火星探测器软件的开源库被恶意利用

简介:

screenshot

近日Palo Alto Networks发布报告称火星探测器软件的开源库被恶意利用。

网络钓鱼攻击

根据Palo Alto Networks报告,2015 年12月24日印度驻阿富汗大使收到一封钓鱼邮件,而在钓鱼邮件中包含了一种新型恶意软件,如果下载和安装就会在计算机上自动安装一个后门。当然邮件是伪 造的,邮件中包括了一个RTF(富文本格式)文件。利用到的漏洞是 CVE-2010-3333,该漏洞是 Microsoft Office RTF 分析器堆栈溢出漏洞。而自动解压安装在计算机上,下载到计算机的木马程序才是最具有威胁的。

screenshot

该恶意程序被研究人员称为“Rover”,因为它依赖opencv和OpenAL开源库。

FreeBuf 百科:OpenCV 与 OpenAL

OpenCV是一个基于BSD许可(开源)发行的跨平台计算机视觉库,可以运行在Linux、Windows和Mac OS操作系统上。

OpenAL(Open Audio Library)是自由软件界的跨平台音效API,它最初是由 Loki Software 所开发,是为了将 Windows 商业游戏移植到 Linux 上。不过现在最大的主导者是创新科技,并得到来自 Apple 和自由软件/开放源代码爱好者的持续支援。

这两者都曾被用于著名的火星探测机器人,尤其opencv的应用领域相当广泛,人机互动、物体识别、图像分割、人脸识别、动作识别、运动跟踪、机器人、运动分析、机器视觉、结构分析、汽车安全驾驶等等。

恶意攻击步骤

一旦恶意软件被执行就会在计算机重启后更改注册表,路径:HKEY_CURRENT_USERSOFTWAREMicrosoft WindowsCurrentVersionRun”System Application” = c:systemWindowsSecurityService[2 or 3].exe。

screenshot

恶意程序将会执行以下六个过程:

1.Heartbeat

Heartbeat最核心的包括两个部分,心跳监测部分和资源接管部分,心跳监测可以通过网络链路和串口进行,而且支持冗 余链路,它们之间相互发送报文来告诉对方自己当前的状态,如果在

指定的时间内未收到对方发送的报文,那么就认为对方失效,这时需启动资源接管模块来接管运 行在对方主机上的资源或者服务。也就是说每五秒都会检查C2服务器运行情况。

2.截图

每过60分钟就将计算机桌面截图并保存(c:systemscreenshot.bmp)成BMP格式上传到C&C服务器

3.在移动存储设备寻找文件

寻找移动存储设备,一旦找到将其复制到c:system,每五秒一次。

4.记录键盘敲击记录

每过10秒钟记录键盘敲击记录并上传到C&C服务器,储存位置:c:systemlog.txt。

5.硬盘搜索特定文件

每过60分钟搜索办公文件并上传至恶意攻击者服务器。文件扩展名:pdf、doc、docx、ppt、pptx、xls、xlsx。

screenshot

6.安装完整后门程序

此外后门程序还有一个功能,允许攻击者使用恶意软件拍照(c:systemcamera.jpg)或录制视频(通过网络摄像头)和音频(通过麦克风),当然只要攻击者想要这么做就可以实现。

虽然恶意软件Rover缺乏一些新型恶意软件的特点,但它似乎成功绕过了安全系统,并对有针对性的目标发起攻击。目前,最重要的是了解这一情况以避免遭受攻击。

====================================分割线================================
文章转载自 开源中国社区[http://www.oschina.net]

目录
相关文章
|
数据采集 监控 数据管理
工控CTF_纵横网络靶场_组态软件分析
工控CTF_纵横网络靶场_组态软件分析
工控CTF_纵横网络靶场_组态软件分析
|
传感器 编解码 算法
超声波「读心术」!读懂恒河猴的想法,无需开颅植入电极
当你浏览这篇文章的时候,你的大脑里发生了什么?换句话说,你大脑的哪些区域是活跃的,哪些神经元正在与其他神经元交流,它们在向你的肌肉发送什么信号?
144 0
超声波「读心术」!读懂恒河猴的想法,无需开颅植入电极
|
安全 网络安全
封杀“改号神器”关键在堵住通信网络漏洞
冒充领导、好友,甚至机主本人,利用改号软件诈骗的案例屡有发生。近日记者调查发现,仍有改号软件活跃网络。一些改号软件卖家称自己的产品是“全网最牛改号神器”,可以“一键变身任意号码”,并支持客户指定号码免费测试。
1639 0
|
安全 Java 数据安全/隐私保护
支持多平台高级逃避技术的外星人间谍软件AlienSpy RAT
本文讲的是 支持多平台高级逃避技术的外星人间谍软件AlienSpy RAT,黑客们协同开发了外星人间谍(AlienSpy RAT)软件,这是一种远程连接工具,旨在一系列关键基础设施上植入并传播城堡(Citadel)银行木马。
1581 0
|
安全 Linux C语言
开源软件再曝重大漏洞 “幽灵”可远程控制Linux服务器
本文讲的是开源软件再曝重大漏洞 “幽灵”可远程控制Linux服务器,大多数Linux系统中广泛使用的一个组件存在严重漏洞(CVE-2015-0235),攻击者只需发送一封恶意邮件即可远程控制系统。
1906 0