中国网络渗透测试联盟

标题: 转载对小绵羊的轰炸APP逆向分析 [打印本页]

作者: admin 时间: 2022-7-8 21:25
标题: 转载对小绵羊的轰炸APP逆向分析

" G. K6 e% _ G8 P# K2 q 在网络上意外看到一款叫小绵羊的轰炸机APP，经过下载安装(这种未知风险的APP建议都在模拟器上去安装验证和分析功能，有安全风险问题模拟器删除即可)后确认，只要在APP界面的编辑框中输入手机号码，就可以进行对指定手机号码进行短信狂轰炸的效果的（已用自己测试号码验证过效果）。 + L5 r* ^( D, `

4 |1 G4 K/ y; ?+ t+ m vshapes= 9 l$ {6 e, d( k6 `

3 r7 h1 `) ~2 A P7 Q* F% @ 5 ?( {- u' y2 i" Y" m

, E `. t1 p8 e$ m1 u8 d X 下面就以开发者角度进行解析下这个APP的功能的实现原理。 " k7 ?" A& ]4 y9 d' n/ {

. H4 d+ f7 J" J$ K6 c! t! @ * [/ g6 Q- E; A' h) |! R1 J0 s8 i

/ b. L9 d0 D( [% I& ~ 基础信息 / {7 N$ ], n4 @5 S* V# z! c

" \! |2 \$ }/ C+ j4 e d 拿到APP的一般做法，就是先对这个APP进行查壳分析确认，决定是否删除卸载APP还是继续分析APP，还好通过查壳工具(通过识别APP中是否包含市面上的加固产品的特有的so文件特征)一分析这个小绵羊APP是没有加固保护的，这样对APP的分析门槛一下子就降低了。 : Y: ]6 F* E( U4 Z

' m' D s) T5 O& Q! u: ~ vshapes= ' p O5 I" l6 @

# C* u$ G2 V" ~5 X ( j2 }1 r; u1 c: j/ ~0 T. V1 b

4 D' x% G8 G5 r# c 通过使用jadx进行查看APP的整个组成结构和重点查看java功能代码，通过工具可以查看app主要有java代码 C++代码（so文件），资源数据，lua数据，签名信息组成的。 , P' E5 d# `6 k9 ? Q' F

$ `; Q9 a* G+ D" H vshapes= & E k5 H6 F+ ~+ G9 e1 t/ Z; s

6 O& w7 p1 `, L5 d6 c$ a " r3 h5 T% |% W, M9 d

) i2 q/ ?) h. D- o. T3 ? 通过jadx工具查看，该APP的Java层部分代码采用android studio自带的proguard插件，进行对个别的类名函数名称进行做混淆保护，虽然这种混淆强度并不强，但是还是有很多APP采用这种方式进行对java层保护。只因这种保护成本低，只需简单的进行配置下就可以达到混淆效果。 " e" i. A3 q, h

( ^+ C) Z% `0 T; _4 i4 r% Z vshapes= + y6 B* S) j0 V9 i* ^0 c' y5 ?* \

$ j& n7 i g, V+ W5 x . L* l/ w: l5 D E5 x; r {

0 A3 U7 E9 U# ]/ B' w8 M8 o. T 启动APP后，通过uiautomatorviewer(SDK中自带的分析控件的工具)工具进行分析该APP的界面控件信息，通过分析可以看到该APP的界面主要由1个EditText和3个Button控件组成的，也就是下面的截图信息。 6 z) w; e$ `$ I% [6 i% p

9 u, J3 A6 G/ N6 I vshapes= . a9 D0 ^/ Q4 Q3 `

3 g4 D4 ~& \1 Z: }+ M' L, Y, i) @; B , |8 W7 D6 n1 j/ x$ G* t" S9 O

3 `; T4 ^' e. @( ~ `/ B 下面是这个轰炸APP的界面背景颜色的设置，这个实现功能主要是以lua脚本方式进行实现的。 ' R/ |# n9 y F2 L8 A( T5 y7 u) u

