安全预警:勒索软件正成为制马人的新方向
360手機(jī)衛(wèi)士 · 2016/05/17 15:12
0x00 引言
4月份360 移動(dòng)安全團(tuán)隊(duì)發(fā)布的《Android勒索軟件研究報(bào)告》詳細(xì)揭露了目前國(guó)內(nèi)Android勒索軟件黑色產(chǎn)業(yè)鏈情況。其中,報(bào)告中指出國(guó)內(nèi)勒索軟件傳播方式主要借助QQ群、受害者、貼吧和網(wǎng)盤(pán)。另外,報(bào)告也指出國(guó)內(nèi)勒索軟件的制作門(mén)檻低,制作人群呈現(xiàn)年輕化等特點(diǎn)。
我們?cè)谧罱难芯糠治鲋邪l(fā)現(xiàn),勒索軟件的惡意行為出現(xiàn)了新的變化趨勢(shì),開(kāi)始出現(xiàn)交叉式傳播。勒索軟件通過(guò)遍歷手機(jī)通訊錄,向聯(lián)系人群發(fā)帶有惡意下載鏈接的短信的方式進(jìn)行惡意軟件的傳播。傳播的對(duì)象不僅是惡意軟件自身,還有其他家族木馬,如:專門(mén)通過(guò)竊取手機(jī)支付驗(yàn)證碼及其它用戶手機(jī)重要隱私信息,以達(dá)到洗劫用戶資金目的的FakeTaobao【1】木馬家族。
據(jù)我們所知,借助短信方式傳播的Android木馬家族SpamSoldier【2】最早出現(xiàn)在2012年12月,在2014年8月全國(guó)范圍內(nèi)爆發(fā)的“XX神器”事件【3】中被媒體和網(wǎng)民廣泛的關(guān)注。目前為止,FakeTaobao木馬家族是使用這種裂變式傳播方式最活躍的木馬家族。
我們通過(guò)惡意軟件中制馬人留下的信息,回溯了其長(zhǎng)達(dá)半年之久的制馬活動(dòng)后發(fā)現(xiàn),勒索軟件傳播出現(xiàn)的裂變式傳播和交叉?zhèn)鞑バ纶厔?shì),正是由于制馬人制馬類型不再單一,正在變得多元化,而勒索軟件正在成為制馬人制馬的新方向。
0x01 木馬分析
一、木馬樣本分析
經(jīng)過(guò)我們對(duì)最新捕獲的勒索軟件的分析,該木馬的運(yùn)行流程如下圖所示:
圖1.1 木馬運(yùn)行流程
木馬具體執(zhí)行步驟:
木馬運(yùn)行后,啟動(dòng)惡意服務(wù)binge。
服務(wù)啟動(dòng)后,向手機(jī)號(hào)151xxxx3857發(fā)送安裝報(bào)活短信,短信內(nèi)容“報(bào)告斌哥,軟件已安裝,已授權(quán)”。
遍歷手機(jī)通訊錄向手機(jī)中所有聯(lián)系人發(fā)送帶有惡意下載鏈接的短信,短信內(nèi)容“{聯(lián)系人姓名},我?guī)蛣e人做宣傳。點(diǎn)擊鏈接并下載并安裝http://pre.im/xxxxflaw,一定要下載安裝哦,不下載安裝對(duì)不起我喲!”。
構(gòu)造并展現(xiàn)鎖屏懸浮窗頁(yè)面,不響應(yīng)觸摸事件。
隱藏自身圖標(biāo)。
我們?cè)诜治鲋邪l(fā)現(xiàn),樣本中涉及到敏感的字符串全部進(jìn)行了DES加密處理。
圖1.2 木馬遍歷聯(lián)系人群發(fā)短信的代碼片段
圖1.3密文與明文對(duì)應(yīng)關(guān)系
二、短信鏈接分析
短信中的鏈接指向http://pre.im/xxxxflaw,Pre.im是一個(gè)免費(fèi)的內(nèi)測(cè)分發(fā)、應(yīng)用托管工具網(wǎng)站,可以用于軟件BUG測(cè)試和兼容性測(cè)試。制馬人利用這種第三方網(wǎng)站提供的下載功能,上傳惡意樣本進(jìn)行傳播。
