安基網 首頁 資訊 安全報 查看內容

揭秘網絡間諜軟件“Attor”,目標鎖定俄羅斯和東歐

2019-10-23 09:40| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 近日,網絡安全公司ESET的研究人員發現了一個此前從未被報道過的網絡間諜軟件,它具有復雜的體系結構以及兩個獨有的特點:首先,它設備監視器插件使用的是AT命令協議;其次,它使用Tor(洋蔥網絡)進行C&C通信。鑒 ...
近日,網絡安全公司ESET的研究人員發現了一個此前從未被報道過的網絡間諜軟件,它具有復雜的體系結構以及兩個獨有的特點:首先,它設備監視器插件使用的是AT命令協議;其次,它使用Tor(洋蔥網絡)進行C&C通信。

鑒于此,ESET公司的研究人員將此網絡間諜軟件命名為“Attor”。

高度針對性的監視目標

研究人員表示,Attor間諜軟件僅被用戶監視特定的目標,從2013年至今,受感染者僅有幾十名。

Attor主要通過監視活動進程來掌握目標的活動,當發現進程名或窗口標題包含特定字符串時(即目標軟件正在被使用時),它便會進行屏幕截圖。

除一些主流的網頁瀏覽器、聊天軟件和電子郵件服務外,Attor的目標服務列表還包含了多種俄語服務,如下圖所示:

圖1. Attor目標服務列表

如你所見,Attor的監視目標似乎是講俄語的人。但事實證明,也有一些人位于東歐,其中就包括外交使團和政府機構。

圖2.受感染者分布情況

Attor的體系結構

Attor由一個調度程序(dispatcher)和多個可加載插件組成,所有組件都以動態鏈接庫(DLL)的形式實現,入侵的第一步就是將這些組件釋放到硬盤上并加載調度程序DLL。

調度程序是Attor的核心,用作其他插件的管理和同步單元。在每次系統啟動時,它都會將自身注入幾乎所有正在運行的進程(與殺毒軟件相關的進程除外)中,并在每個進程中加載所有可用的插件。

所有插件都依賴于調度程序來實現基本的功能。它們不是直接調用Windows API函數,而是引用了一個由調度程序實現的helper函數(一個函數調度程序)。

在插件加載時,對函數調度程序的引用將傳遞給插件,因為插件是在與調度程序本身相同的進程中注入的,所以它們共享相同的地址空間,進而能夠直接調用此函數。

函數類型及其數字標識符作為函數調度程序的調用參數,標識符隨后轉換為有意義的函數執行,這種設計使得在無法訪問調度程序的情況下很難分析Attor的各個組件。

圖3. 其他插件通過調用函數調度程序使用主模塊中實現的函數

Attor的插件

如上所述,Attor的插件以DLL的形式提供給受感染計算機的,并且使用了RSA非對稱加密,只有使用調度程序中嵌入的公共RSA密鑰才能夠在內存中完整恢復。因此,如果無法訪問調度程序的情況下,就很難獲取到Attor的插件并對其解密。

ESET公司的研究人員目前已經恢復了8個Attor插件,其中一些已經經過了多次更新,擁有多個版本。

圖4.Attor的插件及其版本

此外,Attor的體系結構還允許它添加新的插件、更新自身、自動上傳收集到的數據和日志文件。

圖5.Attor的體系結構

在Attor的所有插件中,只有兩個會與其C&C服務器進行通信:文件上傳器和命令調度程序。

Attor使用洋蔥服務協議(Tor: Onion Service Protocol),并為其C&C服務器提供了一個洋蔥地址idayqh3zhj5j243t[.]onion。

為了與C&C服務器通信,上述兩個插件必須首先與Tor客戶端插件建立連接,后者負責解析洋蔥域、選擇線路和分層加密數據。

總的來說,Attor的C&C通信基礎架構跨越了四個組件——一個提供加密功能的調度程序,以及三個分別實現FTP協議、Tor功能和實際網絡通信的插件,這使得想要分析它的網絡通信幾乎不可能。

圖6. Attor跨越四個組件的C&C通信

在Attor所有的插件中,最令人好奇的插件是“0x01”(即設備監視器),每當調制解調器或電話設備連接到COM端口時,它就會通過關聯的串行端口使用AT命令與設備進行通信。

AT命令,也被稱為Hayes命令集,最初是在1980年代開發的,用于命令調制解調器撥號、掛斷或更改連接設置,這些命令在現代大多數智能手機中仍在使用。

通過使用下圖中的AT命令,Attor能夠從連接的設備中檢索以下信息:

  • 有關手機或GSM/GPRS調制解調器基本信息:制造商名稱、型號、IMEI號和軟件版本;
  • 用戶基本信息:MSISDN和IMSI號。

圖7.設備監視器插件使用的AT命令

值得注意的是,其中一些AT命令目前并沒有被使用,這可能意味著Attor的開發者將會對它進行再一次的更新。

結論

Attor是一款具有高度針對性的間諜軟件,從2013年至今,主要被用來監視一些位于俄羅斯和東歐的目標。

Attor的體系結構允許它添加新的插件,進而增加新的功能,并且還使用了過去很少被使用的AT命令集,以及能夠避免被追蹤的Tor洋蔥網絡。

可以說,Attor算是一款功能相對齊全且強大的間諜軟件。從尚未使用的AT命令來看,它背后的犯罪團伙預計還將會有進一步的動作。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6748286774444818956/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