解读《McAfee Labs季度威胁报告》

McAfee Labs

0x01 前言


McAfee Labs最新发布的《McAfee Labs威胁报告:2016年6月》季度威胁报告中,McAfee Labs在5000 多个移动应用程序安装包中发现了应用合谋现象。

此次季度威胁报告,重点讨论了三个关键主题:

■ 探索了新兴的新攻击方式 – 移动应用程序合谋。

■ 阐述了主流哈希函数为什么更易于在处理器性能提升时遭受网络攻击。

■ 对恶意软件Pinkslipbot进行了深入研究。

0x02 摘要


1、合伙犯罪:移动应用合谋情况调查

合谋移动应用程序看上去是良性的,但是当它们在相同移动设备上运行并分享信息时,可能会表现出恶意。McAfee Labs在与 21 款移动应用相关的 5000 多个安装包中发现了应用程序合谋现象。

移动操作系统支持在移动设备上运行的应用程序之间的多种通信方式。对于两个或多个移动应用程序,如果单独分析它们的行为,可能不会发现恶意。但是,如果它们结合在一起就会通过彼此交换信息,就会变得具有威胁性。同时McAfee Labs最近发现有合谋代码嵌入多个流行应用程序。本主题,McAfee Labs提供了移动应用程序合谋的简明定义,阐述了移动应用程序合谋攻击的表现形式,以及企业防范这些攻击的方法 。

2、加密算法的现状

尽管SHA-1 中的缺陷已经公开,但McAfee Labs研究表明,仍有2000多万个证书在使用SHA-1,其中包括4000多个负责关键功能的SCADA系统仍在使用。

本主题,McAfee Labs阐述了主流哈希函数,并说明了它们为什么在处理器性能提升时更易于遭受网络攻击。介绍了仍在使用过时且较弱的哈希函数签署的证书数量,其中包括用在工业和关键基础设施应用程序中的证书。最后,McAfee Labs证明了,企业应该积极使用更加强健的哈希函数。

3、Pinkslipbot:死灰复燃

Pinkslipbot后门特洛伊木马程序具有蠕虫一样的威力,最初在2007年出现,并且迅速以其破坏性和影响严重性而闻名。McAfee Labs在其最新的更新中检测到 4200 多个不同的 Pinkslipbot 二进制文件。

W32/Pinkslipbot(也称为Qakbot、Akbot、QBot),该恶意软件系列能够窃取银行凭据、电子邮件密码和签名证书。Pinkslipbot感染在2013年有所减少,但是在2015年末又凶猛回归。这种恶意软件现在改进了一些特性,包括防分析和多层加密能力,防止恶意软件研究人员对其进行逆向工程。本主题,McAfee Labs记录了它的历史记录、演变信息、最近更新和僵尸网络基础设施。提供了有关其自我更新和数据渗出机制的详细信息,以及McAfee Labs在实时监控 Pinkslipbot 感染和凭据窃取上的工作。

0x03 关键主题


1、合伙犯罪:移动应用合谋情况调查

(1) 什么是移动应用程序合谋

合谋应用程序准确的定义:可用协作方式通过应用程序间的通信一起执行有害活动的两个或多个应用程序。简单来说就是攻击者使用两个或两个以上的应用进行有害活动,如图1所示。

1合谋应用程序的基础知识

图1 合谋应用程序的基础知识

定义了三种具体的威胁类型:

■ 信息窃取:具有敏感或机密信息访问权限的应用程序同一个或多个其他应用程序合作(有意或无意),越过设备的边界发送信息。

■ 财务窃取:应用程序向另一个可进行财务交易或财务API调用的应用程序发送信息。

■ 服务滥用:应用程序可控制系统服务并接收来自一个或多个其他应用程序的信息或命令。

(2)移动应用程序合谋方法

①程序安装在同一台设备

攻击者可使用多种方法来开发和部署合谋移动应用程序,合谋的难点在于部署应用程序,只有两个恶意应用程序安装在同一台移动设备上,攻击才会奏效。例如攻击者部署两个应用程序,一个应用程序帮助管理联系人,而另一个提供简单的天气更新。但是攻击者可以通过同一应用程序市场和交叉广告为目标,可最大化同时安装合谋应用程序的几率。例如在线广告,或者应用程序内嵌广告。可以通过调查来自同一来源的应用程序或捆绑安装的应用程序来缩小搜索范围。图2给出了合谋应用程序间通信典型的信息传输。

2合谋应用程序间通信典型的信息传输

图2 合谋应用程序间通信典型的信息传输

②共享代码库

在应用程序中构建和散布共享的代码库,但这些应用程序之间需要具备通信能力。例如,许多免费应用程序都使用了广告库,不法第三方可在库中嵌入恶意代码,并让两个或多个应用程序合谋,而开发人员并不知道自己创建的应用程序包含这种合谋内容。可以将重点调查对象放在使用相同可疑第三方库或SDK的应用程序上。图3给出了共享代码库实现应用合谋。

