远程监控的工具:spynote能做什么?
只要是做生意,都得讲究价值规律,黑市也不例外。某款产品要是搞打折促销,群众们必然蜂拥而至——要是免费大派送,那一传十十传百的速度又怎是门庭若市可形容!
安卓远程监控脚本木马工具SpyNote最近爆出免费发放了,虽然还没有被大规模的使用,但是黑客们的速度还是可以的,初入门道的黑客也可以下载这个远程植入你的手机了,还是那句话,安卓的手机们你们多点心眼吧。
最近Palo Alto Networks发现了一款面向大众免费派发的RAT(远程访问木马),名为SpyNote——这是个可对Android系统实现远程监听的工具,“和OmniRat和DroidJak很相似”。对那些技术不娴熟的脚本小子而言,想必又是个不可多得的好东西了。
SpyNote控制面板
SpyNote能做什么?
SpyNote实际上是用来创建Android恶意程序的工具,最近在不少恶意程序论坛传得特别火。它有一些相当吸引人的特性:
· 不需要获取系统的Root权限;
· 对通话进行监听;
· 窃取联系人和信息数据;
· 通过麦克风记录音;
· 恶意拨打电话;
· 安装恶意应用;
· 获取手机的IMEI码、WiFi MAC地址、无线网络运营商细节;
· 获取设备最新的GPS地理位置信息;
· 控制摄像头
听起来真是不错啊,都不需要Android系统做Root操作,真这么神?当然了,还是需要手机用户自己给予SpyNote这些权限才行,包括编辑短信、访问通话记录、联系人,以及修改、删除SD内容的权限——其实绝大部分用户看到这些权限请求都会毫不犹豫的点“下一步”或“允许”。
行为分析
Palo Alto对发现的SkyNote恶意程序样本进行了分析。YouTube上先前就已经有了Sky Note v2的使用视频——Palo Alto分析的恶意程序应该是完全按照视频教程来做的。相比教程,该恶意程序程序除了改动图标,所用的端口一模一样。
在进行这款SpyNote恶意程序的安装过后,程序首先会将自己的图标从手机上移除。另外,该应用并没有采用任何混淆机制。它还会与IP地址为141.255.147.193的C&C服务器进行TCP通讯,端口号2222,如下图所示。
用Cerbero profiler查看Dalvik字节码
SkyNote开启一个Socket连接
如上图所示,SpyNote在此Socket连接中,采用硬编码的SERVER_IP和SERVER_PORT值。不过用Android分析工具Androguard就可以做个extractor。
用上面的spynote.C2.py脚本对APK文件中的这些值进行解析,可得出下面这些代码。
复制代码
代码如下:
#!/usr/bin/python
import sys
from sys import argv
from androguard.core.bytecodes import apk
from androguard.core.bytecodes import dvm
#---------------------------------------------------
# _log : Prints out logs for debug purposes
#---------------------------------------------------
def _log(s):
print(s)
if __name__ == "__main__":
if (len(sys.argv) < 2):
_log("[+] Usage: %s [Path_to_apk]" % sys.argv[0])
sys.exit(0)
else:
a = apk.APK(argv[1])
d = dvm.DalvikVMFormat(a.get_dex())
for cls in d.get_classes():
#if 'Ldell/scream/application/MainActivity;'.lower() in cls.get_name().lower():
if 'dell/scream/application/MainActivity;'.lower() in cls.get_name().lower():
c2 = ""
port = ""
string = None
for method in cls.get_methods():
if method.name == '
for inst in method.get_instructions():
if inst.get_name() == 'const-string':
string = inst.get_output().split(',')[-1].strip(" '")
if inst.get_name() == 'iput-object':
if "SERVER_IP" in inst.get_output():
c2 = string
if "PORT" in inst.get_output():
port = string
if c2 and port:
break
server = ""
if port:
server = "{0}:{1}".format(c2, str(port))
else:
server = c2
_log('C&C: [ %s ]' % server)
虽说现在SpyNote似乎还并没有大规模被黑客们利用,但既然如今任何人都可以免费下载到SpyNote了 ,其广泛利用或许也只是时间问题。
还是需要告诫Android用户,不要随意安装来源不明的应用,虽然这个教训已经说了千百次了,况且对Android这样的操作系统,就算是中国人民看不见摸不着的Google Play Store都尚存不少恶意程序。用Android系统的同学还是要小心再小心!
脱壳教程 jdpack如何脱壳?
