網路攻擊中的致命一擊：全軍因為它喪失了攻擊力

大約在2016年7月，100多名以色列士兵的Android手機被敵方實施的「網路美人計」給黑掉了，敵方人員在社交媒體上假扮美女，用虛假的照片和個人信息勾引以軍士兵。這些軍人沒有抵擋住「糖衣炮彈」，放鬆警惕，紛紛下載對方推薦的「冒牌」應用程序，導致手機被黑客控制卻全然不知，然後黑客趁機進入他們的命令和控制伺服器獲取軍事機密數據，此外，受感染的設備會被推送木馬更新，這允許攻擊者擴展他們的攻擊能力。截至目前，這項「網路美人計」的網路攻擊活動仍然非常活躍，最近發生的大規模襲擊事件就發生在本月。

安全專家通過研究認為，這種網路攻擊目前仍處於早期發展階段，目標針對於Android操作系統的手機，一旦手機被攻破，那麼黑客就會開始進行複雜的情報收集，比如利用電話的視頻和音頻功能，簡訊功能和位置定位服務。

以色列國防軍的C4I通信部隊（IDF C4I）和以色列國防軍的信息安全部門與卡巴斯基實驗室的研究人員通過對被攻擊士兵的名單進行分析。

攻擊流程

社會工程攻擊

社會工程學，準確來說，不是一門科學，而是一門藝術。近年來，更多的黑客轉向利用人的弱點即社會工程學方法來實施網路攻擊。利用社會工程學手段，突破信息安全防禦措施的事件，已經呈現出上升甚至泛濫的趨勢。

Gartner集團信息安全與風險研究主任Rich Mogull認為：

社會工程學是未來10年最大的安全風險，許多破壞力最大的行為是由於社會工程學而不是黑客或破壞行為造成的。

比如本文所講的攻擊就是利用色情誘惑，黑客化身Facebook上的「美女」使用性暗示來誘騙以色列士兵，要求他們發送照片給黑客，然後在聊天的過程中，誘騙士兵們安裝惡意應用程序，進而獲取機密信息。

Dropper木馬

當那些上當的士兵從惡意URL下載APK文件後，攻擊者希望受害者能手動安裝軟體包。因為Dropper木馬攻擊需要利用用戶的常用許可權，如下面的屏幕截圖所示。

主要特徵

Dropper攻擊依賴於使用查詢的配置伺服器，以便為要攻擊的設備下載最合適的有效載荷。

主要有效載荷的Downloader & Watchdog。n有效載荷更新機制。n定製化載荷：Dropper木馬會發送已安裝應用程序的列表，並接收基於它的有效負載包。n混淆部件 ：使用ProGuard（一個壓縮、優化和混淆Java位元組碼文件的免費的工具）模糊dropper攻擊包。n

網路協議

dropper 和配置伺服器之間的網路協議是基於HTTP POST請求的。以下的伺服器實現了RESTful API：

LoveSongs - http：// endpointup [。] com / update / upfolder / updatefun.phpnYeeCall，WowoMessanger - http：// droidback [。] com / pockemon / squirtle / functions.phpn

除了使用AES-128硬編碼密鑰加密的特定命令之外，與伺服器的大多數通信是明文的。

有效載荷

在受害者設備上下載並執行上述有效載荷之後。到目前為止，安全專家們發現目前唯一有效的是「WhatsApp_Update」。有效載荷要能夠同時具有兩種收集機制：

執行「On demand」命令： 由黑客觸發的手動命令

Scheduled process ： 定期從被感染手機收集信息的計劃

C＆C命令

WebSocket 是伴隨HTML5發布的一種新協議。它實現了瀏覽器與伺服器全雙工通信(full-duplex)，可以傳輸基於消息的文本和二進位數據。WebSocket 是瀏覽器中最靠近套接字的API，除最初建立連接時需要藉助於現有的HTTP協議，其他時候直接基於TCP完成通信。

有效載荷使用WebSocket協議，它能給予攻擊者一個實時介面，以類似於「reverse shell」的方式向有效載荷發送命令，Reverse Shell是由被攻擊主機主動連接攻擊機器，是目前主流的Shell使用的類型,其中些命令尚未實現，如下表所示。這些命令給黑客的操作提供了基本而又危險的一個遠程訪問程序（RAT）能力：

收集有關設備的一般信息，例如網路運營商，GPS位置，IMEI等

打開瀏覽器並瀏覽到所選的URL

讀取和發送SMS消息，以及訪問聯繫人

在特定的時間和期間進行竊聽

允許使用相機拍攝照片或截圖

錄製視頻和音頻

計划過程

除了C＆C命令，有效負載使用各種Android API定期收集數據。默認時間間隔為30秒。該過程收集的數據包括：

有關設備的一般數據（如C＆C命令中需要的那些信息）

SMS消息，WhatsApp資料庫以及加密密鑰

瀏覽和搜索歷史以及書籤

存儲中找到的小於2MB的文檔和存檔（doc，docx，ppt，rar等）

拍攝的照片

聯繫人和通話記錄列表

記錄呼叫信息並進行竊聽

各種應用的更新

攻擊者在沒有任何第三方協助的情況下實現了所有的惡意攻擊。自動呼叫記錄功能背後的邏輯完全使用Android的API實現，如下圖所示：

結論

以色列國防軍與卡巴斯基實驗室的研究人員一起領導了本次研究，結論就是利用美人計所實施的攻擊只是敵方針對以軍進行網路攻擊的開始，其最終的攻擊目標是針對以色列國防軍的攻擊，收集關於地面部隊傳播的所有數據，以及軍隊正在使用的戰術和武器裝備以及實時的情報收集。

IOCs

androidbak[.]comndroidback[.]comnendpointup[.]comnsiteanalysto[.]comngoodydaddy[.]comn10f27d243adb082ce0f842c7a4a3784b01f7248enb8237782486a26d5397b75eeea7354a777bff63an09c3af7b0a6957d5c7c80f67ab3b9cd8bef88813n9b923303f580c999f0fdc25cad600dd3550fe4e0n0b58c883efe44ff010fl703db00c9ff4645b59dfn0a5dc47b06de545d8236d70efee801ca573115e7n782a0e5208c3d9e8942b928857a24183655e7470n5f71a8a50964dae688404ce8b3fbd83d6e36e5cdn03b404c8f4ead4aa3970b26eeeb268c594blbb47n

Certificates – SHA1 fingerprints

10:EB:7D:03:2A:B9:15:32:8F:BF:68:37:C6:07:45:FB:DF:F1:87:A6 n9E:52:71:F3:D2:1D:C3:22:28:CB:50:C7:33:05:E3:DE:01:EB:CB:03 n44:52:E6:4C:97:4B:6D:6A:7C:40:AD:1E:E0:17:08:33:87:AA:09:09 n67:43:9B:EE:39:81:F3:5E:10:33:C9:7A:D9:4F:3A:73:3B:B0:CF:0A n89:C8:E2:E3:4A:23:3C:A0:54:A0:4A:53:D6:56:C8:2D:4A:8D:80:56 nB4:D5:0C:8B:73:CB:A9:06:8A:B3:F2:49:35:F8:58:FE:A2:3E:2E:3An

本文參考來源於securelist，如若轉載，請註明來源於嘶吼： 網路攻擊中的致命一擊：全軍因為它喪失了攻擊力 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：