3共享代码库实现应用合谋

图3 共享代码库实现应用合谋

③安全漏洞

利用第三方应用程序或库中的安全漏洞。如果有已知的应用程序会泄露数据或违反权限控制,其他应用可能会利用这一点。可以通过调查一般配对的应用程序组和已知泄露或漏洞缩小搜索范围。

(3)检测移动应用程序合谋

检测应用程序是否合谋,第一步是分析应用程序的功能和权限;如果应用程序没有对敏感数据的访问权限,或者它们具有相当的权限,则没有合谋的需要。如果查找数据泄露合谋应用程序组,则首先要根据应用程序声明的权限,隔离有敏感或系统服务访问权限的应用程序组,然后查找外部应用程序。没有敏感数据或服务访问权限以及无法访问互联网的应用程序不需要进一步检测。

4从应用程序间通信搜索合谋应用

图4 从应用程序间通信搜索合谋应用

接着需要确定在这两个组之间可用的通信渠道。明确文档记录并且操作系统支持的通信方式,如Intents(Android)、App Extensions(iOS)、External Storage (Android)、 SharedPreferences(Android) 或 UserDefaults (iOS)。除了这些通信方式方法,应用程序可能会使用隐蔽通道。例如,操纵智能手机的音量可让一个应用程序对它进行设置,而让另一个程序来读取它,这是个缓慢但是在一定程度上可靠的传输方式。

最近的研究《Towards Automated Android App Collusion Detection(自动检测Android 合谋应用)》显示,市场上所有应用程序中几乎有85%可以使用显式(11.3%)或隐式(73.1%)方法与其他应用程序通信,因此仅利用通信功能,将会产生大量可能的合谋组。加入威胁可能性计算可大幅减少这种数量,但是成本较高,也会耗费大量时间。

5移动应用间的通信

图5 移动应用间的通信

(4)防范合谋移动应用程序

  • 建议只使用来自受信任市场和受信任软件发布商的应用程序。
  • 禁止安装来自“未知来源”的移动应用程序。
  • 避免使用包含嵌入式广告的。
  • 不要对设备进行“破解”或“越狱”。

2、加密算法的现状

(1)加密哈希函数

两个使用较广泛的是MD5和SHA-1,MD5 哈希现在可在不到一秒的时间内在商用服务器硬件上发生冲突,对于SHA-1,当前预计需要数个月时间,但最终都是可用破解的。

6安全哈希函数算法表

图6 安全哈希函数算法表

(2)行业响应

  • 主要浏览器(包括Google Chrome)在2017年将不再信任使用SHA-1的SSL证书。
  • 2016年6月之后,如果网站使用SHA-1,Microsoft实施其自身的“防御措施”。
  • 主要证书颁发机构已经发布了SHA-2证书,并停止发布2016年1月1日起的代码签名SHA-1证书。

(3)建议

  • 企业应当积极地从MD5或SHA-1迁移至SHA-2或SHA-3。

3、Pinkslipbot:死灰复燃

W32/Pinkslipbot(也称为 Qakbot、 Akbot 和 QBot)是一个恶意软件系列,专门为窃取受感染机器上的个人和财务数据而创建。恶意软件可通过基于命令的后门程序完全控制受感染的机器,该后门程序通过控制服务器以及基于虚拟网络计算(VNC) 的后门程序操作。

(1)已知感染媒介

Pinkslipbot 主要通过利用漏洞利用工具包(例如RIGSweet Orange)以及可移除驱动器(例如U盘)和网络共享等,以“随看随下”的形式提供。

7感染

图7 Pinkslipbot“随看随下”感染

(2)感染过程

  • 受害者访问受感染的网站。
  • 受感染的网站加载恶意的JavaScript文件,该文件和利用套件使用的网站连接,控制登录页面的重定向。该网站返回脚本解码的变量以获得登录页面的实际URL。恶意JavaScript代码通常附加或预载于网站的合法JavaScript组件上,就像第24页顶部的图形所突出显示的那样。js库包含恶意代码。
  • 脚本将受害者重定向至利用登录页面,方法是将该页面作为隐藏的iframe载入。
  • 利用登录页面在受害者的系统上载入小型Web格式文件,该文件利用AdobeFlash中的安全漏洞,可下载和执行恶意软件。受感染的Flash文件下载经过XOR加密的Pinkslipbot可执行文件。最新的Pinkslipbot样本使用密钥“vwMKCwwA”。

(3)通过网络共享感染

一旦安装 Pinkslipbot,它就会尝试查找本地网络上打开的网络共享,并利用它们来远程执行自身的副本。这使得Pinkslipbot可以快速渗入整个组织,尤其是在域管理员的帐户被感染时。

