记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

新版FinSpy政府间谍软件分析,曾涉及20个国家的iOS和Android用户

FinSpy是由德国Gamma Group公司制造的间谍软件,通过其在英国的子公司Gamma Group International向全球的政府和执法机构出售,被用于在各类平台上收集用户的私人信息。维基解密在2011年对用于桌面设备的FinSpy植入程序做了首次分析,次年分析了用于移动设备的FinSpy。从那时起,卡巴斯基开始不断检测到FinSpy在野新版本的出现。遥测数据显示,在过去的一年里,有几十种类型的移动设备都遭到过FinSpy的感染,而最近一次活动记录是在缅甸,于2019年6月发现。2018年年末,卡巴斯基研究了最新版本的FinSpy植入程序(于2018年年中时创建),主要是iOS和Android版
发布时间:2019-07-16 12:25 | 阅读:10421 | 评论:0 | 标签:移动安全 FinSpy Android iOS

如何在QEMU上执行iOS并启动一个交互式bash shell,内含整个安装流程并且提供了相关工具(二)

我们在上一篇文章中介绍如何在QEMU上执行iOS并启动一个交互式bash shell,在第这篇文章中,我们将详细介绍为实现这些目标所进行的一些具体的项目研究。本文的研究项目是以该项目为基础进行的,我们本次的目的是,在没有安全监控器的情况下,在不同的iPhone上启动版本略微不同的iOS内核,同时在运行时修补内核以使其启动,运行预先存在ramdisk映像以及没有交互式I/O的launchd 服务。在这篇文章中,我们将介绍:1.如何将代码作为新设备类型插入QEMU项目中。2.如何在不运行时或事先修补内核的情况下启动内核;3.如何在EL3中加载和执行安全监控器映像;4.如何添加新的静态信任缓存,以便可以执行自签名的可执行文件
发布时间:2019-07-16 12:25 | 阅读:10513 | 评论:0 | 标签:Web安全 iOS

Agent Smith手机恶意软件分析

概述2019年初,Check Point研究人员发现一起在印度攻击安卓用户的恶意软件活动——Agent Smith,其中使用了Janus漏洞。研究人员对样本进行初步分析发现,恶意软件可以隐藏app图标,并声称是Google相关的更新模块。进一步分析发现该应用是恶意的,并且与2016年4月发现的CopyCat恶意软件有相似之处。通过技术分析,研究人员发现完整的Agent Smith感染可以分为3个主要阶段:1. Dropper app引诱受害者安装。初始Dropper使用武器化的Feng Shui Bundle作为加密的assets文件。Dropper变种的功能一般是照相工具、游戏或性相关的app。2. Dropper自
发布时间:2019-07-15 12:25 | 阅读:8534 | 评论:0 | 标签:恶意软件 Agent Smith

数据安全专项检查,200款主流APP迎监管!

近日,工信部印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》(以下简称《方案》),以解决数据过度采集滥用、非法交易及用户数据泄露等数据安全问题。根据《方案》,今年10月底前将完成全部基础电信企业、50家重点互联网企业以及200款主流APP的数据安全检查。 持续推进APP数据安全专项行动 这是一次为期一年的提升网络数据安全保护能力专项行动,除了一些重点企业,主流的200种APP也成为了重要监管对象。事实上APP的数据问题已经被提到很多次了,层出不穷的APP数据泄露问题已经严重影响了用户的正常生活。 方案还指出,未来也将持续推进App违法违规收集使用个人信息专项治理行动,组织第三方评测机构开展App安全滚动式评测,对在网络数据安全和用户信息保护方面存在违法违规行为的App进行下架和公开曝光,而根据相关
发布时间:2019-07-12 18:15 | 阅读:18672 | 评论:0 | 标签:安全前沿 数据安全

如何在QEMU上执行iOS并启动一个交互式bash shell,内含整个安装流程并且提供了相关工具(一)

我们本次研究的目的是让iOS系统在无需事先或在启动过程中修复内核的情况下顺利启动,使用新模块扩展QEMU执行arm64 XNU系统的功能,并获得交互式bash shell。我们会在本文中介绍如何在QEMU上执行iOS并启动一个交互式bash shell。在第二篇文章中,我们将详细介绍为实现这些目标所进行的一些研究。在本次研究中,我们选择的iOS版本和设备是iOS 12.1和iPhone 6s Plus,因为与通常删除大多数符号的其他iOS内核映像相比,这个特定的iOS 12映像在内核映像中导出了许多符号。这带来了一些更大的挑战,因为它是一个使用安全监控器映像的非KTRR设备(Kernel Text Readonly R
发布时间:2019-07-10 12:25 | 阅读:15065 | 评论:0 | 标签:Web安全 bash shell iOS QEMU

对Apple Watch的取证分析(续)

