Endpoint Protection

这个名为“Strider”（漫游者）的网络间谍团伙在之前鲜为人知，但其却一直暗中对俄罗斯、中国、瑞典和比利时的选定目标执行网络间谍式攻击。该团伙攻击目标时使用了一种名为“Remsec”的高端恶意软件(Backdoor.Remsec)。Remsec是一种隐蔽性很强的软件，似乎主要用于间谍行动。该软件的代码引用了《指环王》中可以洞察万物的反派角色索伦。

Strider的攻击可能与之前未浮出水面的“Flamer”（批评者）团伙有关，Flamer早先使用了一种Lua模块技术，我们将在后面对其做以讨论。而且，Strider的一个目标之前还受Regin（一种间谍软件）所感染。

背景
Strider至少在2011年10月起就一直保持活跃。此前，该团伙一直行事低调，其目标主要为国家情报部门所关注的机构和个人。赛门铁克从一名客户手中获取了恶意软件Remsec样本。这名客户使用我们的行为引擎监测到该恶意软件后将其提交。

Remsec主要用来暗中监视目标。这种软件能够在受感染计算机上打开后门，记录用户点击的按键，并盗取相关文件。

目标
Strider选择目标很有讲究。到目前为止，赛门铁克已发现七个不同机构的三十六台计算机受此团伙感染。该团伙的目标包括一些位于俄罗斯的机构和个人，以及一家中国航空公司，瑞典的一家机构和比利时的一个大使馆。

图1. 上述四个国家中只有少数机构受Strider影响

隐秘的后门
Strider使用的恶意软件Remsec采用模块化设计。这些模块共同协作，就像一个整体架构一样。攻击者借此可完全控制受感染计算机，使计算机跨越网络，泄露数据，并按需配置自定义模块。

Remsec具有多个使其能够躲避监测的隐蔽功能。该恶意软件的几个组件以可执行二进制大对象格式出现，使传统杀毒软件更难对其进行监测。除此之外，该软件的大部分功能均在线部署，这意味着Remsec只存在于计算机内存中，而不储存于磁盘之上。这使我们更难对这种恶意软件进行监测，同时也表明Strider 团伙的技术能力非常过硬。

赛门铁克目前为止发现的Remsec模块包括：

• 载入器：该模块名为MSAOSSPC.DLL，负责载入并执行磁盘文件。磁盘文件内含可执行二进制大对象格式的组件。该载入器也记录数据。可执行二进制大对象和相关数据由重复键0xBAADF00D机密和解密。载入器伪装成安全支持提供程序以保持存留。
• Lua模块：在几个例子中，Remsec使用到了由Lua编程语言编写的模块。该恶意软件使用Lua解释器运行Lua模块以执行各种功能。 这些Lua模块作为载入器，以相同的可执行二进制大对象格式储存。Lua模块包括：
  • 网络载入器 — 网络载入器在线载入可执行程序，以进行执行。该载入器可能使用RSA/RC6加密。
  • 主机载入器 — 主机载入器用以解密模块，并将至少三种其它Lua 模块加载至运行过程。主机载入器引用了三种指定模块：ilpsend、updater（迄今为止，上述两种还没有发现）和kblog（很可能是下述的键盘记录模块）。
  • 键盘记录器 — 键盘记录器记录用户点击的按键，并将此数据泄露至网络攻击者控制下的服务器。这种模块在代码中含有一个名为“Sauron”（索伦）的字符串。依据此模块的破坏力，我们认为这伙网络攻击者很可能参考《指环王》中可以洞察万物的大反派索伦对该模块进行命名。

图2. Remsec键盘记录器模块中引用“Sauron”的字符串。

• 网络监听器：在一些例子中，Remsec采用了多种打开网络连接的技术，主要是通过对特定流量进行检测以实现目的。这些技术包括ICMP、PCAP和RAW网络套接字。
• 基本通道后门：这是一种最小的后门模块，由特定通道控制。基本通道后门能够以可执行二进制大对象格式或标准执行格式执行数据。
• 高端通道后门：高端通道后门比基本通道后门的控制功能多，其功能包括发送可执行二进制大对象，以及列举、读取、写入和删除文件。
• HTTP后门：该模块包括指挥与控制(C&C)服务器的多个网址。

Strider团伙有能力开发定制恶意软件，而且在至少五年的时间中没有受到发现。考虑到其恶意软件的侦测能力及已知目标的特点，我们认为该团伙很可能是国家级的网络攻击团伙。赛门铁克将继续寻找更多的Remsec模块及其攻击目标，对Strider加深了解，从而更好地保护我们的客户。

保护
赛门铁克和诺顿产品检测此恶意软件为Backdoor.Remsec。

感染迹象
我们还编制了一份感染迹象文件，其中包括更多相关信息，可帮助您识别环境中的威胁条件。