您当前的位置:首页 > 电脑百科 > 安全防护 > 资讯

恶意木马远控Android手机

时间:2020-02-24 17:09:23  来源:  作者:

本文主要介绍几个业界主流的Android手机远程控制木马套件的使用方式 ,这种攻击行为属于c&c的一种,又名命令与控制。之前我在做这方面的检测算法模型的时候,主要覆盖的场景是被攻击端为windowslinux系统,那么随着5G时代的到来,手机与车机的使用场景也会显著增多,安全保障必然尤为重要。

介入正题,我们首先介绍这5种病毒家族的名称:DroidJack,Spynote,AndroRat,AhMyth,FatRat(感兴趣的同学可以自行去下载,或者联系小编分享)。这5种远控木马中前4个的c&c端是windows平台,也就是说攻击者使用的是windows操作系统,FatRat是搭建在Linux操作系统中,kali默认是没有安装的,需要手动安装。这里最主流的应该是Spynote了,功能强大,性能稳定,其余的也可以作为正常攻击使用。模拟攻击的过程中,我们使用andorid模拟器作为被控端,可能与正常的物理机的性能有差别,但是根据c&c这种攻击行为的特征分析,所产生的攻击流量不会失真。

 

首先介绍使用FatRat。在shell中输入fatrat后,如下图所示:

恶意木马远控Android手机

 

 

我们选择选项1,如图:

恶意木马远控Android手机

 

 

这里我们为了创建android远控木马,所以我们选择3。随后我们需要输出自己的(黑客的ip一般是公网ip,这里为了方便演示暂时设置为小网ip)ip以及监听的端口,然后创建的病毒文件名称为FatRat.apk。

恶意木马远控Android手机

 

 

下一步选择3:tcp反弹shell的payload。

恶意木马远控Android手机

 

 

输入y后,我们的远控木马文件就生成了,文件的格式为apk,也就是android手机中的文件格式。

下一步:在android模拟器中安装恶意apk文件。图中展示的是安装5种远控木马后的手机界面,其中FatRat.apk文件安装后的App名称为MainActivity

恶意木马远控Android手机

 

 

接下来我们就开始正式的进行攻击了,我们打开wireshark监控攻击流量,然后在主控端(黑客)启动 Metasploit(如果看官对metasploit不是很了解,可以看一下这篇文章 https://paper.seebug.org/29/)

恶意木马远控Android手机

 

 

下面我们开启并监听c&c攻击:

恶意木马远控Android手机

 

 

当被攻击者点击启动恶意木马时,c&c攻击会话就建立成功了:

恶意木马远控Android手机

 

 

输入help后可以查看到一些攻击的可执行命令

恶意木马远控Android手机

 

 

开始渗透攻击。攻击者可以拿到shell遍历查看被攻击者的文件信息,也可以上传其他恶意文件到被攻击者的手机中,或者从被控者的手机中下载重要信息文件(如通话记录,联系人电话本,短信记录、图片等等):

恶意木马远控Android手机

 


恶意木马远控Android手机

 


恶意木马远控Android手机

 

 

关于FatRat的攻击流量部分展示如下:

恶意木马远控Android手机

 


恶意木马远控Android手机

 

 

可以看到,部分信息还是进行了加密处理,使用传统特征检测可能不如机器学习算法效果更好。FatRat的相关介绍就到这里,下面我们来看一下windows下的Spynote是如何使用的。

windows下的远控工具更易操作,所以使用频率也比较高。攻击方式与FatRat相似,同样先在攻击端设置监听的ip和端口,然后点击build生成一个病毒文件。

 

恶意木马远控Android手机

 

被攻击者启动恶意文件后在攻击端有上线的自动提示,通过邮件可以查询到多种攻击手段:

恶意木马远控Android手机

 

 

比如文件的上传和下载就可以通过FileManager控制项进行操作:

恶意木马远控Android手机

 

 

同样,黑客可以监听被攻击者的通话录音,shell,手机软件信息等等。

恶意木马远控Android手机

 

 

恶意木马远控Android手机

 

 

恶意木马远控Android手机

 

 

使用Spynote进行远控攻击的流量如下图所示:

恶意木马远控Android手机

 

最后,剩余的三种远控木马的使用方式与Spynote基本一致,但是产生的流量内容会有一定的区别,本人使用机器学习算法训练的模型已经可以成功检测出上述5种远控攻击的流量。



