編者按:網絡空間安全近年來日漸成為公眾關注的焦點,中科院之聲特意邀請業內專家“大東”開設“大東話安全”專欄,以《安天威脅通緝令2016撲克牌》為線索,一張撲克牌對應一個網絡病毒,講述54個不同的網絡病毒和網絡安全故事,以及如何進行針對性防禦的建議。
一、小劇場
長老木馬:今木馬猖獗,天下紛爭,網安累卵之危,Android 有倒懸之急,你若放棄抵抗,豈不美哉?
網安衛士:住口!我從未見過有如此厚顏無恥之馬!
二、病毒通緝令
小白:(盯)這隻怪物,噁心的長相中透露著一絲搞笑。
大東:怎麼搞笑法?
小白:噗嗤——你看它左右兩隻小短手,哈哈哈,能打到誰呢,只能幹瞪著眼睛,哈哈哈哈~~~
大東:那是你還不懂它的厲害。它叫 FakeDebuggerd,俗稱“長老木馬”,其主要特徵是會替換系統的 debuggerd 可執行文件。運行時會聯網獲取指令,執行釋放安裝惡意資源文件到系統目錄、私自下載靜默安裝等。
小白:嗯,果然是“長老”,壞事也做得如此老練。先前在下多有冒犯,失敬失敬!大東老師您請繼續!
大東:小樣兒~
三、手機裡的長老
小白:最近我的手機有毒。
大東:怎麼啦,你的手機不應該是日常有毒麼,這次又是什麼新的問題了?
小白:我的手機最近不知道出了什麼問題,總在夜晚自動安裝手電筒和日曆兩個軟件。我百度一下後,發現有好多網友都遇到了被強裝手電筒與日曆應用的問題。
瘋狂的手電筒
大東:不用想了,你那手機肯定是中毒了,正常的手機哪裡會出現這樣的問題。
小白:怎麼辦~手動害怕~~試了好多辦法都沒能解決,把手機都重置了,還是沒用。
大東:嗯,重置都沒辦法消除,你肯定是中了那款木馬了。
小白:大東東你倒是說明白,哪款啊?
大東:這個木馬的名字叫“長老木馬”。
小白:Exm?長老?怪不得這麼厲害,原來武林高手啊。
大東:你還能笑得出來。不是遇見了我,你這輩子都刪不掉手機裡的手電筒和日曆了。
小白:嘿嘿~人艱不拆~~
這個長老有毒
大東:長老木馬是 Android 平臺上比較有名的一個木馬家族,有許多變種,但是所有的變種都有一個主要的特徵就是替換系統中的 debuggerd 可執行文件。
小白:debuggerd 是啥?
大東:debuggerd 是安卓系統的一個進程,該進程可以偵測程序崩潰並將收集到的數據收集起來供開發人員調試使用。
小白:這怎麼就被盯上了呢?
大東:debuggerd 是安卓系統的原生服務,本身就是一個開機啟動的進程,木馬藉此不必做其他修改便可實現自啟動,這樣的話整個木馬的行為就會變得更加隱蔽。
木馬的結構圖
小白:原來如此~
大東:該木馬 FakeDebuggerd 加密所有字符串,回寫時修復文件創建時間,即使木馬 apk 被發現,也不能通過在目錄中暴力搜索字符串來找到作惡的源頭/system/bin/debuggerd。
小白:啥啥啥?這些都是個啥?
大東:木馬本體被高度加密,能對抗靜態分析,在運行後會將 debuggerd 文件的創建時間恢復到初始時間,隱蔽性極強。
長老木馬加密
小白:真是太可惡了!不過好在這個木馬只會裝裝手電筒之類~並不會搞大事情~
大東:那你就 too naive 了。
這個長老事挺多
小白:難道除了手電筒和日曆,這木馬還能搞別的事兒?
大東:要是長老只會做這也不配叫長老了。
小白:那它還能幹些啥呢?
大東:這個木馬在啟動以後會創建一個線程,對本地的端口進行監聽,然後再創建一個線程處理接收到的指令。
小白:什麼什麼線程、端口,這又是啥?
大東:線程是程序執行的最小單元,而端口則是設備與外界通訊交流的出口。木馬的這個動作,你可以理解為木馬已經完成初始化,準備開始搞事情了。
小白:噢~怎麼搞法?
大東:木馬的指令主要有四種,都是針對竊取用戶隱私數據而設計的。像是QQ啊,微信啊,啥有隱私它就偷啥。
小白:好可怕!主流的社交應用都通吃啊!
大東:沒錯。竊取到的信息之後會被上傳至木馬操縱者制指定的服務器,而獲取了隱私信息後,木馬操縱者可以進一步利用,執行惡意行為。
小白:我的天!那受害者多麼?
大東:據360安全中心後臺統計分析,截止到2015年11月,第四代長老木馬的總感染量已經超過了80萬,且影響的手機用戶機型和系統非常的廣泛。
長老四代感染數量
長老木馬感染機型分佈
將長老拒之門外
小白:那怎麼樣才能防止長老入駐手機呢?
大東:該木馬並不隨著 ROM 傳染,而是由軟件安裝包 APK 釋放的。
小白:ROM?
大東:你可以理解為刷機包。
小白:所以,貓膩在安裝包裡?
大東:嗯,通過安裝包安裝的軟件在運行時會釋放 seed.jar文件,這個文件就是木馬的主體。
seed.jar 的運行流程圖
小白:都是套路啊!
大東:seed.jar 主要通過偽裝成常用軟件與網頁廣告進行傳播,所以預防這個木馬最好的方法就是不要安裝來路不明的安裝包,如果需要下載軟件,就儘量在官方網站下載。
小白:知道了,記住了,不會犯了。
四、小白內心說
大東:小白,聽完這個 FakeDebuggerd,你能想到啥別的嗎?
小白:這位“長老木馬”,會替換系統的 debuggerd 可執行文件,運行時會聯網獲取指令,執行釋放安裝惡意資源文件到系統目錄,私自下載靜默安裝。說起來就是以為能夠悄咪咪幹事兒的老人家~
大東:沒錯,所以還是要提醒你到官網下載軟件啊。
小白:我控制不住我記己啊~官方網站的版本好低。
大東:你還能下到比官方版本更高的軟件?你真行啊。另外還有一點,在瀏覽網站的時候不要輕信網站的小廣告,指不定就會給你來這麼一下。
小白:大東東放心,小廣告飛得那麼塊,我想點也點不著呢~
五、話說漫威
大東:小白,你覺得在漫威世界中……
小白:有誰跟這位長老很像?
大東:哈哈,咱們小白學會搶話咯。
小白:嘿嘿,我不知道,還是大東東你說吧。
大東:在漫威漫畫裡,艾麗卡(Elektra)擁有頂級人類體能,是各方面的武術專才,能進行低程度的精神感應。
小白:噢~沒聽過這號人物,長啥樣呢~~
大東:諾,就是她。
艾麗卡
閱讀更多 中科院之聲 的文章
