安全路透社
当前位置:安全路透社 > 安全客 > 正文

【技术分享】Android恶意软件分析

http://p7.qhimg.com/t01e42df2e122111808.png

翻译:开个小号

预估

,或登陆

目的


这个练习涵盖了技术分析Android恶意软件通过使用一个定制的恶意软件样本在Android设备上运行时,将会reverse shell给一个攻击者。我们将通过使用静态和动态分析技术分析完整功能应用程序。

虚拟机使用: Santoku Linux VM

工具: AVD Manager, ADB, Wireshark, dex2jar, apktool

在这个实验中使用的分析工具:bake_the_cake.apk, apktool, tcpdump,,

我们将通过创建一个模拟器,选择“Santoku->Development Tool”,然后点击“Android SDK Manager”。如下所示:

http://p9.qhimg.com/t01695defc708dbef25.png

上述步骤将打开下面的窗口:

http://p9.qhimg.com/t01549b9c659a3c9102.png

默认情况下,Santoku只有几个Android版本的图像。我们应该根据不同的要求来创建模拟器。如果您发现上面的图中,我们已经安装了“Android 4.4.2 ARM EABI V7ASystem ”。一切设置完毕,点击““Tools”菜单栏在顶部的窗口,然后单击“Manage AVDs”,如下图

所示。

http://p0.qhimg.com/t01e86acfb161579649.png

这将如下图所示:

“Android Virtual Device(AVD) Manager”窗口。

http://p5.qhimg.com/t01f739040947597f4d.png

正如你可以在上面的图中看到,我们已经配置了一个模拟器。现在,让我们创建我们选择的新的模拟器。点击“创建”,如图所示:

http://p1.qhimg.com/t01c5edb956b5077449.png

现在,让我们来选择适当的选项,如下图所示:

http://p5.qhimg.com/t013d03832a3a6319b5.png

正如你可以在上面的图中看到,我们命名我们的模拟器为:“analysis_device。”于是,我们选择了具有“3.2寸HVGA”的设备能与更小的尺寸的模拟器。于是,我们选择了“Android 4.4.2-API Level19”作为我们的目标。CPU被选为ARM。内部存储容量为500 MB。最后,我们为SD卡提供了100 MB。

http://p6.qhimg.com/t01783180db19e8ee0f.png

检查完毕后,然后单击“确定”按钮完成设置。

如果您正在使用并按照上面的步骤完成后,你会看到一个额外的虚拟设备,如下图所示

http://p5.qhimg.com/t010524b7eb899000ee.png

选择新创建的模拟器,然后单击“开始”按钮,你应该看到下面的对话框:

http://p7.qhimg.com/t01ed833c600ac91789.png

点击“启动”,并开始显示下面的进度条。

http://p8.qhimg.com/t01d8cb3aa718274b28.png

要有耐心等待一段时间,因为第一次启动模拟器可能需要较长的时间来启动,如下图所示

http://p4.qhimg.com/t01c1b28c50bc46b0d8.png


静态分析


静态分析涉及反编译应用程序并查看源代码,并对其进行分析,了解哪些恶意软件正在做什么。

让我们从分析AndroidManifest.xml文件开始。我们可以通过多种方式获得AndroidManifest.xml文件。让我们用apktool并使用下面所示的命令得到它。

apktoolÐbake_the_cake.apk

但是,我们这样做之前,我们应该确保我们使用的是最新版本的apktool,然后删除1.apk

如果现有apktool已经过时,它可能无法分解我们的目标APK文件。

下面是步骤:

删除 “1.apk” 在文件夹 “/home/infosec/apktool/framework/” 使用如下命令 /home/infosec/apktool/framework/1.apk

http://p6.qhimg.com/t0100212c9e110bd028.png

现在,运行以下命令来分解apk文件:

java -jar apktool_2.1.1.jar d bake_the_cake.apk

http://p4.qhimg.com/t01baedcccef4457e46.png

这个命令会创建一个apk文件名称的新文件夹。在我们的例子中,它是“ bake_the_cake ”。到该文件夹,如下面图中列出里面的文件和文件夹。

从运行以下命令,分析文件夹导航到新创建的bake_the_cake文件夹中。

$ CD bake_the_cake

然后,运行LS命令列出当前文件夹内的文件和文件夹。

http://p5.qhimg.com/t010578dc8183b738ae.png

正如你可以在上面的图中看到,得到了它AndroidManifest.xml文件。让我们用下面的命令来查看它的内容,并查看是否有很有趣。

vim AndroidManifest.xml

http://p7.qhimg.com/t01e48c8dc1281621ed.png

看着上面的内容,没有任何可疑。即使这个程序是不要求任何危险的权限。联网是这个应用程序所需的唯一权限,但是这并不能证明它是恶意的,因为大多数的应用程序,需要的大部分它们的功能是Internet权限。

