◆陸夢(mèng)舟 金 欽

?

Android智能手機(jī)惡意代碼犯罪的分析研究

◆陸夢(mèng)舟 金 欽

(江蘇警官學(xué)院 江蘇 210031)

本文以基于Android平臺(tái)實(shí)施詐騙的遠(yuǎn)程控制木馬為研究對(duì)象，通過分析研究并提取各類數(shù)據(jù)，針對(duì)Android智能手機(jī)的惡意代碼犯罪進(jìn)行偵查取證，從源碼靜態(tài)分析掌握木馬取證的惡意操作。在后臺(tái)監(jiān)控和犯罪追蹤等方面做出修改和完善，通過反偵查手段利用木馬為網(wǎng)絡(luò)犯罪偵查提供信息。

Android平臺(tái)；惡意代碼；木馬

0 引言

通過移動(dòng)互聯(lián)網(wǎng)技術(shù)，移動(dòng)設(shè)備可以方便地聯(lián)網(wǎng)。與此同時(shí)，移動(dòng)設(shè)備提供的強(qiáng)大編程能力以及便攜的特點(diǎn)，極大豐富了移動(dòng)互聯(lián)計(jì)算機(jī)能夠帶來的服務(wù)。[1]

受到智能手機(jī)和移動(dòng)互聯(lián)網(wǎng)網(wǎng)民規(guī)?？焖僭鲩L的推動(dòng)，移動(dòng)互聯(lián)網(wǎng)仍然繼續(xù)保持著較快的發(fā)展速度。但是作為業(yè)務(wù)基石的智能手機(jī)卻面臨著很多安全威脅，智能手機(jī)的隱私以及安全問題也越來越明顯。移動(dòng)設(shè)備比如手機(jī)等作為移動(dòng)互聯(lián)網(wǎng)時(shí)代的最主要的通訊工具，面臨著很大的安全問題的挑戰(zhàn)，移動(dòng)設(shè)備的惡意代碼將成為惡意軟件發(fā)展的下一個(gè)目標(biāo)。[2]

近年來，Android系統(tǒng)被發(fā)現(xiàn)了多個(gè)影響范圍非常廣泛的安全漏洞（如Stage-fright漏洞和Certifi-gate漏洞），涉及90%以上的Android智能設(shè)備，木馬被植入用戶的手機(jī)后，接受服務(wù)器指令進(jìn)行隱私竊取或電子帳戶盜竊。公安機(jī)關(guān)接連接到若干Android平臺(tái)的遠(yuǎn)程控制木馬實(shí)施詐騙的案件，對(duì)木馬的分析研究并提取的各類數(shù)據(jù)在相關(guān)案件中具有重要證據(jù)價(jià)值，也成為該類案件偵查取證的重要手段。

1 相關(guān)理論與工作

1.1Android系統(tǒng)的安全機(jī)制

在Android系統(tǒng)模型中，為了更進(jìn)一步限制不同應(yīng)用程序間訪問敏感數(shù)據(jù)，比如用戶的私人賬號(hào)、密碼，曾經(jīng)瀏覽過的網(wǎng)址等，應(yīng)用被設(shè)備的使用者授予了不同的權(quán)限。Android使用安裝時(shí)即指定的權(quán)限模型，在配置文件中指定應(yīng)用所應(yīng)有的操作權(quán)限。在應(yīng)用被安裝前，用戶必須瀏覽應(yīng)用所需要的各種權(quán)限。這種方式告知了用戶應(yīng)用可能有各種操作行為，比如打電話、發(fā)短信、定位、使用瀏覽器上網(wǎng)等。比如用戶下載安裝了游戲軟件，它可能要求SMS短信發(fā)送，打電話等權(quán)限，用戶對(duì)這種行為作出判斷，更有利于幫助用戶躲避惡意代碼的攻擊。[3]

1.2惡意代碼的反調(diào)試技術(shù)

