行動惡意軟體對企業造成破壞性影響變得越來越加普遍,因為行動設備已經越加成為靈活存取和管理資料的偏好平台。趨勢科技最近發現了200個Android應用程式帶有MilkyDoor後門程式(趨勢科技偵測為ANDROIDOS_MILKYDOOR.A), 其中一個在Google Play上已經有50萬到100萬的安裝數量。
MilkyDoor跟之前對企業有不良影響的Android惡意軟體家族DressCode相似,都會利用SOCKS協定代理程式來取得對內部網路的連線。在使用者不知情下,MilkyDoor會透過SOCKS代理程式進行偵察並存取企業內的漏洞。
雖然MilkyDoor看起來像是DressCode的接班人,不過它卻增加了一些惡意技巧,其中包括能夠繞過安全限制的多種隱蔽做法。比如利用常用端口22,來經由Secure Shell(SSH)通道使用遠端端口轉發。由於利用SSH通道讓惡意軟體可以加密惡意流量和有效載荷(payload),使得偵測惡意軟體變得加棘手。
趨勢科技發現這些木馬化應用程式會偽裝成娛樂性質的應用程式,從風格指南和兒童圖書到塗鴉應用程式。我們推測這些都是網路犯罪分子將正常應用程式重新包裝加入木馬程式,再透過Google Play散播,利用原版的知名度來吸引受害者。
對企業的影響
MilkyDoor會對企業帶來較大的威脅,因為它被設計來攻擊企業的內部網路,私人伺服器,最終是企業資產和資料。MilkyDoor建立SSH通道的作法對組織網路帶來安全上的挑戰,特別是整合BYOD設備的網路。它的隱身之道是受感染應用程式本身沒有敏感權限,並且使用正常或看似良性的網路通訊存在於設備中。
結果也相當顯著。MilkyDoor可以隱密地讓攻擊者直接連進一家企業內部網路的各種服務,從Web和FTP到SMTP。接著可以取得內部IP地址來進行掃描,以找出可利用(和有漏洞)的伺服器。最近出現一連串勒索遭受入侵的MongoDB和ElasticSearch資料庫,就是一個例子。由於這些伺服器是公開的,但是其內部資料庫缺乏認證機制而讓情況變嚴重。
圖1:Google Play上帶有MilkyDoor應用程式的例子
圖2:根據應用程式的Google Play頁面,其安裝數量已經來到500,000至1,000,000之間。
比DressCode更強化的版本?
惡意程式碼執行被稱為android.process.s的程序,偽裝成Android系統套件以便在執行時不被注意。當木馬化應用程式安裝時,MilkyDoor連上一個第三方伺服器(我們一直在追踪的freegeoip[.]net)來取得設備的本地IP地址,包括國家、城市和它的座標(經緯度)。接著它會上傳資料到命令和控制(C&C)伺服器,伺服器會用JSON格式回傳資料,包含了SSH伺服器的使用者名稱、密碼和主機位置。惡意軟體作者利用Java Secure Channel(JSch,Java實作SSH2的一般程式庫)來建立受感染設備和攻擊者間的SSH通道。
圖3:惡意程式碼結構
圖4:AndroidManifest.xml內執行程序的部分
使用了端口轉發功能,MilkyDoor可以用來避免網路監控或嗅探(sniffer),甚至繞過了網路防火牆。在此例中,攻擊者的伺服器作為SSH伺服器讓受感染應用程式連上,而且伺服器也會監聽本地端口。通過這個通道,所有經由這端口的流量都會被轉發到客戶端主機的內部網路。
DressCode已知會在Android設備上建立SOCKS協定代理程式以用來存取內部網路。MilkyDoor利用SOCKS協定和透過SSH進行遠端端口轉發來做到動態端口轉發,這讓資料可以送達所有遠端目的地和端口。因為SSH通道使用端口22,防火牆通常不會封鎖經過這端口的流量;這也讓經由這網路連線的資料被加密。簡言之,MilkyDoor的做法近似匿名和網路審查繞過服務。
圖5:程式碼截圖顯示MilkyDoor如何收集本地IP資料
圖6:MilkyDoor利用JSch程式庫來透過SSH通道進行端口轉發
圖7:受感染行動設備讓攻擊者繞過防火牆來入侵內部伺服器
返回的MilkyDoor
對此應用程式所用SDK內的惡意程式碼進行深入分析後顯示,他們已經更新至版本(1.0.6)。追踪惡意軟體和SDK顯示出他們早在2016年八月就已經出現。早期是透過廣告軟體廠商,使用在1.0.3版本加入的後門程式。
趨勢科技對MilkyDoor的研究也指向了一個俄羅斯電子布告欄(BBS)所廣告的流量套利服務。我們認為MilkyDoor所建立的SSH通道也是為了製造假流量和進行點擊詐騙來為攻擊者帶來更多收入。進一步深入MilkyDoor所感染的一個應用程式後,我們看到所使用的憑證跟一起高知名度的網路間諜/資料竊取攻擊活動有關連。
那麼它跟DressCode比起來如何?雖然MilkyDoor的後門功能和帶來的安全隱患跟DressCode相當,但MilkyDoor的技術和行為反映出開發者傾向使用的複雜程度。混合至正常網路流量(透過動態端口轉發)以更好地隱藏其惡意活動的做法,以及使用SSH通道來實現有效載荷的加密都只是它一些顯著的亮點。
解決方法
隨著行動威脅不斷朝向多元化,並且在規模和範圍上都有著大幅成長,企業和一般使用者必須強化安全能力來對抗類似MilkyDoor的威脅。建議一般使用者更加謹慎地保護行動設備,特別是用來連接、存取和管理企業網路和資產的時候。
DressCode和MilkyDoor會在Android設備上用SOCKS協定建立代理程式以存取內部網路。受感染設備在代理程式建立前必須先連到外部端口取得攻擊者命令和控制(C&C)伺服器的指令。對於BYOD設備,企業可以部署防火牆來協助限制(如果不能阻止)內部系統存取不常用的外部端口,這是這些威脅所會用的關鍵技巧之一。
行動用戶應該養成良好的安全使用習慣,包括謹慎下載應用程式,保持設備作業系統(OS)更新。Android的修補程式和更新呈現了碎片化,所以使用者應該聯絡設備的原始廠商(OEM)來了解是否有更新。在工作場所採取自帶設備(BYOD)計劃的組織必須在生產力、靈活度、隱私和安全性間取得平衡。對於IT和系統管理員,強大的修補程式管理流程和更好的系統限制/權限政策可以協助提高BYOD設備的安全性。
趨勢科技解決方案
一般使用者和企業用戶也可受益於多層次行動安全解決方案,如趨勢科技的行動安全防護Android版(也可以在Google Play取得)。趨勢科技的行動安全防護企業版提供了設備、合規性和應用程式管理能力,資料保護和設定配置,同時保護設備對抗漏洞攻擊,防止對應用程式未經授權存取,以及偵測和封鎖惡意軟體和欺騙性網站。
我們已經將我們的調查結果披露給Google,並與他們合作將Google Play上的惡意應用程式下架。包含相關雜湊值(SHA256)和C&C通訊的入侵威脅指標(IoC)列表可以在此附錄中找到。
@原文出處:DressCode Android Malware Finds Apparent Successor in MilkyDoor
作者:行動威脅反應團隊(Echo Duan和Jason Gu)