内网穿透：Android木马进入高级攻击阶段

近日，360烽火实验室发现有数千个样本感染了一种名为“DressCode”的恶意代码，该恶意代码利用实下流行的SOCKS代理反弹技术突破内网防火墙限制，窃取内网数据。这种通过代理穿透内网绕过防火墙的手段在PC上并不新鲜，然而以手机终端为跳板实现对企业内网的渗透还是首见[1]。

SOCKS是一种网络传输协议，SOCKS协议位于传输层与应用层之间，所以能代理TCP和UDP的网络流量，SOCKS主要用于客户端与外网服务器之间数据的传递，那么SOCKS是怎么工作的呢，举个例子：A想访问B站点，但是A与B之间有一个防火墙阻止A直接访问B站点，在A的网络里面有一个SOCKS代理C，C可以直接访问B站点，于是A通知C访问B站点，于是C就为A和B建立起信息传输的桥梁。其工作流程大致分为以下5步：

（1）代理方向代理服务器发出请求信息。

（2）代理服务器应答。

（3）代理方需要向代理服务器发送目的IP和端口。

（4）代理服务器与目的进行连接。

（5）连接成功后将需要将代理方发出的信息传到目的方，将目的方发出的信息传到需要代理方。代理完成。

由于SOCKS协议是一种在服务端与客户端之间转发TCP会话的协议，所以可以轻易的穿透企业应用层防火墙；它独立于应用层协议，支持多种不同的应用层服务，如TELNET，FTP，HTTP等。SOCKS协议通常采用1080端口进行通信，这样可以有效避开普通防火墙的过滤，实现墙内墙外终端的连接[2]。

360互联网安全中心数据显示，截止目前，“DressCode”恶意代码传播量已达24万之多，在世界范围内分布相当广泛，感染了该恶意代码的手机在全世界的分布情况如下图所示：

图1“DressCode”木马在世界各地的分布情况

尽管有少数恶意应用逃过了谷歌的审查进入了 play store 应用商店，谷歌称：“99% 的恶意应用在被首次安装前都已被识别出来并删除。对于这样的指控，足协进行了否认，并反驳这不过是西方再一次恶意针对体育的围攻，依然没有任何证据，只有一个从逃离的所谓的证人。如何避免xss：跨站脚本攻击安卓局域网安全，具体是恶意攻击者往web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中web里面的html代码会被执行，从而达到恶意用户的特殊目的.如何避免。

该木马的主要攻击过程如下[3]：

（1）木马运行时主动连接到攻击者主机（SOCKS客户端），建立一个与攻击者对话的代理通道。

（2）作为SOCKS服务端的木马根据攻击者传来的目标内网服务器的IP地址和端口，连接目标应用服务器。

（3）木马在攻击者和应用服务器之间转发数据，进行通信。

当木马安装上手机后，首先会连接C&C服务器，连接成功后，那么木马就与C&C服务器建立了一个对话通道，木马会读取C&C服务器传送过来的指令， 当木马收到以“CREATE”开头的指令后，就会连接攻击者主机上的SOCKS客户端，攻击者与处于内网中的木马程序建立了信息传输的通道了。

有数据包时，首先将数据全部读取，然后判断数据是从客户端还是远程目标传送过来的(在读取时可以得到是从什么地址和端口读取到数据的，然后比较上面第6步时我们保存了下来的客户端的连接信息)，如果数据是从客户端读取过来的,我们要将udp头去掉.例如我们读取到的buffer,buffer[3]是1时，udp头就是10个字节长度,如果buffer[3]是3的话,udp头长度是7+buffer[4].例如我们得到udp头是20位，我们接收到的buffer是50位长度，那么我们发送到目标的数据包长度是30位，前20位不发送，只发送后面的30位.如果数据是。nat会记住62000端口对应的是10.0.0.2的1234端口，以后从外网服务器18.181.0.31发送到62000端口的数据会被nat自动的改变目的ip和端口号，然后转发到10.0.0.2上（如图5-4右图所示）。举个例子：比如向硬盘下达一组数据传送指令，由于数据在磁盘上分布位不同，磁头可能会先读取260扇区，再读取7660扇区，然后又读取261扇区……如果我们对指令进行优化排列安卓局域网安全，可以先读260扇区，接着依次读261扇区，最后读取7660扇区……显然，指令排列后减少了磁头臂来回移动的时间，使数据读取更有效。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-109522-1.html