破解“动物农场”高级间谍平台Dino

简介: 本文讲的是破解“动物农场”高级间谍平台Dino,安全公司ESET的研究人员对代号“动物农场”的APT黑客小组开发的高级间谍平台Dino进行了一番深入细致的分析。

本文讲的是 破解“动物农场”高级间谍平台Dino,安全公司ESET的研究人员对代号“动物农场”的APT黑客小组开发的高级间谍平台Dino进行了一番深入细致的分析。

image

2014年3月,一家法国出版物发表了几张斯诺登泄露的幻灯片时,动物农场使用的一款恶意软件便曝光于人前了。该幻灯片属于加拿大通信安全局(CSE),描述了一个代号为“雪景球行动”的任务。

文件揭示了行动中用到的一些工具和一份目标组织清单,还提到行动背后的小组很有可能受到法国情报机构的支持。

自从幻灯片曝光,很多安全公司获取了有效恶意软件样本和与CSE在文件中所描述的类似的代码。

过去几个月里,ESET、Cyphort和G DATA的专家们在Babar、EvilBunny(Bunny)和Casper上发表了数篇文章。动物农场所用的恶意软件家族包括NBot、Tafacalou(TFC/Transporter)和Dino。

ESET表示,Dino是一款采用不同模块实现其功能的高级后门。它的主要目的似乎是从被感染系统中盗取文件。ESET分析的样本是2013年针对伊朗企业目标使用的。

ESET 研究员琼·卡尔维已经跟踪研究动物农场好几个月了,她在一篇博客文章中指出:Dino一名有可能出自动画系列剧《摩登原始人》中的那条宠物恐龙。值得一提 的是,专家们认为,Babar这个名字可能是受了一本法国儿童读物中虚构的大象形象的启发,而Casper则有可能根植于卡通系列剧《鬼马小精灵》的主 角。

image

该安全公司称Dino的初始感染方式尚未查明,但怀疑它是由另一个程序安装的。在3月份一篇关于动物农场APT的博客文章中,卡巴斯基实验室宣称Tafacalou就是该黑客小组其他两个更高级的间谍平台Babar和Dino的入口点。

一旦感染系统,Dino可以根据指令从被感染主机上获取系统信息,执行Windows批处理命令,搜索指定文件,上传文件到命令与控制服务器(C&C)或从(C&C)上下载文件。恶意软件操作者还可以指定指令的执行时间,以及从系统中卸载恶意软件而几乎不留下曾经存在过的痕迹。

专家们已经发现Dino与动物农场恶意软件家族里的其他威胁共享多段代码,清晰标识出其间的关联性。而且,Dino还提供了更多的证据表明这些恶意软件家族的开发者们是说法语的。

更新一些的动物农场恶意软件,比如侦察工具Casper,语言标志符已经被设置成了英语。但是,Dino里,语言代码还是1036,也就是法语。值得注意的是,除非手动设置,否则编译器会自动将该标识符设置为与开发者主机的相同。

卡尔维指出,尽管法语语言代码标识符有可能是故意设置的假象,但更有可能的是开发者在编译Dino时忘记更改语言标识符的值了。

表明Dino开发者讲法语的另一份证据是一个文件路径,该路径里包含了一个词“arithmetique”,也就是英语“arithmetic(算法)”相对应的法语词汇。

研究人员强调:尽管Dino看起来像是由专业资深开发者创建的,他们并没有将太大精力投入反分析功能,不像如Casper等其他动物农场恶意软件所呈现的那样。

原文发布时间为:七月 7, 2015
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/8498.html

相关文章
|
安全 Windows
卡巴提醒:新型魔兽盗号木马现身 玩家须小心提防
《魔兽世界》作为全球第一大网络游戏,吸引了大批玩家,自然也成为恶意程序攻击的重点对象。针对魔兽的盗号木马、后门程序等一直层出不穷。 卡巴斯基实验室近期检测到一种名为“魔兽猎手”的盗号木马(Trojan-GameThief.Win32.WOW.inn)肆虐网络,造成不少玩家感染,损失惨重。
919 0
|
监控 安全
卡巴斯基手机安全软件:让遗失手机远离“短信门”
近日,“女局长暧昧手机短信曝光”事件已经迅速占据了各媒体的头条,用户在唏嘘之余不由得捂紧了自己的手机——如何在手机丢失后保护个人隐私安全已成为绝大多数手机用户束手无策的问题。卡巴斯基手机安全软件反盗窃、隐私保护功能能够为手机用户做到远程锁定手机、远程删除隐私、进行SIM卡监控,全方位保证手机丢失后的个人信息安全。
1199 0
|
安全
当过水泥工,25岁研究出超级病毒,堪称杀毒界的“疫苗”
说到底,做病毒,已经没有了市场,已无利可图。相较于生产病毒,钓鱼软件、流氓软件更容易变现,黑客们已经不再青睐病毒了。移动时代的到来,监管机制的成熟,也扼杀了病毒的产生。
1943 0
|
人工智能 安全 Java
【阿里聚安全·安全周刊】战斗民族黑客入侵德国政府|“猫脸识别”门禁
阿里安全周刊第八十七期,分享本周移动安全热点和技术知识。
5006 0
|
安全 数据安全/隐私保护
|
安全 Java 数据安全/隐私保护
支持多平台高级逃避技术的外星人间谍软件AlienSpy RAT
本文讲的是 支持多平台高级逃避技术的外星人间谍软件AlienSpy RAT,黑客们协同开发了外星人间谍(AlienSpy RAT)软件,这是一种远程连接工具,旨在一系列关键基础设施上植入并传播城堡(Citadel)银行木马。
1609 0