隨著Android操作系統(tǒng)的進(jìn)步，智能手機(jī)的使用日益增加。隨后，有報(bào)道稱，惡意個(gè)人和黑客利用 Android 提供的漏洞來(lái)訪問(wèn)用戶珍視的數(shù)據(jù)。例如，此類威脅包括 2021 年針對(duì) Android 設(shè)備發(fā)布的 Flubot 惡意軟件攻擊。值得注意的是，該惡意軟件針對(duì)受害者在其小工具上使用的銀行應(yīng)用程序進(jìn)行網(wǎng)絡(luò)攻擊。因此，參考對(duì)Flubot惡意軟件特征和行為的理解，我們的研究重點(diǎn)是網(wǎng)絡(luò)威脅未來(lái)可能的攻擊方式。

最初，我們的研究包括對(duì) Hatching Triage 平臺(tái)免費(fèi)存儲(chǔ)庫(kù)中發(fā)現(xiàn)的三個(gè)不同 Flubot 惡意軟件樣本進(jìn)行探索性分析。

為了實(shí)現(xiàn)這一目標(biāo)，我們利用Android 虛擬設(shè)備(AVD) 作為測(cè)試基礎(chǔ)，使用 Android 調(diào)試橋 (ADB) 進(jìn)行動(dòng)態(tài)分析，并使用BurpSuite進(jìn)行動(dòng)態(tài)分析。對(duì)于靜態(tài)分析，借助移動(dòng)安全框架(MobSF)和字節(jié)碼查看器對(duì)當(dāng)前樣本進(jìn)行分析，以檢查惡意軟件樣本的源代碼。

相信我們的結(jié)論可能不完整，我們進(jìn)一步探索了 Flubot 病毒的操作，發(fā)現(xiàn)它會(huì)在受害者的設(shè)備上傳遞或放置 dex 文件。這些文件充當(dāng)惡意軟件的框架，其他文件用于增強(qiáng)其功能。例如，F(xiàn)lubot 病毒將自身偽裝成在主機(jī)設(shè)備上傳遞消息或短信服務(wù) (SMS) 的應(yīng)用程序。我們還遇到了 Flubot 惡意軟件的另一種變體，它利用域生成算法 (DGA) 創(chuàng)建與 C&C 服務(wù)器通信的通道。

介紹

隨著跨境信息技術(shù)的進(jìn)步和普及，這也帶來(lái)了網(wǎng)絡(luò)犯罪的相應(yīng)增加[。例如，印度尼西亞曾經(jīng)歷過(guò)一次未能實(shí)施這些改革的例子，目前正在應(yīng)對(duì)其后果。根據(jù)最新調(diào)查結(jié)果，2021 年已報(bào)告 60 億起網(wǎng)絡(luò)安全事件，其中包含大量惡意軟件攻擊。惡意軟件是一個(gè)術(shù)語(yǔ)，是主要針對(duì)網(wǎng)絡(luò)犯罪的惡意軟件的縮寫，可在不同的操作系統(tǒng)中運(yùn)行，包括 Android、iOS、Windows 和 macOS 。根據(jù)給定的參考文獻(xiàn)，截至 2021 年 12 月，基于移動(dòng)設(shè)備的黑客攻擊的世界紀(jì)錄為 2, 228, 801 。尤其是Android，擁有100萬(wàn)份拷貝，被公認(rèn)為最成功的平臺(tái)之一。根據(jù) Facebook 的 1. 2 60 億用戶統(tǒng)計(jì)，他們已被 Android 惡意軟件包攻擊了 1,451,660 次 。具體而言，F(xiàn)lubot 是 2021 年針對(duì) Android 設(shè)備的最新威脅之一，主要源自新西蘭、澳大利亞、法國(guó)和德國(guó) 。另一個(gè)信息來(lái)源表明，F(xiàn)lubot 的主要?jiǎng)訖C(jī)是在受影響的設(shè)備偽裝成實(shí)際應(yīng)用程序的過(guò)程中竊取信息 。另一個(gè)信息來(lái)源表明，F(xiàn)lubot 的主要?jiǎng)訖C(jī)是在受影響的設(shè)備偽裝成實(shí)際應(yīng)用程序的過(guò)程中竊取信息 。另一個(gè)信息來(lái)源表明，F(xiàn)lubot 的主要?jiǎng)訖C(jī)是在受影響的設(shè)備偽裝成實(shí)際應(yīng)用程序的過(guò)程中竊取信息 。

