近年來(lái),我們看到網(wǎng)絡(luò)犯罪分子開(kāi)始頻繁招攬網(wǎng)絡(luò)黑客和惡意軟件即服務(wù)(MaaS)提供商開(kāi)展惡意活動(dòng)。最近,在安全分析師David Montenegro的幫助下,一家分析機(jī)構(gòu)Check Point發(fā)現(xiàn)了一款名為Black Rose Lucy的全新惡意軟件即服務(wù)(Malware-as-a-Service,MaaS),由The Lucy Gang俄國(guó)團(tuán)隊(duì)開(kāi)發(fā),雖然這個(gè)MaaS服務(wù)還在早期發(fā)展階段,但Check Point認(rèn)為,只需要一些時(shí)間,Black Rose Lucy就可以在網(wǎng)絡(luò)世界肆意縱橫。Check Point提到,許多犯罪分子傾向雇傭小型擁有特殊專業(yè)技能的團(tuán)隊(duì),而非具備攻擊技能的的全能團(tuán)隊(duì),然后以類似購(gòu)買云端服務(wù)的方式,來(lái)購(gòu)買這些惡意軟件服務(wù)。

Black Rose Lucy初體驗(yàn)(不是怦然心動(dòng)那種初體驗(yàn)……)

遠(yuǎn)程控制儀表板Lucy Loader

這個(gè)MaaS乍看是一個(gè)惡意套件工具包,包含遠(yuǎn)程控制儀表板Lucy Loader,用來(lái)控制整個(gè)僵尸網(wǎng)絡(luò)的被黑設(shè)備和主機(jī),還可以用來(lái)部署其它的惡意負(fù)載(Payload),另一個(gè)工具則是Black Rose Dropper,鎖定安卓手機(jī),收集受害者設(shè)備數(shù)據(jù),監(jiān)聽(tīng)遠(yuǎn)程命令,控制(C&C)服務(wù)器并安裝從C&C服務(wù)器發(fā)送的惡意軟件。

在Check Point發(fā)現(xiàn)的Lucy Loader,系統(tǒng)正控制著位于俄羅斯的86臺(tái)設(shè)備,感染日期顯示為2018年8月初,Lucy Loader儀表板還有世界地圖的界面,為黑客顯示僵尸網(wǎng)絡(luò)的地理位置概覽。

被黑設(shè)備的地理位置概覽

黑客可以透過(guò)儀表板界面上傳惡意軟件,并將其推送至整個(gè)僵尸網(wǎng)絡(luò)中。

有效負(fù)載上傳和管理

而Black Rose Dropper會(huì)偽裝成安卓系統(tǒng)升級(jí)或圖片文檔,Check Point收集到的樣本,則會(huì)利用系統(tǒng)的允許訪問(wèn)服務(wù)來(lái)安裝有效負(fù)載,過(guò)程完全不需要用戶參與,并且會(huì)形成自我保護(hù)的機(jī)制。

Black Rose Dropper安裝完成后,會(huì)立刻隱藏圖標(biāo),并且向系統(tǒng)注冊(cè)監(jiān)控服務(wù),60秒后,監(jiān)控服務(wù)會(huì)向用戶顯示警示信息,聲稱受害者設(shè)備有安全危機(jī),要求使用者替名為系統(tǒng)安全的應(yīng)用程序啟用安卓允許訪問(wèn)功能,而事實(shí)上這個(gè)系統(tǒng)安全應(yīng)用程序正是Black Rose Dropper,它會(huì)不停地要求受害者授予權(quán)限,直到達(dá)成目的。

只要Black Rose Dropper取得允許訪問(wèn)功能權(quán)限后,就能給予自己系統(tǒng)管理員權(quán)限,以便自身能獲取在其他應(yīng)用程序上顯示窗口的權(quán)限以及忽略Android電池優(yōu)化的權(quán)限,避免耗電量過(guò)高而被優(yōu)化清理。

監(jiān)視服務(wù)會(huì)在每次受害者關(guān)閉和開(kāi)啟屏幕時(shí)重新啟動(dòng),以確保惡意軟件服務(wù)的有效性。Check Point表示,目前這個(gè)階段,監(jiān)控服務(wù)的行為主要都是從C&C服務(wù)器獲取APK文件后安裝,并將日志發(fā)送回C&C服務(wù)器,該服務(wù)器包含設(shè)備狀態(tài)數(shù)據(jù),Black Rose運(yùn)行狀況數(shù)據(jù)和任務(wù)執(zhí)行日志。

由于安卓輔助功能服務(wù)可以模擬用戶的屏幕點(diǎn)擊,因此這也是Black Rose執(zhí)行惡意活動(dòng)的關(guān)鍵因素。一旦啟用允許訪問(wèn)性服務(wù)后,Black Rose可以快速點(diǎn)擊屏幕授予自己設(shè)備管理員權(quán)限(如果之前未授予這些權(quán)限)。當(dāng)從C&C服務(wù)器接收APK文件時(shí),Black Rose通過(guò)相同的技術(shù)進(jìn)行安裝,通過(guò)模擬用戶點(diǎn)擊來(lái)完成安裝步驟。

在Check Point整個(gè)調(diào)查過(guò)程中,Black Rose Lucy還推出了新版本,顯示The Lucy Gang團(tuán)隊(duì)正積極地維護(hù)并改進(jìn)這個(gè)工具。新版本Black Rose加強(qiáng)了控制通信的能力,不再使用IP地址而是域名訪問(wèn)。以免僵尸網(wǎng)絡(luò)被服務(wù)器刪除。Lucy Loader儀表板上,僵尸網(wǎng)絡(luò)采用DEX有效負(fù)載而不是APK有效負(fù)載,強(qiáng)化惡意軟件攻擊能力。

目前Black Rose Dropper支持英語(yǔ)、土耳其語(yǔ)和俄語(yǔ)界面,且儀表板中顯示,模擬受害者位于法國(guó)、以色列和土耳其,Check Point認(rèn)為黑客已經(jīng)在這些地方向有興趣的買家進(jìn)行了演示,因此Black Rose Lucy目標(biāo)的范圍應(yīng)該不只俄羅斯,考慮到小米手機(jī)在亞洲和東歐的日益普及,Black Rose Lucy還對(duì)小米手機(jī)進(jìn)行了特殊邏輯處理,其中的自我保護(hù)機(jī)制還特別針對(duì)最大的Android手機(jī)市場(chǎng)——中國(guó)安全和系統(tǒng)應(yīng)用進(jìn)行特殊優(yōu)化,因此下一個(gè)目標(biāo)是中國(guó)的可能性非常大。

分享到

崔歡歡

相關(guān)推薦