圖1.4 Pre.im官網(wǎng)介紹
通過(guò)瀏覽器打開(kāi)短信中的鏈接顯示一個(gè)名為“秒贊神器”軟件。實(shí)際上,經(jīng)過(guò)分析這個(gè)“秒贊神器”軟件是一個(gè)典型的設(shè)置PIN碼類型的勒索軟件,軟件運(yùn)行后會(huì)在用戶不知情的情況下強(qiáng)制設(shè)置手機(jī)解鎖PIN碼,造成用戶無(wú)法進(jìn)入手機(jī)桌面。
圖1.5 木馬下載頁(yè)面
在“秒贊神器”申請(qǐng)激活設(shè)備管理器頁(yè)面上,制馬人留下了自己的QQ聯(lián)系方式。
圖1.6 木馬申請(qǐng)?jiān)O(shè)備管理器頁(yè)面
同時(shí),在木馬簽名信息中也發(fā)現(xiàn)了同樣的QQ號(hào)碼。
圖1.7 木馬簽名信息
0x02 制馬人分析
一、制馬人行為分析
我們通過(guò)惡意軟件中制馬人留下手機(jī)號(hào)和QQ信息,將其制作的惡意樣本與我們捕獲到的時(shí)間進(jìn)行關(guān)聯(lián),回溯了制馬人長(zhǎng)達(dá)半年之久的制馬活動(dòng)。
圖2.1 制馬人半年的制馬活動(dòng)軌跡
從捕獲時(shí)間看,包含制馬人聯(lián)系方式的惡意樣本首次出現(xiàn)在2015年11月3日,軟件名稱為“system”。
圖2.2 “system”惡意軟件代碼片段
15年11月3日到12月25日:制馬人制馬活動(dòng)很少,偶爾制作幾個(gè)名稱為“system”、“卡鉆”、“移動(dòng)激活卡鉆”等惡意軟件。值得注意的是,新年前后期間正是廣大網(wǎng)民搶紅包的高峰期,在新年的前一周,12月24日制馬人制作了一款名為“搶紅包外掛”的惡意軟件。從十一月到十二月期間制作的這些惡意軟件都屬于FakeTaobao木馬家族。
16年1月1日:2016年新年伊始,制馬人依然沒(méi)有停下制馬的腳步,元旦這天制馬人開(kāi)始嘗試制作勒索軟件測(cè)試Demo程序。
圖2.3 勒索軟件測(cè)試Demo程序
1月10日:制馬人又開(kāi)始轉(zhuǎn)向制作釣魚(yú)軟件,制作了一個(gè)用于竊取QQ賬號(hào)和密碼的釣魚(yú)軟件測(cè)試Demo程序。
圖2.4 釣魚(yú)軟件正在發(fā)送QQ賬號(hào)密碼信息
1月12日:制馬人通過(guò)篡改正常軟件,制作了一款全屏不響應(yīng)觸摸事件的形式的勒索軟件。從這個(gè)樣本可以看出制馬人從測(cè)試階段逐步開(kāi)始制作正式的勒索軟件。
圖2.5 正常軟件(圖左)和被篡改后的軟件(圖右)對(duì)比
從制馬人一月的活動(dòng)可以看出,一月制馬人開(kāi)始活躍起來(lái)。不但制作了像“相冊(cè)”、“移動(dòng)積分”、“雙倍搶紅包(秒搶)”這類FakeTaobao木馬家族惡意樣本,還制作了釣魚(yú)和勒索軟件。
2月4日:與一月相比,二月制馬人活動(dòng)明顯減少。制馬人在2月4日制作的勒索軟件中,加入了所謂的“免殺”手段,通過(guò)構(gòu)造了異常的ZIP包結(jié)構(gòu),造成分析工具解壓時(shí)報(bào)錯(cuò),來(lái)對(duì)抗常見(jiàn)的分析工具分析。
圖2.6 異常的ZIP包結(jié)構(gòu)
2月5日到2月22日:制馬人一直保持靜默,沒(méi)有制作任何惡意軟件。這段時(shí)間恰逢中國(guó)農(nóng)歷臘月二十七到正月十五。
