Sadstrot木馬分析

Sadstrot木馬分析

　　前段時間爆發(fā)了一個蝗蟲般的木馬Sadstrot,在媒體渲染之下，此木馬已是人盡皆知談毒色變，因此AVL移動團(tuán)隊對此木馬進(jìn)行了詳細(xì)分析,下面是學(xué)習(xí)啦小編整理的一些關(guān)于Sadstrot木馬分析的相關(guān)資料，供你參考。

　　Sadstrot木馬分析:

　　AVL移動安全團(tuán)隊截獲了一款惡意木馬，該木馬運(yùn)行后會竊取用戶QQ和微信賬戶、好友列表、消息記錄等，同時會利用subtrate hook框架監(jiān)控鍵盤輸入的任何信息。此外，該應(yīng)用還會接收云端指令，執(zhí)行模塊更新、刪除指定文件等遠(yuǎn)程控制操作，嚴(yán)重影響系統(tǒng)安全。目前AVL Pro已經(jīng)可以全面查殺，有效保護(hù)用戶手機(jī)安全。

　　一，　Sadstrot木馬行為及危害

　　一旦運(yùn)行，該木馬立即申請root權(quán)限，為之后各種惡意行為做好鋪墊。

　　創(chuàng)建一個detect進(jìn)程，此進(jìn)程下的模塊插件與主進(jìn)程進(jìn)行通信，通過回調(diào)Java層代碼、hook等方式收集用戶隱私。

　　監(jiān)聽鍵盤輸入，用戶所有敲入的字符都會被竊取，包括銀行賬號密碼、社交APP賬號密碼等等。

　　接收云端指令，執(zhí)行模塊更新、刪除指定文件等，給系統(tǒng)安全帶來極大安全隱患。

　　二，　Sadstrot木馬執(zhí)行流程

 

　　右鍵看大圖本地進(jìn)程間通信協(xié)議

　　運(yùn)行在com.sec.android.service.powerManager進(jìn)程的libnativeLoad.so、libPowerDetect.cy.so，會創(chuàng)建大量的服務(wù)監(jiān)聽。當(dāng)接收到來自detect進(jìn)程中的插件模塊發(fā)來的socket通信請求時，通過判斷buffer的前2個字節(jié)作為魔術(shù)字進(jìn)行匹配，執(zhí)行相應(yīng)操作。

　　三，　Sadstrot詳細(xì)分析

　　1 申請root權(quán)限，運(yùn)行cInstall可執(zhí)行文件

　　1) cInstall文件會在應(yīng)用的私有路徑下創(chuàng)建工作目錄與數(shù)據(jù)存儲目錄，將cache緩存中detect、plugin.dat、dtl.dat、glp.uin拷貝到指定的目錄下。

　　2) 讀取plugin.dat，解析獲取指定id模塊對應(yīng)的插件名稱，據(jù)此改名寫入”/data/data/com.sec.android.service.powerManager/cores/Users/All Users/Intel”目錄。

　　以上目錄與文件將被賦予可讀可寫可執(zhí)行權(quán)限，為之后各種惡意行為做好鋪墊。

　　將cache緩存下的super拷貝到/system/bin/目錄，并提權(quán)。之后將libPowerDetect.cy.so、libnativeLoad.so等文件拷貝到指定目錄，并靜默安裝substrate hook框架。

　　cInstall文件執(zhí)行流程

　　將super拷貝到/system/bin目錄下，并提權(quán)。

　　靜默安裝substrate框架：

　　2 調(diào)用Substrate框架，并利用hook技術(shù)監(jiān)控鍵盤輸入

　　運(yùn)行substrate框架，libPowerDetect.cy.so在init_array段進(jìn)行初始化時，便會調(diào)用Substrate框架提供的api，對輸入法操作中的字符輸入、結(jié)束輸入、隱藏鍵盤等方法進(jìn)行hook，并將收集到的字符發(fā)送至detect進(jìn)程。

　　3 創(chuàng)建大量的監(jiān)聽服務(wù)，運(yùn)行detect可執(zhí)行文件

　　libnativeLoad.so會調(diào)用以下jni方法，創(chuàng)建大量的監(jiān)聽服務(wù)，運(yùn)行super可執(zhí)行文件。Super會通過設(shè)置用戶和用戶所在組id這種方式獲取進(jìn)行提權(quán)，并fork出一個detect進(jìn)程。

　　4 初始化主插件

　　detect可執(zhí)行文件查找主插件下Initialplugin、 NetWorkStateChanged這兩個符號，并調(diào)用進(jìn)行初始化。

　　5 主插件加載調(diào)用其他模塊

　　WSDMoo.dat會調(diào)用執(zhí)行其他模塊下的SetCallbackInterface方法，并將一組函數(shù)指針作為參數(shù)傳入，使其能夠通過回調(diào)相應(yīng)函數(shù)獲取工作目錄、插件配置等信息，且能為主插件添加一個上傳任務(wù)。

　　6 收集QQ賬戶、好友列表等隱私信息

　　winbrrnd.dat插件的SetCallbackInterface方法會創(chuàng)建startListernQQMsgThread線程，獲取QQ和微信賬戶、好友列表、消息記錄等信息，輸出到指定文件，并回調(diào)主插件的CbAddUploadFileTask函數(shù)添加一個上傳任務(wù)。

　　7 Socket聯(lián)網(wǎng)上傳，獲取指令執(zhí)行相應(yīng)遠(yuǎn)控操作

　　Socket聯(lián)網(wǎng)發(fā)送手機(jī)固件、插件信息，記錄了從其他模塊收集的隱私信息的文件。接收從服務(wù)器發(fā)來的消息，解析指令(詳見下表)，并執(zhí)行相應(yīng)操作。

　　四 　Sadstrot木馬總結(jié)

　　此款木馬的特點(diǎn)是運(yùn)行過程高度模塊化，各ELF文件之間會相互通信、相互配合，并最終實現(xiàn)隱私竊取和遠(yuǎn)控后門的功能。此外，它還利用了substrate框架進(jìn)行hook監(jiān)控鍵盤輸出。同時，該木馬還會收集QQ和WebChat賬號信息。黑客可能利用這些信息，向QQ好友或微信好友發(fā)送詐騙信息，對用戶潛在威脅巨大。AVL移動安全團(tuán)隊提醒您，僅從官方站點(diǎn)或可信任的應(yīng)用市場下載手機(jī)軟件，不隨意下載插件，以避免受到手機(jī)病毒的危害。此外，針對此類手機(jī)病毒，AVL Pro已經(jīng)實現(xiàn)查殺。

 

 

　　看過文章“Sadstrot木馬分析”的人還看了：

　　1.如何快速清理木馬病毒

　　2.電腦中了木馬后應(yīng)該怎么做以及解決方法

　　3.什么是木馬程序

　　4.關(guān)于電腦中了木馬的解決方法有哪些

　　5.關(guān)于下一代遠(yuǎn)程控制木馬的思路探討

　　6.手工查殺木馬和病毒 作網(wǎng)絡(luò)安全緝毒高手

　　7.病毒木馬刪除不了怎么辦

　　8.怎么樣徹底查殺木馬病毒

　　9.Win7 Ghost SP1盜版內(nèi)置木馬的危害

　　10.木馬病毒的介紹