Browsed by
作者:dqriot

内网穿透——Android木马进入高级攻击阶段(二)

内网穿透——Android木马进入高级攻击阶段(二)

360烽火实验室 一.概述    移动互联网时代的到来,企业内部数据越来越有价值。近年来,黑客以移动设备为跳板,入侵企业内网,窃取企业数据资产的趋势愈发明显。近日,360烽火实验室发现一批感染了一种名为“MilkyDoor”的恶意代码,这是继去年6月份首次出现的“DressCode”[1]恶意代码后,又一种利用移动设备攻击企业内网的木马。然而,与“DressCode”不同的是,“MilkyDoor”不仅利用SOCKS代理实现从攻击者主机到目标内网服务器之间的数据转发,而且利用SSH(Secure
手机勒索软件又现新手段

手机勒索软件又现新手段

360烽火实验室        手机勒索软件是一种通过锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用的恶意软件。这类大多伪装成系统类、色情类以及各式外挂类等软件诱导用户安装。尽管它们的锁屏样式、方式以及解锁方式不尽相同,但这类软件的目的却是一样的——谋财。 图1
2016年Android恶意软件专题报告

2016年Android恶意软件专题报告

摘    要 2016年全年,360互联网安全中心累计截获Android平台新增恶意程序样本1403.3万个,平均每天新增3.8万恶意程序样本。 2016年全年,从手机用户感染恶意程序情况看,360互联网安全中心累计监测到Android用户感染恶意程序2.53亿,平均每天恶意程序感染量约为70万人次。
内网穿透——Android木马进入高级攻击阶段

内网穿透——Android木马进入高级攻击阶段

  360烽火实验室 一.    概述 近日,360烽火实验室发现有数千个样本感染了一种名为“DressCode”的恶意代码,该恶意代码利用实下流行的SOCKS代理反弹技术突破内网防火墙限制,窃取内网数据。这种通过代理穿透内网绕过防火墙的手段在PC上并不新鲜,然而以手机终端为跳板实现对企业内网的渗透还是首见[1]。 SOCKS是一种网络传输协议,SOCKS协议位于传输层与应用层之间,所以能代理TCP和UDP的网络流量,SOCKS主要用于客户端与外网服务器之间数据的传递,那么SOCKS是怎么工作的呢,举个例子:A想访问B站点,但是A与B之间有一个防火墙阻止A直接访问B站点,在A的网络里面有一个SOCKS代理C,C可以直接访问B站点,于是A通知C访问B站点,于是C就为A和B建立起信息传输的桥梁。其工作流程大致分为以下5步: (1)  
Android N限制重置密码以遏制勒索软件

Android N限制重置密码以遏制勒索软件

360烽火实验室 一.     Android N安全特性概览 Android N即Android 7.0,代号“牛轧糖”,是Google于2016年7月份推出的最新版智能手机操作系统。Android N带来了诸多新特性与功能,它们将对系统整体性能进行提升,特别对安全性进行了强化。 图1给出了Android
Android逃逸技术汇编

Android逃逸技术汇编

360烽火实验室 摘    要 传统逃逸技术涉及网络攻防和病毒分析两大领域,网络攻防领域涉及的逃逸技术主要为网络入侵逃逸技术,病毒分析领域涉及到的逃逸技术主要包括针对静态分析、动态分析的木马逃逸技术。
Android系统新权限模型剖析与预警

Android系统新权限模型剖析与预警

360烽火实验室 一、    新权限模型介绍 (一)Android版本演变与权限模型变更 前不久Google发布了新的系统版本Android 7.0。在之前发布的6.0版本中,引入了一种新的权限模型。新权限模型在旧模型基础上加入了运行时动态权限检查,权限不再是安装时一次性全部授予,而是运行时动态申请与授予,如果开发者未按要求动态申请权限或者权限申请未被用户许可,应用程序的相应行为将无法实施;同时,用户可以在应用程序权限管理中随时撤销掉已授予的权限。这样的动态权限模型让用户对应用程序运行时权限拥有更强的可视性与控制性,赋予了用户更多权限管理主动权,增强了权限模型的安全性。在最新的7.0版本中,依旧沿用了此权限模型。各版本Android系统所占比例如图1所示。 图1
Android Accessibility安全性研究报告

Android Accessibility安全性研究报告

360烽火实验室 第一章    Accessibility简介 近期,360烽火实验室发现一款滥用Accessibility的木马,该木马具有浏览器地址栏劫持、搜索劫持、桌面点击劫持以及防卸载等系列恶意行为。本报告将结合我们对该木马的分析,从Accessbility的设计初衷、技术发展、滥用情况等角度研究Accessibility的安全性。 一、   
网络电信诈骗之电话号码劫持

网络电信诈骗之电话号码劫持

日前,360烽火实验室发布的《深入分析跨平台网络电信诈骗》[[1]]报告中曝光了跨平台网络电信诈骗的黑色产业链。报告发布后,移动平台网络电信诈骗类恶意软件的数量急剧下降。 近期,我们捕获一类网络电信诈骗恶意软件的新型变种。该类变种是诈骗者在对受害者进行电信诈骗时,以涉嫌犯罪为由恐吓受害者。向受害者手机发送包含恶意程序下载链接的信息,以获取“案件号”、“单位代号”、“电子凭证”为由诱骗受害者点击链接,下载安装恶意程序以此来获得受害者手机的控制权。然后诈骗者要求受害者主动拨打110报警,然后安装在受害人手机中的恶意程序将原本拨打给110的电话,劫持之后转为拨打诈骗者的号码,从而让受害者信以为真,落入了诈骗者精心布下的圈套。接下来,恶意程序获取各种短信特别是验证码信息,实现转账,消费,造成受害者财产损失。目前360手机卫士已对该类木马变种全面查杀。 一、电话号码劫持原理 该类样本使用的是Android拨打电话前,可以对拨打的号码进行处理的特性。具体是Android在拨打电话时会发送action为android.intent.action.NEW_OUTGOING_CALL的广播,该广播由系统发出,不能被终止,但可以使用BroadcastReceiver接受并处理该广播。常用于VoIP网络电话中,对号码进行添加前辍的处理。 二、网络电信诈骗的骗术 1.