Attor:将眼光锁定在俄罗斯及东欧的高针对性特务平台 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Attor:将眼光锁定在俄罗斯及东欧的高针对性特务平台

申博_新闻事件 申博 44次浏览 未收录 0个评论

菲律宾申博

菲律宾申博自与农展馆合作以来,拓展了业务战线,深化了服务体系,整合了群体,在未来的2019年,将能更好地为菲律宾申博网的会员提供更优质的服务。

,

近期,ESET的研讨职员发明了一个新的特务平台,它具有庞杂的体系构造,另有两个明显的特性:一是它的GSM插件运用AT敕令协定;二是运用Tor举行网络通讯,因而研讨职员将此网络特务平台命名为Attor。

目标

Attor的特务运动具有高度针对性,最早的行为可以追溯到2013年,虽然这一年发明的受害者唯一几十名,不过仍可以经由过程歹意软件的部件来相识目标受害者的更多信息。

比方Attor经由过程看管运动历程来相识受害者运动,当历程名或窗口题目中有特定的子字符串时,对选定的应用顺序举行屏幕截图。

除了盛行的Web浏览器、通讯应用顺序和电子邮件效劳等规范效劳外,Attor的目标应用顺

列表中包含俄罗斯两个最受迎接的交际网络(Odnoklassniki,VKontakte),以及俄罗斯电信运营商供应的VoIP效劳(Multifon)。看上去Attor的目标是俄语人群,对受害者的统计信息也显现大多数目标位于俄罗斯,如图1所示,另有一些位于东欧,触及外交使团和政府机构。

Attor截图的应用顺序包含加密/数字签名实用顺序、VPN效劳HMA、端到端加密电子邮件效劳Hushmail和The Bat!,以及磁盘加密实用顺序TrueCrypt。

对TrueCrypt的搜检则在Attor的另一部份中举行,经由过程看管衔接到受感染计算机的硬盘装备搜刮TrueCrypt的存在。假如检测到TrueCrypt,则将IOCTL发送到TrueCrypt驱动顺序(0x222004(TC_IOCTL_GET_DRIVER_VERSION)和0x72018(TC_IOCTL_LEGACY_GET_DRIVER_VERSION))来肯定其版本。由于这些是TrueCrypt特定的掌握代码,而不是规范代码,歹意软件的作者必需真正明白TrueCrypt装置顺序的开源代码才准确运用。此类手艺我们之前从未见过,也未见其他歹意软件中有纪录。

图2.装备看管器插件将非规范的TrueCrypt特定的掌握代码发送到TrueCrypt驱动顺序,以肯定TrueCrypt的版本

平台架构

Attor由一个调理顺序(dispatcher)和可加载插件构成,一切都完成为动态链接库(DLL)。入侵的第一步是将这些组件拖放到磁盘上并加载调理顺序DLL。

调理顺序是全部平台的中间,它充任其他插件的治理和同步单位,每次体系启动时将自身注入险些一切正在运转的历程中,并在每一个历程中加载可用插件,但Attor会防止注入某些平安产品相干历程中去。

一切插件都依靠调理顺序来完成基本的功用。这些插件不是直接挪用Windows API函数,而是援用了一个由调理顺序DLL完成的helper函数(一个函数调理顺序)。插件加载时,对函数调理顺序的援用将传递给插件,由于插件是在与调理顺序自身雷同的历程中注入的,所以它们同享雷同的地点空间,可以直接挪用此函数。

函数范例及其数字标识符作为函数调理顺序的挪用参数,标识符随后转换为有意义的函数实行,这类设想使得在没法接见调理顺序的状况下很难剖析Attor的各个组件。

图3展现了一个插件的一部份,它屡次挪用了函数调理顺序。在右边的反汇编中,我们用描述性称号替换了数字标识符(经由过程对调理顺序逆向工程取得的)。有关调理顺序接口的完整剖析,请参阅我们的白皮书。