2月25日:制馬人開(kāi)始制作新型的勒索軟件,新型勒索軟件主要是將勒索軟件以子包的形式隱藏在另一個(gè)軟件中,后者安裝運(yùn)行后會(huì)通過(guò)一些文字提示誘導(dǎo)用戶授予Root權(quán)限,同時(shí)將前者安裝到手機(jī)系統(tǒng)軟件目錄中,這種鎖機(jī)方式被制馬人稱為“Root鎖”。
圖2.7 執(zhí)行拷貝到系統(tǒng)軟件目錄的shell命令
3月1日:從制馬人活動(dòng)頻率看,三月是制馬人近半年內(nèi)制馬最為活躍的月份。在3月1日,制馬人制作了名為“QQ百寶箱”的惡意軟件。
圖2.8 QQ百寶箱安裝圖標(biāo)
該惡意軟件不僅會(huì)在用戶不知情的情況下強(qiáng)制設(shè)置手機(jī)解鎖PIN碼,造成用戶無(wú)法進(jìn)入手機(jī)桌面。而且,還會(huì)誘導(dǎo)用戶輸入QQ賬號(hào)和密碼進(jìn)行釣魚(yú)。
圖2.9 竊取QQ賬號(hào)密碼信息代碼片段
另外,值得關(guān)注的是,我們發(fā)現(xiàn)“QQ百寶箱”惡意軟件加入了遍歷手機(jī)通訊錄群發(fā)短信的功能,開(kāi)始進(jìn)行自我傳播。“QQ百寶箱”惡意軟件與我們最新捕獲的惡意軟件,除了短信內(nèi)容沒(méi)有進(jìn)行加密處理外,從代碼結(jié)構(gòu)上看,前者與后者幾乎完全一樣,我們認(rèn)為這應(yīng)該是后者的早期版本。
圖2.10 “QQ百寶箱”遍歷通訊錄群發(fā)短信代碼片段
3月19日:從3月19日開(kāi)始在連續(xù)一周多的時(shí)間里,制馬人每天都在制作惡意軟件,甚至出現(xiàn)了一天內(nèi)制作多個(gè)惡意軟件。
圖2.11 制馬人同一天制作的三個(gè)惡意軟件
四月制馬人活動(dòng)頻率有所下降,同時(shí),我們發(fā)現(xiàn)在四月制馬人制作的惡意軟件全部是勒索軟件。
我們通過(guò)回溯和分析制馬人在近六個(gè)月里制馬活動(dòng)的頻率和制馬類型可以看出制馬人行為有以下特點(diǎn):
制馬人在2015年年底并不活躍,而且制作方向單一,僅僅制作FakeTaobao木馬家族惡意樣本;
在2016年1月制馬人嘗試制作勒索和釣魚(yú)軟件,制作方向開(kāi)始發(fā)生轉(zhuǎn)變,制作了一批測(cè)試Demo程序;
在二月制馬人開(kāi)始增加惡意樣本對(duì)抗分析手段并且加強(qiáng)了勒索軟件惡意功能;
在三月制馬人增加了惡意軟件傳播方式,開(kāi)始群發(fā)短信進(jìn)行裂變式傳播。同時(shí),制馬人活動(dòng)頻率也到達(dá)高峰。
在四月制馬人將已有代碼進(jìn)行加密保護(hù),增加了不同類型惡意軟件間的交叉式傳播方式。
制馬人前三個(gè)月與后三月的制馬類型對(duì)比,制馬人制馬方向從FakeTaobao木馬家族逐漸轉(zhuǎn)向勒索軟件,勒索軟件受到了制馬人的“青睞”。
二、制馬人信息
我們通過(guò)查詢惡意軟件中制馬人留下的QQ信息,這個(gè)QQ號(hào)碼指向一個(gè)信息顯示僅有15歲的少年。并且發(fā)現(xiàn)這個(gè)人是QQ群“AIDE – Android lockphone”的群主,該群目前有超過(guò)200人。此人群名片顯示“贊我十贊截圖,送root鎖”,所謂的Root鎖,就是制馬人在二月制作的利用Root的勒索軟件惡意樣本。
圖2.12 QQ號(hào)碼查詢信息
另外,此人的QQ個(gè)性簽名歷史中曾經(jīng)出現(xiàn)“flaw的人生”,“flaw”這個(gè)詞出現(xiàn)在群發(fā)的短信鏈接中,根據(jù)這些信息,我們認(rèn)為此人與制馬人為同一人。
