FavoriteLoading
0

內網穿透:Android木馬進入高級攻擊階段

概述

近日,360烽火實驗室發現有數千個樣本感染了一種名為“DressCode”的惡意代碼,該惡意代碼利用實下流行的SOCKS代理反彈技術突破內網防火墻限制,竊取內網數據。這種通過代理穿透內網繞過防火墻的手段在PC上并不新鮮,然而以手機終端為跳板實現對企業內網的滲透還是首見[1]。

SOCKS是一種網絡傳輸協議,SOCKS協議位于傳輸層與應用層之間,所以能代理TCP和UDP的網絡流量,SOCKS主要用于客戶端與外網服務器之間數據的傳遞,那么SOCKS是怎么工作的呢,舉個例子:A想訪問B站點,但是A與B之間有一個防火墻阻止A直接訪問B站點,在A的網絡里面有一個SOCKS代理C,C可以直接訪問B站點,于是A通知C訪問B站點,于是C就為A和B建立起信息傳輸的橋梁。其工作流程大致分為以下5步:

(1)代理方向代理服務器發出請求信息。

(2)代理服務器應答。

(3)代理方需要向代理服務器發送目的IP和端口。

(4)代理服務器與目的進行連接。

(5)連接成功后將需要將代理方發出的信息傳到目的方,將目的方發出的信息傳到需要代理方。代理完成。

由于SOCKS協議是一種在服務端與客戶端之間轉發TCP會話的協議,所以可以輕易的穿透企業應用層防火墻;它獨立于應用層協議,支持多種不同的應用層服務,如TELNET,FTP,HTTP等。SOCKS協議通常采用1080端口進行通信,這樣可以有效避開普通防火墻的過濾,實現墻內墻外終端的連接[2]。

二.地域分布

360互聯網安全中心數據顯示,截止目前,“DressCode”惡意代碼傳播量已達24萬之多,在世界范圍內分布相當廣泛,感染了該惡意代碼的手機在全世界的分布情況如下圖所示:

圖1“DressCode”木馬在世界各地的分布情況

數據顯示,已有200多個國家的用戶手機安裝了帶有“DressCode”惡意代碼的應用,該惡意代碼大多寄宿在時下流行的手機游戲中,其擴散能力很強,其中美國、俄羅斯,德國、法國等歐美發達國家屬于重災區,中國的形勢也不容樂觀,企業內網安全正在遭受前所未有的挑戰。

三.詳細分析

該木馬的主要攻擊過程如下[3]:

(1)木馬運行時主動連接到攻擊者主機(SOCKS客戶端),建立一個與攻擊者對話的代理通道。

(2)作為SOCKS服務端的木馬根據攻擊者傳來的目標內網服務器的IP地址和端口,連接目標應用服務器。

(3)木馬在攻擊者和應用服務器之間轉發數據,進行通信。

當木馬安裝上手機后,首先會連接C&C服務器,連接成功后,那么木馬就與C&C服務器建立了一個對話通道,木馬會讀取C&C服務器傳送過來的指令, 當木馬收到以“CREATE”開頭的指令后,就會連接攻擊者主機上的SOCKS客戶端,攻擊者與處于內網中的木馬程序建立了信息傳輸的通道了。

SOCKS服務端讀取SOCKS客戶端發送的數據,這些數據包括目標內網應用服務器的IP地址和端口、客戶端指令。如下圖所示:

分頁閱讀: 1 2 3
【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。