一、背景
“海蓮花”(又名APT-TOCS、APT32、OceanLotus),被認為是來自中南半島某國的APT攻擊組織,自2012年活躍以來,一直針對中國的敏感目標進行攻擊活動,是近幾年來針對中國大陸進行攻擊活動的最活躍的APT攻擊組織之一。
很多安全廠商在之前已經發布過多份關於海蓮花的分析報告,報告的內容主要集中在PC端,攻擊手段往往以魚叉攻擊和釣魚攻擊為主,移動端的攻擊並不多見。然而,隨著移動互聯網的發展,一方面人們的手機逐漸出現兩用性,除了包含使用者的個人隱私外,也往往會帶有其社會屬性,另一方面,智能手機的無線通信可以繞過內部安全監管設備,故而針對移動端的攻擊也成為了整個攻擊鏈條中的重要一環。下面,以發生於我國的一起移動端攻擊事件為藍本進行具體分析說明。
二、具體分析
表2-1 典型樣本基本信息
該應用偽裝正常應用,在運行後隱藏圖標,後臺釋放惡意子包並接收遠程控制指令,竊取用戶短信、聯繫人、通話記錄、地理位置、瀏覽器記錄等隱私信息,私自下載apk、拍照、錄音,並將用戶隱私上傳至服務器,造成用戶隱私洩露。
三、樣本分析
該應用啟動後會打開LicenseService服務:
該服務會開啟f線程用於註冊和釋放間諜子包:
註冊url:http://ckoen.dmkatti.com
動態加載間諜子包:
子包分析
主包反射調用com.android.preferences.AndroidR類的Execute方法:
首先建立socket連接:
socket地址:mtk.baimind.com
通過與手機建立通訊,發送控制指令和上傳短信、聯繫人、通話記錄、地理位置、瀏覽器記錄等部分隱私信息。
此外該間諜子包還建立了https通訊,用於上傳錄音、截圖、文檔、相片、視頻等大文件。
https地址:https://jang.goongnam.com/resource/request.php,目前已經失活,該C2屬於海蓮花組織資產。
表3-1 CC所在位置及作用
如下圖所示:首先,簽名Subject中包含HackingTeam、Christian Pozz(Hacking Team中一個管理員的名字)字樣;其次,代碼中的註冊功能,可以認定是對外出售的商業間諜軟件;最後,根據後期Hacking Team洩漏資料來看,海蓮花組織所屬國家亦在其客戶名單之中。
四、拓展分析
根據註冊CC的同源性,我們查找到如下樣本:
表4-1 通過CC檢索到的同源樣本
與我們分析的樣本不同,以上樣本有了明顯的功能改進,增加了提權功能,以45AE1CB1596E538220CA99B29816304F為例,對其assets目錄名為dataOff.db的文件進行解密,解密之後的文件中帶有提權配置文件,如下所示:
由此可見,在代碼洩漏後HackingTeam組織的CEO表示“洩漏的代碼只是很小一部分”的言論是有依據的,這也從側面反映出網絡軍火商在一定程度上降低了APT攻擊的門檻,使得網絡攻擊出現更多的不確定性。
同時我們也注意到,該系列惡意代碼有通過國內第三方應用市場和文件共享網站進行的投遞。
表4-2 樣本分發鏈接
五、總結
海蓮花組織總是在演進變化,不斷地通過更新其攻擊手法和武器庫以達到繞過安全軟件防禦的目的。除了武器庫的不斷更新,該組織也相當熟悉中國的情況,包括政策、使用習慣等。這不僅迷惑了相關人員,增加了其攻擊成功率,同時也可能給目標受害群體帶來不可估量的損失。
因此對於個人來講,要切實提高網絡安全意識,不要被網絡釣魚信息所矇蔽;對於安全廠商來講,更需要對其加深瞭解並持續進行鍼對性的對抗,提升安全防護能力,真正為用戶側的移動安全保駕護航。
感謝奇安信紅雨滴團隊(原360企業安全威脅情報小組)對於因sinkhole造成的域名歸因疏漏的熱心指正。
*本文作者:AVLTeam,轉載自FreeBuf.COM
相關推薦
