【关键词:腾讯御安全,APK漏洞扫描,APP保护,Android防破解】

前面对暗云的分析报告中,腾讯电脑管家安全团队和腾讯御安全基本摸清暗云Ⅲ的感染方式和传播方式,也定位到被感染暗云Ⅲ的机器会在启动时从服务端下载任务脚本包——ndn.db文件,且该文件会常进行更换。此外,撰写本文的同时,腾讯御安全也收集到多个不同功能的ndn.db文件,以下腾讯御安全将对暗云Ⅲ危害展开具体分析。

0x01 暗云payload行为分析
在解析db文件前,先过一次暗云payload行为:

木马每5分钟会联网下载一次配置文件 http://www.acsewle.com:8877/ds/kn.html

该html是个配置文件,木马会检查其中的版本号,并保存,其后每次都会比较,以确定是否更新。

如果有更新,则下载新版本,并根据配置下载文件执行或者创建svchost.exe傀儡进程执行。

木马干活模块lcdn.db其实为lua脚本解析器,主要功能下载任务db,进而解析执行:

0x02 任务脚本文件结构

通过分析,得知ndn.db的文件结构,大致如下:
struct f_db{
DWORD fileLen; // lua脚本bytecode文件大小

DWORD runType; // 运行类型
char fileName[24]; // lua脚本文件名
char fileData[fileLen]; // lua脚本bytecode内容

}
如下图中,红色框为文件大小,灰色框为运行类型,蓝色框为文件名,紫色框为真实的bytecode内容。

根据文件结构,进而可从ndn.db中提取到多个lua脚本的bytecode。

0x03 任务脚本功能分类
分析得知,其使用的lua版本为5.3,是自行更改过虚拟机进行编译。使用普通反编译工具反编译后,只能得到部分可读明文,经过分析统计可知道暗云Ⅲ现有发布的功能大致有以下几类:
1、统计类
解密得到的111tj.lua脚本,实则为参与攻击机器统计脚本。

该脚本主要作用为:每隔五分钟,带Referer:http://www.acsewle.com:8877/um.php访问cnzz和51.la两个站点统计页面,以便统计参与攻击的机器数及次数。
统计页面地址为:
http://c.cnzz.com/wapstat.php...
http://web.users.51.la/go.asp...
访问流量:

2、DDoS类
  这类脚本,简单粗暴,直接do、while循环,不停地对目标服务发起访问。如下为dfh01.lua中代码,其目标是针对大富豪棋牌游戏。
L1_1.get = L4_4
L4_4 = {
"182.86.84.236",
"119.167.151.218",
"27.221.30.113",
"119.188.96.111",
"113.105.245.107"
}
while true do
url = "http://" .. "web.168dfh.biz" .. "/"
L1_1.get(url)
url = "http://" .. "web.168dfh.cn" .. "/"
L1_1.get(url)
url = "http://" .. "web.168dfh.top" .. "/"
L1_1.get(url)
end
  又如,dfhcdn01.lua中:
while true do
sendlogin("114.215.184.159", 8002)
sendlogin("114.215.169.190", 8005)
sendlogin("114.215.169.97", 8002)
sendlogin("121.41.91.65", 8005)
sendlogin("123.56.152.5", 8000)
sendlogin("121.199.2.34", 8002)
sendlogin("121.199.6.149", 8000)
sendlogin("121.199.15.237", 8002)
sendlogin("101.200.223.210", 17000)
sendlogin("121.199.14.117", 8002)
sendlogin("112.125.120.141", 9000)
sendlogin("123.57.32.93", 9000)
end
  再如,在new59303.lua中:

3、CC攻击类
  解密得到的yiwanm001.lua脚本中,包含有各类UserAgent,在发起攻击时,会随机使用这些UserAgent来对目标网站发起访问,此外该脚本还将监测是否跳转到验证码页面,并自动提取Cookie完成访问。
  随机UA:

获取Cookie:

这个脚本攻击的目标为m.yiwan.com。为了精确到指定目标,脚本中还写死了两个服务器ip。
L6_6= "http://139.199.135.131:80/"
L7_7= "http://118.89.206.177:80/"
攻击流量截图:

又如,攻击脚本jjhm77.lua脚本中,从http://down.jjhgame.com/ip.tx...:

之后按照目标服务所需的特定格式构造随机数据:

循环发送,开始攻击:

0x04 危害及建议
  暗云自带lua脚本解析器,攻击全程文件不落地,具体需执行任务的db文件也是随时在服务端更新发布,如此增大了杀软查杀难度。坐拥上百万的暗云控制端(数据来自:CNCERT[http://www.cert.org.cn/publis...]),已经可以不需要肉鸡无间断发起连接,即可完成大规模的指向性攻击。如此的好处便是在用户无感的情况下,占用用户带宽,完成攻击。
  到目前为止,腾讯反病毒实验室发现的暗云攻击目标大多为各类棋牌、游戏服务器。截止当前,暗云控制端url已自行解析到127.0.0.1,下发url也已失效。但不确定暗云下一次开启时,任务db文件中lua脚本不会是更加恶意的功能。
  所以,腾讯电脑管家建议用户积极采取安全防范措施:
  1、不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件;
  2、定期在不同的存储介质上备份信息系统业务和个人数据。
  3、下载腾讯电脑管家进行“暗云”木马程序检测和查杀;
0x05 附录(暗云攻击过的ip地址及URL)
历史攻击过的IP列表:
114.64.222.26
103.254.188.247
114.64.222.27
60.5.254.82
60.5.254.81
60.5.254.47
218.29.50.40
218.29.50.39
60.221.254.229
60.221.254.230
122.143.27.170
182.106.194.83
27.155.73.17
27.155.73.16
125.89.198.29
182.106.194.84
111.47.220.47
111.47.220.46
111.20.250.133
123.128.14.174
106.59.99.46
116.55.236.92
218.5.238.249
106.59.99.47
117.27.241.114
117.27.241.181
14.215.100.76
113.12.84.24
113.12.84.23
14.215.100.75
112.90.213.51
112.90.213.52
58.223.166.19
122.5.53.120
122.5.53.121
58.51.150.40
219.146.68.119
114.80.230.238
114.80.143.223
114.80.230.237
112.25.83.28
120.221.25.169
120.221.24.125
117.148.163.80
112.25.83.29
120.221.24.126
117.148.163.79
182.140.142.40
118.123.97.16
118.123.97.17
220.165.142.221
182.140.142.39
218.76.109.67
222.243.110.83
222.243.110.82
120.221.25.170
113.5.80.249
218.60.109.79
113.5.80.248
218.60.109.80
58.51.150.52
122.246.17.9
120.199.86.132
122.228.30.147
122.228.30.38
122.228.11.175
116.211.144.70
218.11.0.9
118.178.213.63
116.211.168.169
116.31.100.147
116.31.100.3
116.31.100.144
116.31.100.148
116.31.100.170
122.246.17.15
116.211.144.240
116.211.144.129
116.211.144.242
116.211.144.206
116.211.144.238
116.211.144.239
116.211.144.219
114.215.184.159
114.215.169.190
114.215.169.97
121.41.91.65
123.56.152.5
121.199.2.34
121.199.6.149
121.199.15.237
101.200.223.210
121.199.14.117
112.125.120.141
123.57.32.93
182.86.84.236
119.167.151.218
27.221.30.113
119.188.96.111
113.105.245.107
139.224.32.159
139.224.68.202
139.224.35.106
139.196.252.62
139.224.35.175
139.196.252.245
139.224.33.199
139.224.68.48
139.224.35.132
139.196.252.61
139.224.35.188
139.199.135.131
118.89.206.177
历史攻击过的URL列表:
http://senios.138kkk.com
http://senand.138kkk.com
http://m.yiwan.com
http://oss.aliyuncs.com/uu919...
http://oss.aliyuncs.com/uu919...
http://senres.138kkk.com/sen/...
http://senres.138kkk.com/sen/...
http://58.51.150.52/sso/ios/f...
http://ssores.u2n0.com/sso/io...
http://pcupdate.game593.com/?...
http://senios.uts7.com
http://senand.uts7.com
http://139.199.135.131:80
http://118.89.206.177:80
0x06 参考文档
[1] 暗云Ⅲ BootKit 木马分析:http://www.freebuf.com/articl...
[2] 暗云Ⅲ木马传播感染分析:http://www.freebuf.com/articl...
[3] 哈尔滨工业大学关于防范暗云木马的通知:http://www.80sd.org/guonei/20...
[4] CNCERT关于“暗云”木马程序有关情况通:http://www.cert.org.cn/publis...

关于腾讯安全实验室

腾讯移动安全实验室:基于腾讯手机管家产品服务,通过终端安全平台、网络安全平台和硬件安全平台为移动产业打造云管端全方位的安全解决方案。其中腾讯御安全专注于为个人和企业移动应用开发者,提供全面的应用安全服务。

腾讯安全反诈骗实验室:汇聚国际最顶尖白帽黑客和多位腾讯专家级大数据人才,专注反诈骗技术和安全攻防体系研究。反诈骗实验室拥有全球最大安全云数据库并服务99%中国网民。

腾讯御安全深度解析暗云Ⅲ相关推荐

  1. 腾讯御安全深度解析新型流量盗刷病毒家族

    腾讯御安全深度解析新型流量盗刷病毒家族 [关键词:腾讯御安全,APK漏洞扫描,应用安全,应用漏洞] 近期,腾讯安全反诈骗实验室的新一代AI引擎TRP,基于应用行为.网络行为等维度进行人工智能学习训练, ...