圖1：Flubot惡意軟件傳播方式

惡意軟件檢測(cè)方法

惡意軟件的檢測(cè)方法通常分為兩類：雖然軟件測(cè)試有很多方法，但最常見的兩種方法被稱為靜態(tài)和動(dòng)態(tài)分析。

惡意軟件樣本的靜態(tài)分析是指在不實(shí)際允許代碼執(zhí)行的情況下研究其代碼和結(jié)構(gòu)，而動(dòng)態(tài)分析是指在受控上下文中運(yùn)行實(shí)際樣本。本質(zhì)上，靜態(tài)分析調(diào)用簽名檢測(cè)，從而將分析軟件的模式與其他臭名昭著的應(yīng)用程序的數(shù)據(jù)庫(kù)進(jìn)行比較。然而，這種方法有一個(gè)弱點(diǎn)，即“壞”代碼可能是非結(jié)構(gòu)化的并且難以遵循或“混淆”。 M和P類惡意軟件的使用具有在執(zhí)行其功能的過(guò)程中更改其代碼的能力，無(wú)法通過(guò)上述靜態(tài)分析方法來(lái)檢測(cè)。

另一方面，動(dòng)態(tài)分析通過(guò)對(duì)相關(guān)惡意軟件進(jìn)行運(yùn)行時(shí)分析來(lái)調(diào)查惡意軟件行為，例如病毒進(jìn)行的 API 調(diào)用和系統(tǒng)更改以及注冊(cè)表更改。雖然動(dòng)態(tài)分析帶來(lái)了一些好處，但根本的缺點(diǎn)是它需要?jiǎng)?chuàng)建有時(shí)間限制的測(cè)試環(huán)境。

混合分析方法

混合分析是另一種分析類型，它是靜態(tài)和動(dòng)態(tài)分析的結(jié)合，并且比其他兩種分析更徹底。 Flubot 是最近在市場(chǎng)上發(fā)現(xiàn)的一款 Android 惡意軟件，專門針對(duì)同名操作系統(tǒng)。為了實(shí)現(xiàn)靜態(tài)分析，我們使用 MobSF — 逆向工程分析、APKtool、Dex2jar 和 JD-GUI 等工具來(lái)分析惡意軟件簽名和行為。至于動(dòng)態(tài)分析，我們可以使用BurpSuite、Android Virtual Device、Android Debug Bridge和Frida等工具與病毒交互，以研究封閉環(huán)境中的行為模式。通過(guò)這種方式，我們希望定義 Flubot 惡意軟件的特征和行為模式，并研究其對(duì) Android 設(shè)備的影響。

方法論

因此，我們主動(dòng)詳細(xì)檢查了 Flubot 惡意軟件活動(dòng)，以深入了解其在系統(tǒng)內(nèi)的行為和影響。為此，我們參考“虛擬環(huán)境”的概念，利用相關(guān)軟件進(jìn)行數(shù)據(jù)提取，這對(duì)于確定我們的關(guān)鍵發(fā)現(xiàn)至關(guān)重要。在這項(xiàng)定性前瞻性研究中，我們使用三個(gè)隨機(jī)選擇的樣本來(lái)檢查受 Flubot 惡意軟件影響的 APK 應(yīng)用程序文件進(jìn)行分析。

