這篇文章將為大家詳細講解有關(guān)怎么進行PhantomLance多版本攻擊分析，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

創(chuàng)新互聯(lián)建站是一家專注于網(wǎng)站設(shè)計、做網(wǎng)站與策劃設(shè)計,洪江網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專注于網(wǎng)站建設(shè)10余年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:洪江等地區(qū)。洪江做網(wǎng)站價格咨詢:028-86922220

2019年7月Dr. Web報道了Google Play中的后門木馬，研究人員將其稱為“PhantomLance”，它最早活動記錄可追溯到2015年12月。目前發(fā)現(xiàn)了數(shù)十個在野樣本，出現(xiàn)在Google Play等各種應(yīng)用程序市場中。 最新樣本于2019年11月6日在官方Android市場發(fā)布，不久后被官方刪除。    

在調(diào)查過程中發(fā)現(xiàn)其與OceanLotus APT有很多相似之處。

惡意軟件版本

為了便于研究，根據(jù)技術(shù)復(fù)雜性將發(fā)現(xiàn)的樣本分為基本版本1到高度復(fù)雜版本3，版本號與出現(xiàn)的時間不完全相關(guān)。

所有樣本的功能都是相似的，主要目的是收集敏感信息，包括地理位置，呼叫記錄，聯(lián)系人、SMS、已安裝的應(yīng)用程序列表以及設(shè)備信息。攻擊者能夠根據(jù)特定設(shè)備環(huán)境下載并執(zhí)行各種惡意有效負載。

Version 1

此版本是最新的Google Play樣本（MD5：2e06bbc26611305b28b40349a600f95c）。與其他版本不同，它不會刪除其他可執(zhí)行文件。攻擊者嘗試使用多種技術(shù)繞過Google官方過濾，于2019年上傳到Google Play商店。清單文件中未提及可疑權(quán)限，攻擊者將其隱藏在dex可執(zhí)行文件中，在執(zhí)行過程中動態(tài)請求。惡意軟件大多數(shù)操作都需要root權(quán)限。如果設(shè)備有root特權(quán)，惡意軟件可以通過“setUidMode”獲得所需權(quán)限，無需用戶參與。

Version 2

此版本在2019年或更早的時候被檢測到，其中一個樣本于2019年11月出現(xiàn)在Google Play商店中。 根據(jù)檢測統(tǒng)計數(shù)據(jù)和版本戳，可判斷該版本是版本3的替代品。

惡意有效載荷APK打包在assets加密（AES）文件中，解密密鑰和初始化向量（IV）位于加密有效載荷的前32 + 16字節(jié)中。    

在APK magic前，文件頭包含對有效載荷方法反射調(diào)用的字符串。    

所有版本2有效負載都使用相同的程序包名稱“com.android.play.games”，類似于官方Google Play游戲程序包“com.google.android.play.games”。此外，在解密的有效載荷中發(fā)現(xiàn)了開發(fā)人員版本標記。

如版本1所述，惡意功能所需的權(quán)限是通過未記錄的Android API授予的，還發(fā)現(xiàn)用于簽名版本2有效負載的兩個不同證書。

Version 2.1

2020年初發(fā)現(xiàn)PhantomLance最新樣本引入了解密有效載荷的新技術(shù)：惡意有效載荷和植入程序捆綁在一起，并使用AES加密。 密鑰不會自身攜帶，而是通過Google的Firebase遠程配置系統(tǒng)發(fā)送到設(shè)備，其他技術(shù)功能與版本2非常相似。

向PhantomLance的Firebase API發(fā)出有效請求，響應(yīng)JSON結(jié)構(gòu)包含AES解密密鑰，其中“code_disable”值是有效負載的解密密鑰。    

{
    "entries": {
        "code_disable": "27ypYitp1UFc9Tvh"
    },
    "appName": "com.ozerlab.callrecorder",
    "state": "UPDATE"
}

攻擊者試圖實現(xiàn)第三階段有效載荷植入。 第二階段有效負載（MD5：83cd59e3ed1ba15f7a8cadfe9183e156）包含一個名為“data”的APK文件（MD5：7048d56d923e049ca7f3d97fb5ba9812），其assets已損壞。    

