近日,网络安全公司ESET的研究人员发现了一个此前从未被报道过的网络间谍软件,它具有复杂的体系结构以及两个独有的特点:首先,它设备监视器插件使用的是AT命令协议;其次,它使用Tor(洋葱网络)进行C&C通信。

鉴于此,ESET公司的研究人员将此网络间谍软件命名为“Attor”。

高度针对性的监视目标

研究人员表示,Attor间谍软件仅被用户监视特定的目标,从2013年至今,受感染者仅有几十名。

Attor主要通过监视活动进程来掌握目标的活动,当发现进程名或窗口标题包含特定字符串时(即目标软件正在被使用时),它便会进行屏幕截图。

除一些主流的网页浏览器、聊天软件和电子邮件服务外,Attor的目标服务列表还包含了多种俄语服务,如下图所示:

图1. Attor目标服务列表

如你所见,Attor的监视目标似乎是讲俄语的人。但事实证明,也有一些人位于东欧,其中就包括外交使团和政府机构。

图2.受感染者分布情况

Attor间谍软件的体系结构

Attor由一个调度程序(dispatcher)和多个可加载插件组成,所有组件都以动态链接库(DLL)的形式实现,入侵的第一步就是将这些组件释放到硬盘上并加载调度程序DLL。

调度程序是Attor的核心,用作其他插件的管理和同步单元。在每次系统启动时,它都会将自身注入几乎所有正在运行的进程(与杀毒软件相关的进程除外)中,并在每个进程中加载所有可用的插件。

所有插件都依赖于调度程序来实现基本的功能。它们不是直接调用Windows API函数,而是引用了一个由调度程序实现的helper函数(一个函数调度程序)。

在插件加载时,对函数调度程序的引用将传递给插件,因为插件是在与调度程序本身相同的进程中注入的,所以它们共享相同的地址空间,进而能够直接调用此函数。

函数类型及其数字标识符作为函数调度程序的调用参数,标识符随后转换为有意义的函数执行,这种设计使得在无法访问调度程序的情况下很难分析Attor的各个组件。

图3. 其他插件通过调用函数调度程序使用主模块中实现的函数

Attor的插件

如上所述,Attor的插件以DLL的形式提供给受感染计算机的,并且使用了RSA非对称加密,只有使用调度程序中嵌入的公共RSA密钥才能够在内存中完整恢复。因此,如果无法访问调度程序的情况下,就很难获取到Attor的插件并对其解密。

ESET公司的研究人员目前已经恢复了8个Attor插件,其中一些已经经过了多次更新,拥有多个版本。

图4.Attor的插件及其版本

此外,Attor的体系结构还允许它添加新的插件、更新自身、自动上传收集到的数据和日志文件。

图5.Attor的体系结构

在Attor的所有插件中,只有两个会与其C&C服务器进行通信:文件上传器和命令调度程序。

Attor使用洋葱服务协议(Tor: Onion Service Protocol),并为其C&C服务器提供了一个洋葱地址idayqh3zhj5j243t[.]onion。

为了与C&C服务器通信,上述两个插件必须首先与Tor客户端插件建立连接,后者负责解析洋葱域、选择线路和分层加密数据。

总的来说,Attor的C&C通信基础架构跨越了四个组件——一个提供加密功能的调度程序,以及三个分别实现FTP协议、Tor功能和实际网络通信的插件,这使得想要分析它的网络通信几乎不可能。

图6. Attor跨越四个组件的C&C通信

在Attor所有的插件中,最令人好奇的插件是“0x01”(即设备监视器),每当调制解调器或电话设备连接到COM端口时,它就会通过关联的串行端口使用AT命令与设备进行通信。

AT命令,也被称为Hayes命令集,最初是在1980年代开发的,用于命令调制解调器拨号、挂断或更改连接设置,这些命令在现代大多数智能手机中仍在使用。

通过使用下图中的AT命令,Attor能够从连接的设备中检索以下信息:

  • 有关手机或GSM/GPRS调制解调器基本信息:制造商名称、型号、IMEI号和软件版本;

  • 用户基本信息:MSISDN和IMSI号。

图7.设备监视器插件使用的AT命令

值得注意的是,其中一些AT命令目前并没有被使用,这可能意味着Attor的开发者将会对它进行再一次的更新。

结论

Attor是一款具有高度针对性的间谍软件,从2013年至今,主要被用来监视一些位于俄罗斯和东欧的目标。

Attor的体系结构允许它添加新的插件,进而增加新的功能,并且还使用了过去很少被使用的AT命令集,以及能够避免被追踪的Tor洋葱网络。

可以说,Attor算是一款功能相对齐全且强大的间谍软件。从尚未使用的AT命令来看,它背后的犯罪团伙预计还将会有进一步的动作。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。