每日总结-第十八天

题外

有时候比赛的wp又想放到writeup里面然后每日总结的数字又不想断了...可真难。反正断了的数字就在writeup里面==

看雪题记

http://dreamcracker.today/2019/04/01/%E7%9C%8B%E9%9B%AActf-%E8%A7%A3%E9%A2%98%E8%AE%B0%E5%BD%95%EF%BC%882016-2019%E5%B9%B4%E6%89%80%E6%9C%89%E7%9C%9F%E9%A2%98%EF%BC%89/
攒一个看雪2016-2019的部分题总结链接

android系统库列表

https://developer.android.com/reference/android/webkit/package-summary

Dissecting Android Malware: Characterization and Evolution

• 给出了现有Android恶意软件的时间轴分析
• 描述了样本的特征，并详细描述了它们的感染行为
• 典型Android恶意软件的演化研究
• 四款典型移动杀毒软件的检测结果

恶意软件样本特征

安装过程(Table II)

• 重打包
• 更新攻击：借用软件更新安装真正的恶意软件。
• 下载攻击：借助App内的广告等引诱用户下载恶意应用。
• 其他：1.GPSSMSSpy是一个监听基于sms的命令来记录和上传受害者当前位置。2.那些伪装成合法的应用程序，却暗中进行恶意操作的假应用程序:FakeNetflix。3.它们可以提供它们所声称的功能。但用户不知道的是，它们也包含某些恶意功能:RogueSPPush。4.利用已知的root漏洞来逃离内置的安全沙箱:Asroot and DroidDeluxe。

激活(Table II)

依靠Android上的自动事件通知和回调的内置支持来灵活地触发或启动它的payload，BOOT_COMPLETED、SMS_RECEIVED。
eg:

• zSone侦听这个SMS_RECEIVED事件并拦截或删除来自特定原始号码(如10086和10010)的所有SMS消息
• AnserverBot注册来自10个不同事件的回调，而BaseBridge对9个不同事件感兴趣。大量事件的注册预计将允许恶意软件可靠或快速地启动所携带的payload
• 按钮点击事件--zSone(SHA1: 00d6e661f90663eeffc10f64441b17079ea6f819)，它调用自己的短信发送代码在主机应用程序的onClick()函数中。

恶意payload(Table V)

1. 提权：拿公共可用的exp(DroidDream)或者加密后的(DroidKungFu)来做攻击提权(Table IV)
2. 远程控制：远程与CC服务器通信来执行指令(CC服务器域名可能被编码或者加密)DroidKungFu
3. 收费：向收费号码发送短信来达到收费目的
4. 信息窃取：收集用户信息，短信等内容

Permission Uses

没有利用提权漏洞的恶意应用程序显然倾向于更频繁地请求与sms相关的权限，如READ_SMS、WRITE_SMS、RECEIVE_SMS和SEND_SMS。具体来说，数据集中有790个样本(62.7%)请求READ_SMS权限，而只有不到33个良性应用(2.6%)请求该权限。RECEIVE_BOOT_COMPLETED、CHANGE_WIFI_STATE

演化

DroidKungFu

1. root提权。利用系统漏洞root提权，exp会被改名、被加密等
2. C&C Server. URL可能是明文、可能被加密
3. Shadow Payloads。root提权成功后会执行payload安装新的软件等。安装这段内嵌的应用程序将确保即使重新打包的应用程序已被删除，它仍然可以继续运行
4. 混淆、JNI、加密等一系列操作。

AnserverBot

1. Anti analysis.

• 主动检测重新打包的应用程序是否被篡改来保护自己。
• 类、方法、字段等被模糊处理。
• 主要的payload除了主机应用程序外还有两个嵌入式的应用。其中一个应用程序将通过更新攻击被安装，而另一个应用程序将在没有实际安装的情况下被动态加载(它利用Dalvik虚拟机中的类加载特性在运行时加载和执行恶意负载)。

2. Security Software Detection: 通过包名检测并中止手机上的杀毒软件
3. C&C Server: 第一个类似于传统的接收命令的C&C服务器。第二个被用来升级它的payload或第一个类型的c&c服务器的新地址。第二种类型基于(加密的)博客内容，这些内容由流行的博客服务提供商(即，新浪和百度)。AnserverBot连接到公共博客站点来获取(加密的)当前CC服务器和新的(加密的)payload。这个功能可以确保即使第一个类型的C&C服务器是离线的，新的C&C服务器仍然可以通过这个公共博客推到恶意软件。