2013年末，第一款安卓平臺(tái)Bootkit，Oldboot的出現(xiàn)，給安全廠商帶來(lái)了不少挑戰(zhàn)。在本屆SyScan360國(guó)際前瞻信息安全會(huì)議上，來(lái)自360公司陳章琪和申迪為大家?guī)?lái)Andriod平臺(tái)Bootkit高級(jí)攻擊技術(shù)。據(jù)申迪介紹，惡意文件全部存儲(chǔ)于ramdisk當(dāng)中，它需要root權(quán)限，無(wú)法借助文件系統(tǒng)直接刪除。第二，挑戰(zhàn)感染init.rc優(yōu)先起動(dòng)，它早于殺毒軟件啟動(dòng)。第三，它注入system_server，沒(méi)有APK程序。因?yàn)镺ldboot沒(méi)有做過(guò)任何的自我隱藏，它很好檢測(cè)，但難以清除。

[[116387]]

360公司申迪

[[116388]]

360公司陳章琪

可以預(yù)見(jiàn)，Android平臺(tái)惡意程序采用更早啟動(dòng)、更強(qiáng)的自我保護(hù)技術(shù)將成為一種趨勢(shì)。對(duì)此，申迪認(rèn)為安卓平臺(tái)木馬將有以下一系列變化：

◆模塊不再僅僅局限于Apk格式

◆反逆向工程

◆利用手機(jī)預(yù)裝或者內(nèi)核漏洞獲取root權(quán)限

◆試圖更早啟動(dòng)

◆更強(qiáng)的自我保護(hù)機(jī)制

◆更為隱蔽

面對(duì)如此嚴(yán)峻的形式，他表示：“我們希望做出比Oldboot更進(jìn)一步的東西，一個(gè)是我們希望動(dòng)態(tài)感染Boot分區(qū)，無(wú)需預(yù)裝到rom中。利用LKM系統(tǒng)加載內(nèi)核模塊，這是linux系統(tǒng)提供的加載模塊的內(nèi)容。在內(nèi)核當(dāng)中完成自己的隱藏和保護(hù)。”

此外，陳章琪還介紹一套強(qiáng)兼容性的內(nèi)核模塊加載技術(shù)，開(kāi)發(fā)內(nèi)核模塊并非易事，拿不到設(shè)備源代碼、內(nèi)核對(duì)模塊的檢查以及內(nèi)核版本差別都讓開(kāi)發(fā)內(nèi)核模塊十分困難。然而，采用繞過(guò)內(nèi)核檢查等手段，并通過(guò)隱藏bootkit蹤跡、驅(qū)動(dòng)模塊以及被感染的部分可以讓編譯出來(lái)的內(nèi)核模塊正常運(yùn)行。

最后，申迪通過(guò)視頻展示了內(nèi)核模塊加載的視頻，引起了與會(huì)者的極大興趣，并就bootkit攻擊技術(shù)、防御隱藏技術(shù)等問(wèn)題和與會(huì)者進(jìn)行了討論。

[[116389]]

視頻演示截圖1

視頻演示截圖2