欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

安天移动安全联合猎豹揭秘无形之贼Dosoft免杀病毒

来源:本站整理 作者:AVLTeam 时间:2017-07-27 TAG: 我要投稿


网络安全的核心本质是攻防对抗。当安全工作者使用手上的安全武器保卫网络安全时,恶意攻击者也在想方设法予以对抗、夹缝求生。“免杀病毒”便是正邪对抗的产物。免杀是一种避免被杀毒软件查杀的技术,利用这种技术,免杀病毒可以在杀毒软件面前肆无忌惮地实施恶意行为而不被发现。
近期,安天移动安全团队和猎豹安全实验室捕获了一例企图绕过杀毒软件实现免杀的病毒——Dosoft,该病毒通过捆绑在正常应用中潜入用户手机,待应用运行后则启动服务立即执行恶意代码模块,通过修改杀软数据库的手段躲避查杀,并利用系统漏洞root手机而获取root权限,从而在后台私自静默推广并安装其他App,消耗用户流量资费,可谓是“无形之贼”。

▲Dosoft病毒界面

▲静默安装其他App示例
一、恶意行为流程图

二、恶意行为详细分析
Step1.上传设备信息,获取恶意文件下载地址列表
该应用捆绑恶意代码,运行后启动服务去执行恶意代码模块,并上传手机设备信息,获取恶意文件下载地址列表。上传的手机设备信息包含IMEI、IMSI、Android的版本、国家代码(ISO标准形式)等多项信息。

上传的目标URL: http://smzd.cntakeout.com:36800/configsc.action
通过网络抓包获取加密通信数据:

  对返回的数据进行解密,表面上看都是一些.png文件的下载地址列表。
但对这些下载地址通过字符串拼接形成完整链接后访问发现,实际上.png文件并非图片文件,而都是加密的ELF、zip和apk文件。
Step2.保存返回的数据,下载恶意子包
Dosoft病毒将Step1获取的返回数据保存到pluginLib.xml文件中,目的是为了避免每次请求服务器获取配置信息而引起杀软注意并影响攻击效率。Dosoft病毒再次运行时将直接读取该文件中的数据,解密后立即下载恶意文件。

解析保存的数据,进行解密后,然后下载ajsbv_43.png和eql_29.png恶意子包。

Step3.解密下载的恶意子包,动态加载
上一步骤下载获得的子包的主要作用为完成其他恶意文件的解密、获取root权限、ELF文件的授权和注入以及执行杀毒软件的对抗策略。调用Lib/libNDKlib.so的load函数解密eql_29.png子包,并且动态加载。

Step4.添加病毒信息至杀软数据库中,以防查杀
检测是否安装某杀毒软件:

如果受害用户手机中安装了相关杀毒软件,则把恶意的apk文件信息写入杀软的sh**d.db和v_a*****rus.db数据库中,其手段类似于添加自己的数据到杀软白名单中,防止被杀毒软件查杀。


Step5.获取root权限,并注入恶意文件到系统内
Dosoft病毒所使用的提权工具会根据手机的设备信息而下发特定的提权文件。在我们测试该病毒的场景下,发现Dosoft病毒使用了CVE-2015-3636漏洞提权。工具的来源地址: /Article/UploadPic/2017-7/201772718537803.png

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载