这个名为“Strider”(漫游者)的网络间谍团伙在之前鲜为人知,但其却一直暗中对俄罗斯、中国、瑞典和比利时的选定目标执行网络间谍式攻击。该团伙攻击目标时使用了一种名为“Remsec”的高端恶意软件(Backdoor.Remsec)。Remsec是一种隐蔽性很强的软件,似乎主要用于间谍行动。该软件的代码引用了《指环王》中可以洞察万物的反派角色索伦。
Strider的攻击可能与之前未浮出水面的“Flamer”(批评者)团伙有关,Flamer早先使用了一种Lua模块技术,我们将在后面对其做以讨论。而且,Strider的一个目标之前还受Regin(一种间谍软件)所感染。
背景 Strider至少在2011年10月起就一直保持活跃。此前,该团伙一直行事低调,其目标主要为国家情报部门所关注的机构和个人。赛门铁克从一名客户手中获取了恶意软件Remsec样本。这名客户使用我们的行为引擎监测到该恶意软件后将其提交。
Remsec主要用来暗中监视目标。这种软件能够在受感染计算机上打开后门,记录用户点击的按键,并盗取相关文件。
目标 Strider选择目标很有讲究。到目前为止,赛门铁克已发现七个不同机构的三十六台计算机受此团伙感染。该团伙的目标包括一些位于俄罗斯的机构和个人,以及一家中国航空公司,瑞典的一家机构和比利时的一个大使馆。
图1. 上述四个国家中只有少数机构受Strider影响
隐秘的后门 Strider使用的恶意软件Remsec采用模块化设计。这些模块共同协作,就像一个整体架构一样。攻击者借此可完全控制受感染计算机,使计算机跨越网络,泄露数据,并按需配置自定义模块。
Remsec具有多个使其能够躲避监测的隐蔽功能。该恶意软件的几个组件以可执行二进制大对象格式出现,使传统杀毒软件更难对其进行监测。除此之外,该软件的大部分功能均在线部署,这意味着Remsec只存在于计算机内存中,而不储存于磁盘之上。这使我们更难对这种恶意软件进行监测,同时也表明Strider 团伙的技术能力非常过硬。
赛门铁克目前为止发现的Remsec模块包括:
图2. Remsec键盘记录器模块中引用“Sauron”的字符串。
Strider团伙有能力开发定制恶意软件,而且在至少五年的时间中没有受到发现。考虑到其恶意软件的侦测能力及已知目标的特点,我们认为该团伙很可能是国家级的网络攻击团伙。赛门铁克将继续寻找更多的Remsec模块及其攻击目标,对Strider加深了解,从而更好地保护我们的客户。
保护 赛门铁克和诺顿产品检测此恶意软件为Backdoor.Remsec。
感染迹象 我们还编制了一份感染迹象文件,其中包括更多相关信息,可帮助您识别环境中的威胁条件。