2014SyScan360——Android平臺Bootkit高級攻擊技術
責編:admin |2014-07-17 19:08:592013年末,第一款安卓平臺Bootkit,Oldboot的出現,給安全廠商帶來了不少挑戰。在本屆SyScan360國際前瞻信息安全會議上,來自360公司陳章琪和申迪為大家帶來Andriod平臺Bootkit高級攻擊技術。據申迪介紹,惡意文件全部存儲于ramdisk當中,它需要root權限,無法借助文件系統直接刪除。第二,挑戰感染init.rc優先起動,它早于殺毒軟件啟動。第三,它注入system_server,沒有APK程序。因為Oldboot沒有做過任何的自我隱藏,它很好檢測,但難以清除。
可以預見,Android平臺惡意程序采用更早啟動、更強的自我保護技術將成為一種趨勢。對此,申迪認為安卓平臺木馬將有以下一系列變化:
模塊不再僅僅局限于Apk格式
反逆向工程
利用手機預裝或者內核漏洞獲取root權限
試圖更早啟動
更強的自我保護機制
更為隱蔽
面對如此嚴峻的形式,他表示:“我們希望做出比Oldboot更進一步的東西,一個是我們希望動態感染Boot分區,無需預裝到rom中。利用LKM系統加載內核模塊,這是linux系統提供的加載模塊的內容。在內核當中完成自己的隱藏和保護。”
此外,陳章琪還介紹一套強兼容性的內核模塊加載技術,開發內核模塊并非易事,拿不到設備源代碼、內核對模塊的檢查以及內核版本差別都讓開發內核模塊十分困難。然而,采用繞過內核檢查等手段,并通過隱藏bootkit蹤跡、驅動模塊以及被感染的部分可以讓編譯出來的內核模塊正常運行。
最后,申迪通過視頻展示了內核模塊加載的視頻,引起了與會者的極大興趣,并就bootkit攻擊技術、防御隱藏技術等問題和與會者進行了討論。
下一篇:核心技術之失 網絡安全之殤