共 2 篇相关文章
这篇讲的是对SlemBunk这款Android木马的深度剖析。作者从拿到样本开始,一步步拆解其设计精妙之处。木马的核心目标很明确:伪装成常用应用,骗取用户的信用卡敏感信息。 它实现持久化和隐蔽性的手段堪称一套组合拳。首先,它通过获取设备管理员权限、控制锁屏状态、隐藏自身图标,并设置开机自启及SD卡监听,确保自己牢牢驻留在用户手机中。更狡猾的是,它会实时监控当前运行的应用,只在用户使用特定目标应用时才弹出欺骗界面,极大增加了欺骗的成功率。 在信息窃取层面,SlemBunk不仅读取短信记录、电话号码和设备ID,还能通过高优先级的广播接收器,监听甚至拦截所有短信。木马通过短信下发“CC”指令,实现远控。整个流程从激活、隐藏到窃密、回传,环环相扣。这种设计既高效又隐蔽,也为后续的变种演化提供了一个技术蓝本。
这篇讲的是作者基于过往经验,总结的一系列针对在线沙箱检测的逃逸技巧。核心观点是:沙箱因其环境特征,反而可能暴露出独特的“指纹”,而绕过检测的关键在于识别并利用这些差异。 文章首先从进程检测入手,指出直接明文比对进程名(如vmtoolsd.exe)会触发监控,而用加密后的密文进行比对则是一种有效规避。接着,作者详细列举了多种沙箱指纹特征:例如特定的Windows ProductId(如Anubis沙箱的76487-640-1457236-23837)、有规律的ComputerName(如某些沙箱环境以“xiaochen”开头)、固定的内存大小(Anubis 128M、火眼512M),以及固定的样本路径(如Comodo沙箱的C:\TEST\sample.exe),这些在不同厂商间存在明显差异。 此外,文章还探讨了如何在不联网的情况下泄露沙箱数据,比如将文件内容写入注册表,或更巧妙地将二进制数据编码到图片像素中,利用沙箱截图功能来传递信息。最后,作者总结道,逃逸的核心思路在于找到“沙箱有的而别的机器却没有的”特征,以及开发“你有的而别人没有的”绕过方法,为攻防双方提供了具体的实战视角。
