2014SyScan360——Android平台Bootkit高级攻击技术

2014SyScan360——Android平台Bootkit高级攻击技术

黑客专题访客2021-10-12 8:53:0011493A+A-

  2013年末,第一款安卓平台Bootkit,Oldboot的出现,给安全厂商带来了不少挑战。在本届SyScan360国际前瞻信息安全会议上,来自360公司陈章琪和申迪为大家带来Andriod平台Bootkit高级攻击技术。据申迪介绍,恶意文件全部存储于ramdisk当中,它需要root权限,无法借助文件系统直接删除。第二,挑战感染init.rc优先起动,它早于杀毒软件启动。第三,它注入system_server,没有APK程序。因为Oldboot没有做过任何的自我隐藏,它很好检测,但难以清除。

  可以预见,Android平台恶意程序采用更早启动、更强的自我保护技术将成为一种趋势。对此,申迪认为安卓平台木马将有以下一系列变化:

  模块不再仅仅局限于Apk格式

  反逆向工程

  利用手机预装或者内核漏洞获取root权限

  试图更早启动

  更强的自我保护机制

  更为隐蔽

  面对如此严峻的形式,他表示:“我们希望做出比Oldboot更进一步的东西,一个是我们希望动态感染Boot分区,无需预装到rom中。利用LKM系统加载内核模块,这是linux系统提供的加载模块的内容。在内核当中完成自己的隐藏和保护。”

  此外,陈章琪还介绍一套强兼容性的内核模块加载技术,开发内核模块并非易事,拿不到设备源代码、内核对模块的检查以及内核版本差别都让开发内核模块十分困难。然而,采用绕过内核检查等手段,并通过隐藏bootkit踪迹、驱动模块以及被感染的部分可以让编译出来的内核模块正常运行。

  最后,申迪通过视频展示了内核模块加载的视频,引起了与会者的极大兴趣,并就bootkit攻击技术、防御隐藏技术等问题和与会者进行了讨论。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 拥嬉二奴2022-05-27 18:53:34
  • 过内核检查等手段,并通过隐藏bootkit踪迹、驱动模块以及被感染的部分可以让编译出来的内核模块正常运行。  最后,申迪通过视频展示了内核模块加载的视频,引起了与会者的极大兴趣,并就bootkit
  • 晴枙拒梦2022-05-28 01:16:12
  • 全部存储于ramdisk当中,它需要root权限,无法借助文件系统直接删除。第二,挑战感染init.rc优先起动,它早于杀毒软件启动。第三,它注入system_server,没有APK程序。因为Oldboot没有做过任何的自我隐藏,它很好检测,但
  • 美咩清晓2022-05-27 18:15:27
  • t分区,无需预装到rom中。利用LKM系统加载内核模块,这是linux系统提供的加载模块的内容。在内核当中完成自己的隐藏和保护。”  此外,陈章琪还介绍一套强兼容性的内核模块加载技术,开发内核模块并非易事,拿不到设备源代码、内核对模块的检查以及内核版本差别都让开发内核模块十分困难。然而,采用绕

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理