第二階段如下所述讀取此APK文件，對其解密并重寫其前27個字節(jié)。    

執(zhí)行后會產(chǎn)生一個APK文件（MD5：c399d93146f3d12feb32da23b75304ba），該文件配置有C2服務(wù)器（cloud.anofrio[.]com, video.viodger[.]com, api.anaehler[.]com） 。 第三階段APK在assets中有名為“data.raw”的本地庫，該庫用于在受感染的設(shè)備上實現(xiàn)持久控制。    

Version 3

版本2已被該版本替換，2019年未觀察到版本3的任何新部署，技術(shù)細節(jié)方面它比版本2更為先進。

與第二版相比，第一階段的植入程序混淆更為徹底。它使用與版本2類似的方式來解密有效負載，加密內(nèi)容被分為多個10256字節(jié)以下的文件以及一個加密配置文件，其中包含有效載荷解密詳細信息。

解密流程：

每個版本3負載都具有相同的程序包名稱“com.android.process.gpsp”，使用用于簽署某些版本2的相同證書簽名。在版本3中找到的唯一版本標記是“10.2.98”。

傳播方式

攻擊者主要通過應(yīng)用市場進行傳播。除了已向Google報告的com.zimice.browserturbo和com.physlane.opengl之外，還觀察到其他一些傳播痕跡，表明過去有許多惡意應(yīng)用程序已部署到Google Play，但現(xiàn)已被刪除。

確定了多個第三方市場，這些市場與Google    Play不同，它們?nèi)匀煌泄軔阂鈶?yīng)用程序：

https://apkcombo[.]com    
https://apk[.]support/    
https://apkpure[.]com    
https://apkpourandroid[.]com     
   

幾乎每種惡意軟件部署案例中，攻擊者都試圖利用偽造用戶許可協(xié)議（EULA）創(chuàng)建Github開發(fā)帳戶。     

在調(diào)查中發(fā)現(xiàn)攻擊者上傳的初始版本不包含任何惡意有效負載，    但是后續(xù)版本中包含惡意有效負載或其他惡意代碼。     

基礎(chǔ)設(shè)施

在分析С2服務(wù)器基礎(chǔ)結(jié)構(gòu)時快速確定了多個與先前相似的域，但未鏈接到任何已知的惡意樣本。 

發(fā)現(xiàn)可以IP：188.166.203[.]57：

受害者分布

2016年開始觀察到印度，越南，孟加拉國，印度尼西亞等地的Android設(shè)備受到攻擊。

還在尼泊爾，緬甸和馬來西亞進行了多次偵查，南亞是該組織的最大目標地區(qū)。除了常見的誘餌應(yīng)用程序（例如Flash插件，清潔程序和更新程序）以外，還有專門針對越南的應(yīng)用程序。

關(guān)聯(lián)分析

研究人員分析了PhantomLance與OceanLotus APT活動的關(guān)聯(lián)。

OceanLotus Android

2019年5月，Antiy Labs發(fā)布了Android惡意軟件活動報告，聲稱該活動與OceanLotus APT有關(guān)，樣本最早追蹤可追溯到2014年12月。受此活動影響的大多數(shù)用戶位于越南，只有少數(shù)人位于中國。主要感染媒介是第三方網(wǎng)站上托管的惡意應(yīng)用程序鏈接，這些鏈接通過SMS或電子郵件進行分發(fā)。

最新惡意軟件下載發(fā)生在2017年12月，2018年觀察到少量活動，但從托管惡意軟件的數(shù)量和檢測數(shù)量來看，主要活動時間是在2014年末至2017年。

對報道中OceanLotus Android（MD5：0e7c2adda3bc65242a365ef72b91f3a8）和未混淆的（可能是開發(fā)人員版本）PhantomLance有效負載v3（MD5：243e2c6433833815f2ecc6640）進行了代碼結(jié)構(gòu)比較：    

OceanLotus macOS后門

對2018年初macOS有效負載（MD5：306d3ed0a7c899b5ef9d0e3c91f05193）進行分析，并將其與Android惡意軟件的代碼模式進行關(guān)聯(lián)比較。發(fā)現(xiàn)七個主要類別中有三個具有相同的名稱和相似的功能：“Converter”, “Packet” and “Parser”.    

