Monthly Archives: 四月 2014

由Heartbleed漏洞引发的应用登录危机

2014年4月7日OpenSSL发布重大安全公告,在OpenSSL1.0.1至1.0.1f版本中存在严重漏洞(CVE-2014-0160),该漏洞能使攻击者获取多达64K内存数据,并可能造成用户登录信息、密码、cookie信息等重要信息的泄露。而攻击者对网站反复进行内存数据获取就可能累计大量有效信息。这个漏洞之严重,被广泛称为心脏出血漏洞。

AVL移动安全团队随后对漏洞细节进行分析,特别是对移动应用的登录认证方式做了集中分析,发现大量热门移动应用的登录入口使用https协议,并且多数由OpenSSL搭建,可能存在相关漏洞,在近期用户手机客户端登陆过这些站点的用户也均存在用户名密码信息泄漏的风险。需要在漏洞修复后及时修改密码。并且AVL移动安全团队还发现多个热门应用还存在使用http协议明文上传用户名和登录验证信息,在假Wi-Fi热点、无线Sniffer泛滥的今天,攻击者能轻易截获用户的用户名密码信息。

其中发现街旁网登录域名在4月10日仍然存在Heartbleed漏洞,可能导致用户使用其移动客户端登录时会有登录信息泄露风险,随后,该网站修复了此漏洞。

还有中国联通沃商店客户端涉及登录域名存在Heartbleed漏洞。

54914BF7-60EA-4A65-BEF6-4326429FC85A

可能造成登录用户用户名、密码以及cookie信息的泄露:

2B28A090-CB69-4EA3-9C28-60E5F5989A81

还有很多热门应用采用非加密方式进行登录验证,其中,很遗憾的发现热门应用大众点评存在明文上传登录用户名和密码行为:

07C96E5F-153A-4B05-9D85-2F63F271E336

还有国内著名电商网站京东的移动客户端在登录和注册界面存在明文上传用户名和登录信息的行为:

device-2014-04-10-170350device-2014-04-10-170426

D33F0D51-F2EC-4DF6-BC6C-777A61E7FB8A

这里登录的loginpwd信息为密码的md5值,而没有进行任何加盐处理。还有人以为MD5是单向算法所以保存口令是安全的,实际上早在几年前,14位以下字符串的MD5就已被制作成彩虹表,成为了攻击者的标配。即不需要通过暴力破解,而可以通过查表方式“秒破”。同时也没有看到这个登录过程做了有效的抗重放攻击的处理。

用户可以下载安装最新版的AVL Pro和登录漏洞检测插件对手机中应用是否存在登录信息泄露风险进行检测。

device-2014-04-10-223624device-2014-04-10-231354device-2014-04-10-231344

后记

AVL移动安全团队随后还发现部分热门站点针对移动设备的Web访问入口,均存在明文上传用户名和密码的情况,手机用户应该尽量避免在手机连接公共Wifi的情况下在手机浏览器上直接访问一些热门站点,以免登录信息被窃取。

doubanrenren

Android短信指令远控木马Herta木马分析报告

post by 南山

AVL移动安全团队最近发现了另一例Android下短信指令控制木马,其接受短信指令执行用户隐私上传、发送指定短信等等,除此外还具备执行任意shell脚本命令。

样本分析

样本基本信息:

包名com.security.update
应用程序名Android Runtime Library
文件大小73,791字节

该木马首次运行时会发送短信通知控制者(默认控制者手机号码:1503****394),然后注册短信接收器,监听短信指令。

短信指令对照表:

短信指令行为描述
c001#手机号码设置控制者的手机号码
c005#uploadurl设置上传用户隐私信息的URL
c006#手机号码设置上传手机联系人信息的手机号码
c007#downloadurl设置下载文件的URL
c100#手机号码%短信内容发送指定的短信
c101#shell脚本执行shell脚本
c102#FileName下载指定的文件
c201#获取联系人信息,加密发送到指定的手机上
c202#下载配置信息
c999#FileName下载更新版本,通知栏弹出假的系统更新信息,用户点击后,弹出安装界面

以下以其中的三个短信指令为例来说明:

c100#手机号码%短信内容

12

可以看到木马将指定内容短信发送到指定手机号码

c101#shell脚本

该木马支持两种方式执行shell命令,这里以执行mkdir命令来进行验证:

1.执行短信指令中指定shell命令

67

此时,在指定目录下创建了test1目录:

8

2.运行短信指令中指定的shell脚本

9 11

此时,在指定目录下创建了test2目录:

12

c200#intNum#intNum

3 4

在接收此短信指令后,木马会读取通话记录和短信箱内容,以及设备信息,并存放在sdcard路径下,以备后续上传到指定URL。

小结

该木马是一类功能全面的短信指令控制木马,并且增加了对shell命令的执行,通过下载任意指定URL的文件指令和执行shell命令相结合,可以完成执行任意shell命令的功能,使用户手机暴露在更大的威胁之下。

用户可以下载AVL移动安全团队AVL Pro对此木马进行查杀

北极熊蠕虫分析报告

概述

中国电信网络安全团队(SOC)在4月3日向国家互联网应急处理协调中心(CNCERT)和中国反网络病毒联盟(ANVA)上报了一起手机用户遭病毒感染群发短信的安全事件。

国内著名IT咨询网站cnbeta.com在4月4日http://www.cnbeta.com/articles/280361.htm一文中对该手机病毒予以披露。该病毒在4月3日晚间20:15左右通过手机短信进行了爆发式传播。

AVL移动安全团队随后对该手机病毒进行深入分析,发现其是Android下首个通过短信传播自身的类蠕虫病毒,并且在短时间内完成了快速的扩散。

当Android用户手机感染了该病毒后,其会读取用户手机通信录上的所有联系人,并向他们群发内容为“嘿,XXX,我发现一个非常神奇的APP,特别好用,打开[某地址]下载安装吧!”的短信,若点击链接,则会下载并安装包含该病毒的应用程序“北极熊”。

下面会对该病毒进行详细分析,介绍其传播的方式,并且说明如何使用AVL Pro对其进行分析和查杀。

样本分析

该北极熊蠕虫病毒基本信息如下:

icon

该病毒伪装为一款”糗事百科”应用。

ad2

其会启动后台服务,首先向远程服务器地址http://game.ad61.com/smssvs.php?did=%s&os=%s发送指令请求,并上传手机设备信息。

H0ZH](_}SFP[1VX9I]~S__Y111

其控制指令列表如下:

_G6W6U34G3S~P[BCMS19S5H

随后该病毒会遍历用户手机的联系人列表,并对其中联系人姓名不包含 “爸”、“妈”、“姨”、“伯”、“爷”、“奶”、“老公”关键字的手机号码发送指定的短信内容。

code

该病毒除了会在后台遍历手机联系人信息并且私自发送包含有病毒下载链接的诱骗短信实现传播自身以外,该病毒还捆绑了大量的流氓广告插件,其中包含banner广告、通知栏广告等等,并且会在第三方应用程序界面上弹出恶意的广告。

ad1 ad3

传播方式

北极熊蠕虫病毒通过感染用户手机,遍历手机联系人信息,并且在远程指令的控制下私自对用户的联系人发送包含有病毒下载链接的诱骗短信。

由于诱骗短信发送给用户所熟悉的人,导致收到短信的人很容易放松警惕、轻易相信并下载安装,而导致病毒能够迅速的传播。

具体传播途径如下图所示:

liucheng

用户查杀与防范

AVL移动安全团队AVL Pro率先实现对该手机病毒的查杀,用户可以下载安装AVL Pro避免手机感染恶意病毒。

用户还可以安装AVL Pro的应用分析器插件对该类恶意代码进行辨识和防范。

以此北极熊蠕虫为例,使用AVL Pro应用分析器插件对其进行分析。

在“应用信息”中,包含有大量可疑的APK内嵌文件,其名字包含“pop”、“banner”、“push”等,疑似为广告件相关。

在“组件信息”中,对应用权限的分析结果显示该应用存在大量的敏感权限,例如读取用户联系人信息、发送短信、编辑短信、读取短信、接收短信、修改系统设置等等。其中,读取联系人信息、发送短信、接收短信等敏感权限明显非该类应用(书籍阅读)应该申请的权限。用户应该警惕这些可疑行为,该应用存在损害用户隐私信息(读取短信权限、读取联系人信息权限)、恶意扣费或资费消耗(发送短信)的风险。

在“静态分析”中,发现该应用存在付费相关API的调用。并且,该调用是由一个后台服务的OnCreate入口函数直接调用——即该后台服务启动后,可能会在用户不知情的情况下执行相关API发送短信(sendTextMessage),造成资费损耗。

综合上述应用分析器插件的分析结果,表明该应用可能存在私自发送短信和侵犯用户隐私行为,为疑似恶意的应用。

用户可以下载AVL移动安全团队AVL Pro对上述恶意应用进行查杀。