查看原文
其他

分享丨秘密安装手机木马窃取情报案件侦破纪实

The following article is from 信息时代的犯罪侦查 Author Pieces0310

来源:信息时代的犯罪侦查感谢原作者:Pieces0310

编者注

现在人依赖手机处理一切日常事务,所有重要信息都汇聚其中,一旦安装了恶意App,就像开门揖盗,毫不设防,个人信息任人取用。针对以下相关案例进行取证,不论嫌疑犯如何毁灭证据,总能从备份这个层面去寻找突破口,最终找出关键证据,顺利将其绳之以法。

话说Tornado公司近年来并不平静,又是接班人选问题,又是经营权之争,一波未平一波又起,之前的诸多纷争好不容易暂告一段落。但近几个月以来,业界屡传出不利于Tornado公司的风声,直指该企业的核心技术等营业秘密已外流至竞争对手阵营。

 

人心惶惶个个都有嫌疑

在一次高层干部会议上,总裁宣布为了查明是否真有营业秘密已遭到外泄的情况,决定向警方报案,同时责成核心小组成员全力配合警方调查。据知情人士透露,Tornado公司竟连核心小组的秘密会议所讨论的内容也遭外流,不禁令人怀疑是否为有心人士联合内鬼,企图窃取机密或是想要搞垮整个公司。 

在调查过程中,针对抓内鬼的部分,Tornado公司提供了一份名单,包括了在职员工以及离职员工在内,希望警方能够快速锁定可疑对象。

然而,警方在初步对相关人员的电脑及手机进行取证分析之后,暂时排除了名单当中成员涉案的可能性。

由于未能有突破性的进展,案情犹如陷入十里迷雾之中,令总裁感到忧心不已,核心小组里的这几个人都是总裁最为信任的人,不可能会是出卖公司的内鬼。此时,总裁的脑海里突然闪过一幕情节,他忆及有几回曾让IT人员帮忙修手机,难不成会是在那样的情况下被动了手脚? 

 

毫无头绪先从手机着手

经向警方表明上述情况后,专案调查小组火速将Tornado公司总裁和核心小组成员的手机,送至实验室进行鉴识分析。鉴识人员R决定先从总裁所使用的手机下手,为了确保资料安全起见,R在讯号完全遮蔽的情况下,关闭了与远端搜寻装置的相关功能,避免资料有遭到远端抹除的风险。 

而为了进一步理清该手机内是否有恶意App潜伏其中,首先要让该手机启用Wi-Fi连向所准备好的热点,以进行封包提取,并同时察看手机中运行程序的即时连线状况。 

在经历一段时间的观察之后,R留意到一个名称怪异的程序,其Process ID为9583,如图1所示。 

▲图1 发现一个名称怪异的程序

R根据程序名称中的关键字,查找手机中所安装的App,确有一个Package Name与那个怪异程序名称完全相符的App存在其中(如图2底线部分所示)。进一步查询此App所在的路径,并将其apk安装文件自手机中提取出来以进行分析,操作步骤如图2所示。 

▲图2 将apk安装档自手机中提取出来进行分析


可疑App资料随意存取

当对此apk档进行分析时,查看其所具备的权限列表(图3),映入眼帘的权限之多着实令R感到吃惊不已。一旦将此apk安装在手机内,此App将能够在使用者浑然不觉的情况下存取所有资料,包括通讯录、简讯、行事历、地理位置信息等等重要信息在内,甚至还具备可以在背景进行周围环境录音的能力。对于这个可以暗中收集使用者敏感性资料而不易被察觉的App,R给了它一个代号“Z”。 

▲图3 查看apk档所具备的权限列表

R接着将“Z”储存在手机中的整个资料夹汇出,仔细查看里头的各类型档案,尤其是资料库档案,当中可能会储存所收集到的各种敏感性资料。果不其然,R在一个资料库档案中发现了如图4所示的网页浏览纪录。 

▲图4 找到网页浏览记录

不光是这样而已,还包括LINE的聊天记录也是,存在一个名为Linelogs的Table之中,如图5所示,显见“Z”亦有侧录(类似旁路复制)LINE聊天纪录的能力。 

▲图5 在一个名为Linelogs的Table内发现了LINE的聊天记录

与此同时,警方来到Thomas住处进行搜索,这位Thomas就是总裁印象中曾将手机交予进行故障排除及维修的那位IT人员。Thomas显然对警方的到来感到有些意外,表情及眼神透着一丝的不安,警方自其住处扣得笔记本电脑及手机后一同带回警局。 


抽丝剥茧笔记本电脑找寻线索

R在查看Thomas的笔记本电脑时,在对各项痕迹进行分析之后,从邮件中得到了重要的线索。如图6所示,这是一封提供帐号、密码及登入网址的邮件,光从名称难以判断它是与何种服务有关联,但从其内包含了“Monitor”的敏感字眼,可合理推论其与案情应有高度相关。 

▲图6 找到一封提供帐号、密码及登入网址的邮件

R在以该封邮件中所提供的信息登录后,赫然发现这便是可以检视“Z”所收集到之资料的后台,如图7的仪表板所示。 

▲图7 发现可以检视“Z”所收集到之资料的后台

换言之,只要将“Z”安装在使用者的手机内,再通过以浏览器登入后台的方式,便可以对被监控对象的一举一动了若指掌了。 

R接着查看后台中记录了哪些重要信息,果然如同“Z”的权限列表中所呈现的,确能收集使用者的地理位置信息,如图8所示。 

▲图8 找到所收集的地理位置信息

R在核对过后台中所记录的信息,与总裁手机中的信息相符后,已几乎可断定Thomas的犯罪手法是,将“Z”偷偷安装在总裁的手机中,令其以系统服务的形式偷偷窃取资料,且自动上传至后台。对照手机的网路连线状况,亦可得知有对此后台的IP位址进行加密传输,如图9所示。 

▲图9 对后台的IP位址进行加密传输

在警方向Thomas出示相关证据后,Thomas表示他确有偷偷安装监控App在总裁手机之中,但只是因为好玩才试一下,自已不曾登入后台,更不曾将登入后台的账号密码交予其他人。 

警方对其供词抱持高度怀疑,从Thomas的银行帐户连续好几个月陆续有大笔不明资金转入的情况研判,此种对价关系非比寻常,不排除是Thomas将自后台所收集到的重要情报,转售给Tornado公司的竞争对手而得到的报酬。 

R针对Thomas的手机进行取证,发现相当的“干净”,在其使用的聊天软件LINE中竟然看不到几笔聊天记录。Thomas供称是最近才刚换新手机,且没有处理好资料移转之故,导致很多资料都不见了。 

此一说词完全无法令人信服,这摆明了应是Thomas努力灭证所致,至于旧手机如今在何处,Thomas依旧说词反覆,一会儿说回收掉了,一会儿说上网拍卖了,但就是说不出个所以然来,R研判旧手机应是已遭到Thomas刻意灭证毁弃。同样的情况亦发生在Thomas的笔记本电脑,取证团队未能再发现其他与案情相关的迹证,警方专案小组内部也传出打算就此结案的风声。 

 

结案在即加快办案步伐

眼看着嫌疑犯Thomas可能因其处心积虑地进行灭证而能安全下庄之际,R仍不打算就此放弃,他尝试着查找有无手机的备份资料存在于嫌疑犯的笔记本电脑内,这样的思路是基于人性及使用习惯而生的,一般人对于手机资料往往是很怕遗失的,因此通常会善用各种备份机制以确保手机资料安全。

如此一来,往往会造成连到底用了几种类型的备份?共备了几份?存放在哪里?连使用者自已都搞不清楚。果不其然,在Thomas的笔记本电脑中有一个完整文件名为“msgstore.db.crypt12”的文件引起了R的注意,至于它是跟什么有关联的文件,R已了然于胸,这有可能就是破案的重要关键线索。 

从这档案的档名“msgstore.db”进行研判,应就是Thomas手机上的WhatsApp聊天纪录备份,至于“crypt12”,即代表其为加密型态的文件。这也与WhatsApp现行备份机制会产生加密文件的特性相吻合。 

若以Hex Editor尝试开启此一文件时,结果便会如图10所示,内容根本完全无法辨识,亦可佐证其经过加密处理。 

▲图10 内容完全无法辨识

 

解密成功嫌犯俯首认罪

R便开始着手要对此加密备份档进行解密,但还尚须一个元素,那就是WhatsApp储存在手机内一个名为“key”的档案(图11),尽管因安全性的缘故,无法自手机中进行提取,幸而在Thomas笔记本电脑里的备份资料夹中亦查得它的踪迹,如此一来,解密所需的元素就齐全了。 

▲图11 找到解密所需的key档案

解密过程如图12所示,选取要解密的备份文件以及Key file即可,点击〔OK〕按钮后开始解密。 

图12 进行解密程序

果然顺利解密成功,将结果导入一个名为“msgstore.decrypted.db”的资料库内,如图13所示。 

▲图13 将结果导入至资料库内

R接着开启此资料库文件,仔细地检视后,果然发现Thomas与几个可疑对象之间,提及情报交易和报酬等相关细节,如图14所示。 

▲图14 找到重要关键证据

当警方向Thomas出示相关迹证后,Thomas面如死灰,自知再也无法狡赖,便一五一十地将如何在总裁的手机上安装监控App,以及自后台窃取了多少情报等等,全部和盘托出。 

Thomas称得上是智能型的罪犯,他从一开始便打定主意直接从总裁的手机下手,以窃取重要情报,是基于手机里的App几乎可说是包办了使用者的一切食衣住行育乐等需求,因此若能自手机进行资料的收集,便等于掌握了被监控者的一切。 

由这点看来,Thomas也深谙人的心理并充分利用人们依赖智能手机太深的弱点。 


作者注取证所基于的思路,不外乎是从人性和使用习惯等层面下手,不论嫌疑犯是如何工于心计进行灭证,总还是能从备份这个层面去寻找突破口,不论这备份是在嫌疑犯的电脑、储存媒体或是云端之上皆不可轻易错过。如此一来,就能掌握破案契机,顺利将罪犯绳之以法。 

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存