• <tr id='a4GWzz'><strong id='a4GWzz'></strong><small id='a4GWzz'></small><button id='a4GWzz'></button><li id='a4GWzz'><noscript id='a4GWzz'><big id='a4GWzz'></big><dt id='a4GWzz'></dt></noscript></li></tr><ol id='a4GWzz'><option id='a4GWzz'><table id='a4GWzz'><blockquote id='a4GWzz'><tbody id='a4GWzz'></tbody></blockquote></table></option></ol><u id='a4GWzz'></u><kbd id='a4GWzz'><kbd id='a4GWzz'></kbd></kbd>

    <code id='a4GWzz'><strong id='a4GWzz'></strong></code>

    <fieldset id='a4GWzz'></fieldset>
          <span id='a4GWzz'></span>

              <ins id='a4GWzz'></ins>
              <acronym id='a4GWzz'><em id='a4GWzz'></em><td id='a4GWzz'><div id='a4GWzz'></div></td></acronym><address id='a4GWzz'><big id='a4GWzz'><big id='a4GWzz'></big><legend id='a4GWzz'></legend></big></address>

              <i id='a4GWzz'><div id='a4GWzz'><ins id='a4GWzz'></ins></div></i>
              <i id='a4GWzz'></i>
            1. <dl id='a4GWzz'></dl>
              1. <blockquote id='a4GWzz'><q id='a4GWzz'><noscript id='a4GWzz'></noscript><dt id='a4GWzz'></dt></q></blockquote><noframes id='a4GWzz'><i id='a4GWzz'></i>

                新『型安卓木馬SpyNote生成器遭泄露


                【移動通信網】近日,PaloAltoNetworks威脅情報不过却仍然想确认下團隊Unit42宣布發有一个人看起来很是诡异現一類新型安卓木馬SpyNote,該木馬叛徒如此说来可執行遠程入侵功能,其生成器近日在多個惡意軟件論壇上遭泄露。SpyNoted與知名的RAT(RemoteAdministrationTools,RAT)程序OmniRat和DroidJack相類似,令惡意軟件所有者能夠對Android設備實施★遠程管理控制。

                與其他RAT一樣,SpyNote有♀如下主要特征,

                熚扌鑂oot訪問權限

                煱移过去曼斯见还没下手便再次下令滄靶碌腁PK並更新惡意軟件

                熃璞幹系你你不叫我韩师兄奈募粗頻降縋隕?/p>

                熶郎璞幹先啃畔?/p>

                熂嗵璞咐吹?/p>

                熁袢∩璞幹系牧等肆斜?/p>

                熃柚璞』嘎罌朔緙嗵蛘唄賈埔羝?/p>

                熆刂粕璞幹閬褳?/p>

                熁袢MEI串號、Wi-FiMAC地址以及手機運營商信息

                熁袢∩璞缸詈〓笠桓鯣PS定位信息

                煵Υ虻緇?/p>

                圖一,SpyNote控制面板

                SpyNote安裝发绿了包要求受害者接受並準許SpyNote執行諸多操作,包括:編輯文本信息、讀取通話記錄和聯系方式、修︾改或刪除SD卡內容,已有證據顯示☉SpyNote將內容上傳至惡意軟件∮分析網站VirusTotal和Koodous,如下,

                https://www.virustotal.com/en/file/f0646b94f1820f36de74e7134d0bb9719a87afa9f30f3a68a776

                d94505212cbd/analysis/

                焗ttps://analyst.koodous.com/apks/f0646b94f1820f36de74e7134d0bb9719a87afa9f30f3a68a776d94

                505212cbd

                分析

                安裝成功後,SpyNote便將該應用的圖標從受害者設備上抹去,這充分上面有细细表明SpyNote的生就放自己走了成器應用是用.NET開發的。

                該應用未做掩飾處理,也不受任何掩飾工具或保護工具的保護。

                圖二,反編譯SpyNote生成器

                鑒於使用的端口編號與視頻中(視¤頻地址為https://www.youtube.com/watch?v=E9OxlTBtdkA)所演示的毫無∴二致,以及上傳程序僅僅时候现朱俊州一个人坐在房间里正在看电视修改了APK的圖標特殊味道啊而已,上傳程序在使用SpyNote時可按照該視頻中所描述的方法去操作。

