查看: 2277|回复: 3
收起左侧

[其他相关] CSE Malware ZLab:针对叙利亚的跨平台长期攻击

[复制链接]
275751198
发表于 2018-7-26 21:37:48 | 显示全部楼层 |阅读模式


CSE CYBSECZLAB的研究人员分析了在叙利亚长期从事间谍活动的APT-C-27黑客组织的一只样本的恶意代码。几天之前,来自ESET的分析员Lukas Stefanko发现了一个包含Android应用的数据库。


http://chatsecurelite.uk.to/wp-content/uploads/2018/android/t/

http://chatsecurelite.uk.to/wp-c ... android/apks/store/

比较尴尬的是,同样的连接我现在已经打不开了。这份报告可是7月23日公布的,动作太快了吧。

不管了,继续翻译报告。这个chatsecurelite.uk.to网站是阿拉伯语网站,据说这里提供的chatsecurelite是一款能检测聊天工具漏洞的软件,他声称著名的聊天工具telegram,whatsapp,都包含安全漏洞。chatsecurelite公开发行的只有一个免费且开源的IOS版,(因为他们的主要攻击途径是Android系统),他们声称他们的软件暂不支持android,并提供了办公软件补丁,或升级版聊天工具软件。(就是上面的连接)


(网站截图)



一、可疑的apk文件:(大部分样本的核心源代码基本一致,少数甚至只是改个名字和图标)

“AndroidOfficeUpdate2018.apk”
“ تحديث أوفيس للجولا .apk” ("UpdateOfficeforMobile.apk")
“chatsecure2018.apk”
“OfficeUpdate.apk”

MD5  6296586cf9a59b25d1b8ab3eeb0c2a33
SHA-1  5d9c175d8b84c03c7e656e5b29a7b9ab69e5a17b
SHA-256  54d6dc8300fad699c3fdfaa6614250f1151208dc6c5a4ede6097470e4af7817b
File Size  1517 KB


“telegram2018.apk”
MD5  c741c654198a900653163ca7e9c5158c
SHA-1  0c5611b383537faa715c31fa182cff92b73c97db
SHA-256  db70c8d699a3173028e768914b297a4c0c3a96c457845b38dfac535bc1b48eb3
File Size  1613 KB


“whatsapp2018.apk”
MD5  cf5e62ebbf4be2417b9d3849c3c3f9c9
SHA-1  fcc38a0acdfcde59bf1bc4b4227feb47b5f71ad4
SHA-256  041b9066f42b78c5f2c9ff25a3bba3155a21c21fa0ee55aea510f456b3bc1847
File Size  1675 KB
Icon

“chatsecure2018.apk”
MD5  f59cfb0b972fdf65baad7c37681d49ef
SHA-1  eace586f5b1a4eae6d1e0503e079753e0ac88176
SHA-256  caf0f58ebe2fa540942edac641d34bbc8983ee924fd6a60f42642574bbcd3987
File Size  1518 KB
Icon  --

“telegram2018.apk”
MD5  5de80e4b174f17776b07193a2280b252
SHA-1  6867eff4edc425606ac746e87a9df1b7424a1e49
SHA-256  2d0a56a347779ffdc3250deadda50008d6fae9b080c20892714348f8a44fca4b
File Size  1613 KB
Icon

“whatsapp2018.apk”
MD5  f0d240bac174e38c831afdd80e50a992
SHA-1  f4cc667a05fb478b126207848a8da340327d3329
SHA-256  b15b5a1a120302f32c40c7c7532581ee932859fdfb5f1b3018de679646b8c972
File Size  1675 KB


安装后,这些假冒的新版软件,补丁等就开始窃取用户手机的数据信息。

二、隐藏在apk里的Windows 可执行文件

在分析apk文件的时候,我们意外地在“/res/raw”路径下发现一只名为“hmzvbs”的反常文件。这只exe文件是由C#语言和NET语言编写的。

“hmzvbs.exe”
MD5  bd251ce0f81089ceb6db6c5ead43cb8e
SHA-1  9eb517b231786f34d70ccfe9dda2f33252eece86
SHA-256  9616976a2f1c753c5fc7338944ccf9c2cfedf9a9856f8ea40cb182a6b102aa6a
File Size  459.06 KB


hmzvbs是一个嵌入dll文件的dropper,在运行时解码dll文件并将其插入进程中加载。

DLL file
MD5  ee65368ee4da769245cde7022bd910a4
SHA-1  4e6fc7ab754be0957449d9782d7e280c09c1c98d
SHA-256  0fd267388d7c221ab8dd450ef271f21ac6e3b5cdfef23b1456084744f9b13fc0
File Size  97 KB


完全解密并运行完,样本复制自身到APPDATA\Local\Temp文件夹下cebto_task_64.exe

三、分析员的迷惑



分析员没弄明白为啥要在apk文件里隐藏exe病毒,也没发现安卓系统存在何种漏洞可以运行exe病毒。

然而360工作人员确弄明白了,相当尴尬。https://bbs.kafan.cn/thread-2127898-1-1.html
更尴尬的是360工作人员本来想来炫耀一下自家的技术,发了这帖子之后竟然没火,直接被一个路过的新用户的尬聊终结了帖子。

我嘞个去,通过安卓系统感染exe病毒,这神操作还不够我们深入研究一波的吗?

Android系统病毒运行后,“hmzvbs”(exe病毒)会被释放到指定好的移动端外置存储设备中的图片目录下,并且伪装成特殊名称,有时文件后缀名甚至被改成pif(手机照片的格式)。等待用户从PC端打开手机上的照片,从而将伪装成图片的exe病毒触发。然而黑客才没有那么大的耐心,他们直接在手机目录下释放了一个虚假的DCIM快捷方式,诱骗那些在PC上查看照片的用户。我曾经把手机的照片传到电脑上去,我知道照片通常放在DCIM文件夹下,黑客就是利用这样的方法。






啊啊啊,。最后的最后,哪位大神有virusshare或VT账户,看看能不能根据本文的信息找到样本来呀。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
275751198
 楼主| 发表于 2018-7-26 22:03:40 | 显示全部楼层
www-tekeze
发表于 2018-7-26 22:12:49 | 显示全部楼层
不是大神,找不到样本。。。顶顶楼主就行。。
Picca
发表于 2018-7-26 23:56:42 | 显示全部楼层
本帖最后由 Karna 于 2018-7-27 14:14 编辑

截图的那个分析员的意思是:我们没找到任何漏洞利用代码可以使那个andriod malware将任何可执行的代码横向传递到windows。

事实上就是没有办法直接传递呗,还需要用户配合,“而为使用户中招,不法分子还需借助用户不定期使用PC浏览手机里照片这一习惯”360也只是把这个社工手段说出来了,那个分析员告诉你没有办法直接利用漏洞传递,言下之意不就是得依靠其它的手段嘛。而且用电脑查看手机图片这个习惯在我身边好像并不怎么常见,你把手机当成usb来看的话,这个手段感觉也没啥稀奇的 ,关键还是能否拦住那个exe


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 18:22 , Processed in 0.127063 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表