Android安全

🗒️基于eBPF实现一个简单的隐蔽脱壳工具-eBPFDexDumper

Android安全
eBPF作为运行在内核的的一大追踪利器,其有着隐蔽性高,不需要重新编译内核或系统等优点。而在Android平台中,字节码主要在ART虚拟机中被执行,那么其实只需要追踪ART虚拟机执行过程中的一些关键函数即可被动的捕捉到DexFile,从而实现脱壳。因此实现此小Demo,旨在抛砖引玉。 该工具可作为FRIDA-DEXDump等被动式脱壳工具的替代,并且有着更好的隐蔽性,完全不需要PTRACE附加调试目标程序或注入动态链接库。但是由于eBPF的局限性,其无法替代FART等基于主动调用的脱壳工具。除此之外,对于代码抽取等情况并未实现,各位大佬有需要可以自行实现。
基于eBPF实现一个简单的隐蔽脱壳工具-eBPFDexDumper

Lazy loaded imageSystemUI As EvilPiP

Android安全
之前对Android 悬浮窗覆盖攻击(也属于Activity Hijack Attack(AHA)的一种)有了一个简单的了解,但是其利用较为困难,通常需要申请悬浮窗权限,并且并不是一个完整的攻击链条。 看到BlackHat2024的议题**SystemUI As EvilPiP: The Hijacking Attacks on Modern Mobile Devices**后决定沿着这条路继续学习,因此之后的内容大部分内容引用与改议题和参考1 中奇安信的报告。除此之外,在Bypass BAL一节中引入对新爆出画中画漏洞CVE-2024-34737 的说明。
SystemUI As EvilPiP

Lazy loaded imageAndroid 悬浮窗覆盖攻击

Android安全
点击劫持Tapjacking,是一种欺骗用户进行点击的攻击技术,可存在于任何操作系统和浏览器之中,尽管原理简单,对于普通用户危害却极大,是一种容易忽视的安全威胁。Android中的点击劫持原理如图1所示,当出现重要的、需要进行用户确认的安全对话框时,申请悬浮窗权限的恶意APP在受害APP之上进行部分覆盖,显示一个虚假的界面,隐藏了与安全相关的重要提示信息,但并未覆盖正常APP原有的按钮,诱骗用户进行错误地点击操作,点击事件结果最终传递到受害APP,造成严重的安全后果。
Android 悬浮窗覆盖攻击

Lazy loaded imageCVE-2024-31317 Zygote命令注入提权system分析

Android安全
编号CVE-2024-31317,该漏洞允许拥有WRITE_SECURE_SETTINGS权限的攻击者(该权限由ADB shell和某些特权应用持有)以任意应用的身份执行任意代码。通过这种方式,攻击者可以读取和写入任何应用的数据,更改大多数系统配置,取消注册或绕过移动设备管理等。这个漏洞的利用不涉及内存的破坏,这意味着它可以在几乎任何运行Android 9或更高版本的设备上不加修改地工作,并且在重启后仍然有效。
CVE-2024-31317 Zygote命令注入提权system分析

⚔️Uprobe及其对抗

Android安全
原文:https://blog.quarkslab.com/defeating-ebpf-uprobe-monitoring.html Uprobes(用户空间探针)是Linux内核的一个特性,它允许在任何用户空间程序的任何指令上设置钩子(hook)。文章介绍uprobe实现及其对抗手段
Uprobe及其对抗
123
LLeaves
LLeaves
Happy Hacking
公告