要从第三方源下载APK文件;

· 对iOS用户,不要装置不可托的第三方mobile config。

再度瞄准工控设备基础设施:针对TRITON恶意活动的详细分析

概述 FireEye近期确认TRITON恶意活动正在针对一个新的关键基础设施发动攻击,我们目前已经对该恶意行为采取了响应措施。 2017年12月,FireEye公开发布了我们针对TRITON攻击的第一次分析,其中恶意攻击者使用TRITON自定义攻击框架,对关键


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Roaming Mantis进击运动又更新
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址