关于海莲花构造针对挪动装备进击的剖析申报 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

关于海莲花构造针对挪动装备进击的剖析申报

申博_安全防护 申博 88次浏览 未收录 0个评论

海莲花是什么?

“海莲花”(别名APT-TOCS、APT32、OceanLotus),被认为是来自中南半岛某国的APT进击构造,自2012年活泼以来,一向针对中国的敏感目标举行进击运动,是近几年来针对中国大陆举行进击运动的最活泼的APT进击构造之一。

安天及其他平安厂商在之前已宣布过量份关于海莲花的剖析申报,申报的内容重要集合在PC端,进击手腕每每以鱼叉进击和垂纶进击为主,挪动端的进击其实不多见。但是,跟着挪动互联网的生长,一方面人们的手机逐步涌现两用性,除包罗运用者的小我隐私外,也每每会带有其社会属性,另一方面,智能手机的无线通信能够绕过内部平安监管装备,故而针对挪动端的进击也成为了全部进击链条中的重要一环。下面,安天挪动平安以发作于我国的一同挪动端进击事宜为底本举行具体剖析申明。

具体剖析

关于海莲花构造针对挪动装备进击的剖析申报

表1. 典范样本基本信息

该运用假装一般运用,在运转后隐蔽图标,并于背景开释歹意子包并吸收长途控制指令,盗取用户短信、联系人、通话纪录、地理位置、浏览器纪录等隐私信息,擅自下载apk、照相、灌音,并将用户隐私上传至效劳器,形成用户隐私走漏。

样本剖析

该运用启动后会翻开LicenseService效劳:

关于海莲花构造针对挪动装备进击的剖析申报

该效劳会开启f线程用于注册和开释特务子包:

动态加载特务子包:

关于海莲花构造针对挪动装备进击的剖析申报

子包剖析

主包反射挪用com.android.preferences.AndroidR类的Execute要领:

关于海莲花构造针对挪动装备进击的剖析申报

起首竖立socket衔接:

socket地点:mtk.baimind.com

小心应用Office破绽流传商业间谍软件AgentTesla

背景概述 AgentTesla原本是一款在2014年发布的简单的键盘记录器,近年来其开发团队为其不断增加了许多新功能,并进行出售。AgentTesla现已成为一个商业化的间谍软件,可通过控制端生成满足功能需求的木马程序。 AgentTesla最常见的传播方式是钓鱼邮件,邮件附件中通常会携带恶意文档,通过宏或漏洞利用下载运行恶意程序。近日,深信服安全团队采集到利用CVE-2017-11882传播AgentTesla窃取信息的恶意样本,并对其攻击过程进行了详细分析。 详细分析 CVE-2017-11882 1.使用工具监控文件行为,查看到运行文档后系统拉起了eqnedt32.exe进程,并且通过抓包捕获到下载EXE文件的流量,由此判断是利用CVE-2017-11882执行恶意代码: 2.通过附加调试器,在Kernel32!WinExec下断点,查看寄存器值,找到运行了”C:\Users\root\AppData\Roaming\Adobe.exe”的命令,与捕获到的流量信息相结合判断,恶意代码应是下载文件保存到本地然后运行,推断使用了URLDownloadToFile相关API: 3.附加调试器对网络相关API下断调试,但程序并没有断下,于是在eqnedt32.exe造成溢出的函数处下断,单步调试到ret覆盖的返回地址,执行恶意代码: 4.恶意代码先对内存进行解密操作,图中是解密前后对比,可以直观

经由过程与手机竖立通信,发送控制指令和上传短信、联系人、通话纪录、地理位置、浏览器纪录等局部隐私信息。

另外该特务子包还竖立了https通信,用于上传灌音、截图、文档、相片、视频等大文件。

现在已失活, 该C2属于海莲花构造资产。

表2. CC所在位置及作用

以下图所示:起首,署名Subject中包罗HackingTeam、Christian Pozz(Hacking Team中一个管理员的名字)字样;其次,代码中的注册功用,能够认定是对外出卖的商业特务软件;末了,根据后期Hacking Team走漏材料来看,海莲花构造所属国度亦在其客户名单当中。

拓展剖析

根据注册CC的同源性,我们查找到以下样本:

关于海莲花构造针对挪动装备进击的剖析申报

表3. 经由过程CC检索到的同源样本

与我们剖析的样本分歧,以上样本有了显着的功用革新,增加了提权功用,以45AE1CB1596E538220CA99B29816304F为例,对其assets目次名为dataOff.db的文件举行解密,解密以后的文件中带有提权配置文件,以下所示:

因而可知,在代码走漏后HackingTeam构造的CEO透露表现“走漏的代码只是很小一局部”的谈吐是有根据的,这也从正面反映出收集军火商在肯定程度上降低了APT进击的门坎,使得收集进击涌现更多的不确定性。

同时我们也注意到,该系列歹意代码有经由过程国内第三方运用市场和文件同享网站举行的投递。

表4. 样本分发链接

总结

海莲花构造总是在演进转变,不断地经由过程更新其进击手段和武器库以到达绕过平安软件防备的目标。除武器库的不断更新,该构造也相称熟习中国的状况,包罗政策、运用习气等。这不只疑惑了相干职员,增加了其进击成功率,同时也可能给目标受益群体带来不可估量的丧失。因而关于小我来说,要实在进步收集平安意识,不要被收集垂纶信息所蒙蔽;关于平安厂商来说,更需要对其加深了解并延续举行针对性的匹敌,提拔平安防护才能,真正为用户侧的挪动平安保驾护航。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明关于海莲花构造针对挪动装备进击的剖析申报
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址