Intranet渗透-Android木马进入高级攻击阶段（2）

360 home火实验室

一个. 概述

随着移动互联网时代的到来，企业内部数据变得越来越有价值. 近年来，黑客已将移动设备用作跳入企业内部网和窃取企业数据资产的跳板. 最近，360 FiberHome Labs发现了一批名为“ MilkyDoor”的恶意代码. 在去年6月首次出现“ DressCode” [1]恶意代码之后，这是使用移动设备攻击企业的另一种方式. 网络木马但是，与“ DressCode”不同，“ MilkyDoor”不仅使用SOCKS代理来实现从攻击者的主机到目标Intranet服务器的数据转发，而且还使用SSH（安全外壳）协议来穿透防火墙以实现安全. 加密并传输数据，然后实现更隐蔽的数据传输. SSH协议[2]也称为安全外壳协议. 它使用的传输机制是TCP / IP. 它通常使用服务器的TCP端口22，并对通过连接传输的数据进行加密和解密. 您可以使用SSH加密和解密其他应用程序在其他TCP端口上建立的TCP / IP传输. 此过程称为端口转发. 使用SSH转发，所有其他基于TCP的不安全协议都可以变得安全.

两个. 地理分布

来自360 Internet中心的数据显示，截至2017年5月，``MilkyDoor''木马已达到30,000个传播点，并分布在全球160多个国家中. 其中，，，印度和美国是受灾最严重的地区. 中国该公司的Intranet也面临着来自“ MilkyDoor”木马的严重威胁. 下图显示了该木马在世界范围内的分布:

图1世界上“ MilkyDoor”木马的分布情况

三个. 详细分析

“ MilkyDoor”木马攻击企业内部网的主要过程如下:

（1）SSH远程端口转发“ MilkyDoor”木马使用远程端口转发[3]实现数据加密传输，整个过程如下:

通过上述过程安卓局域网安全，攻击者可以加密数据并将其传输到木马. 如下图所示:

图2攻击者使用远程端口转发和传输数据的过程

（2）SOCKS代理“ MilkyDoor”木马实现了SOCKS协议，以在内部网络服务器和攻击者的主机之间转发流量. 通过SOCKS代理，攻击者将通过感染了木马的移动设备连接到目标Intranet服务器，并将发送到Intranet中的移动设备的数据转发给攻击者，从而实现数据盗窃. 下图显示了转发过程. 显示:

图3使用SOCKS代理转发数据的过程

（3）建立安全的SSH传输隧道. 当木马运行时，它将在收到手机的解锁操作后启动ServiceWorker服务. 该服务将首先从远程服务器下载配置文件. 配置文件包含重要信息，例如攻击者的主机的IP，木马应将其监视为SOCKS服务器的端口以及木马连接到攻击者的主机（SSH服务器）的密码和密码. 同时，更新本地配置文件，并将更新结果通过Handler机制发送回ServiceWorker服务. 如果更新成功，则将启动子线程安卓局域网安全，并在子线程中启动SS服务. 同时，需要将配置文件中的socks参数传递给服务. 连接到攻击者的主机并设置远程端口转发时，将使用此参数. 代码如下所示:

图4启动SS服务并将socks参数传递给该服务

在SS服务中，将执行异步任务. 该任务首先根据socks参数读取用户名，主机IP，用户密码，远程端口和其他信息，然后连接到攻击者主机，并将端口转发方法设置为远程端口转发. 这样，木马发送到该端口的数据将通过SSH加密，并转发到攻击者主机的端口. 该过程由JSch软件包[4]中提供的接口实现，该软件包是SSH2的纯Java实现. 允许您连接到SSH服务器，并可以使用端口转发，X11转发，文件传输等. 处理代码如下图所示:

图5连接到SSH服务器并设置远程端口转发

（4）窃取内部服务器数据的过程木马创建了一个服务器套接字，以接收来自攻击者主机的连接. 建立连接后，木马会与攻击者建立数据传输通道. 因此，首先启动子线程. 子线程首次运行时，它将读取攻击者主机发送的数据，其中包括请求的版本，攻击命令，目标Intranet服务器端口，IP和用户名. 经过分析处理后，数据格式如下图所示:

图6攻击者的主机请求消息的格式

然后，木马会根据收到的指令执行相应的操作，其代码如下图所示:

图7木马根据攻击者的指示触发相应的操作

如果是CONNECT命令，则根据目标Intranet服务器的传入IP和端口连接到Intranet服务器. 这时，作为客户端的木马与内部网服务器建立了一条信息通道. 这样，建立了从攻击者的主机到木马以及从木马到内部网服务器的两个传输通道. 如图8所示（其中h，i是输入流，j，g是输出流），两个具有相同传输方向的文件流形成一个单向传输通道: 输入流h和输出流i形成了到文件流的路径. 攻击者主机传输数据的传输通道. 输入流g和输出流j形成用于将数据传输到Intranet服务器的传输通道.

图8输入和输出数据流程图

用于数据转发的（InputStream，OutputStream）方法如下图所示:

图9数据转发过程

结合图8和图9，不难知道通过调用a（h，i），将Intranet服务器的数据发送给攻击者；调用a（g，j）将通过发送攻击者. 数据被发送到Intranet服务器. 当攻击者想要从Intranet上的FTP服务器窃取数据时，它将继续发送BIND命令. 这时，木马将首先创建一个新的Socket A，然后等待目标FTP服务器连接；读取攻击者主机发送的PORT命令，一旦收到该命令，它将主动连接到SocketA. 然后，内联网FTP服务器通过此数据连接通道传输数据. 通过这种方式，攻击者通过木马完成了FTP文件服务器上的数据盗窃.

四个. 总结建议

与“ DressCode”木马不同，“ MilkyDoor”木马使用SSH加密数据传输，其恶意代码隐藏在android.system程序包下，具有良好的隐蔽性，大大提高了检测难度. 将很难检测到移动设备上的移动. 因此，公司应加强预防措施，严格限制不受信任的移动设备访问公司内部网，并禁止智能终端设备与公司内部服务器位于同一局域网中.

报价

[1] [技术共享]内部网渗透-Android木马进入高级攻击阶段:

[2] SSH协议简介:

[3]实际的SSH端口转发:

[4] com.jcraft.jsch（JSch API）:

360 home火实验室

360 home火实验室致力于对Android病毒分析，移动黑产品研究，移动威胁警告，Android漏洞挖掘以及其他移动安全领域和Android安全生态进行深入研究. 作为世界上最大的移动安全生态研究实验室，360 Fiberhome Labs首次发布了许多具有国际影响力的Android Trojan分析报告和Android Trojan黑色产业链研究报告. 该实验室在为360 Mobile Guard，360 Mobile急救箱，360 Mobile Assistant等提供核心安全数据和顽固的木马清除解决方案的同时，还为数百家制造商，应用程序商店和其他合作伙伴提供了移动应用程序安全性测试. ，全方位保护移动安全.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-285451-1.html