XMan冬令营 哈尔滨 day3 移动恶意应用分析

0x01 恶意代码概述

1. 全面爆发的移动威胁

   总数下降 总体上升

   生态环节

   恶意样本 供应链 签名盗用 劫持

   各个环节都面临着威胁

   恶意加固软件数量上升

2. 攻击手段持续进化

   

   色情软件增加

   易语言使用

3. 更具有针对性的威胁形态

4. 持续扩大的攻击面

   • 地下社工库

     • 完成原始数据积累

     • 完善的黑产分工协作体系

   • 漏洞攻击面扩大

   IOS XcodeGhost

   IOT

5. 移动威胁正从个人向组织迁移

6. 基本概念

7. 移动平台典型样本

8. 病毒与生态

   相关术语

   • 木马

   • 蠕虫

   • 后门

   • 工具

9. 命名体系

   病毒的命名：

   一般格式: <病毒后缀>.<病毒名>.<病毒后缀>

   各大厂商命名不大相同

   例如:

10. 标准差异

    国家意识形态对抗

11. 趋势

    规模增长，17年达顶峰

    恶意代码高度产业化

    移动端成为APT新战场

0x02 恶意代码分析

1. APK格式

   

   lib128

2. 静态分析工具

   • Smaliviewer

   • APKTOOL/baksamli

   • Dex2jar/jd-gui

   • JEB•IDA

   • AndroidKiller

   • AndroidGuard

   • Virustotal

   • 反混淆 http://apk-deguard.com/

3. 静态分析

   • 快速定位法：敏感API查找

   • 对比法：白应用对比

   • 代码流程法：AndroidManifest.xml

   • 遍历法：死磕，一个一个类看

4. 快速定位

5. 对比法

6. 遍历法

7. 动态分析

   • Andebug

   • IDA

   • Smali hook

   • xposed/substrate/frida

   • wireshark/tcpdump/burpsuite/findler2

8. 分析系统

   • DroidBox

   • AndroGuard

   • Inspeckage

   • RMS（antiy）

   • cuckoo https://cuckoosandbox.org 改监控模块即可

9. 人工分析实践

   1. 模拟器

      Emulator–tcpdumpx.pcap

   2. tcpdump for arm

      http://www.strazzere.com/android/tcpdump 要root权限

   3. Wifi + wireshark

10. 在线系统

    • VitrusTotal https://www.virustotal.com/

    • Sandroid http://sanddroid.xjtu.edu.cn

    • Koodous https://koodous.com

    • Janus https://www.appscan.io

11. 反病毒引擎

    • 对象获取

    • 对象检测

    • 对象处理

    • 病毒库

    基础：应用的基础特征

    符号：应用内所包含的各类符号特征

    动态：基于行为模型检测

12. AVL引擎检测技术 - 工程化体系

13. AVL引擎检测技术 - 创新探索 大数据

    降维：基于应用指纹的分类策略

    ...

14. 小结

0x03 移动威胁情报

相关概念

1. 情报不是石头里蹦出来的

   卡巴斯基地图？

   探头

2. 情报时高度具有驱动力的

3. 面向威胁情报的大数据体系

   

4. 自动化与人工相结合的分析运营体系

5. 精准的工程师智能分析系统

6. 威胁情报的困难金字塔

   

7. 案例：疑似Lazarus组织攻击事件

8. 小结

   • 体系化建设

   • 多方位合作

   • 多体系合作

   • 站到自己合适的方式

0x04 恶意代码对抗

对抗分析工具

• Ptrace自身

• https校验

• 检测父进程

• 伪/加密

• Axml/资源文件对抗

• 自校验•畸形包

• 代码隐藏

• 加壳

• 混淆

• 加密

• 反射调用

对抗用户感知：

• 隐藏图标

• 透明图标

• 静默安装/下载

• 预装

• 植入知名程序

• 伪装系统应用

• ISP劫持

• 邮件，社工

反追踪：

• 短链接

• 域名隐私保护

• 伪基站

• 动态DNS

• 盗用他人信息

• 云服务

• 入侵无关节点

环境对抗：

• 沙箱检查

• 条件触发

• 结束杀软

• 动态加载

• ROOT提权

• 杀软检测

银弹：

能力较弱又有威胁情报需求的国家

恶意代码层次利用

1. 层次图

2. Activity层

   • 范围：联系人，浏览器，一些核心应用，自己编写的应用

   • 主要威胁：流氓推广，恶意预装、流氓广告、钓鱼应用、欺诈

3. Framework层

   • 范围：各种API

   • 主要威胁：

     • 隐私窃取

     • 拦截广播

     • 勒索

     • 远控

     • 漏洞利用

   • 案例：各种RAT

     • Adwind

     • Alispy

     • Spynote

     • Darkcomet

     • Droidjack

4. Naive层

   • 范围：运行库

   • 主要威胁：

     • 设备损耗

     • 对抗分析

     • 隐藏自身

5. Kernel层

   • 范围：系统各种驱动

   • 主要威胁：

     • 系统破坏

     • 提权

6. RottenSys

0x05 威胁相应以及溯源

1. 攻击工具持续演变

   • 萌芽期

   • 发展期

   • 发展中后期

   • 后移动攻防时代

2. 移动终端已成为APT的新战场

3. 移动APT攻击

4. 攻击植入方式

   • 鱼叉攻击

     • 邮件

     • 网站

     • 短信

   • 应用市场

   • 论坛

   • 社交网络

   • 远程漏洞 或 intent schame url

5. 移动终端恶意代码

6. 案例

7. 分析思路和流程

8. 安卓证书分析

9. 基于同源木马的分析和追溯方法

   移除第三方库

10. 威胁情报库

    VirusTotal

    安天

    微步在线

11. 国际网络军火商

12. 知识库

13. 主动发现

0x06 机器学习的应用

非常成熟的方法

文件相似性检测

聚类分析

四大组件

权限数

随机性识别

0x07 .基于样本运行的互联网风控

黑灰产现状

从业者2017年仅在中国就超过150W人。市场规模达到千亿级别。

种类	工具	产业链
广告诈骗	群控	养号
推广欺诈	代理	黑卡
刷榜	多开	猫池
养号	点击	开发
DDOS	改机	接码
		变现

有成熟的产业链

0x08 总结

1. 海量病毒应对

2. 云与本地查杀

   • 云的优势

     • 响应及时

     • 占用资源少

     • 速度快

   • 本地引擎

     • 高启发性

     • 不依赖网络

3. 个体的价值

4. 评价体系不一致

5. 木桶效应

   互联网3g原则：girl game gamble

   用户对于提醒不在乎

   信息泄露

6. 攻击过程专业化

   国家力量的介入

7. 攻守不对称

   一系列问题导致攻击更加容易，