【关键词:腾讯御安全,APK漏洞扫描,APP防护,安卓反破解】在之前的暗云分析报告中,腾讯电脑管家安全团队和腾讯御安全基础找出暗云三的感染方式和传播方式,定位到被暗云三感染的机器开机时会从服务器下载任务脚本包——ndn.db文件,这个文件会经常被替换.另外,在撰写本文的同时,腾讯御安还搜集了多个不同功能的ndn.db文件。下面腾讯御安将对《乌云三》的危害进行详细分析。0x01乌云payload行为分析在解析db文件之前,先过一遍乌云payload行为:木马每5分钟会从网上下载一个配置文件http://www.acsewle.com:8877/ds/kn.html这个html是一个Configuration文件,木马会检查里面的版本号并保存,然后每次都会比较,判断是否更新。如果有更新,下载新版本,根据配置下载文件执行或者创建svchost.exepuppet进程。木马工作模块lcdn.db其实是一个lua脚本解析器,主要功能是下载任务db,然后解析执行:0x02任务脚本文件的结构分析,ndn.db的文件结构为大致如下:structf_db{DWORDfileLen;//lua脚本字节码文件大小DWORDrunType;//运行类型charfileName[24];//lua脚本文件名charfileData[fileLen];//lua脚本字节码内容}如下图,红框是文件大小,灰框是操作类型,蓝框是文件名,紫框是真正的字节码内容。根据文件结构,可以从ndn.db中提取出多个lua脚本的字节码。0x03根据任务脚本函数分类分析,使用的lua版本为5.3,虚拟机自行修改编译。用普通的反编译工具反编译后,只能得到部分可读的明文。经过分析统计可知,乌云三发布的功能大致分为以下几类:1、解密统计得到的111tj.lua脚本实际上是参与攻击机统计的脚本。这个脚本的主要功能是:每隔五分钟,用Referer:http://www.acsewle.com:8877/um.php,访问cnzz和51.la的统计页面,统计次数和次数参与攻击的机器数量。统计页面地址为:http://c.cnzz.com/wapstat.php...http://web.users.51.la/go.asp...访问流量:2.DDoS类型such脚本,简单粗暴,直接do和while循环,不断发起对目标服务的访问。下面是dfh01.lua中的代码,它的目标是大富豪的棋牌类游戏。L1_1.get=L4_4L4_4={"182.86.84.236","119.167.151.218","27.221.30.113","119.188.96.111","113.105.245.107"}whiletruedourl="http://".."web.168dfh.biz".."/"L1_1.get(url)url="http://".."web.168dfh.cn".."/"L1_1.get(url)url="http://".."web.168dfh.top".."/"L1_1.get(url)end另一个例子,在dfhcdn01.lua中:whiletruedosendlogin("114.215.184.159",8002)sendlogin("114.215.169.190",8005)sendlogin("114.215.169.97",8002)sendlogin("121.41.91.65",8005)sendlogin("123.56.152.5",8000)sendlogin("121.199.1.34",2002).6.149",8000)sendlogin("121.199.15.237",8002)sendlogin("101.200.223.210",17000)sendlogin("121.199.14.117",8002)sendlogin("112.125.120.15,9000".32.93",9000)例如new59303.lua中:3.CC攻击类解密后的yiwanm001.lua脚本中包含各种UserAgent。在发起攻击时,会随机使用这些UserAgents对目标网站发起访问,此外脚本还会监听是否跳转到验证码页面,并自动提取cookies完成访问。随机UA:获取Cookie:本次脚本攻击的目标是m.yiwan.com。为了准确到指定的目标,脚本中还硬编码了两个服务器ip。L6_6="http://139.199.135.131:80/"L7_7="http://118.89.206.177:80/"攻击流量截图:再举个例子,在攻击脚本jjhm77.lua脚本中,来自http://down.jjhgame.com/ip.tx...:然后根据目标服务要求的特定格式构造随机数据:循环发送,开始攻击:0x04危害及建议需要执行任务的db文件也更新发布于服务器端,增加了杀毒查杀的难度。坐拥百万乌云控制终端(数据来自:CNCERT[http://www.cert.org.cn/publis...]),已经可以完成大规模的定向攻击。这样做的好处是占用用户带宽,在用户不知情的情况下完成攻击。截至目前,腾讯反病毒实验室发现的乌云攻击目标多为各类棋牌游戏服务器。截至目前,乌云控制端url已自行解析为127.0.0.1,发送url也失败。但不确定下次开启乌云时,任务db文件中的lua脚本会不会是一个更恶意的函数。因此,腾讯电脑管家建议用户积极做好安全防范:1、不要选择安装下载器中捆绑的软件,不要运行来路不明或被安全软件报警的程序,不要下载运行游戏外挂等软件-ins和私人服务器登录设备;2、定期在不同存储介质上备份信息系统业务和个人资料。