Sadstrot木馬分析
Sadstrot木馬分析
前段時間爆發(fā)了一個蝗蟲般的木馬Sadstrot,在媒體渲染之下,此木馬已是人盡皆知談毒色變,因此AVL移動團(tuán)隊對此木馬進(jìn)行了詳細(xì)分析,下面是學(xué)習(xí)啦小編整理的一些關(guān)于Sadstrot木馬分析的相關(guān)資料,供你參考。
Sadstrot木馬分析:
AVL移動安全團(tuán)隊截獲了一款惡意木馬,該木馬運行后會竊取用戶QQ和微信賬戶、好友列表、消息記錄等,同時會利用subtrate hook框架監(jiān)控鍵盤輸入的任何信息。此外,該應(yīng)用還會接收云端指令,執(zhí)行模塊更新、刪除指定文件等遠(yuǎn)程控制操作,嚴(yán)重影響系統(tǒng)安全。目前AVL Pro已經(jīng)可以全面查殺,有效保護(hù)用戶手機(jī)安全。
一, Sadstrot木馬行為及危害
一旦運行,該木馬立即申請root權(quán)限,為之后各種惡意行為做好鋪墊。
創(chuàng)建一個detect進(jìn)程,此進(jìn)程下的模塊插件與主進(jìn)程進(jìn)行通信,通過回調(diào)Java層代碼、hook等方式收集用戶隱私。
監(jiān)聽鍵盤輸入,用戶所有敲入的字符都會被竊取,包括銀行賬號密碼、社交APP賬號密碼等等。
接收云端指令,執(zhí)行模塊更新、刪除指定文件等,給系統(tǒng)安全帶來極大安全隱患。
二, Sadstrot木馬執(zhí)行流程
右鍵看大圖本地進(jìn)程間通信協(xié)議
運行在com.sec.android.service.powerManager進(jìn)程的libnativeLoad.so、libPowerDetect.cy.so,會創(chuàng)建大量的服務(wù)監(jiān)聽。當(dāng)接收到來自detect進(jìn)程中的插件模塊發(fā)來的socket通信請求時,通過判斷buffer的前2個字節(jié)作為魔術(shù)字進(jìn)行匹配,執(zhí)行相應(yīng)操作。
三, Sadstrot詳細(xì)分析
1 申請root權(quán)限,運行cInstall可執(zhí)行文件
1) cInstall文件會在應(yīng)用的私有路徑下創(chuàng)建工作目錄與數(shù)據(jù)存儲目錄,將cache緩存中detect、plugin.dat、dtl.dat、glp.uin拷貝到指定的目錄下。
2) 讀取plugin.dat,解析獲取指定id模塊對應(yīng)的插件名稱,據(jù)此改名寫入”/data/data/com.sec.android.service.powerManager/cores/Users/All Users/Intel”目錄。
以上目錄與文件將被賦予可讀可寫可執(zhí)行權(quán)限,為之后各種惡意行為做好鋪墊。
將cache緩存下的super拷貝到/system/bin/目錄,并提權(quán)。之后將libPowerDetect.cy.so、libnativeLoad.so等文件拷貝到指定目錄,并靜默安裝substrate hook框架。
cInstall文件執(zhí)行流程
將super拷貝到/system/bin目錄下,并提權(quán)。
靜默安裝substrate框架:
2 調(diào)用Substrate框架,并利用hook技術(shù)監(jiān)控鍵盤輸入
運行substrate框架,libPowerDetect.cy.so在init_array段進(jìn)行初始化時,便會調(diào)用Substrate框架提供的api,對輸入法操作中的字符輸入、結(jié)束輸入、隱藏鍵盤等方法進(jìn)行hook,并將收集到的字符發(fā)送至detect進(jìn)程。
3 創(chuàng)建大量的監(jiān)聽服務(wù),運行detect可執(zhí)行文件
libnativeLoad.so會調(diào)用以下jni方法,創(chuàng)建大量的監(jiān)聽服務(wù),運行super可執(zhí)行文件。Super會通過設(shè)置用戶和用戶所在組id這種方式獲取進(jìn)行提權(quán),并fork出一個detect進(jìn)程。
4 初始化主插件
detect可執(zhí)行文件查找主插件下Initialplugin、 NetWorkStateChanged這兩個符號,并調(diào)用進(jìn)行初始化。
5 主插件加載調(diào)用其他模塊
WSDMoo.dat會調(diào)用執(zhí)行其他模塊下的SetCallbackInterface方法,并將一組函數(shù)指針作為參數(shù)傳入,使其能夠通過回調(diào)相應(yīng)函數(shù)獲取工作目錄、插件配置等信息,且能為主插件添加一個上傳任務(wù)。
6 收集QQ賬戶、好友列表等隱私信息
winbrrnd.dat插件的SetCallbackInterface方法會創(chuàng)建startListernQQMsgThread線程,獲取QQ和微信賬戶、好友列表、消息記錄等信息,輸出到指定文件,并回調(diào)主插件的CbAddUploadFileTask函數(shù)添加一個上傳任務(wù)。
7 Socket聯(lián)網(wǎng)上傳,獲取指令執(zhí)行相應(yīng)遠(yuǎn)控操作
Socket聯(lián)網(wǎng)發(fā)送手機(jī)固件、插件信息,記錄了從其他模塊收集的隱私信息的文件。接收從服務(wù)器發(fā)來的消息,解析指令(詳見下表),并執(zhí)行相應(yīng)操作。
四 Sadstrot木馬總結(jié)
此款木馬的特點是運行過程高度模塊化,各ELF文件之間會相互通信、相互配合,并最終實現(xiàn)隱私竊取和遠(yuǎn)控后門的功能。此外,它還利用了substrate框架進(jìn)行hook監(jiān)控鍵盤輸出。同時,該木馬還會收集QQ和WebChat賬號信息。黑客可能利用這些信息,向QQ好友或微信好友發(fā)送詐騙信息,對用戶潛在威脅巨大。AVL移動安全團(tuán)隊提醒您,僅從官方站點或可信任的應(yīng)用市場下載手機(jī)軟件,不隨意下載插件,以避免受到手機(jī)病毒的危害。此外,針對此類手機(jī)病毒,AVL Pro已經(jīng)實現(xiàn)查殺。
看過文章“Sadstrot木馬分析”的人還看了:
3.什么是木馬程序
5.關(guān)于下一代遠(yuǎn)程控制木馬的思路探討
6.手工查殺木馬和病毒 作網(wǎng)絡(luò)安全緝毒高手
9.Win7 Ghost SP1盜版內(nèi)置木馬的危害
10.木馬病毒的介紹