这是一个加壳软件,软件加壳后可以检测trw及sice,它的1 00版检测到trw或sice时只是提示,到了1 01版,检测到就会出现非法操作 未注册版好像没有时间限制,但是给软件加壳后每次运行就会提示 "Unregistered JDPack Thi
详情2018-01-19 09:35:00责编:llp 来源:驱动管家tibco ems服务器存在缓冲区溢出漏洞导致信息泄露
受影响系统:TIBCO Rendezvous < 8 1 0TIBCO EMS < 4 4 3TIBCO iProcess Engine 10 6 0 - 10 6 1不受影响系统:TIBCO Rendezvous 8 1 0TIBCO EMS 4 4 3描述:-------------------------------------------------------------------
详情2018-01-24 14:51:50责编:llp 来源:驱动管家缓冲区溢出攻击 编写缓冲区溢出漏洞利用程序
编写漏洞利用程序。在DIP(Dial-Up IP Protocol)程序的3 3 7o-uri(8 Feb 96)版本中,有一个缓冲区溢出漏洞。在一些Linux发布版本中这个程序是默认setuid。这个-l选项是有问题的。dip代码没有小心处理这个作为
详情2018-01-25 09:43:39责编:llp 来源:驱动管家搜索引擎使用技巧 如何用搜索引擎批量检测网站是否存在注入漏洞?
可是在最近2年,已经无法通过百度批量查找网站是否存在注入漏洞了。例如:我们要搜索所有网站后缀存在common asp?id=页面的时候就可以通过inurl:common asp?id=进行批量检测那些存在有注入SQL漏洞。见下图:通过如
详情2018-01-28 18:53:29责编:llp 来源:驱动管家ddos是什么?ddos攻击的原理
相比常规的渗透测试攻击来说,DDoS攻击比前者更具危害性,为什么这么说呢?因为发动一次大规模的DDoS攻击只需要拥有一定数量的僵尸网络即可,而完成一个渗透测试是需要长期及一定的技术水平才可以。而实施后者(D
详情2018-01-13 13:31:43责编:llp 来源:驱动管家怎么隐藏一句话木马?利用ntfs流隐藏你的一句话木马
这是利用NTFS流隐藏你的一句话小马,这方法,文件写入后,不容易给发现,隐藏性好!如下是ASP脚本的例子!NTFS流文件的内容如下
详情2018-01-19 12:30:40责编:llp 来源:驱动管家0day漏洞出现在aspcms企业建站系统上?0day漏洞怎么修复?
aspcms企业建站系统0day 2 0以上通杀2011-08-14 19:21aspcms开发的全新内核的开源企业建站系统,能够胜任企业多种建站需求,并且支持模版自定义、支持扩展插件等等,能够在短时间内完成企业建站。漏洞出现在 pl
详情2018-01-22 15:11:54责编:llp 来源:驱动管家电脑感染了恶意软件会出现哪些症状?
电脑就像人一样,也会出现生病的现象,在“生病”的时候也会出现一些症状,下面小编就为大家介绍电脑被恶意软件感染出现的一些症状吧。现在请你闭上眼睛,设想这样一个场景:你打开了你的电脑,然后不停地等啊等
详情2018-01-16 16:39:23责编:llp 来源:驱动管家什么是rootKit?怎么用rootKit进行管理员高级隐藏?
Rootkit是一个或者多个用于隐藏、控制一台计算机的工具包,该技术被越来越多地应用于一些恶意软件中。在基于Windows的系统中Rootkit更多地用于隐藏程序或进程,系统被注入Rootkit后就可以在不为用户察觉的情况下
详情2018-01-27 17:13:03责编:llp 来源:驱动管家工业控制系统有哪些潜在的风险?工业控制系统的安全防护设计
2010年10月发生在伊朗核电站的 "震网 "(Stuxnet)病毒,为工业生产控制系统安全敲响了警钟。现在,国内外生产企业都把工业控制系统安全防护建设提上了日程。本文在对工业控制系统特点和面临的安全风险进行分析的基
详情2018-01-24 17:20:14责编:llp 来源:驱动管家
- 墨迹天气空气质量怎么查看?墨迹天气空气质量查看方法
- 微盟是什么?微盟客户端要怎么使用?
- 随身wifi是什么?小米随身wifi的一些介绍
- 怎样才能安全地将戴尔笔记本d620拆机再装回去呢
- 如何解决在操作文件的时候系统提示无法删除文件:无法读源文件或磁盘
- 不小心把电脑系统自动的pdf打印机删掉了怎么找回
- 拆解vivo手机x20?vivo手机x20的内部结构图解
- 解锁手机需要怎么做?可以借鉴一下苹果6的指纹解锁教程
- 键盘上的win键是哪个?win键是用来做什么的?
- 云同步是什么意思?电脑文件怎样通过360实现云同步?
- windows密码怎么破解?这款密码清除软件可以轻松做到
- 下载好的酷狗音乐在哪儿?怎样快速在酷狗下载歌曲?
- 哔咔哔咔漫画好用吗?哔咔哔咔漫画怎么下载?
- 带你全面了解戴尔1200系列笔记本电脑
- 东芝m352笔记本电脑怎么样?东芝m352多少钱
- 电脑鼠标右键怎么添加取得管理员权限选项
- win7电脑宽带连接错误651是什么原因?怎么解决
- miui系统怎么提高流畅度?miui系统运行速度提高的方法
- 小米4发布会直播可以观看的网站有哪些?
- 无线ap是什么意思?无线ap的作用是什么?