安基網 首頁 資訊 安全報 查看內容

關于海蓮花組織針對移動設備攻擊的分析報告

2019-6-12 10:59| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: , groupId:

一、背景

“海蓮花”(又名APT-TOCS、APT32、OceanLotus),被認為是來自中南半島某國的APT攻擊組織,自2012年活躍以來,一直針對中國的敏感目標進行攻擊活動,是近幾年來針對中國大陸進行攻擊活動的最活躍的APT攻擊組織之一。

很多安全廠商在之前已經發布過多份關于海蓮花的分析報告,報告的內容主要集中在PC端,攻擊手段往往以魚叉攻擊和釣魚攻擊為主,移動端的攻擊并不多見。然而,隨著移動互聯網的發展,一方面人們的手機逐漸出現兩用性,除了包含使用者的個人隱私外,也往往會帶有其社會屬性,另一方面,智能手機的無線通信可以繞過內部安全監管設備,故而針對移動端的攻擊也成為了整個攻擊鏈條中的重要一環。下面,以發生于我國的一起移動端攻擊事件為藍本進行具體分析說明。

二、具體分析



表2-1 典型樣本基本信息

該應用偽裝正常應用,在運行后隱藏圖標,后臺釋放惡意子包并接收遠程控制指令,竊取用戶短信、聯系人、通話記錄、地理位置、瀏覽器記錄等隱私信息,私自下載apk、拍照、錄音,并將用戶隱私上傳至服務器,造成用戶隱私泄露。

三、樣本分析

該應用啟動后會打開LicenseService服務:



該服務會開啟f線程用于注冊和釋放間諜子包:



注冊url:http://ckoen.dmkatti.com



動態加載間諜子包:




子包分析

主包反射調用com.android.preferences.AndroidR類的Execute方法:



首先建立socket連接:



socket地址:mtk.baimind.com

通過與手機建立通訊,發送控制指令和上傳短信、聯系人、通話記錄、地理位置、瀏覽器記錄等部分隱私信息。



此外該間諜子包還建立了https通訊,用于上傳錄音、截圖、文檔、相片、視頻等大文件。



https地址:https://jang.goongnam.com/resource/request.php,目前已經失活,該C2屬于海蓮花組織資產。



表3-1 CC所在位置及作用

如下圖所示:首先,簽名Subject中包含HackingTeam、Christian Pozz(Hacking Team中一個管理員的名字)字樣;其次,代碼中的注冊功能,可以認定是對外出售的商業間諜軟件;最后,根據后期Hacking Team泄漏資料來看,海蓮花組織所屬國家亦在其客戶名單之中。



四、拓展分析

根據注冊CC的同源性,我們查找到如下樣本:



表4-1 通過CC檢索到的同源樣本

與我們分析的樣本不同,以上樣本有了明顯的功能改進,增加了提權功能,以45AE1CB1596E538220CA99B29816304F為例,對其assets目錄名為dataOff.db的文件進行解密,解密之后的文件中帶有提權配置文件,如下所示:



由此可見,在代碼泄漏后HackingTeam組織的CEO表示“泄漏的代碼只是很小一部分”的言論是有依據的,這也從側面反映出網絡軍火商在一定程度上降低了APT攻擊的門檻,使得網絡攻擊出現更多的不確定性。

同時我們也注意到,該系列惡意代碼有通過國內第三方應用市場和文件共享網站進行的投遞。



表4-2 樣本分發鏈接

五、總結

海蓮花組織總是在演進變化,不斷地通過更新其攻擊手法和武器庫以達到繞過安全軟件防御的目的。除了武器庫的不斷更新,該組織也相當熟悉中國的情況,包括政策、使用習慣等。這不僅迷惑了相關人員,增加了其攻擊成功率,同時也可能給目標受害群體帶來不可估量的損失。

因此對于個人來講,要切實提高網絡安全意識,不要被網絡釣魚信息所蒙蔽;對于安全廠商來講,更需要對其加深了解并持續進行針對性的對抗,提升安全防護能力,真正為用戶側的移動安全保駕護航。

感謝奇安信紅雨滴團隊(原360企業安全威脅情報小組)對于因sinkhole造成的域名歸因疏漏的熱心指正。

*本文作者:AVLTeam,轉載自FreeBuf.COM


Tag標簽: groupId

小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6701144452716560907/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
云南快乐十分开奖结果前三