本文主要介绍几个业界主流的Android手机远程控制木马套件的使用方式 ,这种攻击行为属于c&c的一种,又名命令与控制。之前我在做这方面的检测算法模型的时候,主要覆盖的场景是被攻击端为windows与linux系统,那么随着5G时代的到来,手机与车机的使用场景也会显著增多,安全保障必然尤为重要。
介入正题,我们首先介绍这5种病毒家族的名称:DroidJack,Spynote,AndroRat,AhMyth,FatRat(感兴趣的同学可以自行去下载,或者联系小编分享)。这5种远控木马中前4个的c&c端是windows平台,也就是说攻击者使用的是windows操作系统,FatRat是搭建在Linux操作系统中,kali默认是没有安装的,需要手动安装。这里最主流的应该是Spynote了,功能强大,性能稳定,其余的也可以作为正常攻击使用。模拟攻击的过程中,我们使用andorid模拟器作为被控端,可能与正常的物理机的性能有差别,但是根据c&c这种攻击行为的特征分析,所产生的攻击流量不会失真。
首先介绍使用FatRat。在shell中输入fatrat后,如下图所示:
我们选择选项1,如图:
这里我们为了创建android远控木马,所以我们选择3。随后我们需要输出自己的(黑客的ip一般是公网ip,这里为了方便演示暂时设置为小网ip)ip以及监听的端口,然后创建的病毒文件名称为FatRat.apk。
下一步选择3:tcp反弹shell的payload。
输入y后,我们的远控木马文件就生成了,文件的格式为apk,也就是android手机中的文件格式。
下一步:在android模拟器中安装恶意apk文件。图中展示的是安装5种远控木马后的手机界面,其中FatRat.apk文件安装后的App名称为MainActivity
接下来我们就开始正式的进行攻击了,我们打开wireshark监控攻击流量,然后在主控端(黑客)启动 Metasploit(如果看官对metasploit不是很了解,可以看一下这篇文章 https://paper.seebug.org/29/)
下面我们开启并监听c&c攻击:
当被攻击者点击启动恶意木马时,c&c攻击会话就建立成功了:
输入help后可以查看到一些攻击的可执行命令
开始渗透攻击。攻击者可以拿到shell遍历查看被攻击者的文件信息,也可以上传其他恶意文件到被攻击者的手机中,或者从被控者的手机中下载重要信息文件(如通话记录,联系人电话本,短信记录、图片等等):
关于FatRat的攻击流量部分展示如下:
可以看到,部分信息还是进行了加密处理,使用传统特征检测可能不如机器学习算法效果更好。FatRat的相关介绍就到这里,下面我们来看一下windows下的Spynote是如何使用的。
windows下的远控工具更易操作,所以使用频率也比较高。攻击方式与FatRat相似,同样先在攻击端设置监听的ip和端口,然后点击build生成一个病毒文件。
被攻击者启动恶意文件后在攻击端有上线的自动提示,通过邮件可以查询到多种攻击手段:
比如文件的上传和下载就可以通过FileManager控制项进行操作:
同样,黑客可以监听被攻击者的通话录音,shell,手机软件信息等等。
使用Spynote进行远控攻击的流量如下图所示:
最后,剩余的三种远控木马的使用方式与Spynote基本一致,但是产生的流量内容会有一定的区别,本人使用机器学习算法训练的模型已经可以成功检测出上述5种远控攻击的流量。