秒速时时彩

当前位置:秒速时时彩最新动态官方新闻

感染Android固件的Triada病毒沉渣泛起发布时间:2020-07-15 18:09

近来,在给很多客户的网络分析异常时,我们发现国际方向出现显著的异常流量。

秒速时时彩 异常流量的特点突出:

1. 以tzhnykj.com为根域名的DGA域名,目标端口集中在10301和10101等,访问量巨大;

2. 典型访问CGI例子为:

3. 并发会话多,通信流量少,通信类型上传为主,对很多的出口防火墙、网关设备形成了一定的冲击;

4. 数据协议以HTTP POST为主,协议特征显示使用的为安卓浏览器;

5。 统计过去两周来相关域名数量,6月22日之前一直维持30个,之后扩展为38个子域名;

6。 在7月6日12点之前,该域名组相对低迷稳定,之后则呈现明显爆发态势;

秒速时时彩 7. 在VirusTotal对其中访问量较大的域名进行统计,发现目前没有报告这个URL自身有问题,但是和它有通信的文件有清晰一致的病毒报告;

8。 当前VirusTotal跟踪到的相关域名为10个,但是我们观测到了多达38个,其他尚未被VirtusTotal标注;

9。 对排名第一的域名进行分析,追踪到唯一可疑的APK,VTI 报告为Triada病毒;

10。 查阅追溯病毒Triada历史,可以发现卡巴斯基2016年的报道,以及谷歌在2019年的报道:

引用:继俄罗斯安全公司卡巴斯基3年前首次公开报告之后,今天谷歌安全博客发文称通过他们的供应链已经确认部分Android设备的固件更新已经被感染,以便于黑客安装恶意程序。黑客利用名为“Triada”的恶意程序感染这些固件,卡巴斯基于2016年3月的官方博客中首次描述了这种恶意软件。

该恶意程序可以和众多命令、控制中心进行通信,并允许安装可用于发送垃圾邮件和显示广告的应用程序。2017年7月,反病毒厂商Dr Web发现Triada被内置到许多Android设备的固件中,其中包括Leagoo M5 Plus,Leagoo M8,Nomu S10和Nomu S20等等。而且由于该恶意程序属于操作系统本身,因此无法轻松删除。

谷歌在博文中写道:Triada的创建者通过垃圾应用上显示的广告来牟利。和其他同类恶意软件相比,Triada更加复杂且不常见。Triada是从rooting trojans木马发展而来的,但随着Google Play Protect对防御这种攻击的增强,Triada恶意程序被迫转型以系统镜像后门方式进行感染。但是,由于OEM合作和我们的推广工作,原始设备制造商准备了系统映像,其安全更新消除了Triada感染。

11。 除去阿里的杀毒引擎, 国内安全公司普遍不识别这个严重的固件病毒:

更为有趣的是,最早发现的卡巴斯基也失去了对这个病毒更新的追踪。

 

 

至此,可以有如下初步结论:

1。 这组域名是可以感染Andoid手机固件的Triada病毒的最新变种的部分IoC,且正处在快速扩展周期,感染数量剧增。该恶意程序可以和众多命令、控制中心进行通信,并允许安装新的攻击模块,且进行云端升级。

2。 从我们观察到感染数量和分布广泛程度来看,它已经形成了较大的危害,具体覆盖数量需要权威部门给出。

3. 从挂载香港服务器和常用的一些手法观察,这是国内黑产组织的系统性攻击,值得引起安全公司和主管部门重视,在进入僵尸网络利用末期演化为DDoS甚至勒索行为之前尽快剿灭。

4. 对普通用户而言,如果在今日之前的网络访问日志历史中,观察到了tzhnykj.com后缀的URL访问,说明手中的Android手机已经被人远程控制,暂时只能通过刷原厂固件解决,进一步的本机杀毒需要更多国内杀毒厂商更新他们的病毒引擎。


 

 

在我们公布这个提醒之后,Triada一定会切换为新的IoC,更进一步的分析和处置,请大家静待专业安全公司的报告。

在此之前,发现被攻击了,能刷机刷机,不能刷机的,手机就扔了吧!

 

 

神兽路由购买链接:

 

 

 

 

更多精彩:

 

北京快乐8走势图 福建快3开奖 极速快三计划 安徽快3计划 秒速时时彩平台 凤凰平台app下载 秒速时时彩 山东群英会 秒速时时彩开户 秒速时时彩玩法