- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
内网穿透——Android木马进入高级攻击阶段-360研究报告
内网穿透——Android 木
马进入高级攻击阶段 (二 )
2017 年 5 月 23 日
一.概述
移动互联网时代的到来,企业内部数据越来越有价值。近年来,黑客以移动设备为跳板,
入侵企业内网,窃取企业数据资产的趋势愈发明显。近日,360 烽火实验室发现一批感染了
[1]
一种名为“MilkyDoor ”的恶意代码,这是继去年6 月份首次出现的 “DressCode ” 恶意代
码后,又一种利用移动设备攻击企业内网的木马。然而,与“DressCode ”不同的是,“MilkyDoor ”
不仅利用 SOCKS 代理实现从攻击者主机到目标内网服务器之间的数据转发,而且利用
SSH(Secure Shell)协议穿透防火墙,加密传输数据,进而实现数据更隐蔽的传输。
[2]
SSH 协议 又称为安全外壳协议,其使用的传输机制是 TCP/IP,通常使用的都是服务器
的TCP 端口22 ,并对经过连接传输的数据进行加解密操作。可以使用SSH 对其他应用程序
在别的TCP 端口建立的 TCP/IP 传输进行加密与解密。这一过程称为端口转发。利用 SSH
转发,其他一切基于TCP 的不安全协议都可以变得安全。
二.地域分布
360 互联网中心数据显示,截至2017 年5 月份,“MilkyDoor ”木马传播量已达到3 万
之多,其分布在世界160 多个国家,其中土耳其、俄罗斯、印度、美国属于重灾区,中国的
企业内网也面临着“MilkyDoor ”木马的严重威胁。该木马在全世界的分布情况如下图所示:
图1 “MilkyDoor ”木马在全世界的分布情况
三.详细分析
“MilkyDoor ”木马攻击内网的主要过程如下:
(1) 木马(SSH 客户端)主动连接到攻击者主机(SSH 服务器) ,建立一个SSH 安全连接,
并设置端口转发方式为远程端口转发。
(2 ) 木马作为SOCKS 服务器创建一个Socket,等待位于本机的SSH 客户端的连接,连
接成功后就可以读取到SSH 服务器发送的,且经过SSH 客户端解密过的数据。
(3 ) 木马根据接收到的目标内网服务器IP 和端口,与内网服务器建立一个数据传输通道。
(4 ) 木马收到内网服务器发送的数据后,通过SSH 隧道转发给攻击者。
(一)SSH 远程端口转发
[3]
“MilkyDoor ”木马采用远程端口转发 实现数据加密传输,整个过程步骤如下:
(1) 木马主动与攻击者主机建立一个SSH 安全连接。
(2 ) 攻击者主机将数据发送到它的R 端口上。
(3 ) 位于攻击者主机端的SSH 服务器接收到R 端口上的数据后,将其加密并转发到位于
木马端的SSH 客户端上。
(4 ) SSH 客户端解密收到的数据并将其转发到木马监听的L 端口上。
通过上述过程,攻击者可以将数据加密传输到木马端。如下图所示:
图2 攻击者利用远程端口转发传输数据的过程
(二)SOCKS 代理
“MilkyDoor ”木马实现了一套 SOCKS 协议在内网服务器和攻击者主机之间转发流量。
通过SOCKS 代理,攻击者会通过感染了该木马的移动设备连接目标内网服务器,并将发送
给处于内网中的移动设备的数据转发给攻击者,从而实现数据的窃取,转发过程如下图所示:
图3 利用SOCKS 代理转发数据过程
(三)建立SSH 安全传输隧道
木马运行时,一旦接收到手机解锁动作后,会启动ServiceWorker 服务。该服务会首先
从远程服务器上下载配置文件。该配置文件包含了攻击者主机的IP、木马作为SOCKS 服务
器要监听的端口、木马连接攻击者主机(SSH 服务器)的口令、密码等重要信息。同时更
新本地配置文件,并通过Handler 机制将更新结果发送回 ServiceWorker 服务中,如果更新
成功,那么开启子线程,在子线程中开启SS 服务,同时,需要将配置文件中socks 参数传
递给该服务,这个参数在连接攻击者主机,设置远程
您可能关注的文档
最近下载
- GB50709-2011 钢铁企业管道支架设计规范.pdf VIP
- 压力性损伤护理与管理能力提升题库答案-2025年华医网继续教育.docx VIP
- 基因多态性与疾病易感性-洞察及研究.docx VIP
- 三位一体煅烧炉生产无水氟化铝工艺说明 .pdf VIP
- 卵巢囊肿蒂扭转急诊护理查房.pptx VIP
- 《中华人民共和国国歌》PPT课件.ppt VIP
- 2025年航空货运行业市场规模及未来五到十年发展趋势报告.docx
- 初中八年级全套体育教案(共36课).docx VIP
- 50045 GBJ45-82 高层民用建筑设计防火规范.pdf VIP
- 股市主力操盘盘 口摩斯密码(原创内容,侵权必究).pptx
文档评论(0)