在过去几年中,智能可穿戴设备的使用显著增加。2018年智能手表销量达1.41亿部,智能可穿戴设备销量同比增长近一倍。在激烈的市场竞争中,Apple Watch占据了主导地位,2018年可穿戴设备销量超过2250万台,占据了全球市场近一半的份额。从2015年开始,苹果总共生产了五种不同型号的WatchOS。WatchOS是一款基于iOS的可穿戴操作系统,专门为Apple Watch开发。2015年,希瑟•马力克(Heather Mahalik)和萨拉•爱德华兹(Sarah Edwards)对Apple Watch进行了初步的创新研究,该演示文稿可以在Sarah Edwards的GitHub账户上找到(PDF)。从那时起,
发布时间:2019-07-09 12:25 | 阅读:16762 | 评论:0 | 标签:Web安全 Apple Watch

VirtualAPP技术应用及安全分析报告

一、引言  VirtualApp(简称:VA)是一款运行于Android系统的沙盒引擎框架产品,可以理解为轻量级的“Android虚拟机”。VA具有免安装、多开、内外隔离及对于目标App完全控制的能力。VA从表现形式上属于动态加载,但是从技术本质上来说还是通过增加VAMS对启动Intent进行修改,拦截和代理Android系统消息,并且通过自定义的ClassLoader加载和构造未在VA的AndroidManifest.xml中声明的组件,以达到对目标App的控制效果。  在应用运行时通过动态加载消息代理技术,作为一项在Android系统上已经可以成熟使用的手段,除了在VA虚拟引擎框架中,目前也广泛应用在热更新、应用加壳和应用动态保护等功能中。正常使用VA虚拟引擎技术一般是为了实现轻量级版本快速迭代、功能更新、
发布时间:2019-07-08 11:15 | 阅读:16313 | 评论:0 | 标签:病毒播报

使用三星手机的童鞋们注意了!仿冒的三星固件升级APP已欺骗了一千多万安卓用户

超过1000万三星手机用户已经被骗安装了一款名为 "Updates for Samsung" 的仿冒的三星固件升级APP,在下载说明中,该应用会承诺用户,只要用户下载了它就会帮助他们更新手机固件。但实际上,诱骗用户下载后,它会将用户重定向到一个充满广告的网站,并对要升级的固件下载进行收费。CSIS安全集团的恶意软件分析师Aleksejs Kuprins今天在接受ZDNet采访时表示:我已经联系了谷歌Play商店,并要求他们考虑删除这个应用程序。该应用程序的幕后开发者很聪明,由于三星手机固件和操作系统的更新非常不便利,他们利用了用户贪图方便的心理,诱导用户下载,这也是为什么这个应用会在短时间内有如此多
发布时间:2019-07-06 12:25 | 阅读:26681 | 评论:0 | 标签:恶意软件 安卓

Apple TV和Apple Watch的取证分析

虽然iPhone是苹果的主要系列产品,但并不是该公司唯一生产的产品。比如苹果还有Mac(台式机和笔记本电脑)、平板电脑(iPad系列)、音乐设备(HomePod)、可穿戴设备(Apple Watch)和Apple TV。在今天的文章中,我们将讨论如何从Apple TV和Apple Watch中提取数据。它们确实包含大量有价值的数据,而且往往是唯一的信息来源。信息采集方法一般来说,苹果设备的数据提取方法只有三种。1.逻辑提取(备份、媒体文件、共享文件、崩溃日志和诊断日志)是最直接的方法,尽管有些限制。2.文件系统的获取,虽然对于某些特定的设备和操作系统版本来说,该方法有些困难但也是最先进的方法。3.从共享同一苹果ID的所
发布时间:2019-07-02 12:25 | 阅读:19711 | 评论:0 | 标签:Web安全 Apple 数据获取

Riltok手机银行木马分析

Riltok是一款使用标准功能和传播方法的手机银行木马。为了攻击欧洲用户,银行木马做了一些小的修改来适应欧洲市场(用户)。受害者中有90%位于俄罗斯,4%位于法国,还有意大利、乌克兰和英国等。Riltok银行木马的全球分布研究人员最早是在2018年3月检测到Riltok银行木马家族的。与其他银行木马类似,该银行木马伪装成俄罗斯的免费广告服务app。恶意软件是通过SMS在受感染的设备上传播的,传播的形式为“%USERNAME%, I’ll buy under a secure transaction. youlabuy[.]ru/7*****3”或“%USERNAME%, accept 25,000 on Youla y
发布时间:2019-06-27 12:25 | 阅读:35410 | 评论:0 | 标签:移动安全 Riltok

以中东地区军事数据为目标:移动网络间谍活动“Bouncing Golf”分析

概述近期,我们发现了针对中东地区国家的网络间谍活动。我们根据名为“golf”的软件包中的代码,将该恶意活动命名为“Bouncing Golf”。Trend Micro检测到其中包含的恶意软件名称为“AndroidOS_GolfSpy.HRX”,该恶意软件由于其广泛的网络间谍功能而闻名。恶意运营者使用合法的应用程序,将恶意代码嵌入到其中,再进行重新封装。我们对Bouncing Golf使用的命令和控制(C&C)服务器进行监控,到目前为止,我们已经观察到超过660台Android设备感染了GolfSpy。攻击者所窃取的大部分信息似乎都与军事有关。该恶意活动的攻击媒介也非常有趣。这些重新封装的恶意软件应用程序不会被投
发布时间:2019-06-21 17:25 | 阅读:76070 | 评论:0 | 标签:事件 Bouncing Golf 移动

WhatsApp缓冲区溢出漏洞

前言WhatsApp修补了一个在野外被利用的远程漏洞CVE-2019-3568,研究人员通过diff分析补丁,发现修补了一个整数溢出和缓冲区溢出漏洞。研究人员就在想攻击者会如何利用这个RCE漏洞长期对目标设备进行监听。最后发现,攻击者是通过漏洞获取App执行权限之后调用App中的代码执行WhatsApp Web功能,使得远端的Web浏览器对设备长期的监听。背景介绍最近,Zimperium在5月13日发布了一篇关于Facebook披露的一个WhatsApp漏洞的博文。据报道,这一漏洞已经在野外被利用,并被指定为CVE-2019-3568。Zimperium之前的一篇文章提供了一些关于该漏洞的初步信息,包括该漏洞对What
发布时间:2019-06-20 12:25 | 阅读:83473 | 评论:0 | 标签:漏洞 Whatsapp漏洞 溢出

开发一个基于Dalvik字节码的相似性检测引擎,比较同一款Android应用程序的不同版本之间的代码差异(二)

上文我们说过,《针对Dalvik字节码的相似性检测引擎,比较同一款Android应用程序的不同版本之间的代码差异》这篇文章计划分两个部分来讲解,上文只介绍了如何利用Quarkslab公司开发的diff引擎。本文我们将介绍一个用例:URl欺骗漏洞(CVE-2019-10875) ,另外还会介绍如何将Redex与diff工具相结合,检测被混淆处理的应用程序中到底发生了哪些修改?CVE-2019-10875漏洞及缓解措施的分析CVE-2019-10875漏洞介绍mint browser(薄荷浏览器)是小米专门为安卓手机用户设计的一款轻量级浏览器应用,这款软件内存很小,设计的十分简洁,但是该有的功能一应俱全,支持语音搜索,能够
发布时间:2019-06-19 12:25 | 阅读:88028 | 评论:0 | 标签:Web安全 Dalvik Android

开发一个基于Dalvik字节码的相似性检测引擎,比较同一款Android应用程序的不同版本之间的代码差异(一)

Dalvik是Google公司自己设计用于Android平台的虚拟机,Dalvik虚拟机是Google等厂商合作开发的Android移动设备平台的核心组成部分之一。它可以支持已转换为 .dex(即Dalvik Executable)格式的Java应用程序的运行,.dex格式是专为Dalvik设计的一种压缩格式,适合内存和处理器速度有限的系统。Dalvik 经过优化,允许在有限的内存中同时运行多个虚拟机的实例,并且 [1]  每一个Dalvik 应用作为一个独立的Linux 进程执行。独立的进程可以防止在虚拟机崩溃的时候所有程序都被关闭。很长时间以来,Dalvik虚拟机一直被用户指责为拖慢安卓系统运行速度不如I
发布时间:2019-06-17 12:25 | 阅读:97423 | 评论:0 | 标签:Web安全 Android Dalvik

使用QBDI分析Android原生库

使用 QBDI 分析 Android 原生库这篇博文讨论了 QBDI,以及如何使用 QBDI 来逆向一个安卓 JNI 库。引言在过去的几个月里,我们在 QBDI 中改进了对 ARM 的支持。更准确地说,我们增强了 QBDI 的引擎,以支持 Thumb 和 Thumb2 指令以及 Neno 寄存器。开发仍在进行中,与 x86-64支持相比,我们需要清理代码并添加非回归测试。为了添加 Thumb 和 Thumb2 支持,我们对著名的模糊处理器(如 Epona, O-LLVM 或 Arxan)进行了 DBI 测试,因为我们期待拥有良好的指令覆盖率、边角用例以及良好的用例。原生代码来自嵌入在不同 APK 中的 And
发布时间:2019-06-13 12:25 | 阅读:118940 | 评论:0 | 标签:移动安全 Android QBDI

后边界时代骤增的移动安全风险探析

在后边界的网络世界,无论是企业、员工还是网络犯罪分子,都有新的方式来逃脱企业网络防御,且这种情况越来越普遍。网络犯罪分子现在采用“移动优先”的方法来攻击企业。例如,上个月有5亿苹果iOS用户因为Chrome for iOS中的未修补的漏洞而被攻击。骗子设法劫持用户会话,并将流量重新引到植入了恶意软件的恶意网站。这样的攻击证明了利用移动设备的网络犯罪活动的广泛性和有效性。对于那些移动办公人员越来越多的企业而言,不断升级的移动攻击媒介极大地恶化了威胁形势,迫使企业要重新考虑其安全要求。1、持续增长的高度流动性企业在不断加强对移动办公的支持。根据《牛津经济学》2018年的一项调查,80%的受访者表示,如果没有移动设备,公司员
发布时间:2019-05-28 12:25 | 阅读:226111 | 评论:0 | 标签:移动安全 移动

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云