android逃逸技术汇编-360研究报告.pdfVIP

Android 逃逸技术汇编 2016 年 10 月 21 日 摘 要  传统逃逸技术涉及网络攻防和病毒分析两大领域，网络攻防领域涉及的逃逸技术主要为 网络入侵逃逸技术，病毒分析领域涉及到的逃逸技术主要包括针对静态分析、动态分析 的木马逃逸技术。  本文介绍的Android 木马逃逸技术研究了针对用户感知、杀软查杀、沙箱动态养殖和人 工分析的各种逃逸技术。  大多数Android 木马的作恶途径是长期留存用户终端，通过持续性作恶获取收益。  为达到稳定留存的目的，大多数Android 木马使用的逃逸技术多为复杂的组合技术，并 且通过木马的自更新技术不断升级逃逸技术。  总结了Android 木马逃逸模型来描述Android 木马逃逸的一般性原理。  我们将Android 木马生命周期内的每个环节串联起来，形成了Android 木马逃逸链，而 对应的感知元素串联起来即Android 木马的（被）感知链。  Android 木马的逃逸技术具有明显的针对性，按照其针对的目标可以分为杀软逃逸技术、 沙箱逃逸技术、对抗分析工具的逃逸技术、针对用户感官的逃逸技术和反追踪逃逸技术 五个大类。  杀软逃逸技术主要涵盖针对杀毒引擎规则和安全软件的一系列逃逸技术。从长期的分析 工作中，我们发现木马更加偏向使用多种逃逸技术组合，以增强其自身的逃逸能力。  沙箱逃逸技术涵盖了针对沙箱环境和沙箱规则的逃逸技术。针对沙箱环境的检测包括系 统属性、硬件属性和网络环境等方面，针对沙箱规则的逃逸涉及网络请求、触发条件、 词法分析等方面。  针对分析工具的逃逸技术主要包括针对静态分析工具、动态分析工具和抓包工具的逃逸 技术，以及高级对抗方式——加固。  针对用户感官的逃逸技术主要针对用户视觉和听觉进行伪装和欺骗，或骗取用户点击运 行木马，或掩盖木马运行后的痕迹。  反追踪技术针对分析师或网络执法人员的分析追踪。木马投放者通过隐蔽的传播手法投 放木马，试图隐藏木马的来源。  我们相信安全技术共享是安全技术进步强有力的推动力，我们通过报告的形式共享安全 技术以期望能够推动国内移动安全技术的进步，我们也希望各友商都能够参与到安全技 术共享的活动中来，联手将Android 生态环境治理的更好。 关键词：Android 木马、逃逸技术、沙箱逃逸、反追踪 目 录 第一章 引言 1 一、 传统逃逸技术简介 1 二、 网络入侵逃逸技术 1 (一) 网络入侵逃逸的基本定义 1 (二) IPS 入侵逃逸技术 1 (三) AET 1 三、 木马逃逸技术 1 四、 ANDROID 木马逃逸技术简介2 第二章 ANDROID 木马逃逸技术概述3 一、 ANDROID 木马逃逸模型3 二、 ANDROID 木马逃逸链与感知链3 三、 ANDROID 木马逃逸技术4 第三章 杀软逃逸技术6 一、 字符串加密6 二、 JAVA 反射6 三、 畸形包7 四、 载荷隐藏8 五、 包名占坑9 六、 混淆 10 (一) 代码混淆 10 (二) 签名混淆 11 (三) 软件名称混淆 11 七、 载荷变换 11 (一) 攻击代码底层化 11 (二) 载荷碎片化 12 八、 规避杀软 13 九、 ROOT 提权 14 十、 结束杀软 14 十一、 卸载杀软 14 十二、 躲避云查 15 (一) 篡改杀软数据库 15 (二) 篡改网络配置 15 十三、 封装接口 16 (一) JavaS