Sadstrot木馬分析

　　前段時間爆發(fā)了一個蝗蟲般的木馬Sadstrot,在媒體渲染之下，此木馬已是人盡皆知談毒色變，因此AVL移動團隊對此木馬進行了詳細分析,下面是學習啦小編整理的一些關于Sadstrot木馬分析的相關資料，供你參考。

　　Sadstrot木馬分析:

　　AVL移動安全團隊截獲了一款惡意木馬，該木馬運行后會竊取用戶QQ和微信賬戶、好友列表、消息記錄等，同時會利用subtrate hook框架監(jiān)控鍵盤輸入的任何信息。此外，該應用還會接收云端指令，執(zhí)行模塊更新、刪除指定文件等遠程控制操作，嚴重影響系統(tǒng)安全。目前AVL Pro已經(jīng)可以全面查殺，有效保護用戶手機安全。

　　一，　Sadstrot木馬行為及危害

　　一旦運行，該木馬立即申請root權限，為之后各種惡意行為做好鋪墊。

　　創(chuàng)建一個detect進程，此進程下的模塊插件與主進程進行通信，通過回調Java層代碼、hook等方式收集用戶隱私。

　　監(jiān)聽鍵盤輸入，用戶所有敲入的字符都會被竊取，包括銀行賬號密碼、社交APP賬號密碼等等。

　　接收云端指令，執(zhí)行模塊更新、刪除指定文件等，給系統(tǒng)安全帶來極大安全隱患。

　　二，　Sadstrot木馬執(zhí)行流程

 

　　右鍵看大圖本地進程間通信協(xié)議

　　運行在com.sec.android.service.powerManager進程的libnativeLoad.so、libPowerDetect.cy.so，會創(chuàng)建大量的服務監(jiān)聽。當接收到來自detect進程中的插件模塊發(fā)來的socket通信請求時，通過判斷buffer的前2個字節(jié)作為魔術字進行匹配，執(zhí)行相應操作。

　　三，　Sadstrot詳細分析

　　1 申請root權限，運行cInstall可執(zhí)行文件

　　1) cInstall文件會在應用的私有路徑下創(chuàng)建工作目錄與數(shù)據(jù)存儲目錄，將cache緩存中detect、plugin.dat、dtl.dat、glp.uin拷貝到指定的目錄下。

　　2) 讀取plugin.dat，解析獲取指定id模塊對應的插件名稱，據(jù)此改名寫入”/data/data/com.sec.android.service.powerManager/cores/Users/All Users/Intel”目錄。

　　以上目錄與文件將被賦予可讀可寫可執(zhí)行權限，為之后各種惡意行為做好鋪墊。

　　將cache緩存下的super拷貝到/system/bin/目錄，并提權。之后將libPowerDetect.cy.so、libnativeLoad.so等文件拷貝到指定目錄，并靜默安裝substrate hook框架。

　　cInstall文件執(zhí)行流程

　　將super拷貝到/system/bin目錄下，并提權。

　　靜默安裝substrate框架：

　　2 調用Substrate框架，并利用hook技術監(jiān)控鍵盤輸入

　　運行substrate框架，libPowerDetect.cy.so在init_array段進行初始化時，便會調用Substrate框架提供的api，對輸入法操作中的字符輸入、結束輸入、隱藏鍵盤等方法進行hook，并將收集到的字符發(fā)送至detect進程。

　　3 創(chuàng)建大量的監(jiān)聽服務，運行detect可執(zhí)行文件

　　libnativeLoad.so會調用以下jni方法，創(chuàng)建大量的監(jiān)聽服務，運行super可執(zhí)行文件。Super會通過設置用戶和用戶所在組id這種方式獲取進行提權，并fork出一個detect進程。

　　4 初始化主插件

　　detect可執(zhí)行文件查找主插件下Initialplugin、 NetWorkStateChanged這兩個符號，并調用進行初始化。

　　5 主插件加載調用其他模塊

　　WSDMoo.dat會調用執(zhí)行其他模塊下的SetCallbackInterface方法，并將一組函數(shù)指針作為參數(shù)傳入，使其能夠通過回調相應函數(shù)獲取工作目錄、插件配置等信息，且能為主插件添加一個上傳任務。

　　6 收集QQ賬戶、好友列表等隱私信息

　　winbrrnd.dat插件的SetCallbackInterface方法會創(chuàng)建startListernQQMsgThread線程，獲取QQ和微信賬戶、好友列表、消息記錄等信息，輸出到指定文件，并回調主插件的CbAddUploadFileTask函數(shù)添加一個上傳任務。

　　7 Socket聯(lián)網(wǎng)上傳，獲取指令執(zhí)行相應遠控操作

　　Socket聯(lián)網(wǎng)發(fā)送手機固件、插件信息，記錄了從其他模塊收集的隱私信息的文件。接收從服務器發(fā)來的消息，解析指令(詳見下表)，并執(zhí)行相應操作。

　　四 　Sadstrot木馬總結

　　此款木馬的特點是運行過程高度模塊化，各ELF文件之間會相互通信、相互配合，并最終實現(xiàn)隱私竊取和遠控后門的功能。此外，它還利用了substrate框架進行hook監(jiān)控鍵盤輸出。同時，該木馬還會收集QQ和WebChat賬號信息。黑客可能利用這些信息，向QQ好友或微信好友發(fā)送詐騙信息，對用戶潛在威脅巨大。AVL移動安全團隊提醒您，僅從官方站點或可信任的應用市場下載手機軟件，不隨意下載插件，以避免受到手機病毒的危害。此外，針對此類手機病毒，AVL Pro已經(jīng)實現(xiàn)查殺。

 

 

　　看過文章“Sadstrot木馬分析”的人還看了：

　　1.如何快速清理木馬病毒

　　2.電腦中了木馬后應該怎么做以及解決方法

　　3.什么是木馬程序

　　4.關于電腦中了木馬的解決方法有哪些

　　5.關于下一代遠程控制木馬的思路探討

　　6.手工查殺木馬和病毒 作網(wǎng)絡安全緝毒高手

　　7.病毒木馬刪除不了怎么辦

　　8.怎么樣徹底查殺木馬病毒

　　9.Win7 Ghost SP1盜版內置木馬的危害

　　10.木馬病毒的介紹