圖 2：惡意軟件分析工具

Flubot 是一種惡意軟件或惡意軟件，旨在秘密運(yùn)行，并且很少有記錄表明其存在。然而，有一些跡象表明存在，例如不斷使用看似虛假的語(yǔ)音郵件應(yīng)用程序、任何送貨服務(wù)(例如 FedEx 或 DHL)、自動(dòng)連續(xù)向聯(lián)系人發(fā)送短信以及移動(dòng)設(shè)備設(shè)置的其他扭曲。

1. 搭建測(cè)試環(huán)境

它們將在接下來(lái)的部分中討論，我們?cè)谄渲忻枋隽怂璧墓ぞ卟?chuàng)建了用于研究的在線環(huán)境。這樣做是為了確保網(wǎng)絡(luò)中惡意程序的污染僅限于網(wǎng)絡(luò)系統(tǒng)內(nèi)的單獨(dú)環(huán)境。

2. 混合分析方法

我將這種確定解決方案的方法稱為混合分析方法，因?yàn)槲覀兺瑫r(shí)使用靜態(tài)和動(dòng)態(tài)分析來(lái)完成任務(wù)。圖2顯示了所采用方法的算法。

3. 所用工具分析

· 主機(jī)環(huán)境：本報(bào)告旨在呈現(xiàn)Windows 10操作系統(tǒng)的統(tǒng)計(jì)數(shù)據(jù)和關(guān)鍵特征的分析結(jié)果，其中要點(diǎn)包括：

· 虛擬環(huán)境： Android Virtual Device (AVD) 是一個(gè) Android 模擬器，用戶有機(jī)會(huì)生活在 Android 世界中并體驗(yàn)其特性和功能，而 Kali Linux 是一個(gè)基于 Debian 的 Linux 發(fā)行版，專為高級(jí)滲透測(cè)試和安全分析而設(shè)計(jì)。

· 靜態(tài)分析工具：MobSF - 雖然 JD-Gui 無(wú)法反匯編代碼屬性，但 Bytecode Viewer 是檢查類和代碼屬性的優(yōu)秀工具，并且同時(shí)使用這兩種工具可以提高效率。

· 動(dòng)態(tài)分析工具：ADB和Frida、BurpSuite

4. 分析的執(zhí)行

· AVD 配置：Android 作為適合運(yùn)行 Flubot 惡意軟件和創(chuàng)建 AVD 虛擬化引擎的映像而脫穎而出。對(duì)于此圖像，我們選擇了 Google Nexus 中的一個(gè)，使用 Android 操作系統(tǒng)版本 8.0 API 26。

· 靜態(tài)分析

o MobSF：它們通常用于從 APK 樣本中提取清單 XML 文件文檔，以便分析后者以獲取有關(guān)惡意軟件的意圖和權(quán)限的信息。

o 字節(jié)碼查看器：在 Kali Linux 上下載字節(jié)碼查看器，用于逆向工程并分析 dex 文件中的源代碼。

· 動(dòng)態(tài)分析：

o 惡意應(yīng)用程序的執(zhí)行：通過(guò)用惡意軟件樣本感染AVD并實(shí)時(shí)分析其行為，根據(jù)在AVD上安裝惡意軟件的實(shí)際樣本并跟蹤它們?cè)趯?shí)時(shí)模式下執(zhí)行的情況進(jìn)行了進(jìn)一步的實(shí)驗(yàn)。

o 監(jiān)控工具：ADB和Frida用于監(jiān)控Flubot惡意軟件活動(dòng); BurpSuite 用于確定引擎是否識(shí)別系統(tǒng)調(diào)用并分析惡意軟件生成的所有網(wǎng)絡(luò)流量。圖 3 概述了我們的惡意軟件分析框架的組織結(jié)構(gòu)。

為此，我們發(fā)現(xiàn)采用更全面的方法來(lái)了解 Flubot 惡意軟件的特征、行為以及對(duì)正在探索的系統(tǒng)的影響至關(guān)重要;在本例中為 Android 操作系統(tǒng)。

