-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2024-02-16
- 在线时间18416小时
-
- 发帖770867
- 搜Ta的帖子
- 精华0
- 飞翔币207694
- 威望215657
- 飞扬币2511641
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 770867
- 飞翔币
- 207694
- 威望
- 215657
- 飞扬币
- 2511641
- 信誉值
- 8
|
前几天朋友给了一份apk木马让我分析看看直接放到dex2jar里面跑一下简单信息CBRCVer:1.0(1)Package:com.sbr.chidi7.bvd1SDKVer:8TargetSDKVer:Support-Screens:small normal large发现所有变量都采用了加密 然后找了一下发现了解密方法 [Java] 纯文本查看 复制代码?[tr=none] 01 02 03 04 05 06 07 08 09 10 11 private static byte[] decode(byte[] paramArrayOfbyte, String paramString) { try { SecretKeySpec secretKeySpec = new SecretKeySpec(paramString.getBytes(), "AES"); Cipher cipher = Cipher.getInstance("AES"); cipher.init(2, secretKeySpec); return cipher.doFinal(paramArrayOfbyte); } catch (Exception exception) { exception.printStackTrace(); return null; } }发现是ase加密 需要找一下解密密钥globalPass 往上翻了翻找到了 又发现密钥使用了encodeToMD516加密[Java] 纯文本查看 复制代码?[tr=none] 1 2 3 private static String encodePass(String paramString) { return encodeToMD516(paramString).toLowerCase(); }往下查找encodeToMD51[Java] 纯文本查看 复制代码?[tr=none] 1 2 3 public static String encodeToMD516(String paramString) { return encodeToMD5(paramString).substring(8, 24); }发现密钥是md5加密取8到24位16字符b768e64a0bb611cf他的解密过程就是ScKit-311005e8a0ecf5f58652705a6816d825d1d0c2094d678ea7f476850d379475b8f2c69841aaa8ce2d7085ab17f7613b79取红色区域然后使用ase-ecb解密 加密的变量太多,一个一个跑太慢 ,直接上fd抓包发现了两条通信网址1. 浏览器访问是一个钓鱼界面2. 每秒都在请求浏览器访问报错[Java] 纯文本查看 复制代码?[tr=none] 01 02 03 04 05 06 07 08 09 10 org.springframework.web.util.NestedServletException: Request processing failed; nested exception is java.lang.NullPointerException org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:973) org.springframework.web.servlet.FrameworkServlet.doGet(FrameworkServlet.java:852) javax.servlet.http.HttpServlet.service(HttpServlet.java:624) org.springframework.web.servlet.FrameworkServlet.service(FrameworkServlet.java:837) javax.servlet.http.HttpServlet.service(HttpServlet.java:731) org.apache.tomcat.websocket.server.WsFilter.doFilter(WsFilter.java:52) org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:88) org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)root cause然后我又跑回去解密变量看看有啥发现,一点有用的信息都没有,唯一的一点发现里面信息提示都是繁体字至此app分析到此,没有任何头绪,然后换了思路搜索一下/WebMobileD1/phoneajax/index.do url找到了https://www.52pojie.cn/thread-1160084-1-1.html这个帖子看了一下 发现跟我这个木马是一个家族只不过更新了一下混淆+加密变量我就不在重复一遍这个木马的危害性了。然后有了服务器ip地址该做什么了?当然搞他了。那就是下篇文章的内容了发送点彩蛋 从后台来看远比帖子分析的更严重,他会替换你通信录联系方式
|
