近日palo alto networks釋出報告稱火星探測器軟體的開源庫被惡意利用。
網絡釣魚攻擊
根據palo alto networks報告,2015 年12月24日印度駐阿富汗大使收到一封釣魚郵件,而在釣魚郵件中包含了一種新型惡意軟體,如果下載下傳和安裝就會在計算機上自動安裝一個後門。當然郵件是僞 造的,郵件中包括了一個rtf(富文本格式)檔案。利用到的漏洞是 cve-2010-3333,該漏洞是 microsoft office rtf 分析器堆棧溢出漏洞。而自動解壓安裝在計算機上,下載下傳到計算機的木馬程式才是最具有威脅的。
該惡意程式被研究人員稱為“rover”,因為它依賴opencv和openal開源庫。
freebuf 百科:opencv 與 openal
opencv是一個基于bsd許可(開源)發行的跨平台計算機視覺庫,可以運作在linux、windows和mac os作業系統上。
openal(open audio library)是自由軟體界的跨平台音效api,它最初是由 loki software 所開發,是為了将 windows 商業遊戲移植到 linux 上。不過現在最大的主導者是創新科技,并得到來自 apple 和自由軟體/開放源代碼愛好者的持續支援。
這兩者都曾被用于著名的火星探測機器人,尤其opencv的應用領域相當廣泛,人機互動、物體識别、圖像分割、人臉識别、動作識别、運動跟蹤、機器人、運動分析、機器視覺、結構分析、汽車安全駕駛等等。
惡意攻擊步驟
一旦惡意軟體被執行就會在計算機重新開機後更改系統資料庫,路徑:hkey_current_usersoftwaremicrosoft windowscurrentversionrun”system application” = c:systemwindowssecurityservice[2 or 3].exe。
惡意程式将會執行以下六個過程:
1.heartbeat
heartbeat最核心的包括兩個部分,心跳監測部分和資源接管部分,心跳監測可以通過網絡鍊路和序列槽進行,而且支援冗 餘鍊路,它們之間互相發送封包來告訴對方自己目前的狀态,如果在
指定的時間内未收到對方發送的封包,那麼就認為對方失效,這時需啟動資源接管子產品來接管運 行在對方主機上的資源或者服務。也就是說每五秒都會檢查c2伺服器運作情況。
2.截圖
每過60分鐘就将計算機桌面截圖并儲存(c:systemscreenshot.bmp)成bmp格式上傳到c&c伺服器
3.在移動儲存設備尋找檔案
尋找移動儲存設備,一旦找到将其複制到c:system,每五秒一次。
4.記錄鍵盤敲擊記錄
每過10秒鐘記錄鍵盤敲擊記錄并上傳到c&c伺服器,儲存位置:c:systemlog.txt。
5.硬碟搜尋特定檔案
每過60分鐘搜尋辦公檔案并上傳至惡意攻擊者伺服器。檔案擴充名:pdf、doc、docx、ppt、pptx、xls、xlsx。
6.安裝完整後門程式
此外後門程式還有一個功能,允許攻擊者使用惡意軟體拍照(c:systemcamera.jpg)或錄制視訊(通過網絡攝像頭)和音頻(通過麥克風),當然隻要攻擊者想要這麼做就可以實作。
雖然惡意軟體rover缺乏一些新型惡意軟體的特點,但它似乎成功繞過了安全系統,并對有針對性的目标發起攻擊。目前,最重要的是了解這一情況以避免遭受攻擊。
====================================分割線================================