我的位置 首页  >  新闻动态  >  国内新闻

Domestic Kitten:针对伊朗的监控活动

来源:科技成果转化中心时间:2018-09-19
      

攻击者

此次攻击活动背后的组织者身份暂时还不能确定,根据攻击的目标、APP的属性和攻击基础设施判断应该来源于伊朗。熟悉政治的情报专家称伊斯兰革命卫队、内政部、情报部等伊朗政府组织都经常会进行这样的监视活动。

事实上,这些监控程序是用于对伊朗政权稳定有威胁的个人和组织,包括内部持不同政见者和反对势力。

通过手机应用手机数据

受害者首先会被诱使下载一个受害者感兴趣的应用。这些应用包括ISIS主题的墙纸更换器,来自ANF库尔德语通讯社的更新和即时消息应用Vidogram的虚假版本。

ISIS主题的应用的主要功能是设置ISIS图片的墙纸,主要针对的目标是恐怖组织的支持者,搞笑的是应用名都有语法错误。

图1: 提供ISIS相关墙纸的应用

图2: ANF新闻社站点

ANF是一个合法的库尔德语新闻网站,攻击者伪造了该网站的APP来欺骗目标用户。

因为前述应用的名称和内容,研究人员相信这项攻击活动的目标应该是特定的政治团体和用户,主要是ISIS支持者和库尔德种族。但主要的受害者还是伊朗普通市民。

技术分析

攻击活动中使用的应用都使用了2016年发布的相同的证书。证书与telecom2016@yahoo[.]com相关联。

图3: 使用相同邮件地址的攻击者应用证书

但该邮箱地址并没有注册用于攻击活动的域名,所以没查到什么有用的信息。

继续分析应用程序发现,所有的应用都有一个特征就是使用了一个包名拼写错误的包“andriod.browser”。

图4: 恶意应用的类

这些类负责从受害者设备上窃取数据、收集敏感数据。具体的信息包括:

· SMS/MMS消息;

· 通话记录;

· 联系人列表;

· 浏览器历史和书签;

· 外部存储;

· 剪贴板内容;

· 地理位置和照相机图片。

有趣的是,应用还会收集周围录音。

图5: 恶意代码示例

所有窃取的数据都回通过HTTP POST请求发回给C2服务器。其中一个应用会与firmwaresystemupdate[.]com通信,这是新注册的网站,解析的地址首先是一个伊朗的IP地址,然后会转为一个俄罗斯的IP地址。

图6: 其中一个诱饵应用联系firmwaresystemupdate[.]com

其余应用会直接联系IP地址,与之前的域名不同的是,IP地址是base64编码和XOR过的:

图7: C2解码

虽然是直接联系IP地址,这些新注册的域名都会解析为这些IP地址,但都遵循相同的命名约定:

· Stevenwentz[.]com

· Ronaldlubbers[.]site

· Georgethompson[.]space

每个受害者都会收到一个唯一的设备UUID(是设备Android_id的编码值),UUID在每次登陆时都会发回给攻击者,发回的标题为UUID_LogDate_LogTime.log。

在为受害者创建日志文件后,就会收集一些基础信息。所有的日志都使用~~~符合来分割窃取数据的不同域:

图8: SMS日志示例

然后不同的类回收集相关的数据,并加入到日志中,然后继续压缩。之后,用AES加密方式加密,加密密钥为设备UUID:

图9: 应用的加密方法

当从攻击者处接收到命令时就会收集信息并发回给C2服务器。这些命令的结构与日志相同,使用相同的分隔符,命令包括“Get File”、“Set Server”、“Get Contacts” 等。 

图10: 来自C2服务器的命令示例

受害者分布

分析了攻击活动的范围、被攻击的设备信息和收集的日志文件,研究人员估算大约有240个用户成为此次监视活动的受害者。恶意软件的创建者非常信息的记录了受害者的区域,所以有97%的受害者都是伊朗人,之前研究人员也推测这是一起来源于伊朗的监视活动。

剩余3%的受害者来自阿富汗、伊拉克和英国。日志文件中甚至还有用来拦截受害者数据的恶意应用名和应用code name域。Code name域含有应用的简要描述,研究人员相信这是攻击者用来快速识别受害者使用的应用的域。Code name有‘Daesh4’ (ISIS4), ‘Military News’, ‘Weapon2’, ‘Poetry Kurdish’等。

图11: 被攻击的设备和设备厂商分布

实际的受害者数量非常庞大,因为攻击者会窃取受害者的通讯录,通讯录中含有联系人全名和至少一个手机号码。而且还有通话记录、SMS详情、SMS消息、等不相关的用户隐私信息都被窃取了。


作者: ang010ela 

文章来源: 嘶吼专业版       (科技成果转化中心供稿)