【天穹】案例:窃密APP无所遁形
/ / 点击 / 阅读耗时 11 分钟近年来,Android作为当前市场占有率最高的移动终端系统,一直遭受着网络攻击的威胁,恶意的APK文件层出不穷。为了更好地展示天穹沙箱分析Android样本的能力,本次报告中我们选择了近期的一个APK样本作为示例,详细介绍天穹沙箱对Android样本的分析能力。
一、样本基本信息
APP名称: iRecorder
包名: com.tsoft.app.iscreenrecorder
版本: 2.0
MD5: 98bb907d79beaa9aaece8d767d28ddb0
SHA1: c73affaf6a9372c12d995843cc98e2abc219f162
签名信息: countryName=US;stateOrProvinceName=California;localityName=Mountain View;organizationName=Google Inc.;organizationalUnitName=Android;commonName=Android;
二、分析报告
1、沙箱报告内容概述
沙箱报告内容主要由综合评价、静态分析内容和动态分析内容组成。
上图为样本的综合评价信息,可以直观地看到样本使用的分析环境信息、样本的评级和特征标签。例如,该样本在Android 7.1的分析环境进行分析并被判定为恶意样本,样本等级是危险。该样本的特征标签包括窃密木马等。
静态分析内容包括:样本详细信息、反射代码、URL字符串提取、组件信息、组件暴露检测、应用权限、ANDROID漏洞类目和静态行为类目。
动态分析内容包括:动态行为类目、行为逻辑关系图、运行过程截图、样本内容预览、分析衍生物、加密流量指纹、联网活动追踪和联网活动统计。
报告中展示该样本的窃密木马特征是命中了相关的C2域名信息,因此我们将从该样本的网络通讯流量着手进行分析。
2、实时流量分析
天穹Android沙箱近期上线了实时流量分析的功能,用户在上传样本界面点击高级选项,将代理开关打开并上传样本即可。在样本列表界面,对应样本会出现对应的功能按钮,点击该按钮即可进入实时流量分析界面。
在该样本的实时流量分析界面,我们能够看到该样本将设备的品牌、型号、设备ID、Fingerprint、厂商、系统版本等信息发送给了C2域名order.80876dd5.shop。并且接收到了服务端返回的agentPrivateKey、publicKey和status,其中status为available,表示该样本已和C2服务端建立通信。
3、样本运行过程截图
运行过程截图中记录了样本在沙箱中安装和运行的全过程。
4、行为分析
进一步地,我们结合该样本的代码分析其相关信息收集行为。相关代码如下图所示。
对应的主要行为分析结果如下图所示。
5、衍生物分析
天穹沙箱还能够提供衍生物提取功能,用来提取样本在运行过程中所生成的中间文件。该样本所生成的衍生物具体内容如下图所示。
通过对代码分析我们发现,该样本会把返回的agentPrivateKey和publicKey存储在本地的public_key.xml文件中。
相应地,我们在该样本的衍生物中也捕获到了该文件。
如下图所示,该样本会从public_key.xml文件中提取出agent_private_key和public_key来使用。
三、总结
天穹沙箱可以对Android样本进行快速、高效的全自动分析,分析内容涵盖了样本的静态信息,动态分析、运行衍生物和网络流量分析等,能够辅助分析人员快速进行Android样本的分析和鉴定。
四、 技术支持与反馈
星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们追求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。
天穹沙箱支持模拟14种CPU架构的虚拟机,环境数量50+,全面覆盖PC、服务器、智能终端、IoT设备的主流设备架构形态。在宿主机方面,除了Intel/AMD的x86架构CPU和CentOS操作系统之外,天穹沙箱支持海光、飞腾、鲲鹏等x86、ARM架构国产CPU和银河麒麟、中科方德等信创操作系统。
天穹沙箱系统以云沙箱、引擎输出、数据接口等多种形式服务于公司各个业务部门,包括天眼、终端安全、态势感知、ICG、锡安平台、安服等。
天穹内网地址(使用域账号登录):https://sandbox.qianxin-inc.cn
天穹公网地址(联系我们申请账号):https://sandbox.qianxin.com
【相关文章推荐】: