勒索软件的魔掌已经伸向了移动设备 | Sunbet
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

勒索软件的魔掌已经伸向了移动设备

Sunbet_新闻事件 Sunbet 24次浏览 已收录

勒索攻击是安全领域常见的恶意软件,常见的有CryptoLocker、WannaCry和Ryuk。这些勒索软件对企业和个人带来的大量的伤害。但这些勒索软件主要攻击的电脑和服务器,攻击移动设备的勒索软件还很少。Check Point研究人员2018年9月发现了的Black Rose Lucy就是针对移动设备的恶意软件。Lucy是一款针对安卓设备的Malware-as-a-Service (MaaS,恶意软件即服务)和释放器。近2年后,近日Lucy新加入了勒索软件的功能,可以控制受害者设备做出不同的变化和安卓新的恶意应用。

概述

下载后,Lucy会加密受感染设备上的文件,并在浏览器窗口现实一个勒索信息,称是来自美国FBI的官方消息,起诉受害者在设备上处理色情内容。勒索信息称锁定设备后,用户详细信息已经上传到美国FBI网络犯罪部数据中心。受害者需要通过信用卡而非勒索软件中常见的比特币来支付500美元的罚款。研究人员共发现了超过80个Lucy相关的样本通过社交媒体链接和即时消息app来传播。

Lucy会通过弹窗消息诱使用户启动accessibility服务,用户点击ok后,就会授予恶意软件使用accessibility服务。然后,Lucy就可以初始化其计划来加密受害者设备上的数据。

图 1. 恶意软件弹窗诱使受害者启用accessibility服务

技术细节

研究人员发现这些样本伪装成视频播放器应用,使用安卓的accessibility服务在没有用户交互的情况下安装payload,恶意软件还创建了一个自保护机制。

初始化

恶意软件首先注册一个名为uyqtecppxr的接收器(receiver)来运行BOOT_COMPLETE和QUICKBOOT_POWERON来检查设备的国家码是否来自前苏联国家。

然后,Lucy通过模拟Alert Dialog(告警对话)来要求用户采取措施,诱使用户启用Accessibility服务

在MainActivity 模块中,应用触发了恶意服务,然后注册一个命令action.SCREEN_ON 调用的BroadcastReceiver,然后调用。这是用来获取‘WakeLock’ 服务,可以保持设备屏幕开启,‘WifiLock’ 服务用来保持Wifi开启。

通信

恶意软件代码中有4个加密的C2服务器。与之前的版本不同,C2是域名而不是IP地址。C2的域名中夹杂了很多无用的数据。

图 2. 恶意软件中的C2服务器地址(包含无用数据)代码

勒索软件的魔掌已经伸向了移动设备

图 3.  恶意软件C2服务

恶意软件会在不同的C2之间循环,每个都会由不同的API和URI调用。

图 4. 恶意软件在不同的C2服务器和URI之间变化

C2命令

C2服务器可以发送不同的命令给恶意软件,并且在受害者设备上执行。恶意软件接收的C2命令如下所示:

勒索软件的魔掌已经伸向了移动设备

文件解密/解密

恶意软件会接收一个名为key的字符串,这也是来自C2服务器的响应。字符串会被// 分拆为2部分。

然后,会调用一个新的服务,尝试从所有设备的目录中取回一个数组。如果失败,就尝试取回directory /storage,最后尝试取/sdcard目录。

勒索软件的魔掌已经伸向了移动设备

图 5 恶意软件尝试取回受害者设备目录

加密过程首先遍历它在上一阶段收到的目录数组中的文件。

在加密之前,恶意软件会执行一些检查,比如长度和权限,来确保文件是加密或解密的。之后检查文件是否成功加密。

Lucy在加密过程中还会模拟密钥生成,但是使用的是固定seed 0x100的AES算法。但这一动作好像是没用的,因为结果并没有保存在变量中。

勒索软件的魔掌已经伸向了移动设备

图 6. 生成(错误的)key

真实的加密key是由‘SecretKeySpec’字符串的前一部分和从SharedPreferences中取回的key组成的。

这些key与目录数组、作为加密和解密模式的布尔变量一起作为参数发送给加密/解密函数。

恶意软件完成设备上的文件加密后,会执行检查来验证文件是否成功加密,然后在浏览器窗口展示勒索信息。

勒索信息称是来自美国FBI的官方消息,要起诉受害者在设备上处理了色情信息。所以,设备上所有的内容都被加密和锁定了。勒索信息称用户详细信息已经上传到美国FBI网络犯罪部数据中心。受害者需要通过信用卡而非勒索软件中常见的比特币来支付500美元的罚款。

加密和解密的过程非常相似。除了加密的过程中会在文件加上.Lucy扩展,解密的时候会在文件尾部移除.Lucy扩展,和调用不同的布尔参数值(分别表示加密和解密)。

在加密和解密过程中,研究人员还发现了几个关键组件的角色:

·‘SecretKeySpec’是加密密钥的第一部分,是来自第一阶段的C2服务器响应。

· 来自SharedPreferences的key字符串的密钥的第二部分。

这两部分引起组成了加密/解密密钥。

解密完成后,恶意软件会发送日志来通知所有的文件都成功解密了。然后,恶意软件会修改当前命令为“Delete”来删除自己。

总结

虽然之前没用很多的手机(移动)勒索软件,但研究人员这是一个趋势。手机勒索软件变得越来越复杂和高效,比如Lucy就是手机恶意软件发展中的一个重要的里程碑。迟早,手机会遇到大规模、破坏性的勒索软件攻击。

本文翻译自:https://research.checkpoint.com/2020/lucys-back-ransomware-goes-mobile/:

CVE-2020-0981:对最新Chrome沙箱逃逸漏洞利用的分析

Windows上的Chromium沙箱经受了时间的考验。它被认为是大规模部署的最好的沙箱机制之一,不需要提升特权即可运行。尽管优点明显,但确实也存在一些缺点。沙箱的实现主要取决于Windows操作系统的安全性,更改Windows的行为不受Chromium开发团队的控制,如果在Windows的安全实施机制中发现漏洞,则沙箱就可能会被破坏。 这篇文章介绍了Windows 10 1903中引入的一个漏洞,此漏洞打破了Chromium可以使沙盒非常安全的假设。我将介绍如何使用该漏洞来开发执行链,以逃逸用于Chrome / Edge上的GPU进程或Firefox中默认内容的沙箱。利用进程也是对Windows中一些小缺陷的挖掘,这些小缺陷本身并没有越过安全边界,但却导致成功的沙箱逃逸。此漏洞于2020年4月修复为CVE-2020-0981。  https://bugs.chromium.org/p/project-zero/issues/detail?id=2006
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明勒索软件的魔掌已经伸向了移动设备
喜欢 (0)
[]
分享 (0)