圖3：惡意軟件分析方法

配置和設(shè)置

出于攔截和分析的目的，我們?cè)?BurpSuite 上設(shè)置了一個(gè)代理偵聽器，并包含了正確的 AVD 代理。在 AVD 上，使用與 BurpSuite 偵聽器中設(shè)置相同的代理主機(jī)名和端口號(hào)手動(dòng)配置代理設(shè)置。然后，需要在 BurpSuite 主機(jī)和 AVD 模擬器上安裝 BurpSuite 網(wǎng)站上提供的 CA 證書，以創(chuàng)建安全連接。最初完成 BurpSuite 的設(shè)置后，就可以捕獲 AVD 流量了。

結(jié)果與討論

使用開源情報(bào)方法對(duì)從孵化分類平臺(tái)獲得的 Flubot 樣本進(jìn)行靜態(tài)和動(dòng)態(tài)分析的綜合研究。 MobSF 應(yīng)用程序執(zhí)行的掃描結(jié)果如下：安全評(píng)分為 48/100，其風(fēng)險(xiǎn)評(píng)級(jí)估計(jì)為中等水平。檢查惡意軟件樣本的妥協(xié)指標(biāo) (IoC) 后，在基于 Android 的系統(tǒng)上發(fā)現(xiàn)了更多痕跡，例如軟件包名稱或 APK 哈希值。

需要進(jìn)一步檢查的第二種權(quán)限源自 XML 形式的 Android Manifest，并確定了 15 種權(quán)限，其中包括訪問(wèn)互聯(lián)網(wǎng)、短信、聯(lián)系人和電話的權(quán)限。一些關(guān)鍵權(quán)限包括QUERY_ALL_PACKAGES，它有助于清點(diǎn)設(shè)備上已安裝的應(yīng)用程序，以及REQUEST_DELETE_PACKAGES，它允許卸載設(shè)備上安裝的應(yīng)用程序。

表 1：從信息管理三個(gè)領(lǐng)域(即收集、處理和分發(fā))角度來(lái)看的妥協(xié)指標(biāo)。

字符串分析揭示了惡意軟件結(jié)構(gòu)中固有的功能信息。其中包括與 C&C 服務(wù)器的通信、隨機(jī)域的生成以及設(shè)備上的連接測(cè)試。與虛擬場(chǎng)景中的動(dòng)態(tài)分析相關(guān)的靜態(tài)機(jī)制顯示了惡意軟件試圖安裝其有效負(fù)載并進(jìn)一步克隆真實(shí)應(yīng)用程序(例如消息應(yīng)用程序)所付出的努力。

表 2：示例中的權(quán)限列表

對(duì)流量的分析發(fā)現(xiàn)了使用域生成算法 (DGA) 創(chuàng)建的與 C&C 域的不頻繁連接。據(jù)報(bào)道，從受感染設(shè)備獲取的數(shù)據(jù)包括短信信息和與加密貨幣使用相關(guān)的數(shù)據(jù)。

結(jié)論

對(duì) Flubot 惡意軟件樣本的觀察發(fā)現(xiàn)了捕獲敏感數(shù)據(jù)的權(quán)限、與域的命令通信以及可能影響加密貨幣應(yīng)用程序的可能有效負(fù)載。由于它能夠潛入計(jì)算機(jī)系統(tǒng)且不被檢測(cè)到，因此建議通過(guò)謹(jǐn)慎使用互聯(lián)網(wǎng)來(lái)避免該惡意軟件。小心不要點(diǎn)擊可疑鏈接或安裝任何源自可能受感染的網(wǎng)站或隨機(jī)電子郵件的應(yīng)用程序，可以防止 Flubot 惡意軟件，因?yàn)樗饕ㄟ^(guò)垃圾郵件或網(wǎng)絡(luò)釣魚傳播，而不是通過(guò) Google Play 等應(yīng)用市場(chǎng)傳播。