Browsed by
分类:威胁预警

内网穿透——Android木马进入高级攻击阶段(二)

内网穿透——Android木马进入高级攻击阶段(二)

360烽火实验室 一.概述    移动互联网时代的到来,企业内部数据越来越有价值。近年来,黑客以移动设备为跳板,入侵企业内网,窃取企业数据资产的趋势愈发明显。近日,360烽火实验室发现一批感染了一种名为“MilkyDoor”的恶意代码,这是继去年6月份首次出现的“DressCode”[1]恶意代码后,又一种利用移动设备攻击企业内网的木马。然而,与“DressCode”不同的是,“MilkyDoor”不仅利用SOCKS代理实现从攻击者主机到目标内网服务器之间的数据转发,而且利用SSH(Secure
手机勒索软件又现新手段

手机勒索软件又现新手段

360烽火实验室        手机勒索软件是一种通过锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用的恶意软件。这类大多伪装成系统类、色情类以及各式外挂类等软件诱导用户安装。尽管它们的锁屏样式、方式以及解锁方式不尽相同,但这类软件的目的却是一样的——谋财。 图1
安全预警:勒索软件正成为制马人的新方向

安全预警:勒索软件正成为制马人的新方向

作者:360移动安全团队 引言 4月份360 移动安全团队发布的《Android勒索软件研究报告》详细揭露了目前国内Android勒索软件黑色产业链情况。其中,报告中指出国内勒索软件传播方式主要借助QQ群、受害者、贴吧和网盘。另外,报告也指出国内勒索软件的制作门槛低,制作人群呈现年轻化等特点。 我们在最近的研究分析中发现,勒索软件的恶意行为出现了新的变化趋势,开始出现交叉式传播。勒索软件通过遍历手机通讯录,向联系人群发带有恶意下载链接的短信的方式进行恶意软件的传播。传播的对象不仅是恶意软件自身,还有其他家族木马,如:专门通过窃取手机支付验证码及其它用户手机重要隐私信息,以达到洗劫用户资金目的的FakeTaobao[1]木马家族。 据我们所知,借助短信方式传播的Android木马家族SpamSoldier[2]最早出现在2012年12月,在2014年8月全国范围内爆发的“XX神器”事件[3]中被媒体和网民广泛的关注。目前为止,FakeTaobao木马家族是使用这种裂变式传播方式最活跃的木马家族。 我们通过恶意软件中制马人留下的信息,回溯了其长达半年之久的制马活动后发现,勒索软件传播出现的裂变式传播和交叉传播新趋势,正是由于制马人制马类型不再单一,正在变得多元化,而勒索软件正在成为制马人制马的新方向。 第一章
手机锁屏勒索国内首现身

手机锁屏勒索国内首现身

by 张昊          近期,360互联网安全中心截获到了一批伪装成游戏外挂、QQ刷赞、付费破解等类型的恶意软件。一旦用户点击运行,用户手机就会被锁住,即使强制重启也没有用,造成用户手机无法进行任何操作。如果用户想要解锁手机只能联系恶意软件界面上留下的QQ号码并向其进行付费,从而达到勒索用户资金的目的。目前,360手机卫士已经可以全面查杀该类型恶意软件。   一、锁屏原理         
正规APP存泄隐私风险,360呼吁开发者注意安全规范

正规APP存泄隐私风险,360呼吁开发者注意安全规范

360互联网安全中心近期研究发现一些正规的手机软件在读取用户的通讯录和短信内容后,会进行明文上传或简单可逆加密上传,这会导致手机用户个人隐私信息存在泄露风险。360呼吁正规手机APP开发者要重视和规范软件开发行为,对用户手机中的隐私数据做到“非必要不上传,上传即加密”,以防被中间人劫持攻击造成用户的隐私泄露。 360互联网安全中心分析发现,读取并上传手机用户通讯录和短信内容的软件大体分为三种:第一种,窃取隐私类的手机恶意程序;第二种,正规软件越轨使用隐私权限,违规上传通讯录和短信;第三种,由于软件自身功能需要某些用户信息,但在上传信息时无加密、或加密方式过于简单,极易被中间人攻击,泄露用户隐私。 手机软件滥用隐私权限的行为已经被多次曝光。一旦用户在安装软件过程中,“默认”获取手机号、访问联系人、读取位置等等权限,就会出现通讯录被违规上传,个人偏好、交际特点被“监视”。手机软件开发商的“无间道”根本不给用户选择的权利:要么开放权限,要么取消安装。而大多数手机用户要么缺乏安全意识,要么专业知识不足无法判断,只能无奈接受这些可疑的权限。 权限被开放后,手机用户的隐私数据到哪儿去了? 360手机安全专家通过后台代码分析发现,
EvilGuard:Anroid平台新的攻击方式

EvilGuard:Anroid平台新的攻击方式

作者: 张昊 近日,我们发现了Android平台上首个采用进程保护技术的木马。该木马通过执行自身释放的恶意可执行文件,达到自我保护对抗杀毒软件清除的目的,我们将这个木马家族命名为“EvilGuard”,并独家发布了恶魔守护者木马专杀工具(下载),帮助用户免受其危害。 样本结构 EvilGuard主要由主包android.system.manager和由主包释放出来的子包com.android.tservice组成。主包和子包分别包含了ELF可执行文件libesmanager.so、safe。 行为概述 EvilGuard伪装成需要Root提权功能的软件,如“内置软件卸载”,木马尝试使用多个公开漏洞提升Root权限,并且在/system/bin下释放自己的Root后门ELF可执行文件sl。在提权操作的同时将伪装成系统软件的恶意APK子包通过主包加载的libesmanager.so文件释放安装到system/app下面,同时主包立即运行子包。 子包启动后释放恶意ELF文件safe到system/bin下,safe文件行为是备份子包到SD卡,并且后台不断检测子包和备份是否被删除,若其中一个被删除则立即恢复,保护子包不被卸载。子包除了防止卸载之外,还会联网接收远程服务器指令,指令包括子包自更新,上传手机信息,固件信息,下载未知APK文件静默安装运行等。 原理分析