近年來,我們看到網(wǎng)絡(luò)犯罪分子開始頻繁招攬網(wǎng)絡(luò)黑客和惡意軟件即服務(wù)(MaaS)提供商開展惡意活動。最近,在安全分析師David Montenegro的幫助下,一家分析機(jī)構(gòu)Check Point發(fā)現(xiàn)了一款名為Black Rose Lucy的全新惡意軟件即服務(wù)(Malware-as-a-Service,MaaS),由The Lucy Gang俄國團(tuán)隊開發(fā),雖然這個MaaS服務(wù)還在早期發(fā)展階段,但Check Point認(rèn)為,只需要一些時間,Black Rose Lucy就可以在網(wǎng)絡(luò)世界肆意縱橫。Check Point提到,許多犯罪分子傾向雇傭小型擁有特殊專業(yè)技能的團(tuán)隊,而非具備攻擊技能的的全能團(tuán)隊,然后以類似購買云端服務(wù)的方式,來購買這些惡意軟件服務(wù)。

Black Rose Lucy初體驗(不是怦然心動那種初體驗……)

遠(yuǎn)程控制儀表板Lucy Loader

這個MaaS乍看是一個惡意套件工具包,包含遠(yuǎn)程控制儀表板Lucy Loader,用來控制整個僵尸網(wǎng)絡(luò)的被黑設(shè)備和主機(jī),還可以用來部署其它的惡意負(fù)載(Payload),另一個工具則是Black Rose Dropper,鎖定安卓手機(jī),收集受害者設(shè)備數(shù)據(jù),監(jiān)聽遠(yuǎn)程命令,控制(C&C)服務(wù)器并安裝從C&C服務(wù)器發(fā)送的惡意軟件。

在Check Point發(fā)現(xiàn)的Lucy Loader,系統(tǒng)正控制著位于俄羅斯的86臺設(shè)備,感染日期顯示為2018年8月初,Lucy Loader儀表板還有世界地圖的界面,為黑客顯示僵尸網(wǎng)絡(luò)的地理位置概覽。

被黑設(shè)備的地理位置概覽

黑客可以透過儀表板界面上傳惡意軟件,并將其推送至整個僵尸網(wǎng)絡(luò)中。

有效負(fù)載上傳和管理

而Black Rose Dropper會偽裝成安卓系統(tǒng)升級或圖片文檔,Check Point收集到的樣本,則會利用系統(tǒng)的允許訪問服務(wù)來安裝有效負(fù)載,過程完全不需要用戶參與,并且會形成自我保護(hù)的機(jī)制。

Black Rose Dropper安裝完成后,會立刻隱藏圖標(biāo),并且向系統(tǒng)注冊監(jiān)控服務(wù),60秒后,監(jiān)控服務(wù)會向用戶顯示警示信息,聲稱受害者設(shè)備有安全危機(jī),要求使用者替名為系統(tǒng)安全的應(yīng)用程序啟用安卓允許訪問功能,而事實上這個系統(tǒng)安全應(yīng)用程序正是Black Rose Dropper,它會不停地要求受害者授予權(quán)限,直到達(dá)成目的。

只要Black Rose Dropper取得允許訪問功能權(quán)限后,就能給予自己系統(tǒng)管理員權(quán)限,以便自身能獲取在其他應(yīng)用程序上顯示窗口的權(quán)限以及忽略Android電池優(yōu)化的權(quán)限,避免耗電量過高而被優(yōu)化清理。

監(jiān)視服務(wù)會在每次受害者關(guān)閉和開啟屏幕時重新啟動,以確保惡意軟件服務(wù)的有效性。Check Point表示,目前這個階段,監(jiān)控服務(wù)的行為主要都是從C&C服務(wù)器獲取APK文件后安裝,并將日志發(fā)送回C&C服務(wù)器,該服務(wù)器包含設(shè)備狀態(tài)數(shù)據(jù),Black Rose運行狀況數(shù)據(jù)和任務(wù)執(zhí)行日志。

由于安卓輔助功能服務(wù)可以模擬用戶的屏幕點擊,因此這也是Black Rose執(zhí)行惡意活動的關(guān)鍵因素。一旦啟用允許訪問性服務(wù)后,Black Rose可以快速點擊屏幕授予自己設(shè)備管理員權(quán)限(如果之前未授予這些權(quán)限)。當(dāng)從C&C服務(wù)器接收APK文件時,Black Rose通過相同的技術(shù)進(jìn)行安裝,通過模擬用戶點擊來完成安裝步驟。

在Check Point整個調(diào)查過程中,Black Rose Lucy還推出了新版本,顯示The Lucy Gang團(tuán)隊正積極地維護(hù)并改進(jìn)這個工具。新版本Black Rose加強(qiáng)了控制通信的能力,不再使用IP地址而是域名訪問。以免僵尸網(wǎng)絡(luò)被服務(wù)器刪除。Lucy Loader儀表板上,僵尸網(wǎng)絡(luò)采用DEX有效負(fù)載而不是APK有效負(fù)載,強(qiáng)化惡意軟件攻擊能力。

目前Black Rose Dropper支持英語、土耳其語和俄語界面,且儀表板中顯示,模擬受害者位于法國、以色列和土耳其,Check Point認(rèn)為黑客已經(jīng)在這些地方向有興趣的買家進(jìn)行了演示,因此Black Rose Lucy目標(biāo)的范圍應(yīng)該不只俄羅斯,考慮到小米手機(jī)在亞洲和東歐的日益普及,Black Rose Lucy還對小米手機(jī)進(jìn)行了特殊邏輯處理,其中的自我保護(hù)機(jī)制還特別針對最大的Android手機(jī)市場——中國安全和系統(tǒng)應(yīng)用進(jìn)行特殊優(yōu)化,因此下一個目標(biāo)是中國的可能性非常大。

分享到

崔歡歡

相關(guān)推薦