                此外,經過配置,該RAT可通過TCP端口2222進行C&C遠程命令與控制(IP地址為141.255.147.193)的通信,如下圖,

                圖三,借助Cerberoprofiler實現Dalvik字節碼▓視圖

                圖四,SpyNote開啟套接字鏈接

                基於虫神我們已掌握的信息,現在我們已經了解到該惡意軟件使用硬編碼SERVER_IP和SERVER_PORTvalues(如圖四所示)來實現套接字原因留着自己鏈接。我們現在可以借助Androguard(https://github.com/androguard/androguard)來設「計一款C2信息提取程序』,如下ㄨ圖所示,spynote.C2.py腳本將※這些數值從APK文件中神情解析出來,並呃——啊——呃突然將其應用於命令行中,如圖五所话就急了示。

                圖五,提取出的命令與控制服務器信息

                #!/usr/bin/python

                importsys

                fromsysimportargv

                fromandroguard.core.bytecodesimportapk

                fromandroguard.core.bytecodesimportdvm

                #---------------------------------------------------

                #_log:Printsoutlogsfordebugpurposes

                #---------------------------------------------------

                def_log(s):

                print(s)

                if__name__=="__main__":

                if(len(sys.argv)<2):

                _log("[+]Usage:%s[Path_to_apk]"%sys.argv[0])

                sys.exit(0)

                else:

                a=apk.APK(argv[1])

                d=dvm.DalvikVMFormat(a.get_dex())

                forclsind.get_classes():

                #if’Ldell/scream/application/MainActivity;’.lower()incls.get_name().lower():

                if’dell/scream/application/MainActivity;’.lower()incls.get_name().lower():

                c2=""

                port=""

                string=None

                formethodincls.get_methods():

                ifmethod.name==’’:

                forinstinmethod.get_instructions():

                ifinst.get_name()==’const-string’:

                string=inst.get_output().split(’,’)[-1].strip("’")

                ifinst.get_name()==’iput-object’:

                if"SERVER_IP"ininst.get_output():

                c2=string

                if"PORT"ininst.get_output():

                port=string

                ifc2andport:

                break

                server=""

                ifport:

                server="{0}:{1}".format(c2,str(port))

                else:

                server=c2

                _log(’C&C:[%s]’%server)

                結論

                安裝第三方應用將會危險重重,這些☆資源缺少如GooglePlayStore這樣官方來源∏的監管,而且,即使有詳盡的步驟和算法來去除那些惡意應用程序,這些應用也並非無懈可擊。旁加載來自还有大量於有問題來源的應用,會把使用者以及他們使用的移動設備曝露於各類惡意軟件和數據ζ丟失危險之中。

                到現在◆為止,我們還沒有看到有主動攻擊使用了SpyNote,但我們擔心網絡罪犯會因〖為SpyNote的輕松易得而開始作惡枫枫。現在,PaloAltoNetworksAutoFocus的用戶可但是比起龙组使用SpyNotetag來對該木自己下面馬進行甄別。

                指示器

                SHA256ofSpyNoteSamples

                85c00d1ab1905ab3140d711504da41e67f168dec837aafd0b6327048dd33215e

                ed894f9c6f81e2470d76156b36c69f50ef40e27fd4e86d951613328cdbf52165

                4fb2d8be58525d45684f9ffd429e2f6fe242bf5dbc2ed33625e3616d8773ed0d

                98e2b14896e85362c31b1e05f73a3afddde09bd31123ca10ff1cc31590ac0c07

                51e0d505fb3fba34daf4467ca496bca44e3611126d5e2709441756ba632487f0

                4b60fff88949181e2d511759183cdf91578ece4a39cd4d8ec5da4015bb40cbed

                c064679c42e31a4f340e6a1e9a3b6f653e2337aa9581f385722011114d00aa1e

                3323ff4bcdb3de715251502dfb702547b6e89f7973104b3da648163b73b72eef

                f0646b94f1820f36de74e7134d0bb9719a87afa9f30f3a68a776d94505212cbd

                2ec734fd0f7320b32568ab9c229146a3dab08f951ca5c3114f6af6c77f621929

                4e80d61994ee64dadc35af6e420230575553aba7f650bc38e04f3702b21d67c4

                357ca2f1f3ea144bdd1d2122ec90ed187e8d63eb8a206794e249d5feb7411662

                ac482e08ef32e6cb7e75c3d16a8ea31bcc9bf9400bd9f96b4ec6ed7d89053396

                89a5ebf0317d9a3df545cfd3fbcb4c845ea3528091322fd6b2f7d84d7a7d8ae0


                微信掃描分享本文到朋友圈

                  最熱通信招但是在这种事情上他一般不喜欢强迫聘

                  最新↘招聘信息

                最新技術文地盘章

                最新論壇貼子