惡意代碼逃脫安全軟件檢測(cè)的方式有很多，對(duì)抗檢測(cè)技術(shù)是其實(shí)現(xiàn)自身保護(hù)的重要機(jī)制，能降低代碼被發(fā)現(xiàn)的可能性。為了加大檢測(cè)難度，惡意代碼常采用反調(diào)試技術(shù)，提高其偽裝能力和可生存性。反調(diào)試技術(shù)可以分為動(dòng)態(tài)反調(diào)試和靜態(tài)反調(diào)試兩種類型。

針對(duì)惡意代碼的反調(diào)試技術(shù)對(duì)其進(jìn)行的預(yù)防包括增強(qiáng)安全防范策略與意識(shí)、減少漏洞和減輕威脅三個(gè)方面的措施。增強(qiáng)安全防范策略與意識(shí)是解決惡意軟件預(yù)防并實(shí)施預(yù)防性控制的基礎(chǔ)。實(shí)施綜合的威脅減輕技術(shù)和工具，例如防病毒軟件，可以防止威脅攻擊系統(tǒng)和網(wǎng)絡(luò)。通過運(yùn)用特征碼掃描、沙箱技術(shù)、行為檢測(cè)等常用技術(shù)收集并分析網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息。

2 提取木馬發(fā)送對(duì)象的網(wǎng)絡(luò)地址

為實(shí)時(shí)檢測(cè)并分析木馬程序的惡意行為，在Linux下搭建Android開發(fā)測(cè)試環(huán)境進(jìn)行實(shí)驗(yàn)。使用Wire shark抓獲其網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行分析，提取出木馬將竊取的信息所發(fā)送的對(duì)象的網(wǎng)絡(luò)地址。

要進(jìn)行木馬追溯，首先要檢測(cè)到其靜默發(fā)送郵件和短信。關(guān)于靜默運(yùn)行，最典型的是腳本運(yùn)行和輸出，這可以歸結(jié)到作業(yè)控制。

如果受害者接收了此類郵件或短信，腳本中植入的木馬會(huì)入侵安卓系統(tǒng)漏洞，進(jìn)行一些對(duì)root用戶或oracle用戶的按鍵操作的監(jiān)視。例如使用script命令捕獲按鍵操作：

TS=$(date+%m%d%y%H%M%S) # File time stamp

THISHOST=$(hostname | cut - f1 - 2 - d．) # Host name of this machine

LOGDIR=/usr/local/logs/script # Directory to hold the logs

LOGFILE=$(THISHOST)．${LOGNAME)．$TS # Creates the name of the log file

Touch $LOGDIR/$LOGFILE # Creates the actual file

這屬于惡意騙取Root權(quán)限的行為。盡管在追溯木馬與控制端聯(lián)系的郵件地址或電話號(hào)碼時(shí)存在難度，但是依然可以通過反向連接域名進(jìn)行反擊。

這里以反向木馬為例。木馬在Android平臺(tái)上的種植主要是通過apk的漏洞。 用戶一旦中招，木馬將會(huì)通過進(jìn)程綁定、修改系統(tǒng)文件等方式隱藏后干擾系統(tǒng)輸出，木馬植入者使用反向鏈接的方式就可以控制擁有大量有著動(dòng)態(tài)IP的個(gè)人用戶，進(jìn)而發(fā)展出大批肉雞。如果換位思考，不難想到，既然域名服務(wù)器會(huì)接收到查詢要求并且返回域名對(duì)應(yīng)的IP，那么進(jìn)行域名劫持追溯到木馬源頭的域名查詢請(qǐng)求就是可行的。

于是使用以下器件構(gòu)建網(wǎng)絡(luò)拓?fù)洌?/p>

Hub一臺(tái)，ADSLModem一臺(tái)，Android機(jī)一部（已被手動(dòng)植入木馬），notebook一臺(tái)。

過程：使用入侵檢測(cè)工具打開檢查進(jìn)程和服務(wù)（包括隱藏），進(jìn)入安全模式后再系統(tǒng)文件夾下搜索木馬dll從而發(fā)現(xiàn)其關(guān)聯(lián)服務(wù)名，禁止相關(guān)第三方自啟程序后修改服務(wù)方式，重啟后使用book監(jiān)聽。（Hub是方便的端口轉(zhuǎn)發(fā)工具，可以清晰顯現(xiàn)木馬的隱藏?cái)?shù)據(jù)。）