( N6 a# i0 `# x4 F vshapes= 4 b. K0 _* s/ v+ V# h

- |5 ]6 z' c- K" R {& K 5 W8 Q+ W& S9 |, P1 D

1 g2 c9 ?, c1 D1 x8 w+ W - C" A2 B% P* N

& |% y- I3 i* J) Z: s 签名信息 2 A' [2 K* ~: s+ n9 x

1 H+ q! u* O6 {, ]0 W 通过这jadx工具，可以看到这个APP采用的是V1的签名方式，我们知道V1签名是android最早的数字证书签名，为了提高验证速度和覆盖度在android7.0的系统中引入V2的签名，为了实现密钥的轮转载android 9.0系统中引入V3的签名。 - `& q" \0 s! I/ @+ S

2 {( t1 Q% L2 v5 x# s 目前APP中大部分都是通过V1和V2签名相结合的。并且这个在签名过程中要保证按照V1到V2在到V3的签名顺序，因为V1签名的改动会修改到ZIP三大部分的内容，先使用V2签名再V1签名会破坏V2签名的完整性。 ; B- a1 B* j+ x: h

% f$ d. }& l! ^* `9 v+ S9 U 在android的app开发过程中，必须对app进行签名，不然过不了系统验证也就无法进行对app安装。 / \5 T8 u7 O$ H

/ x: e: Y1 `1 d: f3 N vshapes= ( C% l# a( z5 g) [# ?9 s4 c

7 H$ _' u1 T( [6 f/ s2 S! D1 t( t 8 i8 ^; B. N. a/ P# v2 W

" W& `: S K) U) J0 j" x6 }8 w android签名的数字证书的一般都是采用 X.509的国际标准。 # h, e9 z8 R- C0 S" C

2 J S6 z8 {# t/ N9 k) U 因X.509内容为第三方可信机构CA对公钥实施数字签名，故也叫公钥证书，数字证书在PKI体系中是一个表明身份的载体，除了用户的公钥，还包含用户公开的基本信息，如用户名、组织、邮箱等。 % f# O( }4 v' F) Z! d ?

1 `3 x/ }, M) g2 R! J3 F 下图是android studio工具中可以自己创建用于对APP签名的证书，可以看到它包含密码信息、用户名称、组织名称、地区名称、国家信息、省份信息、城市信息。 . ?6 \ n L8 v+ `

' c- g+ g! E. t vshapes= 9 e( d% v4 w. ~2 S

2 u' M4 B0 Q/ j . _" c6 o. A7 W3 l% z$ c1 f: {

# b( [( `' t; T% s0 }7 q3 X 同样也可以通过jadx工具，在META-INF目录下的CERT.SF文件中去查看确认签名信息，V1签名的主要关键字Created-By:, V2签名的X-Android-APK-Signed的关键字。 7 g& ^. X# F& a( e; Z

1 w, r( l* ]0 V- i vshapes= 1 _: t6 q- ~: }3 c0 p

+ J4 o! [7 m- I0 ]/ v/ Y I 、 ; F3 F" k- Y ]5 \ e

* C% V( f9 r0 E ' F0 a: [$ {* Y ?

" S0 d6 ^! D: Z1 q 权限信息 5 F! J% F. I# k

k) I2 W9 A8 j& j0 E, e 在这个AndroidManifest.xml文件中主要包含app中所需要的权限，四大组件信息，app包的相关信息（包名称、sdk目标版本、sdk最低版本等等） % G$ K( Y" j% o

( C, b. v- N# E0 B7 _9 y android的机制下想要读取相关的信息，都需要向用户申请权限，这个不仅符合android的安全机制，也符合目前国内的安全合规，同样也可以通过申请的权限信息了解APP的功能需求。 ' A0 q3 x, J d( |# q! ]

. F6 U% ^6 Z' \$ X- t* I3 w vshapes= 7 m! M/ b4 [9 ^, J7 c; p1 l

/ o. B1 `2 u# O7 a% t, } ( d! \4 j5 Y3 ?& d2 C/ O2 \

$ c7 t6 o7 a, }5 ^ 下面对这个APP的所有权限进行详解下： ( c+ X6 L' A- ^" j$ D3 J

6 [' @8 e2 m7 p8 Z0 N6 k+ } android.permission.INTERNET ：访问网络连接可能产生GPRS流量 3 j2 M E- w7 a6 n+ T& ^