如果您正在使用vim编辑器,按打开文件进行CTRL + C,然后输入!Q:关闭。

因此,我们需要做进一步的分析,以确认应用程序有任何恶意行为。

让我们深入挖掘通过反编译使用dex2jar&JD-GUI应用程序。让我们先解压缩程序,如下面的图。

$unzip bake_the_cake.apk

http://p9.qhimg.com/t018be48c5447b0cf70.png

上述命令应在当前目录中创建附加的文件和文件夹。您可以使用“检查它的ls -l”命令,如图:

http://p5.qhimg.com/t01ebc9aa50e6b8671d.png

正如我们在上面的图中看到,我们从“ classes.dex”文件中提取。classes.dex文件是从开发人员编写Java代码。本来.java文件是使用传统的Java编译器javac的编译。此步骤生成.class文件。这些类文件进一步给予DX工具,它产生一个Dalvik虚拟机(DVM)中运行classes.dex文件。Classes.dex文件是编译的二进制,因此,我们不能以明文阅读。我们可以用dex2jar命令行工具来对DEX文件转换成一个jar文件。这些JAR文件可以用任何传统的Java反编译器,如JD-GUI被反编译。这是为了理解应用程序的源代码的一个重要步骤。dex2jar工具预装在Santoku.

我们可以运行以下命令来使用dex2jar:

$ dex2jar classes.dex

http://p7.qhimg.com/t0163a98a9c9e1ef345.png

正如我们在上面的图中看到,classes.dex文件已输出为classe_dex2jar.jar文件。

现在,我们可以使用任何传统的Java反编译器,从上面的jar文件得到的Java文件。让我们用JD-GUI,Santoku->Reverse Engineering:

http://p3.qhimg.com/t01fdd6c88b6c6e6bcb.png

点击JD的GUI,它就会打开工具,如下面的图。

http://p7.qhimg.com/t019dff0ceb6770ac1d.png

正如前面提到的,我们将使用这个工具从jar文件中获得的Java文件。因此,定位到““File->open”,然后选择classes_dex2jar.jar文件。这看起来如下所示。

http://p2.qhimg.com/t01c61d9c8da495f606.png

点击open:

http://p2.qhimg.com/t01d90f5ab0f735e0eb.png

不错,我们可以看到包名com.infosecinstitute.analyze_me。我们还可以看到三个不同的类,其中包括MainActivity。我们点击MainActivity并浏览它。

浏览MainActivity显示了很多有趣的信息。首先,让我们来看看下面的一段代码。

http://p3.qhimg.com/t01fec1a6c3fcef344e.png

有趣的是,有三种方法在上述的一段代码。getReverseShell(),因为它可能会作出与给出了一个 reverse shell给攻击者一个方法的调用会出现危险。探究在此之前,让我们来看看其他两种方法copyFile()和changefilepermissions()。

下面的代码段是定义copyFile()方法。

http://p9.qhimg.com/t01fb879a8539891c45.png

这种方法实质上是复制一个文件名为NC的应用程序的资产目录/data/data/com.infosecinstitute.analyze_me/app_files/目录。目标目录本质上是应用程序的设备上的沙箱。

让我们明白下这是怎么搞的:

首先,我们看到的方法调用copyFile("NC"); 在前面的代码片段。参数已经传递给localAssetManager.open(),它正在被打开。然后,该目标文件路径已建成.getPackageName(); 给出当前包名。接下来的几行用于将文件复制到目标。

由于文件名是“NC”,也可能是APK内包装netcat的二进制文件。让我们切换到分析在终端上的文件夹,并检查从解压APK资产文件夹,查看属性。

下图显示了与这个名字的文件“NC”位于assets文件夹中。

http://p7.qhimg.com/t0189142cc80a18d777.png

我们还使用文件命令来查看的文件类型。运行“文件NC ”在assetss的文件夹中。输出应该如下图所示。

http://p7.qhimg.com/t01c2ca97af65bca835.png

以上输出显示,该文件是为ARM架构的ELF二进制版本。这证实了assetss文件夹内的文件可能是专为Android设备的可执行文件。

现在,让我们切换回JD-GUI,看看下一个方法changefilepermissions()。下面这段代码显示了该方法的定义。

http://p2.qhimg.com/t01e066aaf1c2b01b31.png

以上方法似乎正在改变被复制到netcat的二进制文件权限“app_files”文件夹前面。“chmod 755 <文件名>”命令赋予可执行权限到指定文件。

如果该文件的权限已被更改,我们可以验证。启动我们前面创建的仿真器,安装应用程序并启动它。要安装应用程序,切换到你的终端,并确保你在里面分析,其中目标apk文件所在的文件夹。

