Browsed by
作者:dqriot

移动端跨越攻击预警:新型APT攻击方式解析

移动端跨越攻击预警:新型APT攻击方式解析

360烽火实验室 随着信息技术的发展,移动存储介质由于其具有体积小、容量大的特点,作为信息交换的一种便捷介质,如今已经得到广泛应用,在个人、政府和企业中经常被使用。但也因此而来一直存在着持续的各种安全攻击问题,每当出现一种新型的移动存储介质,之后总会有一系列随之而来的攻击事件发生,举例历史两个“著名”的攻击事件:在中国,你应当听说过“熊猫烧香”病毒;在海外,你或者听说过微软重金悬赏的“Conficker”病毒。幸运的是微软2011年开始对Windows自动运行功能进行了限制,屏蔽了除光盘外的其它存储介质的自动运行功能,避免了利用自动运行功能来进行攻击的主要攻击方式。 移动端手机不仅仅是手机身份,很多时候它也经常同时成为移动存储介质身份(借助USB线连接或者网络进行实现),一部分人甚至用它取代了其它移动存储介质,那么移动端手机会不会也已经开启了这种安全隐患?不幸的是,近期360烽火实验室在监测黄金鼠组织(APT-C-27)的攻击活动过程中,发现其新版本的移动端手机攻击样本首次具备了针对PC的RAT诱导跨越攻击,开启了移动端手机跨越攻击的“潘多拉魔盒”。 一、
StealthBot:150余个小众手机品牌预置刷量木马销往中小城市

StealthBot:150余个小众手机品牌预置刷量木马销往中小城市

360烽火实验室 一、 主要发现 移动平台的流量黑产一直是我们的研究对象,2017年我们在《移动平台流量黑产研究——流量作弊与流量泡沫》报告中揭露了用于流量作弊的恶意刷量木马,该木马幕后指向北京的一家互联网服务公司。通过对该公司推广渠道的跟踪分析,我们发现了新型的刷量作弊木马家族,由于这类家族使用了特殊的自我隐藏方式以及成熟的模拟点击流程,如同一批由工厂自动流水线生产出来的隐形机器人,我们借用《刺猬索尼克》中一款隐形机器人的名称命名该家族为StealthBot。 根据我们的监测情况,StealthBot今年1月开始出现,截止到4月中旬,短短3个多月的时间里累计感染量超过400万,与一般的大规模感染情况不同的是,StealthBot感染的手机品牌多达150余个并且集中在小众手机品牌,感染地区避开了一、二线大城市主要集中在国内的中小城市。 StealthBot伪装成系统通知服务,它支持开机自动运行及外部唤醒等启动方式,运行后耗费用户数据流量,自动更新并加载最新版本的恶意插件,响应服务器下发的指令,完成涵盖搜索、购物、新闻、视频、红包等多个领域的刷量作弊推广功能。 在对StealthBot整个感染链的分析中发现,涉及到多家公司共同参与制作传播,我们监测到主要是通过供应链攻击的方式在用户使用手机前预置到这些小众品牌的手机系统中。 二、
勒索软件“假面”系列——代刷软件

勒索软件“假面”系列——代刷软件

360烽火实验室 第一章 勒索中的“代刷” 勒索软件是指启动后通过置顶自身窗口或重置锁机密码强制锁定用户桌面、使用户无法正常使用设备,并以支付解锁对用户进行勒索的软件。近年来,Android平台勒索软件以其高危害、高伪装性、难卸载等特点一直是360烽火实验室关注的重点。针对勒索软件擅于伪装成特定流行软件进行传播的现象,360烽火实验室对Android平台勒索软件伪装类别及相关产业进行了持续跟踪与分析。在2018年3月初发表的《勒索软件“假面”系列——免流软件》中,我们已经介绍了勒索软件的一类“假面”——免流软件,并对免流产业现状、原理与危害做了详细阐述。近期,我们把目光瞄准了一类比免流软件更加常见的伪装类别——代刷代挂类软件(以下简称代刷软件)。 一、勒索软件伪装类别分布 从勒索软件伪装类别分布情况可以看到,勒索软件伪装类别以色情和黑客工具为主,而在黑客工具中,代刷类占比位列第二,仅次于外挂、辅助类。 图1.1
勒索软件“假面”系列——免流软件