1 T; `" e+ W0 t android.permission.ACCESS_NETWORK_STATE：获取网络信息状态，如当前的网络连接是否有效 , I3 _- e- G+ `

9 O! U; b; E$ P+ ]& f5 P android.permission.ACCESS_WIFI_STATE:获取当前WiFi接入的状态以及WLAN热点的信息 / \$ ]& z. p3 a( P

3 ~* Q, h* ?8 C, l3 V android.permission.WRITE_EXTERNAL_STORAGE：允许程序写入外部存储，如SD卡上写文件 ! s% E2 a) m( D9 R- d+ Z" S: ^7 v

) ^& z# D# u; r& X) \. L. b' Y android.permission.WRITE_SMS：允许应用程序写短信内容 . \0 y% G8 _( Z9 Y- F

5 S9 O0 E, l8 C- `7 k8 v. j android.permission.READ_SMS：允许应用程序读取短信内容 " I H( h; T6 H/ I5 a/ g

" M A; I7 W9 [7 x1 g android.permission.WRITE_SETTINGS:允许应用程序读取或写入系统设置 : v/ |, S) E+ p% ^

9 m* q( s$ y; ` android.permission.CLEAR_APP_CACHE：允许程序清除应用缓存 : a' u* i2 ?' b7 @0 U( Q

3 J. C4 P$ q) a: w; A: W" b6 ] android.permission.BLUETOOTH：允许程序连接配对过的蓝牙设备 ) Q$ U6 ]! Q" Y7 n4 Z4 z

) N8 P4 U0 y$ F1 i$ e T4 C android.permission.VIBRATE：允许振动 " v' t2 A' w: E; ]% K

- I7 s h' ^ U3 B# V android.permission.READ_LOGS：允许程序读取系统底层日志 0 L9 h8 \ L: I

# {" j: v/ c; r, Q, w Q) b android.permission.READ_FRAME_BUFFER：允许程序读取帧缓存用于屏幕截图 n! f/ C$ x7 I0 G" V& R

' }# s1 _3 W. t1 ^- a + t5 B- {* ?+ Y2 ?( C+ W, {

5 r$ Z7 }& q1 ~) E: A 功能信息 ; N; W% b! \) \7 R6 e# M

4 [9 [- y# |' B( G3 Q- {* |' `, A 9 V& L/ l# |2 O, u

6 F* S. N* W7 H5 a5 D4 @ 这个APP的主要功能都是在lua上实现的，从界面到轰炸功能都集成到lua上。 , n$ P6 c3 L3 B

/ {* s# y& t6 n8 t9 R! ^/ [+ `# P Lua是一门用标准C编写的动态脚本语言，如果希望在android上使用，则需要解决2个问题。 1 \5 t- I! O$ h

[$ w/ y1 G8 B- o; f8 Z1 o 1、需要用JNI为Lua的C库进行封装，这样才可能在Java中使用。 1 l6 R- O; t" \+ u* L, G4 L$ g+ k; U( L

9 S+ U7 d' w2 U+ _7 }$ [ 2、由于Android系统开发所特有的系统环境限制，Lua三方库的动态加载机制和lua脚本模块的导入机制将不能正常运行，需要进行特殊处理。 7 W2 l* `, H8 E* c

% z# r* k/ n6 L vshapes= " T' }4 G' S* Z3 O2 g

2 u$ P* Z9 d; }9 o- Y8 m0 b ; N2 K. c# P z3 `' W/ w1 \$ Q4 K

' X0 F/ Z6 s# m$ y& w& V' e 输入好手机号码后（不过这个输入都没做验证，随便输入数据都进行执行一遍功能），通过charles抓包工具进行抓取数据吧，可以很清晰的看到，点击轰炸后，马上执行发送406个网络数据包，这些数据主要集中在作者收集的406个各种类型网站进行发网络账号注册验证码信息的轰炸。 8 _8 ?+ G4 @ e: }% ?

