内网穿透——Android木马进入高级攻击阶段-360研究报告.PDF

内网穿透——Android 木 马进入高级攻击阶段 （二 ） 2017 年 5 月 23 日 一．概述 移动互联网时代的到来，企业内部数据越来越有价值。近年来，黑客以移动设备为跳板， 入侵企业内网，窃取企业数据资产的趋势愈发明显。近日，360 烽火实验室发现一批感染了 [1] 一种名为“MilkyDoor ”的恶意代码，这是继去年6 月份首次出现的 “DressCode ” 恶意代 码后，又一种利用移动设备攻击企业内网的木马。然而，与“DressCode ”不同的是，“MilkyDoor ” 不仅利用 SOCKS 代理实现从攻击者主机到目标内网服务器之间的数据转发，而且利用 SSH(Secure Shell)协议穿透防火墙，加密传输数据，进而实现数据更隐蔽的传输。 [2] SSH 协议 又称为安全外壳协议，其使用的传输机制是 TCP/IP，通常使用的都是服务器 的TCP 端口22 ，并对经过连接传输的数据进行加解密操作。可以使用SSH 对其他应用程序 在别的TCP 端口建立的 TCP/IP 传输进行加密与解密。这一过程称为端口转发。利用 SSH 转发，其他一切基于TCP 的不安全协议都可以变得安全。 二．地域分布 360 互联网中心数据显示，截至2017 年5 月份，“MilkyDoor ”木马传播量已达到3 万 之多，其分布在世界160 多个国家，其中土耳其、俄罗斯、印度、美国属于重灾区，中国的 企业内网也面临着“MilkyDoor ”木马的严重威胁。该木马在全世界的分布情况如下图所示： 图1 “MilkyDoor ”木马在全世界的分布情况 三．详细分析 “MilkyDoor ”木马攻击内网的主要过程如下： （1） 木马(SSH 客户端)主动连接到攻击者主机(SSH 服务器) ，建立一个SSH 安全连接， 并设置端口转发方式为远程端口转发。 （2 ） 木马作为SOCKS 服务器创建一个Socket，等待位于本机的SSH 客户端的连接，连 接成功后就可以读取到SSH 服务器发送的，且经过SSH 客户端解密过的数据。 （3 ） 木马根据接收到的目标内网服务器IP 和端口，与内网服务器建立一个数据传输通道。 （4 ） 木马收到内网服务器发送的数据后，通过SSH 隧道转发给攻击者。 （一）SSH 远程端口转发 [3] “MilkyDoor ”木马采用远程端口转发 实现数据加密传输，整个过程步骤如下： （1） 木马主动与攻击者主机建立一个SSH 安全连接。 （2 ） 攻击者主机将数据发送到它的R 端口上。 （3 ） 位于攻击者主机端的SSH 服务器接收到R 端口上的数据后，将其加密并转发到位于 木马端的SSH 客户端上。 （4 ） SSH 客户端解密收到的数据并将其转发到木马监听的L 端口上。 通过上述过程，攻击者可以将数据加密传输到木马端。如下图所示： 图2 攻击者利用远程端口转发传输数据的过程 （二）SOCKS 代理 “MilkyDoor ”木马实现了一套 SOCKS 协议在内网服务器和攻击者主机之间转发流量。 通过SOCKS 代理，攻击者会通过感染了该木马的移动设备连接目标内网服务器，并将发送 给处于内网中的移动设备的数据转发给攻击者，从而实现数据的窃取，转发过程如下图所示： 图3 利用SOCKS 代理转发数据过程 （三）建立SSH 安全传输隧道 木马运行时，一旦接收到手机解锁动作后，会启动ServiceWorker 服务。该服务会首先 从远程服务器上下载配置文件。该配置文件包含了攻击者主机的IP、木马作为SOCKS 服务 器要监听的端口、木马连接攻击者主机（SSH 服务器）的口令、密码等重要信息。同时更 新本地配置文件，并通过Handler 机制将更新结果发送回 ServiceWorker 服务中，如果更新 成功，那么开启子线程，在子线程中开启SS 服务，同时，需要将配置文件中socks 参数传 递给该服务，这个参数在连接攻击者主机，设置远程