然后运行以下命令。

“adb install bake_the_cake.apk”

http://p4.qhimg.com/t01f5d3714e6543718b.png

一旦安装后,请确保您启动的应用程序使我们看到代码会被执行。

现在,

$adb shell

http://p1.qhimg.com/t01d84e37e20e372b0b.png

切换到使用目标包“CD /data/data/com.infosecinstitute.analyze_me/”并运行“LS”的命令,如下面的图。

http://p7.qhimg.com/t01fa6dc3674ae7d77e.png

正如我们在上面的图中看到,在app_files目录中创建。现在,让我们浏览到该目录,并检查使用的netcat的文件权限“的ls -l”命令,如图下图。

http://p9.qhimg.com/t01fc897a972b219bfc.png

正如你在上图中看到,NC程序得到了可执行的权限。

一旦完成,按Ctrl + C,退出adbshell

最后,还有一个需要研究探索的方法。让我们切换回JD-GUI和检查getReverseShell()方法,看看它在做什么。

以下是代码片段。

http://p9.qhimg.com/t018ac41987fabbdbad.png

上面的代码片段显示,该应用程序使用调用Runtime.getRuntime().EXEC(),通过端口5555的IP地址10.0.2.2连接,提供一个reverse shell给攻击者。此连接正在使用的是捆绑在一起的netcat二进制的apk文件的。

给定样品的这种静态分析的结论如下。

该应用程序是恶意的

它配备了APK文件中捆绑的netcat的二进制文件。

当用户打开应用程序,它提供了反向的外壳给攻击者(10.0.2.2)


动态分析


当我们试图执行静态分析,可能代码混淆让开发人员很头疼。在这样的情况下,依靠静态分析可能是麻烦的。所以说要用到动态分析。动态分析包括::分析运行的应用程序的步骤。通常,这个过程检查API调用,网络电话等本节将展示如何使用tcpdump对Android设备进行网络流量分析。

让我们先来安装和启动模拟器上的应用程序。这个应用程序看起来应该如下面:

http://p8.qhimg.com/t01560b31b27bc21299.png

应用程序运行正常。我们可以把 tcpdump加载程序这可以使用来完成ADB推命令,如下面的图。

http://p5.qhimg.com/t0126d93cb77bd8c76f.png

 上面的命令/data/local/tmp目录是可写在Android设备上的目录的,

现在我们在模拟器上,并检查文件/data/local/tmp 

http://p5.qhimg.com/t01677e3f0e6bacae09.png

如果您发现上面的输出,tcpdump目前没有可执行的权限。

所以,让我们给tcpdump的可执行权限,如下面的图。

#chmod 755 tcpdump

http://p8.qhimg.com/t01168662866e63e3e4.png

现在,tcpdump的二进制文件是可执行的。让我们开始它并使用以下命令捕获的数据包。

./tcpdump -v -s 0 -w packets.pcap

http://p5.qhimg.com/t017952aa3f3d39a5ef.png

正如我们在上面的图中看到,我们捕获的数据包并将其保存到一个文件名为packets.pcap。

现在,通过点击模拟器上的后退按钮关闭该应用程序一次,并启动了回去。这仅仅是保证了应用程序的第一个屏幕运行和tcpdump的通信权。应用程序只有一个页面,所以在我们的案例中是关闭和重新启动就够了一旦这样做,我们可以停止按捕获的数据包CTRL + C,如下面的图中的终端。

http://p3.qhimg.com/t0197c11efaf5616a24.png

现在,我们可以在本地计算机,拉这些数据包进行进一步分析。按Ctrl + C,然后用拉他们从adb shell首先退出“adb”命令,如图下图。

#adb pull /data/local/tmp/packets.pcap

http://p4.qhimg.com/t015e60028f8be31008.png

我们拉到捕获的数据包。现在,我们需要分析它。我们将使用Wireshark的分析这些数据包。

在Santoku -> Wireless Analyzers -> Wireshark:

http://p4.qhimg.com/t01bc7d69a08b8c92a7.png

启动Wireshark的,然后进入“File->Open” to open the packets.pcap file。如下图:

http://p6.qhimg.com/t0170c27fa2354de774.png

你应该看到Wireshark的数据包,如下图所示:

