平航技术中心在对近期支撑的涉网案件特征进行总结时发现,涉案APP动态抓包地址中频繁出现如阿里云OSS、腾讯云COS、亚马逊S3等对象存储服务的请求地址,并且随后会跳转至其他地址。
图源:百度百科
为什么会出现这种情况?对象存储服务是什么?在其中承担了什么作用?它们又与后续请求的地址之间,存在哪些关联?
01
“对象存储服务”的作用
对象存储(如阿里云OSS、腾讯云COS等)因其高可用性、分布式架构和低成本的特点,是企业存储静态资源的主流选择。
然而在部分涉网案件中,犯罪分子们就借助了对象存储服务的技术特性,通过将对象存储服务地址嵌入涉诈APK 中,并将其请求的配置文件进行加密,隐藏主服务器地址(可能存在多个不同地址)。
因此,对加密的配置文件进行解密,成为了此类案件线索挖掘的关键环节。
02
APK样本实战分析
以某案APK文件为例,了解其运行流程。
2.1
APK 动态分析
通过平航应用逆向解析软件-AR200对目标APK进行动态分析。
经分析,APK采用多个对象存储服务轮询机制获取主服务器地址。查看对象存储服务响应包内容,为一加密字符串,后经分析为AES加密,解密后的内容则与APK请求的主服务器地址一致。
2.2
APK 静态分析
通过AR200的源码解析功能对APK进行反编译得到程序代码,在代码程序中找到请求的对象存储服务地址以及AES的偏移量和key值。
经技术验证,解密所得结果与涉诈APK动态分析中获取的主服务器地址一致。
2.3
实战思路
除上述参考的样本案例,在部分案件中,对象存储响应可能包含多个服务器地址,如果办案人员只关注抓包地址,会出现遗漏解密获取到的其它地址的情况。
因此,在获取到完整的地址信息后,即可对其进行更加完整的进一步分析和调证。
03
AR200 APP数据解密模块
平航应用逆向解析软件AR200针对此类情况,提出的更加高效的解密方案——APP数据解密模块,可对APP静、动态获取到的可解密数据进行自动解密,如主网站/服务器地址以加密的形式静态存在APK安装包资源文件或源码内,请求对象存储服务时响应包中的加密数据等。
模块能够自动识别数据加密方式。同时,依托预置密钥库,无需手动选择算法。
01
自动化解密
自动化流程,大幅降低技术门槛,如上述手工分析的APK样本,我们通过该模块一键式操作即可轻松获取解密结果。
02
多种加密方式适配
实现多类型自动解析,内置了涵盖主流加密算法的强大解密库,支持Base64、AES、DES、RSA等主流加密类型的解密,深度适配常见开发框架的加密逻辑。
产品功能已上线
试用权限可联系区域销售获取
技术支持与案件支持服务
也可联系平航官方获取
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...