Domestic Kitten:針對伊朗的監控活動
攻擊者
此次攻擊活動背後的組織者身份暫時還不能確定,根據攻擊的目標、APP的屬性和攻擊基礎設施判斷應該來源於伊朗。熟悉政治的情報專家稱伊斯蘭革命衛隊、內政部、情報部等伊朗政府組織都經常會進行這樣的監視活動。
事實上,這些監控程序是用於對伊朗政權穩定有威脅的個人和組織,包括內部持不同政見者和反對勢力。
通過手機應用手機數據
受害者首先會被誘使下載一個受害者感興趣的應用。這些應用包括ISIS主題的牆紙更換器,來自ANF庫爾德語通訊社的更新和即時消息應用Vidogram的虛假版本。
ISIS主題的應用的主要功能是設置ISIS圖片的牆紙,主要針對的目標是恐怖組織的支持者,搞笑的是應用名都有語法錯誤。
圖1: 提供ISIS相關牆紙的應用
圖2: ANF新聞社站點
ANF是一個合法的庫爾德語新聞網站,攻擊者偽造了該網站的APP來欺騙目標用戶。
因為前述應用的名稱和內容,研究人員相信這項攻擊活動的目標應該是特定的政治團體和用戶,主要是ISIS支持者和庫爾德種族。但主要的受害者還是伊朗普通市民。
技術分析
攻擊活動中使用的應用都使用了2016年發布的相同的證書。證書與telecom2016@yahoo[.]com相關聯。
圖3: 使用相同郵件地址的攻擊者應用證書
但該郵箱地址並沒有註冊用於攻擊活動的域名,所以沒查到什麼有用的信息。
繼續分析應用程序發現,所有的應用都有一個特徵就是使用了一個包名拼寫錯誤的包「andriod.browser」。
圖4: 惡意應用的類
這些類負責從受害者設備上竊取數據、收集敏感數據。具體的信息包括:
·SMS/MMS消息;
·通話記錄;
·聯繫人列表;
·瀏覽器歷史和書籤;
·外部存儲;
·剪貼板內容;
·地理位置和照相機圖片。
有趣的是,應用還會收集周圍錄音。
圖5: 惡意代碼示例
所有竊取的數據都回通過HTTP POST請求發回給C2伺服器。其中一個應用會與firmwaresystemupdate[.]com通信,這是新註冊的網站,解析的地址首先是一個伊朗的IP地址,然後會轉為一個俄羅斯的IP地址。
圖6: 其中一個誘餌應用聯繫firmwaresystemupdate[.]com
其餘應用會直接聯繫IP地址,與之前的域名不同的是,IP地址是base64編碼和XOR過的:
圖7: C2解碼
雖然是直接聯繫IP地址,這些新註冊的域名都會解析為這些IP地址,但都遵循相同的命名約定:
·Stevenwentz[.]com
·Ronaldlubbers[.]site
·Georgethompson[.]space
每個受害者都會收到一個唯一的設備UUID(是設備Android_id的編碼值),UUID在每次登陸時都會發回給攻擊者,發回的標題為UUID_LogDate_LogTime.log。
在為受害者創建日誌文件後,就會收集一些基礎信息。所有的日誌都使用~~~符合來分割竊取數據的不同域:
圖8: SMS日誌示例
然後不同的類回收集相關的數據,並加入到日誌中,然後繼續壓縮。之後,用AES加密方式加密,加密密鑰為設備UUID:
圖9: 應用的加密方法
當從攻擊者處接收到命令時就會收集信息並發回給C2伺服器。這些命令的結構與日誌相同,使用相同的分隔符,命令包括「Get File」、「Set Server」、「Get Contacts」 等。
圖10: 來自C2伺服器的命令示例
受害者分布
分析了攻擊活動的範圍、被攻擊的設備信息和收集的日誌文件,研究人員估算大約有240個用戶成為此次監視活動的受害者。惡意軟體的創建者非常信息的記錄了受害者的區域,所以有97%的受害者都是伊朗人,之前研究人員也推測這是一起來源於伊朗的監視活動。
剩餘3%的受害者來自阿富汗、伊拉克和英國。日誌文件中甚至還有用來攔截受害者數據的惡意應用名和應用code name域。Code name域含有應用的簡要描述,研究人員相信這是攻擊者用來快速識別受害者使用的應用的域。Code name有『Daesh4』 (ISIS4), 『Military News』, 『Weapon2』, 『Poetry Kurdish』等。
圖11: 被攻擊的設備和設備廠商分布
實際的受害者數量非常龐大,因為攻擊者會竊取受害者的通訊錄,通訊錄中含有聯繫人全名和至少一個手機號碼。而且還有通話記錄、SMS詳情、SMS消息、等不相關的用戶隱私信息都被竊取了。
※SGX可能遇到的攻擊
※針對沙特人權活動家和研究人員的NSO間諜軟體
TAG:嘶吼RoarTalk |