CNN的報導也顯示,有惡意軟體正透過Skype來散播,這讓我們想起另一起之前所發現會利用Skype的攻擊。
趨勢科技發現有個網頁宣稱會提供Skype的加密軟體。這個網頁被代管在敘利亞的{BLOCKED}encription.sytes.net,IP地址是{BLOCKED}.{BLOCKED}.{BLOCKED}.0.28。這是之前攻擊所用的同一台命令和控制(C&C)伺服器。該網頁有個內嵌YouTube影片,聲稱來自「IT Security Lab(安全實驗室)」,可以用來加密語音通訊。
如果使用者被騙去下載檔案,就會出現一個宣稱會加密使用者Skype數據的程式。這個程式 – Skype Encription v2.1.exe,被趨勢科技偵測為BKDR_METEO.HVN。分析之後,我們沒有發現任何證據顯示這軟體有提供任何安全功能。
網路已經在現今的敘利亞衝突中扮演了重要角色。反對派已經更加地利用像是Facebook等平台來組織和散播他們的訊息。在另一方面,政權支持者像是「敘利亞電子軍」也試圖透過入侵網站和散播Facebook垃圾訊息來破壞這些活動。最近這場衝突已經升級到了新的層面,根據報導,針對性惡意攻擊已經被用來對付敘利亞反對派的支持者。
DarkComet RAT被用來當做「敘利亞間諜」
報導中被用來攻擊的惡意軟體會透過Skype聊天室散播。一旦使用者執行了這惡意軟體,它會連到一個C&C伺服器(位於敘利亞的IP – {BLOCKED}.{BLOCKED}.0.28),它屬於分配給敘利亞電信監理機構(Syrian Telecommunications Establishment)的IP網段。雖然這個惡意軟體被描述為「複雜」和「隱形」的,但實際上它是種被廣泛使用的遠端控制木馬程式(Remote Access Trojan,RAT),被稱為DarkComet。
趨勢科技的分析證實了之前Telecomix的調查,我們發現連到{BLOCKED}.{BLOCKED}.0.28的樣本是DarkComet遠端木馬控制程式版本3.3和5。不過有些樣本是「下載器」,會透過HTTP連到相同的IP地址來下載加密過的「UPDATE.BIN」檔案,然後加以解密和執行。之後產生的才是真正的DarkComet遠端木馬控制程式。
DarkComet是一種全功能的遠端控制木馬程式,可以利用網路攝影機照相,竊聽連在電腦上的麥克風談話,並且可以完全控制受感染的電腦。而最吸引人的功能是可以利用這遠端木馬控制程式來記錄鍵盤動作和傳輸檔案。這樣子就可以讓攻擊者將檔案加入受感染的電腦上,或是竊取文件。
DarkComet還在開發中,第五版是在去年1月15日發布。它是一個作者利用DarkCoderSc來進行開發的,在2008年首次出現。因為報導指出它被用在敘利亞事件裡,DarkComet作者在繼續開發遠端控制木馬程式的同時,也對此表示遺憾。他計劃作出DarkComet偵測器/移除器給敘利亞人民使用。
樣本一:直接下載DarkComet
CNN文章中所提到的惡意軟體帶有Facebook圖示,會透過 Skype聊天室來散播。這個被趨勢科技偵測為BKDR_ZAPCHAST.SG的樣本是DarkComet 5,會連到{BLOCKED}.{BLOCKED}.0.28的端口885 上。在我們的測試過程中,我們將測試機上的流量重新導到另一台執行DarkComet 5客戶端的機器上。正如你所見的,我們可以完全控制我們的測試機。
樣本二:DarkComet是第二階段的惡意軟體
我們拿到的另一個樣本則有不同的行為。一開始的執行檔被趨勢科技偵測為BKDR_BREUT.A,它會產生兩個執行檔。第一個檔案會秀出MAC地址轉換工具的畫面給被感染的使用者。