相似性分析

大多數(shù)OceanLotus惡意軟件使用三臺不同C2服務(wù)器。     

攻擊者對越南十分感興趣，PhantomLance和OceanLotus的基礎(chǔ)設(shè)施存在重疊，Android與MacOS后門之間代碼存在相似性。

IOCs

PhantomLance

HEUR:Backdoor.AndroidOS.PhantomLance.*    

HEUR:Trojan-Dropper.AndroidOS.Dnolder.*

Android campaign linked to OceanLotus (2014-2017)

HEUR:Trojan.AndroidOS.Agent.eu    

HEUR:Trojan.AndroidOS.Agent.vg

HEUR:Trojan-Downloader.AndroidOS.Agent.gv

macOS campaign linked to OceanLotus

HEUR:Backdoor.OSX.OceanLotus.*    

MD5

PhantomLance malware

2e06bbc26611305b28b40349a600f95c    

b1990e19efaf88206f7bffe9df0d9419

7048d56d923e049ca7f3d97fb5ba9812

e648a2cc826707aec33208408b882e31

3285ae59877c6241200f784b62531694

8d5c64fdaae76bb74831c0543a7865c3

6bf9b834d841b13348851f2dc033773e

0d5c03da348dce513bf575545493f3e3

0e7c2adda3bc65242a365ef72b91f3a8

a795f662d10040728e916e1fd7570c1d

d23472f47833049034011cad68958b46

8b35b3956078fc28e5709c5439e4dcb0

af44bb0dd464680395230ade0d6414cd

65d399e6a77acf7e63ba771877f96f8e

79f06cb9281177a51278b2a33090c867

b107c35b4ca3e549bdf102de918749ba

83cd59e3ed1ba15f7a8cadfe9183e156

c399d93146f3d12feb32da23b75304ba

83c423c36ecda310375e8a1f4348a35e

94a3ca93f1500b5bd7fd020569e46589

54777021c34b0aed226145fde8424991

872a3dd2cd5e01633b57fa5b9ac4648d

243e2c6433815f2ecc204ada4821e7d6

PhantomLance payload-free versions

a330456d7ca25c88060dc158049f3298    

a097b8d49386c8aab0bb38bbfdf315b2

7285f44fa75c3c7a27bbb4870fc0cdca

b4706f171cf98742413d642b6ae728dc

8008bedaaebc1284b1b834c5fd9a7a71

0e7b59b601a1c7ecd6f2f54b5cd8416a

Android campaign 2014-2017

0e7c2adda3bc65242a365ef72b91f3a8    

50bfd62721b4f3813c2d20b59642f022

5079cb166df41233a1017d5e0150c17a

810ef71bb52ea5c3cfe58b8e003520dc

c630ab7b51f0c0fa38a4a0f45c793e24

ce5bae8714ddfca9eb3bb24ee60f042d

d61c18e577cfc046a6252775da12294f

fe15c0eacdbf5a46bc9b2af9c551f86a

07e01c2fa020724887fc39e5c97eccee

2e49775599942815ab84d9de13e338b3

315f8e3da94920248676b095786e26ad

641f0cc057e2ab43f5444c5547e80976

Domains and IP addresses

PhantomLance

mine.remaariegarcia[.]com    

egg.stralisemariegar[.]com

api.anaehler[.]com

cloud.anofrio[.]com

video.viodger[.]com

term.ursulapaulet[.]com

inc.graceneufville[.]com

log.osloger[.]biz

file.log4jv[.]info

news.sqllitlever[.]info

us.jaxonsorensen[.]club

staff.kristianfiedler[.]club

bit.catalinabonami[.]com

hr.halettebiermann[.]com

cyn.ettebiermahalet[.]com

Android campaign 2014-2017

mtk.baimind[.]com    

ming.chujong[.]com

mokkha.goongnam[.]com

ckoen.dmkatti[.]com

sadma.knrowz[.]com

itpk.mostmkru[.]com

aki.viperse[.]com

game2015[.]net

taiphanmemfacebookmoi[.]info

nhaccuatui.android.zyngacdn[.]com

quam.viperse[.]com

jang.goongnam[.]com

關(guān)于怎么進行PhantomLance多版本攻擊分析就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。