Android

A collection of 5 posts
假死疑云:Wpeeper木马所图为何?
Backdoor

假死疑云:Wpeeper木马所图为何?

简介 2024年4月18日,XLab的未知威胁狩猎系统发现一个VT 0检测的ELF文件正通过2个不同的域名传播,其中一个域名已被3家安全产商标注为恶意,另一个域名为近期注册且无任何检测,这个异常点引起了我们的注意。经过分析,我们确认此ELF是一个针对Android系统的恶意软件,基于它使用被黑的WORD PRESS站点做为中转C2,我们将其命名为Wpeeper。 Wpeeper是一个针对Android系统的典型后门木马,支持收集设备敏感信息,文件&目录管理,上传&下载,执行命令等诸多功能。Wpeeper最大的亮点在于网络层面,以下3点体现了其作者的用心程度: 1. 依托被黑的WORD PRESS站点构建多层级的C2架构,隐藏真正的C2 2. 使用Session字段区分请求,HTTPS协议保护网络流量 3. C2下发的指令使用AES加密并带有椭圆曲线签名,防止被接管 Wpeeper来源于“二次打包”的UPtodown Store应用,攻击者向正常的APK中植入了一小段代码用于下载执行恶意的ELF。由于新增的代码量很少,被修改的APK目前在VT上也是0检测。UPtod
15 min read
中国全网DNS错误数据分析
DNS

中国全网DNS错误数据分析

在电影《流浪地球2》中,重启全球互联网的情节让观众印象深刻,影片中重启根服务器象征着全球DNS(Domain Name System)解析服务的重新启动。在现实世界中,DNS不仅承担着将域名转换为IP地址的常规解析任务,还经常接收到众多无效查询:不存在的域名,即NXDOMAIN(Non-Existent Domain)。大量无效查询会影响用户上网体验,增加网络运营商负担,甚至某些情况下还会危及到各级DNS解析器的稳定性。 作为中国主要的DNS基础设施服务提供商之一,奇安信运营着国内规模最大的公共DNS解析系统和最大的公开的PassiveDNS系统。这赋予了我们广阔且清晰的视角,能够从全国范围内观测DNS运行状况,对DNS运作过程进行充分的分析和解读。本文依托奇安信公共DNS海量的递归解析数据,从DNS解析数据中一个关键指标——NXDOMAIN数据入手,从中国视角出发对其进行全面分析。 文章共分为三个部分:第一部分比较了中国与全球DNS系统中错误域名查询的共性与差异,并探讨了这些差异的原因。第二部分从域名的视角出发,全面分析错误域名的产生原因及其影响。第三部分从地域的角度,对比中国不
43 min read
笼罩在机顶盒上空的阴影:揭开隐蔽8年黑灰产团伙Bigpanzi的神秘面纱
Botnet

笼罩在机顶盒上空的阴影:揭开隐蔽8年黑灰产团伙Bigpanzi的神秘面纱

背景 一段时间之前,我们捕获了一个VT 0 检测,使用变形UPX加壳,名为pandoraspear,MD5为9a1a6d484297a4e5d6249253f216ed69的可疑ELF样本。在分析过程中,我们发现它硬编码了9个C2域名,其中有2个域名过期的保护期已过,于是我们注册了这2个域名用以度量botnet的规模。在我们能观测的时间内bot的巅峰日活为17万左右,绝大部分位于巴西。 当这个团伙发现我们注册了他的域名之后,通过DDoS攻击我们注册的域名迫使域名下线以及修改被侵入设备hosts(通过修改机器hosts文件将特定域名指向特定IP,从而绕过DNS解析获得CC域名IP地址)等方式与我们展开了对抗,使得我们失去了大部分视野。 很快我们完成了对样本的逆向分析,并实现了针对该僵尸网络的攻击指令跟踪。依托于指令跟踪,我们捕获了该僵尸网络的a.sh,pd.sh,cpcdn.sh等下载脚本,这些脚本直接或间接的扩展了我们的视野。从直接的层面来说,这些脚本直接提供了该黑产团伙额外的implants,如pcdn,ptcrack,p2p_peer等;从间接的层面来说,我们发现这些脚
40 min read