总体进度约 50%
两个项目独立开发,但共享以下资源:
IoC数据库 YARA规则 ATT&CK映射表 威胁情报API 家族特征库 Beaconing算法 DGA检测算法 风险评分模型 白名单模板外连IP/端口枚举 · Beaconing检测(CV变异系数) · DoT(853端口) · IRC(6667) · 代理链路 · TLS指纹(JARM) · SSL证书分析
ATT&CK: T1071.001 / T1071.004 / T1571
临时目录进程 · 伪装系统进程 · 数字签名验证 · 进程注入(RWX内存) · 父子链异常 · 进程名相似度 · OOM保护检测
14项全覆盖:
| # | 检查项 | ATT&CK |
|---|---|---|
| 1-2 | HKLM/HKCU Run | T1547.001 |
| 3 | Winlogon Shell | T1547.002 |
| 4 | AppInit_DLLs | T1546.010 |
| 5 | BootExecute | T1547.003 |
| 6 | IFEO劫持 | T1546.012 |
| 7 | COM劫持 | T1546.015 |
| 8 | 计划任务 | T1053 |
| 9-10 | 服务+svchost | T1543.003 |
| 11 | 启动文件夹 | T1547.001 |
| 12 | WMI订阅 | T1546.003 |
| 13-14 | 屏保+AppCertDLLs | T1546 |
Hosts篡改 · DNS缓存异常 · DGA检测(熵值>3.5) · DNS隧道(超长子域名) · DoT(853) · OpenNIC域名
系统目录未知文件 · 高熵检测(>7.0) · 隐藏文件 · 哈希比对(VT) · YARA规则扫描 · 文件名随机化
空闲流量异常 · CPU>30%持续5min · SMTP端口(25/465/587) · 事件日志(4624/4625/4688/4104/7045) · 横向扫描 · PowerShell异常
VirusTotal · AbuseIPDB · OTX · ThreatFox · MISP · 绿盟通报 · CNCERT
JARM指纹匹配C2集群 · SSL证书(自签名/异常CN) · TLS1.3+PSK · DoT/DoH
20+技术映射 · 攻击链重建 · 家族TTP比对 · 热力图输出
干净基线差异 · Hilbert+CNN(98.34%) · GNN(95%) · EROIKA(99.61%)
| 家族 | 规模 | 传播 | 能力 |
|---|---|---|---|
| 🟢 Kimwolf v7 | 200万+ | ADB暴破 | DDoS/代理/区块链C2/Tor |
| 🟢 Vo1d | 130万+ | 恶意商店 | 系统分区植入 |
| 🟡 BTMOB | 活跃 | 钓鱼/捆绑 | 远控/无障碍劫持 |
| 🟡 Rafel RAT | 活跃 | 钓鱼/捆绑 | 保活/防卸载 |
| 🟡 Anubis | 银行欺诈 | 钓鱼应用 | 键盘记录/Overlay |
| 🟡 Cerberus | 银行欺诈 | 钓鱼应用 | 无障碍/2FA拦截 |
外连IP/域名+IoC比对 · Beaconing(CV法) · DoT(853端口·Kimwolf) · 代理/SOCKS检测 · Ethereum RPC(区块链C2) · Tor连接 · VPN异常
高危权限组合检测:
| 权限组合 | 风险 | 威胁 |
|---|---|---|
| ACCESSIBILITY+INTERNET | 🔴 | UI劫持 |
| READ_SMS+SEND_SMS+INET | 🔴 | SMS拦截 |
| DEVICE_ADMIN+INTERNET | 🔴 | 防卸载 |
| CAMERA+AUDIO+INTERNET | 🟠 | 间谍软件 |
| INSTALL_PACKAGES+INET | 🟠 | 恶意安装 |
伪装系统应用 · 隐藏图标 · 伪卸载 · 签名验证 · DexClassLoader动态加载 · 多进程守护
Android专属12项:
| # | 检查项 | 风险 |
|---|---|---|
| 1 | 设备管理器滥用 | 🔴防卸载 |
| 2 | 无障碍服务滥用 | 🔴UI劫持 |
| 3 | 开机自启广播 | 🟠自启动 |
| 4 | 前台服务保活 | 🟠常驻 |
| 5 | JobScheduler滥用 | 🟠定时唤醒 |
| 6 | AlarmManager定时 | 🟠定时唤醒 |
| 7 | 电池优化白名单 | 🟠免休眠 |
| 8 | 唤醒锁滥用 | 🟠防休眠 |
| 9 | 系统级持久化 | 🔴系统级 |
| 10 | /data/local/tmp残留 | 🟠Kimwolf |
| 11 | 覆盖窗口权限 | 🟠Overlay |
| 12 | 通知监听服务 | 🟠通知劫持 |
/data/local/tmp/可疑ELF · /system/bin/非标准二进制 · Download/可疑APK · 隐藏文件 · APK哈希比对(VT) · APK权限静态分析 · 签名验证
异常流量(空闲外发) · 电池消耗(后台>10%/h) · 数据流量(后台>500KB/min) · SMS发送 · CPU占用 · 截图/录音 · ADB调试状态 · 5555端口暴露 · 开发者选项
Root状态(su/Magisk/SuperSU) · /system修改 · 模拟器检测 · 调试器附加 · Xposed/LSPosed · Frida注入 · SELinux状态 · Verified Boot
VirusTotal APK哈希查询 · AbuseIPDB IP信誉 · 本地IoC库(Kimwolf/Vo1d/BTMOB) · DGA检测 · ENS域名检测
Mobile ATT&CK 14+技术映射 · 攻击链重建 · 家族匹配 · 热力图
应用审计/权限检测/持久化部分检测/行为审计/情报比对
通过电脑ADB连接执行深度检测
全功能:系统文件/init.rc/dumpsys/进程/socket
| 维度 | 💻 PC | 📱 Android |
|---|---|---|
| A1 感染路径 | 10条 | 6条 |
| A2 攻击链 | 7阶段 | 7阶段 |
| A3 恶意软件家族 | 8个 | 6个 |
| A4 节点角色 | 7种 | 5种 |
| B1 技术栈层级 | 7层 | 5层 |
| B2 网络环境 | 5种 | 3种 |
| B3 行为偏差 | 6类 | 4类 |
| C1 用户场景 | 6种 | 3种 |
| C2 检测时效 | 3种 | 2种 |
| C3 风险优先级 | ✅ 共享 | ✅ 共享 |
| 检测项 | 💻 PC | 📱 Android |
|---|---|---|
| Beaconing CV | <0.3 且>20次 | <0.3 且>10次 |
| 文件熵值 | >7.0 | >7.0 (DEX) |
| CPU异常 | >30% 5min | >20% 10min |
| 网络异常 | >1MB/min | >500KB/min |
| 电池异常 | N/A | >10%/h |
| DGA熵值 | >3.5 | >3.5 |