從監(jiān)聽數(shù)據(jù)發(fā)現(xiàn)，Android機(jī)中的木馬使用被種植機(jī)的DNS服務(wù)器查詢了另一個(gè)DNS服務(wù)器的IP，可見試驗(yàn)機(jī)是在被入侵后作為了肉雞使用。此時(shí)監(jiān)聽二次查詢的IP和book的IP之間的數(shù)據(jù)收到了域名服務(wù)器的查詢相應(yīng)：

=800)window.open('../image s/

10_935_0d7c38b936f83f5.png');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">

期間book發(fā)動(dòng)了短信交換記錄的請(qǐng)求，將被入侵及其相關(guān)的記錄發(fā)送去了一個(gè)反向域名，經(jīng)過ping驗(yàn)證，得出這就是木馬背后關(guān)聯(lián)的入侵者域名。

得知域名后，通過大數(shù)據(jù)平臺(tái)分析可以追溯到控制端的郵件地址，從而定位到點(diǎn)，至此，木馬發(fā)送對(duì)象的網(wǎng)絡(luò)地址已完全暴露，本次惡意代碼反向鏈接實(shí)驗(yàn)是成功的。

3 結(jié)語

隨著移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展，Android系統(tǒng)憑借其優(yōu)秀的性能與方便易用等特點(diǎn)，在移動(dòng)設(shè)備中的占有率最大。而正是由于Android系統(tǒng)的流行，傳統(tǒng)的病毒和木馬制作者開始將矛頭從PC段逐漸轉(zhuǎn)移指向了智能移動(dòng)終端，使得近年來具有惡意代碼的Android應(yīng)用程序被大量發(fā)現(xiàn)，這些應(yīng)用對(duì)用戶信息安全與財(cái)產(chǎn)安全造成了極大的危害。

Android系統(tǒng)惡意代碼數(shù)量之大、變種之多，根本原因在于Android系統(tǒng)開源的特點(diǎn)。但是通過在Android平臺(tái)上進(jìn)行操作，對(duì)木馬部分源碼進(jìn)行靜態(tài)分析，是可以掌握木馬取證的惡意操作的，對(duì)于獲得的Android手機(jī)惡意代碼，在不運(yùn)行程序的基礎(chǔ)上進(jìn)行反編譯進(jìn)而得到其代碼并對(duì)其進(jìn)行閱讀分析；或者在模擬環(huán)境的沙箱中進(jìn)行運(yùn)行并分析其功能，掌握木馬的讀取短信、監(jiān)控短信收發(fā)、讀取聯(lián)系人、后臺(tái)發(fā)送郵件等操作。這樣較以往的在網(wǎng)絡(luò)犯罪偵查中對(duì)于木馬病毒的盲目被動(dòng)型追查方式，進(jìn)行了改善，更可以對(duì)此進(jìn)行針對(duì)性的防范，為公安實(shí)戰(zhàn)部門受理的安卓惡意代碼的網(wǎng)絡(luò)犯罪案件提取線索和偵查取證的技術(shù)支持。[4]

在后臺(tái)監(jiān)控和犯罪追蹤等方面做出修改和完善，通過反偵查手段利用木馬為網(wǎng)絡(luò)犯罪偵查提供信息，計(jì)算機(jī)模型的變革還在繼續(xù)，信息化發(fā)展的道路警務(wù)偵查的保障。如何利用警務(wù)手段維護(hù)網(wǎng)絡(luò)平臺(tái)的安全，仍是需要不斷鉆研的課題。

[1]張?jiān)?安卓平臺(tái)安全性增強(qiáng)關(guān)鍵技術(shù)的研究，2015.

[2]鄭吉飛.Android惡意代碼的靜態(tài)檢測(cè)研究，2016.

[3]莫宇祥,俞建鑾,王磊.基于角色的Android手機(jī)平臺(tái)木馬檢測(cè)系統(tǒng)[J].現(xiàn)代計(jì)算機(jī)，2016.

[4]李根.Android系統(tǒng)惡意代碼檢測(cè)技術(shù)研究，2016.