欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_安全防护正文

Clicker木马新家族-Haken木马

b9e08c31ae1faa592020-03-1878Web安全

概述:Clicker木马是广泛的恶意程序,旨在提高网站访问率在线赚钱。它们通过单击链接和其他交互式元素来模拟网页上的用户操作,实现无声地模拟与广告网站的交互,自动订阅付费服务。该木马是一个恶意模块,它内置于普通应用程序中,例如字典,在线地图,音频播放器,条形码扫描仪和其他软件。

Clicker木马报告:“A.I.type”虚拟键盘”的风险提示。

最近暗影实验室在GooglePlay上发现了一个新的Clicker恶意软件家族Haken木马。该应用是一款提供位置方向服务的应用。与利用不可见Web视图的创建和加载来执行恶意点击功能的Clicker木马和Joker木马不同,Haken木马通过将本机代码注入Facebook和Google广告SDK的库中来实现模拟用户点击广告功能。通过点击广告来提高网站访问量赚取钱财。

Clicker木马新家族-Haken木马  Web安全 第1张

图1-1 GooglePlay上应用信息

用户抱怨该应用会弹广告,建议谨慎下载。

Clicker木马新家族-Haken木马  Web安全 第2张

图1-2 用户对该应用的评论

技术分析:

该程序的第一个入口是BaseReceiver广播接收器。其中注册了许多action,使该广播很容易被触发。

Clicker木马新家族-Haken木马  Web安全 第3张

图2-1 注册BaseReceiver广播

在该接收器内加载了lib库文件。通过在native层的startTicks函数调用本地com/ google / android / gms / internal / JHandler ”类中的“ clm”方式。

Clicker木马新家族-Haken木马  Web安全 第4张

Clicker木马新家族-Haken木马  Web安全 第5张

图2-2 加载库文件反射调用本地方法

此方法中注册了两个工作线程和一个计时器。其中wdt线程与C&C服务器通信获取最新配置信息。而w线程由定时器触发用于检查配置信息并将代码注入到广告SDK(如Google的AdMob和Facebook)的与广告相关的Activity类中。

Clicker木马新家族-Haken木马  Web安全 第6张

图2-3 注册两个工作线程

工作线程一:

在wdt线程中与服务器交互获取最新配置信息。服务器地址被编码:http://13.***.34.16。

Clicker木马新家族-Haken木马  Web安全 第7张

图2-4 服务器交互

服务器下发的配置信息,其中包括用于更新服务器交互的地址。

Clicker木马新家族-Haken木马  Web安全 第8张

渗透基础——从lsass.exe进程导出凭据

0x00 前言 本文将要结合自己的经验,介绍不同环境下从lsass.exe进程导出凭据的方法,结合利用思路,给出防御建议。 0x01 简介 本文将要介绍以下内容: · 从lsass.exe进程导出凭据的常用方法。 · 限制上传文件长度时导出凭据的方法。 · 限制下载文件长度时导出凭据的方法。 0x02 从lsass.exe进程导出凭据的常用方法 1.使用mimikatz直接导出凭据 直接从lsass.exe进程的内存中导出凭据,命令如下: mimikatz.exe log "privilege::debug" "sekurlsa::logonPasswords full" exit 通常这种方式会被安全产品拦截。 2.通过lsass.exe进程的dmp文件导出凭据 (1)获得lsass.exe进程的dmp文件 procdump 命令如下: procdump64.exe -accepteula -ma lsass.exe lsass.dmp c++实现 https://github.com/killswitch-GUI/minidump-lib po

Clicker木马新家族-Haken木马  Web安全 第9张

图2-5 从服务器获取配置信息

工作线程二:

w线程在设备已联网且应用已定时启动60000ms的情况下,启动活动。通过生成在1-4间的随机数匹配到启动哪个活动,这四个活动用于将代码注入到Facebook和Google广告类中,实现加载广告并模拟点击广告。

Clicker木马新家族-Haken木马  Web安全 第10张

图2-6 注入Facebook和Google

Clicker木马新家族-Haken木马  Web安全 第11张

图2-7 加载广告

模拟用户点击,点击从广告SDK中接收到的广告,这些功能都是通过反射机制实现的。

Clicker木马新家族-Haken木马  Web安全 第12张

图2-8 点击从广告SDK中接收到的广告

服务器后台:

我们通过于应用与服务器交互的地址进入到该应用的服务器后台,发现该应用的开发者使用XAMPP平台搭建了个人网站和服务器。

Clicker木马新家族-Haken木马  Web安全 第13张

图2-9 Haken木马个人网站

服务器后台包含2个js文件。Js文件用于代码的注入实现模拟点击功能。

Clicker木马新家族-Haken木马  Web安全 第14张

图2-10 Haken木马服务器后台

样本信息:

Clicker木马新家族-Haken木马  Web安全 第15张

情报扩展:

“Joker”恶意软件家族最早于2019年9月在GooglePlay上被发现,暗影实验室在2019年9月28号通过反间谍之旅—模拟订阅高级服务一文向用户发出风险预示。

该恶意软件被用来向用户订阅高级服务,无声地模拟与广告网站的自动交互包括模拟点击和输入高级服务订阅的授权代码。在过去几个月中Joker不断出现在GooglePlay商店中。

我们最近在GooglePlay上发现了另外四个Joker样本,已下载130,000+次。以下为样本信息。

Clicker木马新家族-Haken木马  Web安全 第16张