跳到主体内容

Slingshot: 来自路由器的间谍

2018年3月10日

卡巴斯基实验室研究人员发现了一种至少从2012年一直到2018年2月一直在中东和非洲地区进行网络间谍活动的复杂威胁。

卡巴斯基实验室研究人员发现了一种至少从2012年一直到2018年2月一直在中东和非洲地区进行网络间谍活动的复杂威胁。研究人员称其为“Slingshot”,它通过被感染的路由器攻击和感染受害者,并且可以在内核模式中运行,从而完全控制受害设备。据研究人员称,这种威胁所使用的许多技术都是独特的,它在隐蔽地进行信息收集方面非常有效,将其流量隐藏在标记的数据包中,可以拦截日常通讯而不留任何痕迹。

Slingshot攻击行动是无意间被发现的。当时研究人员发现了一个可疑的键盘记录器程序,并根据其制作了一个行为检测特征,目的是查看其它地方是否还有这样的代码。这个特征触发了一个检测结果,结果显示是一台被感染的计算机,其系统文件夹内有一个名为scesrv.dll的可疑文件。研究人员决定对这个文件进行进一步调查。分析显示,这个文件虽然看上去是合法的,但scesrv.dll模块被嵌入了恶意代码。由于这个库文件是通过“service.exe“载入的,是具有系统权限的进程,所有被投毒的库文件也获得了相同的权限。研究人员意识到一种高级的入侵者已经进入到计算机的核心。

Slingshot最值得关注的一点可能是它不同寻常的攻击媒介。随着研究人员发现越来越多的受害者,他们发现受害者似乎是通过被入侵的路由器初始感染的。在这些攻击中,Slingshot幕后的攻击者似乎先感染了路由器,在其中植入了恶意动态链接库,事实上是一个下载其它恶意组件的下载器。当管理员登陆并设置路由器时,路由器的管理软件会在管理员的计算机上下载和运行恶意模块。攻击者入侵路由器的手段目前仍未知。

感染后,Slingshot会在受害者设备上载入多个模块,包括两个强大的模块:Cahnadr和GollumApp。这两个模块是相互关联的,能够互相支持,进行信息收集、互相保护以及数据盗窃。

Slingshot的主要目的似乎是进行网络间谍互动。分析显示它会收集截屏信息、键盘输入数据、网络数据、密码、USB连接信息、桌面行为以及剪贴板数据等内容,尽管其核心访问权限意味着其可以窃取任何想要的数据。

这种高级和顽固的威胁还采用了多种技巧来帮助它躲避检测:包括加密模块中的所有字符串,直接调用系统服务,绕过安全产品的挂钩,使用多种反调试技术,并根据已安装和运行的安全解决方案进程选择流程进行注入等。

Slingshot是一种被动后门:它没有硬编码的命令和控制服务器(C&C)地址,但是通过拦截所有在内核模式下的网络包并检查标题中是否有两个硬编码的魔术常量来从操作员那里获得C&C地址。 如果出现这种情况,则意味着该数据包中包含C&C地址。 之后,Slingshot与C&C建立一个加密的通信通道,并开始传输窃取到的数据。

 研究人员将调查的恶意样本标记为“版本6.x”,这表明该威胁已经存在相当长的时间。制作Slingshot复杂工具所要求的开发时间、技能和成本可能非常高。综合起来,这些线索表明,Slingshot背后的团队可能是高度有组织的并且非常专业,而且可能得到了政府的资助。代码中的文字线索表明开发团队是讲英语的。 但是,即便不是不可能的,但进行准确的归属判断也非常困难,并且越来越容易被操纵或出现错误。

到目前为止,研究人员已经发现了约100名Slingshot和其相关模块的受害者,这些受害者位于肯尼亚、也门、阿富汗、利比亚、刚果、约旦、土耳其、伊拉克、苏丹、索马里和坦桑尼亚等地区。似乎大多数被攻击者都是个人,而非企业或组织,但是也有一些政府组织和机构被感染。截止到目前,肯尼亚和也门的受害者数量最多。

“Slingshot是一种复杂的威胁,采用了广泛的工具和技巧,包括迄今为止只在最高级的威胁中见过的内核模式模块。这种功能非常珍贵,能够为攻击者带来大量收益,这也解释了为什么这种威胁能够存活至少六年之久,”卡巴斯基实验室首席恶意软件分析师Alexey Shulmin说。

所有卡巴斯基实验室产品都能够成功检测和拦截这种威胁。

为了避免成为这类攻击的受害者,卡巴斯基实验室研究人员建议用户采取以下措施:

  • Mikrotik 路由器用户应当尽快升级到最新软件版本,确保对已知漏洞进行保护。此外,Mikrotik Winbox 将不再从路由器上下载任何东西到用户计算机。
  • 使用经过验证的结合了反针对性攻击技术和威胁情报技术的企业级安全解决方案,例如卡巴斯基威胁管理和防御解决方案。这些解决方案能够通过分析网络异常情况来发现和拦截高级有针对性攻击,能够让网络安全团队全面了解网络并实现自动化响应;
  • 为安全人员提供最新的威胁情报数据,获得有用的工具进行针对性攻击研究和预防,例如感染迹象(IOC)、YARA规则和定制化的高级威胁报告;
  • 如果发现有针对性攻击的早期迹象,请考虑使用托管保护服务,让您能够主动检测高级威胁,缩短停留时间并及时安排事件响应。

关于Slingshot高级威胁的详细报告参见Securelist.com

Slingshot: 来自路由器的间谍

卡巴斯基实验室研究人员发现了一种至少从2012年一直到2018年2月一直在中东和非洲地区进行网络间谍活动的复杂威胁。
Kaspersky logo

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.cn.

相关文章 企业新闻