【病毒分析】360烽火实验室：“WireX Botnet”事件Android样本分析报告

本邮件内容由第三方提供，如果您不想继续收到该邮件，可 点此退订 。

【病毒分析】360烽火实验室："WireX Botnet"事件Android样本分析报告  阅读原文»

2017-08-29 20:52:16 阅读：4802次 点赞(0) 收藏 来源： 安全客

作者：360烽火实验室

---

C&C服务器地址

---

WireX家族病毒基本上都会在内部硬编码存放两个URL地址（部分变种的URL经过加密），变种A在内部硬编码了如下两个URL

http://u.*******.store/?utm_source=tfikztteuic
http://g.*******.store/?utm_source=tfikztteuic

这些URL地址是病毒的C&C Server的地址，用于返回要攻击的网站的信息，不同之处在于，对这两个URL返回的信息，处理方式不同，执行的恶意行为也不同。

UDP Flood攻击

---

对于以u开头的URL地址，比如

http://u.*******.store/?utm_source=tfikztteuic

（实际测试不能正常返回数据，以下是根据代码逻辑进行描述的），返回数据分为两部分，一个要攻击的主机地址，一个是端口，中间使用字符串"snewxwri"分割，代码中对返回数据处理如下：

 

获得主机地址和端口号之后，会创建50个线程，每个线程中都会连接该主机和端口，开启socket之后，使用udp协议发送随机数据，每次回发送512个字节的数据，一个线程中一共会发送 10000000 (一千万)次，也就是 10000000512=5120000000 字节的数据，因为一共实现了创建了50个线程，所以，理论上会发送10000000512*50=256000000000（2560亿）字节，实现代码如下所示：

 

Deceptive Access Attack

---

对于以g开头的URL地址， 比如 

http://g.*******.store/?utm_source=tfikztteuic

，返回数据分为3部分，分别是访问要攻击的网站的URL、UserAgent和Referer，使用硬编码的字符串（比如snewxwri ）进行分割，代码中对返回数据处理如下：

 

获得要攻击网站用到的URL、UserAgent和Referer后，会创建20个Webview，然后使用每个WebView访问要攻击的网站，代码实现如下：

 

Deceptive Click Attack

---

变种B内置了2个URL地址，如下：

http://ww68.c.********.us/?utm_source=tfikztteuic
http://ww68.d.********.us/?utm_source=tfikztteuic

请求这两个URL返回的数据是类似的，都是在HTML的title中设置了一段内容，这段内容使用一个硬编码的字符串（比如"eindoejy"）分隔成3或者4部分，前3部分都是一样的，一个URL，一段JS代码，一个UserAgent，后面可能还有一个字段，猜测为国家名字缩写，该样本中为CN（代表中国？）。请求你的地址和返回的数据，类似下图：

 

该病毒对这些数据的处理方式是，使用WebView加载返回URL，然后在页面加载完成后，执行那段JS代码，JS代码的功能是从页面中所有的URL link（通过查找html的a标签获得）中，随机挑选一个，模拟鼠标事件进行点击，实现代码如下：

 

实现模拟鼠标点击JS代码如下：

 

Attack Controller

---

上述几种攻击的实现都是位于某个Android Service中，那么这几种攻击是怎么?div style="border-bottom:1px solid #aaa;margin-bottom:25px">【技术分享】22款品牌路由器的漏洞分布报告  阅读原文»

2017-08-30 10:04:02 阅读：1576次 点赞(0) 收藏 来源： sicherheitsforschung-magdeburg.de

作者：紫曦归来

---

译者：紫曦归来

预估稿费：260RMB

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

摘要

---

随着网络犯罪手法不断翻新，家用路由器近日也成为网络攻击的新目标。事实上，家用路由器的确存在着大量的安全漏洞。lvaro Folgado Rueda等多名网络安全专家近日撰写了一份报告，深入分析SOHO路由器的安全隐患，并针对家用路由器的最新攻击源展开研究。研究发现，22个知名品牌的路由器存在60余个尚未公开的安全漏洞。这也意味着路由器厂商仍须进一步提升其产品的安全性能。该报告中罗列了一系列存在于家用路由器中的安全漏洞，如果上述漏洞被黑客利用，造成的后果将不堪设想。

1、引言

---

随着信息时代的到来，小办公室/家庭办公室（Small office Home office，SOHO）的工作方式，因其具有传统办公无法比拟的灵活性、创造性等优点很快被社会大众所接受。SOHO计算机和网络的普及促使家庭办公逐渐成为当今一种白领时尚，也引领其一股SOHO文化热。 SOHO路由器，即小办公室家庭办公室用的路由器是实现家庭办公必不可少的装备。如果 SOHO路由器中存在漏洞将大大影响整个家庭网络系统的安全性，同时也对用户的隐私造成极大威胁。

在过去的几年时间内，也有C. Heffner等专家针对SOHO路由器的安全问题进行了相关研究。这些研究的目标主要是：

（1）通过寻找可能存在的漏洞问题，评估当前网络安全等级。

（2）针对新的攻击源展开研究

（3）研发能够检测出漏洞的工具。

（4）为后续研究提出方法论依据。

路由器的制造商以及互联网服务提供商也将针对该领域研究成果对产品进行安全升级。

2、路由器相关知识

---

所有路由器都为终端用户提供了各种形式的配置方式。

（1）Web配置界面（Web Interface）：一个用户友好型的Web配置界面有助于用户随时进行设备更改和调试（如图1所示）。当然，访问Web配置界面需要进行身份验证。

 

图1

（2）命令行界面（command-line interface）：通过命令行界面用户同样可以对路由器进行操作、设置。命令行界面可通过终端模拟器来访问，用户可利用计算机上已经安装的终端模拟器，在终端模拟器的窗口键入命令并获得从路由器返回的信息（如图2所示）。

 

图2

    路由器除了可以使用上述两种方式进行配置外，还可使用诸如FTP和SMB服务器等方式进行配置。此外，路由器还可采用"即插即用"（Universal Plug and Play，UPnP）方式进行配置。但使用FTP或Telnet等方式进行配置存在一定安全隐患，更安全的方法是选择更为高级的SFTP和SSH协议。值得注意的一点是，纳入本研究的大部分路由器都默认启用了UPnP协议，从而可以允许未经身份验证的攻击者更改路由器的关键配置设置。

大多数路由器所提供的服务对于用户来说都是多余且无用的，这些功能有时反而被黑客利用实施网络攻击。此外，研究显示路由器开放端口的数量过多，这一点即使对于有远程WAN的连接来说也是过多了。

研究发现，路由器还普遍存在一个安全隐患，即使用公开的默认密码就可以进入路由器配置界面。（如图3所示）本研究中纳入评估的所有路由器均未使用随机生成的字符串作为默认密码，而是使用了公开的默认密码，而这些用户又不修改默认密码，这使得黑客对路由器实施网络攻击变得更加容易。