http://p3.qhimg.com/t0146a9a48f01d8ae9c.png

嗯,有分析很多的包,我们需要通过过滤我们不必要的数据包。可以应用以下过滤器除去那些有“PSH ACK”标志的数据包。

因为现在在找一个握手包

http://p8.qhimg.com/t01b78674e48745a4a1.png

在wireshark里面中向下滚动呈现以下两个包

http://p5.qhimg.com/t01b66450dc70cd500d.png

正如你在上图中看到,有一个SYN报文从10.0.2.15(模拟器)到10.0.2.2((Santoku)。

注:模拟器需要10.0.2.2作为该模拟器运行时主机的地址。恶意软件已与该地址没有互联网,地址是模拟攻击者的IP地址创建。

点击上述分组还示出了端口监听攻击者的机器上是5555这是恶意软件试图连接到该端口。

http://p1.qhimg.com/t01dd15a2ed7cfb6ec1.png

这给了我们一个思路,应用程序正试图使从IP 10.0.2.2通过TCP端口5555进行远程连接

但是,下一个分组表示连接已被复位(我们得到了RST)。

让我们再次尝试相同的模拟攻击者的服务器使用netcat 

如下:

http://p5.qhimg.com/t01d4b19717418852f5.png

正如我们在上面的图中看到,我们正在监听端口5555。

现在,启动tcpdump在虚拟器上,包保存到一个文件名为packets2.pcap。然后,启动目标应用程序产生的流量。当你这样做,你将收到一份关于netcat的监听器 reverse shell 

http://p4.qhimg.com/t0124064569200379df.png

停止捕获,如下:

http://p0.qhimg.com/t01c2c9549a1be6fc57.png

导出数据试用ADB:

http://p0.qhimg.com/t01659e7a3a20b3f847.png

再次,Wireshark中打开PCAP文件,并查找在捕获的数据包的三次握手。下图显示了三次握手。

http://p2.qhimg.com/t01b5dcc550942bd291.png

正如我们在上面的图中看到,10.0.2.15已经开始与一个SYN报文的三次握手。下图显示了该应用程序正在试图建立在端口5555到攻击者的服务器的连接。

http://p6.qhimg.com/t01754fbe6a30f62f8b.png

点击第二个数据包,你应该看到从Santoku(10.0.2.2)来响应。你要注意到源端口5555。

http://p2.qhimg.com/t01ffa8b5b85f8ce6ae.png

最后,点击3号包看到注定了Santoku计算机上的端口5555的源发送的ACK包。

http://p6.qhimg.com/t019c1928f84eab9576.png

这证实了建立了连接攻击者的服务器。

由于我们使用的两面的netcat,它采用明文传输的,我们甚至可以看到通信。

要检查这一点,让我们再一次重复上述过程。

开始santoku netcat的监听器

运行tcpdump和包保存到一个文件名为packets3.pcap

启动和运行产生的流量应用。

下图显示的tcpdump捕获的数据包,并将其写入packets3.pcap。

http://p3.qhimg.com/t01a8933a7b3d91eab9.png

当在santoku  shell 上,通过输入cat /proc/cpuinfo ,如下面的图命令:

http://p1.qhimg.com/t01b5757109b86fb837.png

停止捕获并导出显示在下面的图中的报文:

$adb pull /data/local/tmp/packets.pcap

http://p7.qhimg.com/t01718fa174d1b123ed.png

现在,打开在Wireshark的数据包,并寻找我们输入的字符串。这可以如下面的图来完成。Edit -> Find Packet。

http://p2.qhimg.com/t01727d66c47b6e5f94.png

现在选择字符串,然后输入“cpuinfo”到文本字段。请确保你选择““packet bytes”中搜索,最后单击“查找”。

http://p6.qhimg.com/t013d4f5d491022bb42.png

现在,我们应该看到了我们正在寻找的内容包。  选择数据包右键单击:

http://p9.qhimg.com/t01b23727c604304eb0.png

以下选项应显示。点击“Follow TCP Stream”

http://p1.qhimg.com/t0133597913140613e6.png

这会打开下面的窗口在这里将能够看到的恶意软件和攻击者的服务器之间发送的消息。

http://p5.qhimg.com/t01736202429cdd01d9.png


结论


实验基本覆盖了Android的安全分析了恶意软件使用静态和动态分析技术的基本概念。虽然自定义恶意软件的应用已经显示出一个Android恶意软件(reverse shell)的一个特点,你会发现更多的恶意功能,如窃取数据并将其发送给攻击者的服务器。


原文链接:http://resources.infosecinstitute.com/android-malware-analysis-2/

未经允许不得转载:安全路透社 » 【技术分享】Android恶意软件分析

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册