近年來(lái),我們看到網(wǎng)絡(luò)犯罪分子開(kāi)始頻繁招攬網(wǎng)絡(luò)黑客和惡意軟件即服務(wù)（MaaS）提供商開(kāi)展惡意活動(dòng)。最近，在安全分析師David Montenegro的幫助下，一家分析機(jī)構(gòu)Check Point發(fā)現(xiàn)了一款名為Black Rose Lucy的全新惡意軟件即服務(wù)（Malware-as-a-Service，MaaS），由The Lucy Gang俄國(guó)團(tuán)隊(duì)開(kāi)發(fā)，雖然這個(gè)MaaS服務(wù)還在早期發(fā)展階段，但Check Point認(rèn)為，只需要一些時(shí)間，Black Rose Lucy就可以在網(wǎng)絡(luò)世界肆意縱橫。Check Point提到，許多犯罪分子傾向雇傭小型擁有特殊專業(yè)技能的團(tuán)隊(duì)，而非具備攻擊技能的的全能團(tuán)隊(duì)，然后以類似購(gòu)買云端服務(wù)的方式，來(lái)購(gòu)買這些惡意軟件服務(wù)。

Black Rose Lucy初體驗(yàn)（不是怦然心動(dòng)那種初體驗(yàn)……）

遠(yuǎn)程控制儀表板Lucy Loader

這個(gè)MaaS乍看是一個(gè)惡意套件工具包，包含遠(yuǎn)程控制儀表板Lucy Loader，用來(lái)控制整個(gè)僵尸網(wǎng)絡(luò)的被黑設(shè)備和主機(jī)，還可以用來(lái)部署其它的惡意負(fù)載（Payload），另一個(gè)工具則是Black Rose Dropper，鎖定安卓手機(jī)，收集受害者設(shè)備數(shù)據(jù)，監(jiān)聽(tīng)遠(yuǎn)程命令，控制（C＆C）服務(wù)器并安裝從C＆C服務(wù)器發(fā)送的惡意軟件。

在Check Point發(fā)現(xiàn)的Lucy Loader，系統(tǒng)正控制著位于俄羅斯的86臺(tái)設(shè)備，感染日期顯示為2018年8月初，Lucy Loader儀表板還有世界地圖的界面，為黑客顯示僵尸網(wǎng)絡(luò)的地理位置概覽。

被黑設(shè)備的地理位置概覽

黑客可以透過(guò)儀表板界面上傳惡意軟件，并將其推送至整個(gè)僵尸網(wǎng)絡(luò)中。

有效負(fù)載上傳和管理

而Black Rose Dropper會(huì)偽裝成安卓系統(tǒng)升級(jí)或圖片文檔，Check Point收集到的樣本，則會(huì)利用系統(tǒng)的允許訪問(wèn)服務(wù)來(lái)安裝有效負(fù)載，過(guò)程完全不需要用戶參與，并且會(huì)形成自我保護(hù)的機(jī)制。

Black Rose Dropper安裝完成后，會(huì)立刻隱藏圖標(biāo)，并且向系統(tǒng)注冊(cè)監(jiān)控服務(wù)，60秒后，監(jiān)控服務(wù)會(huì)向用戶顯示警示信息，聲稱受害者設(shè)備有安全危機(jī)，要求使用者替名為系統(tǒng)安全的應(yīng)用程序啟用安卓允許訪問(wèn)功能，而事實(shí)上這個(gè)系統(tǒng)安全應(yīng)用程序正是Black Rose Dropper，它會(huì)不停地要求受害者授予權(quán)限，直到達(dá)成目的。

只要Black Rose Dropper取得允許訪問(wèn)功能權(quán)限后，就能給予自己系統(tǒng)管理員權(quán)限，以便自身能獲取在其他應(yīng)用程序上顯示窗口的權(quán)限以及忽略Android電池優(yōu)化的權(quán)限，避免耗電量過(guò)高而被優(yōu)化清理。

監(jiān)視服務(wù)會(huì)在每次受害者關(guān)閉和開(kāi)啟屏幕時(shí)重新啟動(dòng)，以確保惡意軟件服務(wù)的有效性。Check Point表示，目前這個(gè)階段，監(jiān)控服務(wù)的行為主要都是從C&C服務(wù)器獲取APK文件后安裝，并將日志發(fā)送回C＆C服務(wù)器，該服務(wù)器包含設(shè)備狀態(tài)數(shù)據(jù)，Black Rose運(yùn)行狀況數(shù)據(jù)和任務(wù)執(zhí)行日志。

由于安卓輔助功能服務(wù)可以模擬用戶的屏幕點(diǎn)擊，因此這也是Black Rose執(zhí)行惡意活動(dòng)的關(guān)鍵因素。一旦啟用允許訪問(wèn)性服務(wù)后，Black Rose可以快速點(diǎn)擊屏幕授予自己設(shè)備管理員權(quán)限（如果之前未授予這些權(quán)限）。當(dāng)從C＆C服務(wù)器接收APK文件時(shí)，Black Rose通過(guò)相同的技術(shù)進(jìn)行安裝，通過(guò)模擬用戶點(diǎn)擊來(lái)完成安裝步驟。

在Check Point整個(gè)調(diào)查過(guò)程中，Black Rose Lucy還推出了新版本，顯示The Lucy Gang團(tuán)隊(duì)正積極地維護(hù)并改進(jìn)這個(gè)工具。新版本Black Rose加強(qiáng)了控制通信的能力，不再使用IP地址而是域名訪問(wèn)。以免僵尸網(wǎng)絡(luò)被服務(wù)器刪除。Lucy Loader儀表板上，僵尸網(wǎng)絡(luò)采用DEX有效負(fù)載而不是APK有效負(fù)載，強(qiáng)化惡意軟件攻擊能力。

目前Black Rose Dropper支持英語(yǔ)、土耳其語(yǔ)和俄語(yǔ)界面，且儀表板中顯示，模擬受害者位于法國(guó)、以色列和土耳其，Check Point認(rèn)為黑客已經(jīng)在這些地方向有興趣的買家進(jìn)行了演示，因此Black Rose Lucy目標(biāo)的范圍應(yīng)該不只俄羅斯，考慮到小米手機(jī)在亞洲和東歐的日益普及，Black Rose Lucy還對(duì)小米手機(jī)進(jìn)行了特殊邏輯處理，其中的自我保護(hù)機(jī)制還特別針對(duì)最大的Android手機(jī)市場(chǎng)——中國(guó)安全和系統(tǒng)應(yīng)用進(jìn)行特殊優(yōu)化，因此下一個(gè)目標(biāo)是中國(guó)的可能性非常大。

崔歡歡