圖2.13 制馬人歷史個(gè)性簽名信息
0x03 影響與趨勢(shì)
一、關(guān)聯(lián)樣本
我們通過(guò)已知的信息,關(guān)聯(lián)出其他有相似行為的勒索軟件。這些勒索軟件群發(fā)的短信鏈接,主要借助的是網(wǎng)盤(pán)和第三方網(wǎng)站進(jìn)行傳播。
圖3.1 關(guān)聯(lián)樣本中的短信內(nèi)容與鏈接歸屬
從鏈接傳播的對(duì)象看,鏈接傳播的惡意軟件不僅是勒索軟件自身,還發(fā)現(xiàn)了其他惡意木馬家族,例如FakeTaobao木馬家族。
圖3.2勒索軟件傳播的FakeTaobao木馬家族
二、收益情況
經(jīng)過(guò)我們調(diào)查,制馬人制馬方向轉(zhuǎn)變,制馬多元化的原因,歸根結(jié)蒂還是與錢(qián)有關(guān)。我們從一個(gè)制馬人的聊天中得知,制馬人主要制作“攔截馬”即FakeTaobao木馬家族,月收益相當(dāng)可觀在1.3萬(wàn)元左右,同時(shí)制馬人也在制作勒索軟件,每月能夠多帶來(lái)1500元收益。
圖3.3制馬人的聊天對(duì)話內(nèi)容
制馬人“青睞”勒索軟件的原因,一方面勒索軟件制作門(mén)檻低,制馬方向的多元化會(huì)給制馬人帶來(lái)額外的一份收益;另一方面,與FakeTaobao木馬家族洗劫用戶資金財(cái)產(chǎn)相比,勒索軟件每次勒索的數(shù)額并不大,相對(duì)制馬人來(lái)說(shuō)制馬風(fēng)險(xiǎn)也較小。
三、裂變式傳播
我們發(fā)現(xiàn)制馬人擅長(zhǎng)使用群發(fā)帶有惡意下載的短信的方式進(jìn)行惡意軟件傳播,受害人點(diǎn)擊短信中的網(wǎng)址鏈接下載安裝后,手機(jī)會(huì)被植入惡意軟件,該軟件會(huì)遍歷受害人手機(jī)中的通訊錄,并繼續(xù)向獲取到的通訊錄名單發(fā)送同樣的惡意鏈接短信,以此來(lái)獲得裂變式的傳播速度。這種傳播方式利用熟人間的信任關(guān)系,加之文字誘導(dǎo),傳播感染成功率極強(qiáng)。
四、交叉式傳播
制馬人制馬類型的多元化,也帶來(lái)了移動(dòng)平臺(tái)傳播的新趨勢(shì)。制馬人將不同類型的惡意軟件進(jìn)行交叉式傳播,在給制馬人帶來(lái)不同收益來(lái)源外,同時(shí),也給用戶帶來(lái)了更多的安全威脅。一旦用戶中招,木馬會(huì)形成攻擊鏈條,用戶損失會(huì)出現(xiàn)疊加,同時(shí),對(duì)于手機(jī)防護(hù)軟件也提出了更高的要求。
附錄一:參考資料
【1】 FakeTaobao家族變種演變
http://blogs.360.cn/360mobile/2014/09/16/analysis_of_faketaobao_family/
【2】Android Trojan Used To Create Simple SMS Spam Botnet
http://blog.cloudmark.com/2012/12/16/android-trojan-used-to-create-simple-sms-spam-botnet/
【3】XX神器
http://baike.so.com/doc/7486655-7756521.html
總結(jié)
以上是生活随笔為你收集整理的安全预警:勒索软件正成为制马人的新方向的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: PostgreSQL的那点事儿
- 下一篇: 测试人员必学的软件快速测试方法(三)