时时勤拂拭,勿使惹尘埃

TOC

Categories

iOS/Malware(二)biige间谍件分析



一、背景

功能:

二、样本分析

2.1 样本结构

md5: 8160F98496F55B4A409FF01D19AB10CE
(vt无捕获)
原始文件名:com.biige.monitor_1.9.deb
bundle id:com.biige.monitor
(获取cyida程序deb包方式:4.获取cydia安装的deb包)
deb包解开除了deb安装配置文件,就只有一个ipa包,无cydia动态库文件:
ipa包结构:

2.2 deb安装&启动流程

该样本只有preinst和postinst两个deb安装控制文件
 /Applications/BiiGe.app则会直接释放到手机/Applications/BiiGe.app文件夹中

2.2.1 preinst:

安装前执行,为正在被升级的包停止相关服务,直到升级或安装完成。无太多实际作用。

2.2.2 postinst

安装完成后执行,主要用于执行. /Applications/BiiGe.app/Add.sh脚本

2.2.3 Add.sh脚本

1、复制/Applications/BiiGe.app/BiiGe到/usr/libexec/.7BE54963-4D75-4CC2-B342-7496B668F8A5/7BE54963-4D75-4CC2-B342-7496B668F8A5
     chmod 6555 ,-r-sr-sr-x
     s:文件属主和组设置SUID和GUID,文件在被设置了s权限后将以root身份执行,但需要有x权限。
2、复制/Applications/BiiGe.app/Settings.plist到/usr/libexec/.7BE54963-4D75-4CC2-B342-7496B668F8A5/Settings.plist.DEFAULT
     chmod 644,-rw-r--r–
3、复制/Applications/BiiGe.app/SettingsLanguage_*.plist到/usr/libexec/.7BE54963-4D75-4CC2-B342-7496B668F8A5文件夹下
     chmod 444,-r--r--r--
4、复制/Applications/BiiGe.app/Event.db到/usr/libexec/.7BE54963-4D75-4CC2-B342-7496B668F8A5/Event.db.DEFAULT
     chmod 666,-rw-rw-rw-
5、复制/Applications/BiiGe.app/BiiGe.sh到/usr/libexec/.7BE54963-4D75-4CC2-B342-7496B668F8A5/7BE54963-4D75-4CC2-B342-7496B668F8A5.sh
     chmod 555 ,-r-xr-xr-x
6、复制/Applications/BiiGe.app/Remove.sh到/usr/libexec/.7BE54963-4D75-4CC2-B342-7496B668F8A5/Remove.sh
      chmod 555 ,-r-xr-xr-x     
7、复制/Applications/BiiGe.app/com.biige.BiiGe.Launch.plist到/System/Library/LaunchDaemons/com.biige.BiiGe.Launch.plist
     chmod 444,-r--r--r--
8、launchctl load /System/Library/LaunchDaemons/com.biige.BiiGe.Launch.plist
     用于设置开机加载com.biige.BiiGe.Launch.plist中指定文件,即/usr/libexec/.7BE54963-4D75-4CC2-B342-7496B668F8A5/7BE54963-4D75-4CC2-B342-7496B668F8A5.sh

2.2.4 开机启动脚本

该脚本为/usr/libexec/.7BE54963-4D75-4CC2-B342-7496B668F8A5/7BE54963-4D75-4CC2-B342-7496B668F8A5.sh
即/Applications/BiiGe.app/BiiGe.sh
里面只有一条指令:
exec /usr/libexec/.7BE54963-4D75-4CC2-B342-7496B668F8A5/7BE54963-4D75-4CC2-B342-7496B668F8A5 daemon
启动/usr/libexec/.7BE54963-4D75-4CC2-B342-7496B668F8A5/7BE54963-4D75-4CC2-B342-7496B668F8A5为守护进程
即/Applications/BiiGe.app/BiiGe文件

2.3 详细分析

2.3.1 动态分析

样本运行要求输入密钥激活,不激活则无法使用
/Applications/BiiGe.app/BiiGe文件已开机启动为守护进程,且以root用户执行:

2.3.2 静态分析

1、获取通讯录

/private/var/mobile/Library/AddressBook/AddressBook.sqlitedb

2、获取通话记录

/var/wireless/Library/CallHistory/call_history.db

3、获取短信记录

/private/var/mobile/Library/SMS/sms.db

4、发送短信

5、获取设备ip

通过访问在线网站获取手机ip
www.whatismyip.com/automation/n09230945.asp

6、获取位置信息

调用CLLocationManager类来获取地理位置
kCLLocationAccurayBest为设备使用电池供电时候最高的精度  
kCLDistanceFilterNone用于设置监控时间间隔

7、设置飞行模式

8、执行指令:

指令大部分都是用于卸载时使用
1、/usr/sbin/sysctl -w security.mac.proc_enforce=0 security.mac.vnode_enforce=0
设置禁用签名检查,不适用于>=iOS 4.3,之后该参数为只读
2、Remove.sh
app文件夹下得Remove.sh脚本,用来删除卸载biige间谍件
3、/usr/bin/uicache
主页重新存取一次,一般用来修复越狱后消失得图标
4、/sbin/reboot
重启系统
5、launchctl submit -l com.biige.BiiGe.Remove -p
将Remove.sh提交为launchctl服务
6、/usr/bin/killall -v BiiGe
结束biige进程

9、关键url

%@皆为需要上传得参数
1、getControlManagementUrl
用于远控管理
https://control.biige.com/SM-E?PV=%@&T=%@
2、getEventManagementUrl
https://event.biige.com/SM-E?PV=%@&T=%@
3、getEventUploadUrl
用于上传事件
https://event.biige.com/SE-A?PV=%@&K=%@&I=%@&E=%@&C=%@&TS=%@&ET=%@&TL=%@&OF=%@
4、getEventUploadArrayUrl
用于上传数据
https://event.biige.com/SE-AAJ?PV=%@&K=%@&I=%@&E=%@&C=%@&G=%@
5、getLicenseManagementUrl
用于license验证
https://license.biige.com/SM-E?PV=%@&T=%@

10、Setting

设置参数保存在Setting.plist和Setting.plist.DEFAULT,主要是系统语言,电话、短信、位置监控开关,监控时间间隔等

11、保存数据

将获取到得数据保存在Event.db.DEFAULT文件,方便用于上传
其db结构如下,admin为上传记录,最后电话、短信捕获时间
其他则是通话、位置、短信记录

2.3.3 小结

该样本为商业间谍,需要激活码激活才能正常使用,越狱后通过cydia安装,开机自启动,定时监控短信、电话、地理位置等信息并上传到服务器,还可以通过远程管理设置监控状态,功能比Android平台版本少很多。

0 评论:

发表评论