4 {" @: o9 K7 M/ \& M! M) | vshapes= ) u5 b# Q" t9 H( C$ ~. x

+ Y+ H, z* S0 M" W; b ; }% {( I+ J' }: F

2 o# K; w( L2 X( X 在lua功能中，有对vpn的判断，通过简单判断获取当前网络状态，并且判断网络状态是否属于vpn的状态，如果属于vpn状态，那么就往storage的目录下写入时间点设定，并且强制关闭APP，当在启动APP的时候会先判断文件是否有写入判断禁入的信息，如果有就不让启动APP。其实破解这个验证很简单，直接将文件的禁入信息清空即可。 * m0 g/ N$ t9 A" M3 s

9 ?$ Z( h; `3 v1 L* W' M3 s( V+ N" g vshapes= # z+ e1 D, I% h8 D5 O$ E

- g' w% v0 H, x! ~% x 下图的这几个so是网络上lua和socket通用的so文件，并没有什么可研究价值。 ; j& C; u& s" b& V4 C+ H

/ v) f% k- j- _" | B4 p& N7 v vshapes= ( y2 v: K# J/ ~9 M, K1 y

. J! {: \1 e7 q. W 3 a( C) W! [1 C w* B$ \: O

5 b! u7 @+ u {& E3 v 通过分析libsocket.so这个so文件，可以确认采用的是luaSocket 3.0版本 : P/ w1 i" m0 S- K2 ~7 \

" h4 G+ U3 L8 w9 ?7 _" u6 } LuaSocket 它是 Lua 的网络模块库，它很方便地提供 TCP、UDP、DNS、FTP、HTTP、SMTP、MIME 等多种网络协议的访问操作。 N% q1 B) g1 a' D7 H2 N @

- n, [2 F! c) g5 G: |( ^& c 这个luasocke一部分是用 C 写的核心，提供对 TCP 和 UDP 传输层的访问支持。另外一部分是用 Lua 写的，负责应用功能的网络接口处理。 , e6 A" i5 u3 q1 v

* G* p% `' m! k3 d3 ^ 开源的luasocket代码可以参考学习下 # N9 u) m* M6 q- \& D

$ n. d( J4 i3 v6 q/ t4 H( U ? https://github.com/lunarmodules/luasocket ' b @7 b4 |& Z, }+ @

: F1 T, c C, d: y% x https://github.com/fengye/luasocket " } Q5 S2 G# l* c. X/ K

+ ^( p7 b5 M: t- D$ F. n; V, I$ Z : B2 n% M* O' j q4 y

3 B$ M: W% Y w1 ~/ L vshapes= 4 t/ }. y+ _ S( s

$ Y' p) v- c' p, R5 R; @4 H $ B& S x; s/ x1 a5 K& T) ~; I0 R

7 \' C) S. \( q k! |! T 7 Z* ^' x5 F& v0 E

, |3 T, s3 }( ~ 总结 ! F- A& P0 S7 K. x2 ~0 C

( ]" I- I- J5 d. z, X3 ^ 纵观整个轰炸APP的功能，分析这个APP都没有采取任何保护(加壳、反调试)就没有门槛了，基本也不需要涉及到脱壳、hook和动态调试这些操作，只要用几个(jadx、charles、ida、uiautomatorviewer)工具就可以将功能全部分析清楚。 , w4 g% N/ O* M7 a B

& B8 c( }$ e" Y2 R# |$ k7 l 感叹这个作者确实很用心的去做这个轰炸的功能，去收集了406个的各类型的网站进行手机注册功能。 ( y8 G& V {* a2 }6 T( B

7 i& W: j& l. ^8 f$ J! b 对于这种具有攻击性的APP还是要慎重下，免费APP功能的前提往往会有给APP植入后门或者病毒的存在。 , b. W; }$ @+ q; N5 D" h5 U8 ]

0 k+ M6 ]. ?# h% P 结束 # d' S6 |( g& Z

3 K2 V! f7 B3 {) }) ^ 【推荐阅读】 8 q p: A& c; S

- D! z, w7 s) I" L9 |' z 对吃鸡APP的分析 - I! @( X% u, t1 K

: }& A- W' F/ W4 i* w+ ]6 v 你需要了解的APP安全 6 s- M$ |. d. X& X) k& @

2 |# h2 m* {- J7 ?" I- `4 _! T) T 你需要了解的APP安全 9 ~2 h+ n. N& B5 Q8 I3 O3 N. ]! c

9 G8 G+ D' e/ H# x( e0 s) f 8 A. ~/ x, ]# }$ H3 z* ? R

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)