麻豆国内精品欧美在线-麻豆国内精品久久久久久-麻豆国产在线观看一区二区-麻豆国产在线观看免费-麻豆国产原创-麻豆国产一区二区在线观看

前言：

近年來(lái)我們看到網(wǎng)絡(luò)犯罪分子越來(lái)越多地聘請(qǐng)網(wǎng)絡(luò)雇傭兵和惡意軟件即服務(wù)（MaaS）提供商作為開(kāi)展惡意活動(dòng)的一種方式，從而更加注意這一建議。許多威脅演員更傾向于雇用具有更專(zhuān)業(yè)技能的較小團(tuán)隊(duì)，而不是聚集擁有完全從頭開(kāi)始攻擊所需的必要技能組的全能團(tuán)隊(duì)。實(shí)際上，這些威脅行為者以與合法組織購(gòu)買(mǎi)云服務(wù)類(lèi)似的方式從MaaS提供商處購(gòu)買(mǎi)惡意軟件服務(wù)。

最近截獲了一個(gè)新的MaaS產(chǎn)品Black Rose Lucy，俄語(yǔ)團(tuán)隊(duì)開(kāi)發(fā)稱(chēng)之為“The Lucy Gang”。

下面分析揭示地下MaaS市場(chǎng)的最新趨勢(shì)。

概述：

Black Rose Lucy MaaS產(chǎn)品是一個(gè)惡意軟件包，包括：

1）Lucy Loader：一個(gè)遠(yuǎn)程控制儀表板，可控制受害設(shè)備和主機(jī)的整個(gè)僵尸網(wǎng)絡(luò)，并部署其他惡意軟件負(fù)載。

2）Black Rose Dropper：針對(duì)Android手機(jī)的dropper，收集受害者設(shè)備數(shù)據(jù)，偵聽(tīng)遠(yuǎn)程命令和控制（C＆C）服務(wù)器并安裝從C＆C服務(wù)器發(fā)送的額外惡意軟件。

主流Android系統(tǒng)僅允許用戶(hù)手動(dòng)啟用敏感功能來(lái)激活應(yīng)用程序，例如使應(yīng)用程序設(shè)備需要成為管理員。為了成為設(shè)備系統(tǒng)管理員，應(yīng)用程序需要在彈出窗口中明確要求用戶(hù)同意，或者要求用戶(hù)導(dǎo)航一系列系統(tǒng)設(shè)置然后獲得這樣的權(quán)限。另一方面，模仿用戶(hù)屏幕點(diǎn)擊的Android可訪(fǎng)問(wèn)性服務(wù)可能被惡意軟件濫用以繞過(guò)這些安全限制。引入了輔助功能服務(wù)，以便用戶(hù)可以自動(dòng)化和簡(jiǎn)化某些重復(fù)的任務(wù)。不過(guò)，對(duì)于Black Rose來(lái)說(shuō)，這是Android防御中的致命弱點(diǎn)。一旦成功欺騙受害者，為Black Rose提供無(wú)障礙服務(wù)，然后就可以在沒(méi)有用戶(hù)同意的情況下進(jìn)行APK文件安裝和自保護(hù)安裝了。

Lucy Loader dashboard

在Lucy Loader實(shí)例中，研究人員觀(guān)察到它目前控制的來(lái)自俄羅斯的86臺(tái)設(shè)備，從今年8月初開(kāi)始到現(xiàn)在。

圖1：Lucy Loader dashboard

Lucy Loader dashboard還可以快速概覽黑客提供了僵尸網(wǎng)絡(luò)中受感染設(shè)備的地理位置。

圖2：受感染設(shè)備的地理位置分布

黑客可以將惡意軟件上傳到dashboard，根據(jù)威脅行為者的要求，可以將其推遲到整個(gè)僵尸網(wǎng)絡(luò)中的設(shè)備上。

圖3：有效負(fù)載上傳和管理。

Black Rose dropper

發(fā)現(xiàn)Black Rose dropper系列樣本偽裝成安卓系統(tǒng)升級(jí)文件或鏡像文件。樣本主要利用Android的可訪(fǎng)問(wèn)性服務(wù)來(lái)安裝其有效負(fù)載，而無(wú)需任何用戶(hù)交互，并形成一個(gè)有趣的自我保護(hù)機(jī)制。

監(jiān)控服務(wù)

安裝后，Black Rose dropper會(huì)立刻隱藏圖標(biāo)并注冊(cè)Monitor服務(wù)。

圖4：初始惡意活動(dòng)

60秒后，監(jiān)控服務(wù)會(huì)顯示一個(gè)警告窗口，聲稱(chēng)受害者的設(shè)備有危險(xiǎn)。它敦促受害者為名為“系統(tǒng)安全”的應(yīng)用程序啟用Android輔助功能服務(wù)（實(shí)際上是指Dropper本身）。事實(shí)上，Dropper會(huì)反復(fù)詢(xún)問(wèn)受害者，直到他們發(fā)現(xiàn)啟用了輔助功能服務(wù)。

圖5：警報(bào)窗口欺騙受害者以啟用輔助功能服務(wù)

圖6：Black Rose Dropper偽裝成“系統(tǒng)安全”

圖7：顯示欺騙性警報(bào)的代碼

當(dāng)受害者啟用Black Rose的可訪(fǎng)問(wèn)性服務(wù)時(shí)，就被迫向Black Rose授予設(shè)備管理員權(quán)限，授予在其他應(yīng)用程序之上顯示窗口的權(quán)限以及忽略Android電池優(yōu)化的權(quán)限。所有這些都是必要的成分，以顯示欺騙性的警報(bào)信息。

圖8：額外權(quán)限的代碼

在幕后，Monitor服務(wù)設(shè)置程序，以便每當(dāng)受害者打開(kāi)或關(guān)閉設(shè)備的屏幕時(shí)，它都會(huì)重新啟動(dòng)。這是一種非常簡(jiǎn)單但非常有效的技術(shù)，可以保證惡意服務(wù)始終盡可能地運(yùn)行。

圖9：重啟惡意服務(wù)的代碼

監(jiān)控服務(wù)然后繼續(xù)與C＆C服務(wù)器建立初始連接。

圖10：連接到C＆服務(wù)器的代碼

在當(dāng)前階段，Monitor服務(wù)側(cè)重于從C＆C服務(wù)器獲取APK文件安裝任務(wù)，并將日志發(fā)送回C＆C服務(wù)器，該服務(wù)器包含設(shè)備狀態(tài)數(shù)據(jù)，Black Rose運(yùn)行狀況數(shù)據(jù)和任務(wù)執(zhí)行日志。

圖11：從C＆C服務(wù)器獲取APK文件安裝任務(wù)的代碼

圖12：構(gòu)建日志數(shù)據(jù)庫(kù)的代碼，也是我們將dropper命名為Black Rose的原因

圖13：將日志發(fā)送到C＆C服務(wù)器的代碼。

無(wú)障礙服務(wù)

由于A(yíng)ndroid輔助功能服務(wù)可以模仿用戶(hù)的屏幕點(diǎn)擊，因此這是Black Rose執(zhí)行惡意活動(dòng)的關(guān)鍵因素。啟用可訪(fǎng)問(wèn)性服務(wù)后，Black Rose可以快速移動(dòng)屏幕以授予自己設(shè)備管理員權(quán)限（如果之前未授予這些權(quán)限），并忽略系統(tǒng)電池優(yōu)化，以免被Android電池優(yōu)化過(guò)程殺死。當(dāng)從C＆C服務(wù)器接收APK文件時(shí)，Black Rose通過(guò)相同的技術(shù)進(jìn)行安裝，通過(guò)模擬用戶(hù)點(diǎn)擊來(lái)完成安裝步驟。

除了通常的惡意活動(dòng)之外，研究人員還發(fā)現(xiàn)一些有趣的自我保護(hù)機(jī)制存在于一些Black Ros樣本中-Black Rose積極檢查是否啟動(dòng)了流行的免費(fèi)安全工具或系統(tǒng)清潔工。

圖14：用于檢查檢查主流的安全工具和系統(tǒng)清理器是否啟動(dòng)的代碼

一旦找到，Black Rose將模擬用戶(hù)點(diǎn)擊“后退”按鈕或“主頁(yè)”按鈕，希望退出這些工具或至少阻止受害者使用它們。與使用超級(jí)用戶(hù)權(quán)限在進(jìn)程級(jí)別殺死其他應(yīng)用程序相比，研究人員發(fā)現(xiàn)這種方法更安靜，并且需要更簡(jiǎn)單的代碼實(shí)現(xiàn)。

圖15：模擬用戶(hù)點(diǎn)擊主頁(yè)按鈕和后退按鈕的代碼

除了防止安全工具，Black Rose還阻止了受害者在其設(shè)備上使用恢復(fù)出廠(chǎng)設(shè)置的能力。每當(dāng)受害者嘗試在設(shè)置中打開(kāi)出廠(chǎng)重置菜單時(shí)，Black Rose會(huì)快速按下“主頁(yè)”和“后退”按鈕。

圖16：阻止用戶(hù)恢復(fù)出廠(chǎng)設(shè)置的代碼

進(jìn)化

在研究人員的調(diào)查過(guò)程中還發(fā)現(xiàn)了一個(gè)更新版本的Black Rose dropper，它推出了Lucy Loader dashboard的新演示版本。Black Rose的新版本現(xiàn)在指的是使用域名而不是IP地址的C＆C服務(wù)器。雖然使用IP地址可以節(jié)省一些運(yùn)營(yíng)成本，但它使僵尸網(wǎng)絡(luò)很容易受到服務(wù)器刪除的影響。此更改為僵尸網(wǎng)絡(luò)提供了更強(qiáng)大的控制通信。

在新版本的Lucy Loader dashboard中，可以看到僵尸網(wǎng)絡(luò)采用DEX有效載荷而不是APK有效載荷。需要安裝APK文件時(shí)，可以動(dòng)態(tài)加載DEX文件。它使得DEX有效載荷比APK更加有效和強(qiáng)大。

圖17：DEX有效負(fù)載管理

研究人員發(fā)現(xiàn)此 dashboard上的模擬受害者位于法國(guó)，以色列和土耳其，因此認(rèn)為L(zhǎng)ucy Gang可能正在向有興趣攻擊這些國(guó)家的潛在黑客組織進(jìn)行演示。

圖18：模擬受害者

圖19：地理位置概述

總結(jié)

在代碼分析過(guò)程中，可以明顯感受到Lucy Gang對(duì)全球化野心有了強(qiáng)烈的感覺(jué)。事實(shí)上，由于目前支持英語(yǔ)，土耳其語(yǔ)和俄語(yǔ)用戶(hù)界面的Black Rose dropper，因此得到的印象是Black Rose Lucy計(jì)劃成為遠(yuǎn)遠(yuǎn)超出俄羅斯邊境的僵尸網(wǎng)絡(luò)服務(wù)。

考慮到小米手機(jī)在亞洲和東歐的日益普及，Black Rose在一些惡意活動(dòng)中對(duì)MIUI有特殊的邏輯和處理。在自我保護(hù)機(jī)制中，它非常重視中國(guó)的安全和系統(tǒng)工具應(yīng)用。這些觀(guān)察結(jié)果讓我們相信，Black Rose Lucy的下一站可能是全球最大的安卓手機(jī)市場(chǎng)中國(guó)，包括法國(guó)、土耳其、以色列等。