8Pinkslipbot尝试连接至共享驱动器

图8 Pinkslipbot尝试连接至共享驱动器

一旦映射驱动器,恶意软件就会复制自己的二进制文件。

(4)基础设施

如下图中所示, Pinkslipbot 背后的团体使用数个系统来完成各个任务,消除对于当前大多数僵尸网络常见的单点故障。

9基础设施

图9 基础设施

控制服务器是单个服务器,负责向受感染的机器发出命令。

每个Pinkslipbot样本中硬编码的IP地址用作基于Web的连接的主要代理服务器。所有外部连接都通过Pinkslipbot经由代理服务器路由。如果代理服务器脱机,窃取的会话可通过受感染的FTP植入区域传输,或者控制服务器可推送新的代理服务器更新来还原操作。

(5)Pinkslipbot二进制文件结构

尽管旧版本的僵尸程序使用诸如UPX的标准打包程序以及和银行特洛伊木马程序Zeus所使用的相似的模糊处理技术,最新品种的Pinkslipbot二进制文件使用了自定义实现来将二进制文件和相关文件打包,如下图中所示:

10Pinkslipbot 的二进制文件图

图10 Pinkslipbot 的二进制文件图

(6)传播感染

自2015年12月起(在最新进行的活动中),McAfeeLabs收到了4200多个不同的Pinkslipbot二进制文件,相应检测由主要位于美国、英国和加拿大的驱动器遥测报告。

11检测到Pinkslipbot感染的地图

图11 检测到Pinkslipbot感染的地图

12前五

图12 报告检测到Pinkslipbot的前5个国家/地区

(7)攻陷指标

在DNS缓存中如果存在以下域,则可能表明感染了Pinkslipbot:

■ gpfbvtuz.org

■ hsdmoyrkeqpcyrtw.biz

■ lgzmtkvnijeaj.biz

■ mfrlilcumtwieyzbfdmpdd.biz

■ hogfpicpoxnp.org

■ qrogmwmahgcwil.com

■ enwgzzthfwhdm.org

■ vksslxpxaoql.com

■ dxmhcvxcmdewthfbnaspnu.org

■ mwtfngzkadeviqtlfrrio.org

■ jynsrklhmaqirhjrtygjx.biz

■ uuwgdehizcuuucast.com

■ gyvwkxfxqdargdooqql.net

■ xwcjchzq.com

■ tqxllcfn.com

■ feqsrxswnumbkh.com

■ nykhliicqv.org

■ ivalhlotxdyvzyxrb.net

■ bbxrsgsuwksogpktqydlkh.net

■ rudjqypvucwwpfejdxqsv.org

Pinkslipbot驻留在%APPDATA%\Microsoft中特定于机器的目录中。如果该文件夹中的子目录具有包含五到七个字符的可疑名称并包含两个DLL文件和一个.exe(名称和目录一样),则表示当前感染了Pinkslipbot。僵尸程序使用自己用作代理的IP地址主动修改DNS响应。DNS返回的不正确的IP可能表示受Pinkslipbot感染。

(8)防护

  • 确保防恶意软件签名为最新状态。
  • 也可创建自定义访问规则,防止Pinkslipbot与其控制服务器通信。
  • 禁用不使用的端口,阻断往返于相关恶意IP地址之间的连接请求。
  • 禁止使用网络共享。

0x04 威胁统计信息

(1)恶意软件

恶意软件和移动恶意软件总数成上升趋势。

13恶意软件总计

图13 恶意软件总计

14移动恶意软件总计

图14 移动恶意软件总计

(2)Web威胁

Gamut僵尸网络是前10名中的常客,在第1季度取得领先,数量增加了接近50%。流行的垃圾邮件活动提供快速致富方案和廉价的仿冒医疗药品。Kelihos是2015年第4季度最为多产的垃圾邮件僵尸网络,并且是分布广泛的恶意软件分销商,分布在四个位置。同时勒索软件也通过垃圾邮件来传播

15排名前 10 位的僵尸网络发送的垃圾邮件量

图15 排名前10位的僵尸网络发送的垃圾邮件量

16全球僵尸网络盛行

图 16全球僵尸网络盛行

(3)网络攻击

网络威胁部分和上个季度相似。最流行的浏览器攻击为“数据:URI方案”RFC2397,暴露了Firefox中的安全漏洞。

17主要网络攻击PNG

图17 主要网络攻击

可见2016年的安全形势依旧严峻,除了以往的网络攻击,新兴的勒索软件也逐渐被各大厂商关注,安全研究也依旧任重道远。

*详细报告参见:McAfee,转载请注明来自MottoIN

原创文章,作者:ArriSecTeam,如若转载,请注明出处:http://www.mottoin.com/sole/topic/86411.html

发表评论

登录后才能评论

评论列表(2条)

  • hypnos 2016年8月5日 下午4:59

    不错,省了兄弟很多事

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code