Automatisation de la récupération des Command and control et de la liste des victimes des botnets Anubis

Auteurs
Par
Kraft Romain
Spécialité(s)
Malware
Mobilité
Tag(s)
Android
botnet
sandbox
Injection
vulnérabilités


Résumé

Cet article présente un outil d’analyse d’applications Android simple et l’illustration de sa mise en œuvre dans le cadre de l’extraction de la liste des C&C et des victimes du botnet Anubis.


Les analyses de malwares Android dans le but de récupérer des IOC tels que les adresses des C&C accédés ou des informations relatives aux botnets s’avèrent rapidement fastidieuses et répétitives.

Cet article se propose de présenter dans un premier temps l’implémentation d’une sandbox simple permettant d’extraire des informations d’applications suspectes, puis dans une seconde partie d’automatiser la collecte des victimes d’un serveur de C&C Anubis.

1. Sandbox Android

Il existe plusieurs systèmes de sandbox Android commerciales et open source, nous allons voir une implémentation simple d’une sandbox qui regroupe plusieurs modules dans le but d’automatiser l’analyse d’un lot d’applications.

L’implémentation de la sandbox se divise en quatre parties, toutes orchestrées par un moteur écrit en python :

  • un émulateur (AVD) ou un appareil physique rooté ;
  • une instance mitmproxy ;
  • un script Frida permettant d’instrumenter les...
Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne
Références

[1] E. Vanderbéken, « Frida : le couteau suisse de l’analyse dynamique multiplateforme », MISC n°92, juillet 2017 : https://connect.ed-diamond.com/MISC/MISC-092/Frida-le-couteau-suisse-de-l-analyse-dynamique-multiplateforme

[2] Android Malware Sandbox : https://github.com/Areizen/Android-Malware-Sandbox

[3] Tim 'diff' Strazzere : https://github.com/strazzere/anti-emulator

[4] Mattia Vinci, Maurizio Agazzini : https://techblog.mediaservice.net/2018/11/universal-android-ssl-check-bypass-2/ 

[5] Mobile Malware Analysis Tricks used in Anubis : https://eybisi.run/Mobile-Malware-Analysis-Tricks-used-in-Anubis/

[6] Unpacking Anubis APK : https://sysopfb.github.io/malware,/reverse-engineering/2018/08/30/Unpacking-Anubis-APK.html

[7] Изучаем Anubis : https://xss.is/threads/33393/

Article suivant


Article rédigé par

Kraft Romain
Kraft Romain
1 articles

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous