Browsed by
月份:2015年8月

Android libcutils库中整数溢出导致的堆破坏漏洞的发现与利用

Android libcutils库中整数溢出导致的堆破坏漏洞的发现与利用

作者:龚广(@oldfresher) 阅读本文之前,您最好理解Android中的Binder机制、用于图形系统的BufferQueue原理、堆管理器je_malloc的基本原理。 此文介绍了如何利用libcutils库中的堆破坏漏洞获得system_server权限,此漏洞是研究Android图形子系统时发现的,对应的CVE号为CVE-2015-1474和CVE-2015-1528。 1.漏洞代码的位置 本文次涉及的漏洞位于创建native
流量僵尸木马及流量黑产分析报告

流量僵尸木马及流量黑产分析报告

摘    要 近期,360互联网安全中心截获一批名为“流量僵尸”的手机恶意程序。截止2015年7月13日,共发现90款不同名称的应用被植入“流量僵尸”木马,包括80款游戏类应用和10款工具类应用,样本数量达到1000余个,感染手机445561部。 截至2015年7月13日,360互联网安全中心共监测到流量僵尸木马的下载源289个,涉及手机应用商店16家。 测试结果显示,此类木马在用户每次滑动解锁手机屏幕时都会在后台进行一次静默刷流量操作,平均每次操作消耗用户手机流量约76M。按照每个用户平均每天解锁手机屏幕150次计算(参考第三方实验统计),该木马平均每天约消耗每位用户手机流量114M。 若手机安全软件未对此类木马进行查杀,则仅这44万余部被感染的手机,每天就会为木马所指向的导航网站和搜索引擎刷掉约6683万次的虚假请求量。约可占国内最大搜索引擎日均搜索请求量的68%。 流量僵尸木马的攻击过程主要分三个阶段:一、下载恶意插件;二、刷指定网页;三、刷指定的搜索引擎。 流量僵尸木马会联网从控制服务器上下载关键词,并使用下载到的关键词来模拟用户的搜索行为。控制服务器选取的关键词是经过精心设计的,不仅和当日新闻热点有关,而且选词范围非常丰富,这就使得木马所模拟的搜索行为看起来更加真实,更加不容易被一般的搜索引擎的反作弊机制发现。 在20000次模拟测试中,木马取回的关键词里,娱乐新闻最多,占3%;其次是商品信息,25.2%;服务信息、一般新闻和时政新闻分别占比15.6%、12.7%、7.2%。 流量僵尸木马的样本主要使用了4个不同的数字签名证书,其中一个数字证书的名称和木马的恶意插件下载地址均指向深圳市某科技公司。 按照每千次query(访问请求)5元-20元的一般市场价格计算,若流量僵尸木马未被查杀,则此类木马可以为木马作者每天赚取约33万-134万元的经济收入。 移动互联网上至少有相当数量的点击、下载、安装甚至是点赞、评论都并非是真实用户所为,而是由一些木马或自动化工具来完成的。而这些虚假的流量实际上就是移动互联上的流量泡沫。在移动互联网高速发展的今天,我们更应该警惕流量泡沫背后所隐藏的巨大黑洞。   关键词:流量僵尸、刷流量、木马、流量损耗、资费消耗     第一章