  2. 腾讯御安全深度解读影响全球的CPU漏洞:熔断与幽灵

    腾讯御安全深度解读影响全球的CPU漏洞:熔断与幽灵 [关键词:腾讯御安全,应用漏洞,应用安全]     一.漏洞背景和影响  1月4日,国外安全研究机构公布了两组CPU漏洞: Meltdown(熔断) ...

  3. 专为安全讯飞输入法联手腾讯御安全提升体验

    专为安全讯飞输入法联手腾讯御安全提升体验   随着移动应用持续爆发式增长,安全问题呈现愈演愈烈的态势.据中国互联网信息中心(CNNIC)发布的第39次<中国互联网络发展状况统计报告>称,我 ...

  4. [转帖]K8H3D 病毒 腾讯御剑的解析

    https://weibo.com/ttarticle/p/show?id=2309404344350225132710 永恒之蓝下载器木马又双叒叕升级了新的攻击方式​​ 背景 腾讯安全御见威胁情报中 ...

  5. 从预防检测到响应,腾讯御界NDR“一站式”勒索病毒解决方案

    一. 背景 2021年上半年,勒索病毒席卷美国,受害企业损失动辄数千万美元.2021年,美国最大燃油管道商(Colonial Pipeline).全球最大的肉制品生产商JBS.全球500强IT咨询公司 ...

  6. 搜狗手机助手联合腾讯御安全 共建APP安全生态环境

    近日,以资源"多.精.新"而备受用户推崇的国内手机综合应用管理分发平台--搜狗手机助手,与腾讯御安全在应用安全方面建立了深度合作,携手发布了全新升级的搜狗手机助手5.9.2版本.该 ...

  7. 搜狗手机助手联合腾讯御安全 共建APP安全生态环境 1

    近日,以资源"多.精.新"而备受用户推崇的国内手机综合应用管理分发平台--搜狗手机助手,与腾讯御安全在应用安全方面建立了深度合作,携手发布了全新升级的搜狗手机助手5.9.2版本.该 ...

  8. 腾讯AI Lab解析2017 NIPS三大研究方向,启动教授及学生合作项目

    来源: 腾讯AI实验室 概要:腾讯AI Lab去年4月成立,今年第二次参加NIPS,共有8篇文章被录取,含一篇口头报告(Oral).在所有国内研究机构和高校中,录取论文数仅次于清华大学. NIPS被誉 ...

  9. 省带宽、耗电小,腾讯游戏学院专家解析手游渲染架构

    编者按 如何让手游更省带宽,耗电量更少?渲染或是其中一个可突破的点.本文中,腾讯游戏学院专家Hailong将从为大家解析TBR渲染架构的特点. 什么是TBR? 全称是Tile Based Render ...

最新文章

  1. JSONAssert Spring Boot Test
  2. 使用JavaScript调用aspx后台代码
  3. 1266: [AHOI2006]上学路线route
  4. SQLServer扩展存储过程
  5. I00016 打印等腰三角形字符图案(底边在左或右)
  6. 【深入理解Java虚拟机】自动内存管理机制——垃圾回收机制
  7. 深入理解mybatis一级缓存
  8. H3C交换机配件RS232配置线(DB9针转RJ45)
  9. delphi与python_Delphi与Python结合之二
  10. matlab 积分函数曲线,matlab数值积分函数
  11. 2019年中国计算机学会(CCF)推荐国际学术会议和期刊目录-A类
  12. 阿里云Centos6.3,LANP安装
  13. 15个漂亮的企业网站设计案例欣赏
  14. STAF/STAX安装配置
  15. android 微博 4.1sdk,android使用新浪微博最新SDK4.1进行第三方授权登录
  16. 网赚小项目,聊天挣钱,打字聊天就能挣钱的方法
  17. easyexcel表头和内容居中
  18. GD32E230开发笔记-GD32E230外设SPI的初始化
  19. 怎么把多个JPG合并成一个PDF?还不快来学
  20. 求助ambari-server报错early EOF问题

热门文章

  1. 本地图片上传与H5适配知识
  2. 亲爱的,请你成熟了再来娶我
  3. #cygwin#进入D盘
  4. 外国教授在B站当UP主上课,网友直呼好家伙
  5. 富士康和苹果的印度制造计划受挫,还是中国制造更可靠
  6. java常用知识点系列-1
  7. Ae 效果详解:分形杂色
  8. 2022年4月投资笔记 | 佛系理财
  9. 用TFIDF给特征词赋权值
  10. SAP报工后台配置字段描述