图3.其他插件经由过程挪用函数调理顺序(在此处称为helperFnc)运用主模块中完成的函数

另外,调理顺序是平台中唯一可以接见设置数据的组件。如上所述,Attor的插件经由过程接口从调理顺序中检索其设置数据。

插件

Attor的插件以DLL的情势供应给受感染的计算机,并运用RSA非对称加密,只能运用调理顺序中嵌入的大众RSA密钥才在内存中完整恢复。因而,假如不接见调理顺序,就很难取得Attor的插件并对其解密。

我们现在已恢复了八个Attor插件,个中一些有多个版本,如表2所示。假定插件的编号是一连的,而且假如Attor的幕后职员针对每一个受害者都运用差别的插件集,那末能够另有更多的插件未被发明。

这些插件担任平台的持久性(装置顺序/看门狗插件),网络敏感信息(装备看管器、屏幕抓取器、音频记录器、键/剪贴板记录器)以及与C&C效劳器举行网络通讯(文件上传器、敕令调理顺序/ SOCKS代办,Tor客户机)。

Attor的内置机制能增加新的插件、更新自身、自动走漏网络的数据和日记文件。这些机制如图4所示。

在以下各节中,我们将重点引见Attor的两个中间功用插件——经由过程AT敕令举行GSM指纹辨认,以及运用Tor举行网络通讯。

图4.Attor架构。请注重ID 0x06示意单个插件,然则为了清晰起见,这里将功用分为两部份

网络通讯

Attor的特务插件能网络敏感数据(比方磁盘上的文档列表)并上传到长途效劳器,然则这些插件自身并不经由过程网络举行通讯。

2019年全国大学生网络安全邀请赛暨第五届上海市大学生网络安全大赛正式启动

为认真学习贯彻习近平总书记在网络安全和信息化工作座谈会上的重要讲话精神,发挥网络安全防护对信息化发展的保障作用,宣传普及网络安全知识,提高大学生网络安全防护意识和技能,由上海市教育委员会主办的2019年全国大学生网络安全邀请赛暨第五届上海市大学生网络安全大赛近日正式启动。 据悉,大赛主要面向上海市高校全日制学生,同时邀请国内其它地区高校,以学校为单位组队参赛。大赛设置了网络攻防赛和信息安全作品赛两个项目,其中网络攻防赛初赛将采用流行的CTF赛形式,赛题类

Attor的组件中只要两个与其C&C效劳器通讯:文件上载器和敕令调理顺序。

“特务插件”(装备看管器、屏幕抓屏器、录音机和键盘/剪贴板记录器)网络的文件经由过程文件上传插件自动上传到C&C效劳器。这些插件运用一个特地的Upload文件夹作为中间文件夹来存储数据,而其他插件运用它来存储日记文件。

敕令调理顺序插件从C&C效劳器下载敕令和其他东西并举行诠释,它也运用专用的文件夹来存储数据,包含新下载的插件、平台更新,以及包含实行敕令的状况/效果的加密日记数据。

调理顺序担任看管同享文件夹,并加载更新推送到受感染计算机。

这意味着Attor的调理顺序和特务插件都不会与C&C效劳器举行通讯——它们仅运用当地同享文件夹来存储要盗取的数据并从效劳器读取进一步的指令。

文件上传器和敕令调理顺序都运用雷同的基本构造来接见长途效劳器——网络通讯自身疏散在四个差别的Attor组件中,每一个组件完成差别的层。

Attor运用洋葱效劳协定(Tor: Onion Service Protocol),并为C&C效劳器供应一个洋葱地点。为了与C&C效劳器通讯,任何插件必需起首与Tor客户端插件竖立衔接(监听非默许的127.0.0.1:8045),后者担任剖析洋葱域、挑选线路和分层加密数据。Tor客户端插件基于Tor客户端,能依据歹意软件需求定制,比方此次增加了与Attor调理顺序的交互。

Tor客户端插件必需与完成加密功用的调理顺序通讯。另外,它还与SOCKS代办插件通讯(监听127.0.0.1:5153),该插件担任中继Tor客户机和长途效劳器之间的通讯。

文件上传顺序和敕令调理顺序都运用FTP,文件上传或下载都受设置中硬编码的凭证庇护:

C&C效劳器:idayqh3zhj5j243t [.] onion

用户名:do

暗码:[Redacted]

插件登录到FTP效劳器,并将网络的数据复制到特定受害者的目次,或从特定受害者的目次下载敕令。

总的来说,C&C通讯的基本架构逾越了四个Attor组件——一个供应加密功用的调理顺序,以及完成FTP协定、Tor功用和现实网络通讯的三个插件,如图5所示。这类机制使得剖析Attor的网络通讯没法杀青,除非网络了一切的“拼图”模块。

须要注重的是,Attor运用了几个分外的技能来隐蔽它的通讯,不让用户和平安产品看到:

起首,C&C效劳器是Tor效劳,旨在完成匿名和不可追踪性。

其次,只要在web浏览器、即时通讯软件或其他网络应用顺序的历程运转时,一切与网络通讯相干的插件才会被激活(这是经由过程依据硬编码列表搜检历程名来肯定的)。此要领的技能是将入侵相干的网络通讯隐蔽在应用顺序发出的正当通讯流中,从而下降被疑心的风险。

GSM指纹

这是Attor武器库中另一个值得注重的插件,它担任网络衔接的调制解调器/电话装备/存储驱动器(以及驱动器上的文件)的信息,网络的是元数据而非文件自身,因而我们将其视为一个用于装备指纹辨认的插件,很多是进一步偷窃数据的基本。

只管Attor的指纹辨认存储驱动器功用相称通例,但其GSM装备的指纹辨认倒是奇特的。

每当将调制解调器或电话装备衔接到COM端口时,装备看管器都邑运用AT敕令经由过程关联的串行端口与装备举行通讯。

AT敕令(也称为Hayes敕令集)最初是在1980年代开辟的,用于敕令调制解调器拨号、挂断或变动衔接设置,敕令集在以后也取得了扩大,能支撑规范功用或供应商的定制功用。

而这些敕令在当代大多数智能手机中仍在运用,有研讨职员测试过,能经由过程滥用这些敕令来绕过平安机制,经由过程USB接口运用AT敕令与智能手机通讯。研讨职员恢复并测试了数千个敕令,包含用于发送SMS音讯、模仿屏幕触摸事宜或走漏敏感信息的敕令,研讨效果表明,旧AT指令假如被被滥用的话会带来严峻的风险。

但Attor好像不太能够对准当代智能手机装备,其插件将疏忽经由过程USB端口衔接的装备,而仅与经由过程串行端口衔接的装备联络(确实地说是装备的友爱称号婚配“COM*”)。

那末这个插件的重要目标应该是针对调制解调器和老式手机,或许用于与一些运用USB-to-serial适配器衔接到COM端口或USB端口的特定装备举行通讯,这些装备既可所以受害者的,也可所以目标构造所运用的。在这类状况下,攻击者能够已经由过程其他侦探手艺相识了受害者运用装备的状况。

不管怎样,插件都是运用表3中列出的AT敕令从衔接的装备中检索以下信息:

· 手机或GSM/GPRS调制解调器基本信息:制造商称号、型号、IMEI号码和软件版本

· 用户基本信息:MSISDN和IMSI号

但表中另有很多(特定于供应商的)AT敕令没有被这个插件运用。歹意软件操纵职员能够运用列出的敕令来辨认衔接的装备,然后布置另一个带有更详细敕令的插件来从装备中提取信息。

结论

Attor是一个具有高度针对性的特务平台,重要针对俄罗斯以及东欧的一些目标群体。

该歹意软件自2013年出现以来就一向低调生长,它的可加载的插件架构,可用于为特定受害者定制功用。它还包含了一个用于GSM指纹辨认的插件,该插件利用了过去很少发明被运用的AT敕令集,为了不被追踪还连系了Tor。

关于Attor更多运动的检测称号和其他伤害目标请拜见此文档。

本文翻译自:https://www.welivesecurity.com/2019/10/10/eset-discovers-attor-spy-platform/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Attor:将眼光锁定在俄罗斯及东欧的高针对性特务平台
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址