3、下载腾讯电脑管家查杀“乌云”木马程序;0x05附录(乌云攻击的IP地址和URL)历史攻击IP列表:114.64.222.26103.254.188.247114.64.222.2760.5.254。8260.5.254.8160.5.254.47218.29.50.40218.29.50.3960.221.254.22960.221.254.230122.143.27.170182.106.194.8327.155.73.1727.155.73.16125.89.198.29182.106.194.84111.47.220.47111.47.220.46111.20.250.133123.128.14.174106.59.99.46116.55.236.92218.5.238.249106.59.99.47117.27.241.114117.27.241.18114.215.100.76113.12.84.24113.12.84.2314.215.100.75112.90.213.51112.90.213.5258.223.166.19122.5.53.120122.5.53.12158.51.150.40219.146.68.119114.80.230.238114.80.143.223114.80.230.237112.25.83.28120.221.25.169120.221.24.125117.148.163.80112.25.83.29120.221.24.126117.148.163.79182.140.142.40118.123.97.16118.123.97.17220.165.142.221182.140.142.39218.76.109.67222.243.110.83222.243.110.82120.221.25.170113.5.80.249218.60.109.79113.5.80.248218.60.109.8058.51.150.52122.246.17.9120.199.86.132122.228.30.147122.228.30.38122.228.11.175116.211.144.70218.11.0.9118.178.213.63116.211.168.169116.31.100.147116.31.100.3116.31.100.144116.31.100.148116.31.100.170122.246.17.15116.211.144.240116.211.144.129116.211.144.242116.211.144.206116.211.144.238116.211.144.239116.211.144.219114.215.184.159114.215.169.190114.215.169.97121.41.91.65123.56.152.5121.199.2.34121.199.6.149121.199.15.237101.200.223.210121.199.14.117112.125.120.141123.57.32.93182.86.84.236119.167.151.21827.221.30.113119.188.96.111113.105.245.107139.224.32.159139.224.68.202139.224.35.106139.196.252.62139.224.35.175139.196.252.245139.224.33.199139.224.68.48139.224.35.132139.196.252.61139.224.35.188139.199.135.131118.89.206.177历史攻击过的URL列表:http://senios.138kkk.comhttp://senand.138kkk.comhttp://m.yiwan.comhttp://oss.aliyuncs.com/uu919...http://oss.aliyuncs.com/uu919...http://senres.138kkk.com/sen/...http://senres.138kkk.com/sen/...http://58.51.150.52/sso/ios/f...http://ssores.u2n0.com/sso/io...http://pcupdate.game593.com/?...http://senios.uts7.comhttp://senand.uts7.comhttp://139.199.135.131:80http://118.89.206.177:800x06参考文档[1]乌云IIIBootKit木马分析:http://www.freebuf.com/articl...[2]乌云III木马传播感染分析:http://www.freebuf.com/articl...[3]哈工大关于防范乌云木马的通知:http://www.80sd.org/guonei/20。..[4]CNCERT“乌云”木马程序信息:http://www.cert.org.cn/publis...关于腾讯安全实验室腾讯手机安全实验室:基于腾讯手机管家产品服务,通过终端安全平台、网络安全平台和硬件安全平台,打造移动行业云、管、端全方位安全解决方案。其中,腾讯御安专注于为个人和企业移动应用开发者提供全面的应用安全服务。腾讯安全反欺诈实验室:汇聚全球顶级白帽黑客和多位腾讯专家级大数据人才,专注于反欺诈技术和安全攻防体系研究。反欺诈实验室拥有全球最大的安全云数据库,服务于99%的中国互联网用户。
