今年是叙利亚内战爆发10周年,在这10年中叙利亚战火从未平息,接二连三的战役造成数十万人丧生,数百万人流离失所,基础设施遭到巨大破坏。“阿勒颇战役”是叙利亚内战中最血腥的战役之一,该战役开始于年7月19日,最终于年12月22日以*府*的胜利而结束。持续四年多的“阿勒颇战役”对于叙利亚*队有着重要的意义,该战役是叙利亚*队自危机爆发以来所取得的最大胜利,也是叙利亚战场上的一个重要转折点,该战役的胜利标志着叙利亚*队由战略防御转为了战略进攻。
近期,安全大脑从海量威胁样本中发现一个和“阿勒颇战役“相关的新移动RAT,该RAT使用此战役期间Jabhatal-Nusra组织参战的图标进行伪装。通过安全大数据分析,我们发现该类RAT家族最早出现于年3月,至今仍在活跃,主要通过以apk子包的方式嵌入到含有正常功能的母包中进行隐蔽传播。鉴于该家族RAT包名的特点,我们将此RAT命名为RemRAT。
01伪装方式RemRAT主要以子包的形式存在于有正常功能应用的assets资源文件中。目前已发现的被用来作为传播载体的母包均与伊斯兰宗教书籍相关。而恶意子包会伪装成系统类应用或母包的更新程序,值得注意的是,其中一个子包的图标来自于一个讨论“叙利亚内战”的waroffline战争论坛,并且图标人物为参加“阿勒颇的进攻”战役的Jabhatal-Nusra组织反对派武装人员。图1传播载体的图标图2子包中“阿勒颇的进攻“战役相关的图标图3“阿勒颇的进攻“战役相关的论坛年7月至8月的“阿勒颇的进攻”战役属于“阿勒颇战役“的一个子战役,该战役双方分别是*府*阵营和反叛者阵营,反叛者阵营由FatahHalab、ArmyofConquest(由Jabhatal-Nusra和其他圣战组织组成)、Ansaral-Islam等组织组成,反叛者在阿勒颇发动反攻,企图解除*府*对反叛者占领地区的包围,最后反叛者取得了短暂的胜利,建立了一条新的补给线。图4“阿勒颇的进攻”地图02样本分析功能分析载体母包启动后,会诱导用户安装恶意子包RemRAT。图5安装恶意子包的代码子包RemRAT的主要功能为隐私信息窃取,其中包括常规RAT所拥有的功能。从代码和证书创建时间上看,RemRAT共有两个版本,旧版本出现于年,新版本出现于年,新版本在旧版本的基础之上增加了一些新指令和新功能,如增加解锁自动拍照、窃取用户操作记录等功能。图6新旧版本代码对比图7解锁自动拍照图8窃取用户操作记录最新版本RemRAT所具备的主要功能整理如下:获取账户、IMEI、语音邮箱、网络制式等设备信息使手机震动拍照录像录音获取短信、通话记录、联系人信息获取地理位置信息创建Toast、Notification上传、下载文件打开指定URL执行命令行操作插入短信、发送短信监听剪贴板内容获取用户操作记录新旧版本指令及其对应的功能详见下表。旧版本指令
新版本指令
指令功能
get_account
get_account
获取账户、IMEI、语音邮箱、网络制式等信息
do_vibrate
do_vibrate
使手机震动
get_location
get_location
获取地理位置信息
take_picture
take_picture
拍照
live_video
live_video
录像
send_text_message
send_text_message
发送短信
show_notification
show_notification
展示通知
live_audio
live_audio
录音
MQTT
MQTT
MQTT重连
get_all_messages
get_all_messages
获取所有短信
get_call_logs
get_call_logs
获取通话记录
do_toast
do_toast
创建Toast
download_file
download_file
下载文件
upload_file
upload_file
上传文件
request
request
向服务器发送请求
get_call_list
get_call_list
获取通话录音列表
open_url
open_url
打开指定URL
do_exec
do_exec
执行命令行操作
get_contacts
get_contacts
获取联系人
download_call
download_call
上传通话录音
未实现
put_sms
插入短信
未实现
kill
终止连接
未实现
download_clipboard
上传剪贴板内容
未实现
download_photos
上传照片
未实现
download_keylogger
上传用户操作记录
未实现
get_keylogger_list
获取用户操作记录列表
表1指令及其功能截止到目前,此RAT家族中部分样本仍未被安全厂商识别。
图9VT厂商识别情况通信方式RemRAT共有三种通信方式,分别为MQTT通信、HTTP通信、TOR代理通信。旧版本使用MQTT通信和HTTP通信两种通信方式,新版本增加了对TOR代理通信的支持。1)MQTT通信RemRAT启动后会使用MQTT协议与硬编码的CC进行通信,并以由指定规则生成的客户端ID作为订阅主题进行消息订阅,最后再订阅回调函数处理订阅服务器下发的指令消息。图10订阅消息图11订阅消息的回调处理函数MQTT(MessageQueuingTelemetryTransport,消息队列遥测传输)是IBM开发的一个即时通讯协议。它是一种发布/订阅,极其简单和轻量级的消息传递协议,专为受限设备和低带宽,高延迟或不可靠的网络而设计。这种通信方式已不是首次出现在移动端木马,此前就有多家安全厂商报道过使用MQTT协议进行通信的移动端木马,例如中东地区的双尾蝎(APT-C-23)组织,它的移动端攻击样本中就使用了MQTT协议。2)HTTP通信RemRAT使用此种通信方式将收集的数据上传到服务器。当收到request指令后也会使用此协议与CC进行一次请求通信。图12使用HTTP通信3)TOR代理新版本使用了开源的TorOnion代理库,该代理库可使Java和Android程序实现匿名通信,具有隐藏用户真实地址、避免网络监控及流量分析的特点。但是从代码逻辑看实际并未使用此方式进行通信,预计后续版本会开启此类通信方式,从而达到隐藏自身CC的目的。图13使用TorOnion代理库03受害者分析通过对受害者进行分析,我们发现受害者主要集中在叙利亚和伊朗,受害用户的最早感染时间是年底,并且目前仍有新用户被感染。“阿勒颇战役“已结束多年,但攻击仍在继续,这暗示着攻击者