欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Roaming Mantis攻击活动又更新

来源:本站整理 作者:佚名 时间:2019-04-15 TAG: 我要投稿

1年前,研究人员就对Roaming Mantis攻击活动进行过分析。今年2月,研究人员检测到该攻击活动的新动向,本文主要介绍工具和技术方面的更新。
Apple钓鱼的mobile config
研究人员的重要发现之一就是攻击者继续寻找方法来入侵iOS设备,并为iOS用户构建了新的加载页面。当iPhone用户访问该加载页时,就会看到一个弹窗消息指导用户进行恶意的iOS mobile config文件安装:

弹出消息和恶意mobile config文件安装
Mobile config安装完成后,钓鱼页面会自动在web浏览器中打开,并收集设备的相关信息发送到攻击者的服务器。收集的信息包括DEVICE_PRODUCT, DEVICE_VERSION, UDID, ICCID, IMEI和MEID。

mobile config中的XML和CA
CA中含有疑似开发者的邮件地址zeeyf79797@yahoo.co[.]jp。
研究人员创建了一个测试账号,并用该账号凭证进入钓鱼网站。当攻击者接收到ID和密码后,犯罪分子就尝试从中国香港登陆该账号。在输入凭证后,研究人员进入了下一个页面,该页面会尝试窃取发送给设备的双因子认证码(PIN)。

窃取apple ID和双因子认证的钓鱼页面
再次传播sagawa.apk Type A (MoqHao/XLoader)
在安卓端,研究人员发现一大波恶意APK文件正在传播,即Trojan-Dropper.AndroidOS.Wroba.g。

sagawa.apk Type A从2月26日开始传播
研究人员分析恶意APK文件后确认这是sagawa.apk Type A恶意软件的一个变种,也叫做MoqHao (Mcafee)或XLoader (TrendMicro)。Type A恶意软件之前就在日本通过SMS进行传播。
研究人员还发现攻击者入侵了路由器来重写DNS设置,而且还更新了2个特征:
· 一是木马释放模块中加密payload的解密算法
· 二是保存的地址和用于获取真实C2的账号
木马释放模块中加密payload的解密算法
与之前版本相比,木马释放期的解密函数有所改变(修改的部分见图中紫色部分):

在反编译的代码中增加了4个字节的跳过
攻击者为什么要这么做呢?研究人员猜测攻击者在解密算法上做出了一些改变以绕过安全产品和研究人员的检测。
研究人员已经根据这一改变更新了用于解密的python脚本:
sagawa.apk_typeA_payload_extractor_1.01.py
 #!/usr/bin/env python
 
import sys
import zlib
import base64
 
data = open(sys.argv[1],"rb").read()
dec_z = zlib.decompress(data[4:])            # open.skip(4);
dec_b = base64.b64decode(dec_z)
 
with open(sys.argv[1]+".dec","wb") as fp:
    fp.write(dec_b)
保存的地址和用于获取真实C2的账号
在之前的攻击活动中,有@outlook.com的3个账户“haoxingfu11”, “haoxingfu22”和“haoxingfu33”保存在样本中来提取C2服务器的地址。为了取回C2服务器的地址,邮件服务使用的是真实的C2目的地址,但是是以加密形式出现在邮件的主题subject区域。在新变种中,攻击者使用twitter来提取C2地址。

https://twitter.com/%s保存在恶意软件中
研究人员分析发现了3个可疑的twitter账户,样本中的账号ID和twitter账号是一起保存的,只使用|字符分割来:

用“|”分割的账号ID
恶意软件会通过web socket来连接到提取的真实C2地址,除此以外,研究人员还发现了其他几个账号:
· lucky88755
· lucky98745
· lucky876543
· gyugyu87418490
· luckyone1232
· sadwqewqeqw
从中文字符中提取真实C2地址的解密算法和之前是一样的。所有账号都与相同的IP地址关联,不同的是端口号。下表说明了账号@luckyone1232中提取的变化。

研究人员注意到攻击者还引入了一个新的后门命令getPhoneState。下表对恶意软件不同版本进行了比较。


在被黑的路由器上修改DNS设置

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载