近日Palo Alto Networks發布報告稱火星探測器軟體的開源庫被惡意利用。
根據Palo Alto Networks報告,2015年12月24日印度駐阿富汗大使收到一封釣魚郵件,而在釣魚郵件中包含了一種新型惡意軟體,如果下載和安裝就會在計算機上自動安裝一個後門。當然郵件是偽造的,郵件中包括了一個RTF(富文本格式)文件。利用到的漏洞是 CVE-2010-3333,該漏洞是 Microsoft Office RTF 分析器堆棧溢出漏洞。而自動解壓安裝在計算機上,下載到計算機的木馬程序才是最具有威脅的。
該惡意程序被研究人員稱為「Rover」,因為它依賴opencv和OpenAL開源庫。
FreeBuf 百科:OpenCV 與 OpenAL
OpenCV是一個基於BSD許可(開源)發行的跨平臺計算機視覺庫,可以運行在Linux、Windows和Mac OS作業系統上。
OpenAL(Open Audio Library)是自由軟體界的跨平臺音效API,它最初是由 Loki Software 所開發,是為了將 Windows 商業遊戲移植到 Linux 上。不過現在最大的主導者是創新科技,並得到來自 Apple 和自由軟體/開放原始碼愛好者的持續支援。
這兩者都曾被用於著名的火星探測機器人,尤其opencv的應用領域相當廣泛,人機互動、物體識別、圖像分割、人臉識別、動作識別、運動跟蹤、機器人、運動分析、機器視覺、結構分析、汽車安全駕駛等等。
一旦惡意軟體被執行就會在計算機重啟後更改註冊表,路徑:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\」System Application」 = c:\system\WindowsSecurityService[2 or 3].exe。
惡意程序將會執行以下六個過程:
Heartbeat最核心的包括兩個部分,心跳監測部分和資源接管部分,心跳監測可以通過網絡鏈路和串口進行,而且支持冗 餘鏈路,它們之間相互發送報文來告訴對方自己當前的狀態,如果在
指定的時間內未收到對方發送的報文,那麼就認為對方失效,這時需啟動資源接管模塊來接管運 行在對方主機上的資源或者服務。也就是說每五秒都會檢查C2伺服器運行情況。
每過60分鐘就將計算機桌面截圖並保存(c:\system\screenshot.bmp)成BMP格式上傳到C&C伺服器
尋找移動存儲設備,一旦找到將其複製到c:\system,每五秒一次。
每過10秒鐘記錄鍵盤敲擊記錄並上傳到C&C伺服器,儲存位置:c:\system\log.txt。
每過60分鐘搜索辦公文件並上傳至惡意攻擊者伺服器。文件擴展名:pdf、doc、docx、ppt、pptx、xls、xlsx。
此外後門程序還有一個功能,允許攻擊者使用惡意軟體拍照(c:\system\camera.jpg)或錄製視頻(通過網絡攝像頭)和音頻(通過麥克風),當然只要攻擊者想要這麼做就可以實現。
雖然惡意軟體Rover缺乏一些新型惡意軟體的特點,但它似乎成功繞過了安全系統,並對有針對性的目標發起攻擊。目前,最重要的是了解這一情況以避免遭受攻擊。
*參考來源:softpedia、paloaltonetworks,FB小編親愛的兔子編譯,來自FreeBuf黑客與極客(FreeBuf.COM)