Tags:恶意木马   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
新型Android恶意木马程序伪装成数十款街机、射击和策略游戏,通过华为应用市场AppGallery进行分发,从而窃取设备信息和用户的手机号码,全球目前至少有930万台Android设备被该恶...【详细内容】
2021-12-01  Tags: 恶意木马  点击:(24)  评论:(0)  加入收藏
本文主要介绍几个业界主流的Android手机远程控制木马套件的使用方式 ,这种攻击行为属于c&c的一种,又名命令与控制。之前我在做这方面的检测算法模型的时候,主要覆盖的场景是被...【详细内容】
2020-02-24  Tags: 恶意木马  点击:(200)  评论:(0)  加入收藏
▌简易百科推荐
据ZDNet12月24日报道,CISA本周发布了自己的Log4J扫描器,同时发布的还有网络安全公司和研究人员发布的其他扫描器。开源的Log4j扫描器是由开源社区其他成员创建的扫描器派生而...【详细内容】
2021-12-24  邮电设计技术    Tags:Log4j   点击:(10)  评论:(0)  加入收藏
我们所见过的技术上最复杂的漏洞利用之一”- 谷歌“零号项目”安全研究人员评价ForcedEntry无交互攻击。多年来,以色列间谍软件开发商NSO集团针对安卓和iOS设备开发出了多款...【详细内容】
2021-12-24  科技湃小编    Tags:黑客   点击:(8)  评论:(0)  加入收藏
这几天Log4j的问题消息满天飞,今天我们就一起来看看从源码角度看看这个漏洞是如何产生的。 大家都知道这次问题主要是由于Log4j中提供的jndi的功能。具体涉及到的入口类是lo...【详细内容】
2021-12-15  IT技术资源爱好者    Tags:Log4j漏洞   点击:(15)  评论:(0)  加入收藏
随着网络安全防御需求扩大,网安技术、产品和解决方案数量也随之激增。为了了解和驾驭全球网络安全市场,对比国内外网络安全企业的差异,今天我们来看看由国外网络安全垂直媒体eS...【详细内容】
2021-09-18  数说安全    Tags:网络安全公司   点击:(189)  评论:(0)  加入收藏
作者:左右里编辑:釉子 据BitDefender安全研究人员称,他们发现了一个黑客组织正在以SSH暴力破解的方式攻击Linux设备,目的是在这些设备上安装门罗币恶意挖矿软件。SSH,一种为远程...【详细内容】
2021-07-22  看雪学院    Tags:矿机   点击:(186)  评论:(0)  加入收藏
在互联网、金融和区块链领域风靡的数字资产/版权证书(NFT)正面临一系列网络安全危机。上周四,一位自学成才的艺术家麦克·温克尔曼(Mike Winkelmann)以6930万美元的价格在...【详细内容】
2021-03-19      Tags:漏洞   点击:(156)  评论:(0)  加入收藏
前段时间,sudo被曝不要密码就可进行root提权的漏洞引起一片哗然,众多公司纷纷连夜打补丁来避免损失。FreeBuf也对此进行了相应的报道《不用密码就能获取root权限?sudo被曝新漏...【详细内容】
2021-03-16      Tags:root提权漏洞   点击:(137)  评论:(0)  加入收藏
深度学习是机器学习的一个子领域,它采用了一个特定的模型:一族通过某种方式连接起来的简单函数。由于这类模型的结构是受到人类大脑结构的启发而创造出来的...【详细内容】
2021-02-26      Tags:深度学习   点击:(269)  评论:(0)  加入收藏
物联网技术正在加速向各行业渗透,根据中国信通院《物联网白皮书(2020年)》内容显示:预计到2025年,物联网连接数的大部分增长来自产业市场,产业物联网的连接数将占到总体的61.2%。...【详细内容】
2021-01-22      Tags:物联网安全   点击:(463)  评论:(0)  加入收藏
CSRF跨站请求伪造(Cross-Site Request Forgery)CSRF经常配合XSS一起进行攻击!(同XSS类似,都属于跨站攻击,不攻击服务器端而攻击正常访问网站的用户!)XSS利用站点内的信任用户,CS...【详细内容】
2020-10-22      Tags:Web漏洞   点击:(562)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条