当骗子遇上谦虚的大牛,结果是?

yeyu 2016-7-8 漏洞 0 0

当骗子遇上谦虚的大牛,结果是? - 华盟网 - http://www.77169.com

   

3月8日对女性来说是个美好的节日,公司(安络科技)完美的福利让女同胞们早早的就去享受这美好的假期了,然而,公司一位谦虚的大牛却在这一天“险遭不测”,收到了伪基站发送过来的短信。

http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092807847.png

经过一番检测,发现网站其实就是个10086积分的假冒网站,老套路了,这里就不再赘述。不过捕获到一个新修改过的Android短信拦截木马。之前的拦截马基本都是没经过加密帐号密码的源码,很轻易的就发现了收信的邮箱、密码等。如下图:

http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092810904.png

很明显,旧版本的时候木马作者喜欢使用163的手机邮箱作为收发信箱使用。Web貌似还无法进行登录,只能客户端进行收发。

下面再看看新修改过的木马

http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092811892.png

如上图,这个apk应该是3月7日放到网站上的,有可能不是很准,但根据网站的情况,基本上应该不会差太多。

http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092811516.png

从代码的结构来看,跟上一个apk拦截马的基本相差不会太大,可见是同一团伙,或来自同一上层人员。或许是之前的拦截马被发现的次数较多了,WooYun网站上也有很多案例,基本上都属于同一类的APK。但是看现在这个,明显将邮箱信息和手机号码给加密了。

根据加密后的字符串来看,我们大致可以看出可能是通过DES加密的(这类基本上都是对称加密方式,加密方式应该也是存在代码中的),只要找到该加密类和Key就基本可以解开加密字符串了。

http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092811615.png

但是混淆过的代码看上去就让人无语了,小菜我不懂java,一开始还一个个函数去看,发现DES加密解密类中有个“123456”,开始窃喜,以为找到Key了,后面一番尝试,这个Key根本就无法把加密的字符串还原,所以只好继续找其他方式去解这个东西了。

http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092811692.png

接着又重新回到这个包含邮箱帐号密码的关键类,看是否有其他突破口。此时看到这个类中的方法中,关键的键值对会通过android的SharedPreferences写配置文件。看来该木马会将收信手机、收发邮箱帐号、帐号密码等信息写入到配置文件中。

http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092811776.png

http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812312.png

安装这个apk之后果然在/data/data/tanglang.yushiting.cloud(apk包名)/shared_prefs/configurations_data发现存在明文的手机号码、邮箱帐号密码等数据。

友情提示:千万不要轻易的将未知apk安装在root过的手机上,即便安装了也请谨慎给予权限,毕竟无法保证对未知的程序进行彻底的卸载。

发现这些要花太多时间,而且安装这种apk还不安全。同时我也是个强迫症患者,不解出这些字符串就睡不着,所以还是想着用什么方法可以直接解出明文来。

http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812855.png

祭出神器JEB,该工具可以进行跟踪分析,我也是第一次使用这个工具,折腾了好久才会下面的方法……

http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812286.png

查看smail语言,查找交叉引用,找出哪些Class调用了本DES类。发现只有一个类曾调用了这个DES类,这样基本确定了那个类中可能存在跟Key相关的信息了,且可能就在上下文中。

http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812879.png

接着我们跳转到这个类,所谓没有对象就要new一个出来(o(∩_∩)o ),我们基本可以确定就是这里了,因为只有这里有个传参的字符串。接着我们就要通过这个可以来算密文解密后的明文了。

本人不懂Java,只好随便写了个解密类,效果如下图:

http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812501.png

接下来需要获取邮箱服务器信息,不知是不是163的邮箱需要实名的缘故,发现该apk使用的是腾讯企业邮?邮箱服务器信息如下图:

http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812760.png

最后便是验证,能利用上面的信息成功登录邮箱才叫成果。下图显示的这两条是我伪造的短信内容^_^。

http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812934.png

为了以后方便,专门编译了一个jar,以后直接输入加密字符串就可以解密了。

http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812208.png

最后还是那就话,尽量别下载未知的软件,就算下载了也别轻易的安装,即使安装了,也不要任意的给权限。

分析的比较粗糙,若有不对的地方或有更好的分析思路,烦请圈子里的大牛指正,谢谢!

转载请注明来自华盟网,本文标题:《当骗子遇上谦虚的大牛,结果是?》

喜欢 (0) 发布评论