本文主要介紹幾個業(yè)界主流的Android手機遠程控制木馬套件的使用方式 ,這種攻擊行為屬于c&c的一種,又名命令與控制。之前我在做這方面的檢測算法模型的時候,主要覆蓋的場景是被攻擊端為windows與linux系統(tǒng),那么隨著5G時代的到來,手機與車機的使用場景也會顯著增多,安全保障必然尤為重要。
介入正題,我們首先介紹這5種病毒家族的名稱:DroidJack,Spynote,AndroRat,AhMyth,F(xiàn)atRat(感興趣的同學(xué)可以自行去下載,或者聯(lián)系小編分享)。這5種遠控木馬中前4個的c&c端是windows平臺,也就是說攻擊者使用的是windows操作系統(tǒng),F(xiàn)atRat是搭建在Linux操作系統(tǒng)中,kali默認是沒有安裝的,需要手動安裝。這里最主流的應(yīng)該是Spynote了,功能強大,性能穩(wěn)定,其余的也可以作為正常攻擊使用。模擬攻擊的過程中,我們使用andorid模擬器作為被控端,可能與正常的物理機的性能有差別,但是根據(jù)c&c這種攻擊行為的特征分析,所產(chǎn)生的攻擊流量不會失真。
首先介紹使用FatRat。在shell中輸入fatrat后,如下圖所示:
我們選擇選項1,如圖:
這里我們?yōu)榱藙?chuàng)建android遠控木馬,所以我們選擇3。隨后我們需要輸出自己的(黑客的ip一般是公網(wǎng)ip,這里為了方便演示暫時設(shè)置為小網(wǎng)ip)ip以及監(jiān)聽的端口,然后創(chuàng)建的病毒文件名稱為FatRat.apk。
下一步選擇3:tcp反彈shell的payload。
輸入y后,我們的遠控木馬文件就生成了,文件的格式為apk,也就是android手機中的文件格式。
下一步:在android模擬器中安裝惡意apk文件。圖中展示的是安裝5種遠控木馬后的手機界面,其中FatRat.apk文件安裝后的App名稱為MainActivity
接下來我們就開始正式的進行攻擊了,我們打開wireshark監(jiān)控攻擊流量,然后在主控端(黑客)啟動 Metasploit(如果看官對metasploit不是很了解,可以看一下這篇文章 https://paper.seebug.org/29/)
下面我們開啟并監(jiān)聽c&c攻擊:
當被攻擊者點擊啟動惡意木馬時,c&c攻擊會話就建立成功了:
輸入help后可以查看到一些攻擊的可執(zhí)行命令
開始滲透攻擊。攻擊者可以拿到shell遍歷查看被攻擊者的文件信息,也可以上傳其他惡意文件到被攻擊者的手機中,或者從被控者的手機中下載重要信息文件(如通話記錄,聯(lián)系人電話本,短信記錄、圖片等等):
關(guān)于FatRat的攻擊流量部分展示如下:
可以看到,部分信息還是進行了加密處理,使用傳統(tǒng)特征檢測可能不如機器學(xué)習(xí)算法效果更好。FatRat的相關(guān)介紹就到這里,下面我們來看一下windows下的Spynote是如何使用的。
windows下的遠控工具更易操作,所以使用頻率也比較高。攻擊方式與FatRat相似,同樣先在攻擊端設(shè)置監(jiān)聽的ip和端口,然后點擊build生成一個病毒文件。
被攻擊者啟動惡意文件后在攻擊端有上線的自動提示,通過郵件可以查詢到多種攻擊手段:
比如文件的上傳和下載就可以通過FileManager控制項進行操作:
同樣,黑客可以監(jiān)聽被攻擊者的通話錄音,shell,手機軟件信息等等。
使用Spynote進行遠控攻擊的流量如下圖所示:
最后,剩余的三種遠控木馬的使用方式與Spynote基本一致,但是產(chǎn)生的流量內(nèi)容會有一定的區(qū)別,本人使用機器學(xué)習(xí)算法訓(xùn)練的模型已經(jīng)可以成功檢測出上述5種遠控攻擊的流量。