勒索软件“假面”系列——免流软件

360烽火实验室 第一章 勒索中的“免流” 勒索软件是指启动后通过置顶自身窗口或重置锁机密码强制锁定用户桌面、使用户无法正常使用设备,并以支付解锁对用户进行勒索的软件。近年来,360烽火实验室始终密切关注勒索软件发展动向,并持续对勒索软件新技术新形式、勒索软件黑产、以及Android新版本系统在对抗勒索软件方面的新特性进行了深入研究。在对勒索软件的长期跟进中我们发现,勒索软件是一类非常擅长伪装自己的软件,为了诱导用户下载安装运行,勒索软件通常会伪装成各种极具诱惑力、通过不正规手段牟利的软件,例如游戏外挂、代刷、盗版应用、WIFI密码破解、抢红包等等,这些软件拥有一定的用户群与传播途径,勒索软件正是利用了其易吸引用户、传播快的特点玩起了“假面游戏”。 一、       
2017年Android恶意软件专题报告

2017年Android恶意软件专题报告

360烽火实验室 摘    要 2017年全年,360互联网安全中心累计截获Android平台新增恶意软件样本757.3万个,平均每天新增2.1万。全年相比2016年(1403.3万)下降46.0%,从2015年来看,新增恶意软件呈现总体下降趋势。
Android平台挖矿木马研究报告

Android平台挖矿木马研究报告

360烽火实验室 摘    要 手机挖矿木马就是在用户不知情的情况下利用其手机的计算能力来为攻击者获取电子加密货币的应用程序。 电子加密货币是一种匿名性的虚拟货币,由于不受政府控制、相对匿名、难以追踪的特性,电子加密货币常被用来进行非法交易,也成为犯罪工具、或隐匿犯罪所得的工具。
ExpensiveWall家族变种再现Google Play

ExpensiveWall家族变种再现Google Play

360烽火实验室 近期,360烽火实验室发现Google Play上架了4款均使用了某厂商加固的ExpensiveWall家族变种,它能够在用户不知情的情况下私自发送扣费短信,给用户带来经济损失。 我们发现后在第一时间通知Google,Google立即从其商店中删除了相关APP。但根据Google
关于“WireX Botnet”事件Android样本分析报告

关于“WireX Botnet”事件Android样本分析报告

360烽火实验室 WireX家族病毒基本上都会在内部硬编码存放两个URL地址(部分变种的URL经过加密),变种A在内部硬编码了如下两个URL http://u.*******.store/?utm_source=tfikztteuic http://g.*******.store/?utm_source=tfikztteuic 这些URL地址是病毒的C&C
Android O限制系统全屏进一步遏制手机勒索

Android O限制系统全屏进一步遏制手机勒索

360烽火实验室 一、引言 近期谷歌发布了最新手机操作系统Android O的开发者预览版,一如往常,Android O又带来了多项新功能与优化升级,其中一项有关系统窗口管理的优化给Android手机勒索软件带来了严重冲击。 二、简述Android系统与勒索软件对抗史 手机勒索软件是一种特殊的恶意软件,其通常将自身伪装为看似无害的软件或是利用社会工程学诱导受害者下载安装,随后通过恶意利用操作系统正常功能或者缺陷强制锁住用户桌面使得用户无法正常使用设备,并几乎都会要求受害者缴纳赎金以解锁设备。手机勒索的解锁费用通常为20、30或50元不等,通常情况下当用户设备感染勒索软件后,出于设备被锁定的焦急心理与不高的赎金金额,用户一般都会通过勒索软件锁屏界面提供的联系方式联系制马人以尝试解锁设备,因此这种“薄利多销”且制作成本低廉的点对点式直接性敲诈软件颇受制马人的青睐。此外,这类软件通常具有很高的可变性,制马人只需简单调整软件代码或锁屏样式便可生成新的勒索软件。360烽火实验室一直密切关注国内外手机勒索软件动向,先后发布了多篇对手机勒索软件的研究成果。 纵观Android系统尤其是高版本系统史,每一版都在遏制勒索软件方面做出了积极的应对: