【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告 2017-08-29 20:52:16 阅读:294次 点赞(0) 收藏 来源: 安全客
【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告 作者:360烽火实验室
【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告

C&C服务器地址

WireX家族病毒基本上都会在内部硬编码存放两个URL地址(部分变种的URL经过加密),变种A在内部硬编码了如下两个URL

http://u.*******.store/?utm_source=tfikztteuic http://g.*******.store/?utm_source=tfikztteuic

这些URL地址是病毒的C&C Server的地址,用于返回要攻击的网站的信息,不同之处在于,对这两个URL返回的信息,处理方式不同,执行的恶意行为也不同。


UDP Flood攻击

对于以u开头的URL地址,比如

http://u.*******.store/?utm_source=tfikztteuic

(实际测试不能正常返回数据,以下是根据代码逻辑进行描述的),返回数据分为两部分,一个要攻击的主机地址,一个是端口,中间使用字符串“snewxwri”分割,代码中对返回数据处理如下:


【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告

获得主机地址和端口号之后,会创建50个线程,每个线程中都会连接该主机和端口,开启socket之后,使用udp协议发送随机数据,每次回发送512个字节的数据,一个线程中一共会发送 10000000 (一千万)次,也就是 10000000512=5120000000 字节的数据,因为一共实现了创建了50个线程,所以,理论上会发送10000000512*50=256000000000(2560亿)字节,实现代码如下所示:


【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告

【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告

Deceptive Access Attack

对于以g开头的URL地址, 比如

http://g.*******.store/?utm_source=tfikztteuic

,返回数据分为3部分,分别是访问要攻击的网站的URL、UserAgent和Referer,使用硬编码的字符串(比如snewxwri )进行分割,代码中对返回数据处理如下:


【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告

获得要攻击网站用到的URL、UserAgent和Referer后,会创建20个Webview,然后使用每个WebView访问要攻击的网站,代码实现如下:


【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告

Deceptive Click Attack

变种B内置了2个URL地址,如下:

http://ww68.c.********.us/?utm_source=tfikztteuic http://ww68.d.********.us/?utm_source=tfikztteuic

请求这两个URL返回的数据是类似的,都是在HTML的title中设置了一段内容,这段内容使用一个硬编码的字符串(比如”eindoejy”)分隔成3或者4部分,前3部分都是一样的,一个URL,一段JS代码,一个UserAgent,后面可能还有一个字段,猜测为国家名字缩写,该样本中为CN(代表中国?)。请求你的地址和返回的数据,类似下图:


【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告

该病毒对这些数据的处理方式是,使用WebView加载返回URL,然后在页面加载完成后,执行那段JS代码,JS代码的功能是从页面中所有的URL link(通过查找html的a标签获得)中,随机挑选一个,模拟鼠标事件进行点击,实现代码如下:


【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告

实现模拟鼠标点击JS代码如下:


【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告

Attack Controller

上述几种攻击的实现都是位于某个Android Service中,那么这几种攻击是怎么启动的呢?通过逆向分析APK得知, 该APK注册了监听某些事件的Broadcast Receiver,比如network connectivity change、device admin enabled等,在这些Receiver中,会启动Attack Controller这个Service, Attack Controller负责启动各种Attack,代码实现如下:


【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告

不同的变种,实现方式有些差别,攻击的强度也又有所差别,这个变种中,每隔55秒都会重启一次攻击。


360烽火实验室

360烽火实验室,致力于Android病毒分析、移动黑产研究、移动威胁预警以及Android漏洞挖掘等移动安全领域及Android安全生态的深度研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内首发了多篇具备国际影响力的Android木马分析报告和Android木马黑色产业链研究报告。实验室在为360手机卫士、360手机急救箱、360手机助手等提供核心安全数据和顽固木马清除解决方案的同时,也为上百家国内外厂商、应用商店等合作伙伴提供了移动应用安全检测服务,全方位守护移动安全。


【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告
【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告
【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告 本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/4326.html

本文网络安全相关术语:网络安全工程师 网络信息安全 网络安全技术 网络安全知识

tags: URL,Android,地址,source,Attack,utm,代码,返回,攻击,实验室,烽火,store,线程
分页:12
转载请注明
本文标题:【病毒分析】360烽火实验室:“WireX Botnet”事件Android样本分析报告
本站链接:http://www.codesec.net/view/562949.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 网络安全 | 评论(0) | 阅读(92)