2013年末，第一款安卓平臺Bootkit，Oldboot的出現(xiàn)，給安全廠商帶來了不少挑戰(zhàn)。在本屆SyScan360國際前瞻信息安全會議上，來自360公司陳章琪和申迪為大家?guī)鞟ndriod平臺Bootkit高級攻擊技術(shù)。據(jù)申迪介紹，惡意文件全部存儲于ramdisk當(dāng)中，它需要root權(quán)限，無法借助文件系統(tǒng)直接刪除。第二，挑戰(zhàn)感染init.rc優(yōu)先起動，它早于殺毒軟件啟動。第三，它注入system_server，沒有APK程序。因為Oldboot沒有做過任何的自我隱藏，它很好檢測，但難以清除。

[[116387]]

360公司申迪

[[116388]]

360公司陳章琪

可以預(yù)見，Android平臺惡意程序采用更早啟動、更強的自我保護技術(shù)將成為一種趨勢。對此，申迪認(rèn)為安卓平臺木馬將有以下一系列變化：

◆模塊不再僅僅局限于Apk格式

◆反逆向工程

◆利用手機預(yù)裝或者內(nèi)核漏洞獲取root權(quán)限

◆試圖更早啟動

◆更強的自我保護機制

◆更為隱蔽

面對如此嚴(yán)峻的形式，他表示：“我們希望做出比Oldboot更進一步的東西，一個是我們希望動態(tài)感染Boot分區(qū)，無需預(yù)裝到rom中。利用LKM系統(tǒng)加載內(nèi)核模塊，這是linux系統(tǒng)提供的加載模塊的內(nèi)容。在內(nèi)核當(dāng)中完成自己的隱藏和保護。”

此外，陳章琪還介紹一套強兼容性的內(nèi)核模塊加載技術(shù)，開發(fā)內(nèi)核模塊并非易事，拿不到設(shè)備源代碼、內(nèi)核對模塊的檢查以及內(nèi)核版本差別都讓開發(fā)內(nèi)核模塊十分困難。然而，采用繞過內(nèi)核檢查等手段，并通過隱藏bootkit蹤跡、驅(qū)動模塊以及被感染的部分可以讓編譯出來的內(nèi)核模塊正常運行。

最后，申迪通過視頻展示了內(nèi)核模塊加載的視頻，引起了與會者的極大興趣，并就bootkit攻擊技術(shù)、防御隱藏技術(shù)等問題和與會者進行了討論。

[[116389]]

視頻演示截圖1

視頻演示截圖2