近日,網絡安全公司ESET的研究人員發現了一個此前從未被報道過的網絡間諜軟件,它具有複雜的體系結構以及兩個獨有的特點:首先,它設備監視器插件使用的是AT命令協議;其次,它使用Tor(洋蔥網絡)進行C&C通信。
鑑於此,ESET公司的研究人員將此網絡間諜軟件命名為“Attor”。
高度針對性的監視目標
研究人員表示,Attor間諜軟件僅被用戶監視特定的目標,從2013年至今,受感染者僅有幾十名。
Attor主要通過監視活動進程來掌握目標的活動,當發現進程名或窗口標題包含特定字符串時(即目標軟件正在被使用時),它便會進行屏幕截圖。
除一些主流的網頁瀏覽器、聊天軟件和電子郵件服務外,Attor的目標服務列表還包含了多種俄語服務,如下圖所示:
圖1. Attor目標服務列表
如你所見,Attor的監視目標似乎是講俄語的人。但事實證明,也有一些人位於東歐,其中就包括外交使團和政府機構。
圖2.受感染者分佈情況
Attor的體系結構
Attor由一個調度程序(dispatcher)和多個可加載插件組成,所有組件都以動態鏈接庫(DLL)的形式實現,入侵的第一步就是將這些組件釋放到硬盤上並加載調度程序DLL。
調度程序是Attor的核心,用作其他插件的管理和同步單元。在每次系統啟動時,它都會將自身注入幾乎所有正在運行的進程(與殺毒軟件相關的進程除外)中,並在每個進程中加載所有可用的插件。
所有插件都依賴於調度程序來實現基本的功能。它們不是直接調用Windows API函數,而是引用了一個由調度程序實現的helper函數(一個函數調度程序)。
在插件加載時,對函數調度程序的引用將傳遞給插件,因為插件是在與調度程序本身相同的進程中注入的,所以它們共享相同的地址空間,進而能夠直接調用此函數。
函數類型及其數字標識符作為函數調度程序的調用參數,標識符隨後轉換為有意義的函數執行,這種設計使得在無法訪問調度程序的情況下很難分析Attor的各個組件。
圖3. 其他插件通過調用函數調度程序使用主模塊中實現的函數
Attor的插件
如上所述,Attor的插件以DLL的形式提供給受感染計算機的,並且使用了RSA非對稱加密,只有使用調度程序中嵌入的公共RSA密鑰才能夠在內存中完整恢復。因此,如果無法訪問調度程序的情況下,就很難獲取到Attor的插件並對其解密。
ESET公司的研究人員目前已經恢復了8個Attor插件,其中一些已經經過了多次更新,擁有多個版本。
圖4.Attor的插件及其版本
此外,Attor的體系結構還允許它添加新的插件、更新自身、自動上傳收集到的數據和日誌文件。
圖5.Attor的體系結構
在Attor的所有插件中,只有兩個會與其C&C服務器進行通信:文件上傳器和命令調度程序。
Attor使用洋蔥服務協議(Tor: Onion Service Protocol),併為其C&C服務器提供了一個洋蔥地址idayqh3zhj5j243t[.]onion。
為了與C&C服務器通信,上述兩個插件必須首先與Tor客戶端插件建立連接,後者負責解析洋蔥域、選擇線路和分層加密數據。
總的來說,Attor的C&C通信基礎架構跨越了四個組件——一個提供加密功能的調度程序,以及三個分別實現FTP協議、Tor功能和實際網絡通信的插件,這使得想要分析它的網絡通信幾乎不可能。
圖6. Attor跨越四個組件的C&C通信
在Attor所有的插件中,最令人好奇的插件是“0x01”(即設備監視器),每當調制解調器或電話設備連接到COM端口時,它就會通過關聯的串行端口使用AT命令與設備進行通信。
AT命令,也被稱為Hayes命令集,最初是在1980年代開發的,用於命令調制解調器撥號、掛斷或更改連接設置,這些命令在現代大多數智能手機中仍在使用。
通過使用下圖中的AT命令,Attor能夠從連接的設備中檢索以下信息:
- 有關手機或GSM/GPRS調制解調器基本信息:製造商名稱、型號、IMEI號和軟件版本;
- 用戶基本信息:MSISDN和IMSI號。
圖7.設備監視器插件使用的AT命令
值得注意的是,其中一些AT命令目前並沒有被使用,這可能意味著Attor的開發者將會對它進行再一次的更新。
結論
Attor是一款具有高度針對性的間諜軟件,從2013年至今,主要被用來監視一些位於俄羅斯和東歐的目標。
Attor的體系結構允許它添加新的插件,進而增加新的功能,並且還使用了過去很少被使用的AT命令集,以及能夠避免被追蹤的Tor洋蔥網絡。
可以說,Attor算是一款功能相對齊全且強大的間諜軟件。從尚未使用的AT命令來看,它背後的犯罪團伙預計還將會有進一步的動作。
閱讀更多 黑客視界 的文章
