当前位置:安全资讯 >> 全文

InvisiMole:这么神秘强大专攻俄乌的监控软件你可能是第一次见

发布时间:2018-6-11 11:59 标签: 国家安全,监控软件
分享到 0

ESET 公司的安全研究员发现了一款复杂的监控软件,它在过去五年来都一直感染并监控俄罗斯和乌克兰的少数目标群体。

虽然尚不清楚这款名为 InvisiMole 的恶意软件源自何处,但据称它是一款高阶网络监控工具,很可能是国家黑客创建或为了牟取经济利益。这样的判断并不仅仅因为它出现的次数极其少,仅在“几十台计算机上”发现过,而且还因为它能力强大,而开发可能会耗费至少数月甚至数年的时间,显然并非出自一般的网络犯罪分子之手。

隐秘性高盗取能力强

除了 InvisiMole 的二进制文件外,关于其幕后黑手、传播方式或所适用的攻击活动统统一概不知。

ESET 公司的研究员 Zuzana Hromcová 撰文深入分析指出,“遥测数据表明这款恶意软件背后的恶意人员至少活跃于2013年,但这款网络间谍工具被 ESET 产品从乌克兰和俄罗斯被攻陷计算机上发现之前从未被分析或检测到过。”

他补充道,“所有的感染向量都是可能的,包括通过物理访问设备方便安装程序。”

InvisiMole 是典型的用于高度集中的攻击中的恶意软件,它并未留下多数可溯源至恶意作者的线索。除了一份文件(日期是20131013日)外,所有的编译日期都被用多个0取代,因此无法获知其时间轴和生命周期。

另外,InvisiMole 的编码本身非常聪明,它由两个模块组成,每个模块都具有自己的监控特征,但二者都能帮助彼此提取数据。

能力稍弱的模块 RC2FM

InvisiMole 的第一个主模块是 RC2FM,它是两个模块中较小的,而且仅支持15个命令,组合多个函数更改本地系统以及搜索并窃取数据。

这个模块并不如第二个模块高阶,但它最具创新力的地方在于能够从浏览器中提取代理设置并通过这些配置将数据发送至其命令和服务控制器中,以防本地网络设置阻止该模块和主服务器通信。

RC2FM 模块的一些命令可被用于启用用户的麦克风、记录音频、将其编码为 MP3格式并将其发送给 InvisiMole 命令和控制服务器。

RC2FM 还能启动用户的网络摄像头并抓取截屏。它还能监控本地驱动、检索系统信息并更改系统配置。

“大坏狼”模块 RC2CL

InvisiMole 的第二个模块 RC2CL更为高阶。它支持84个后门命令并包含几乎所有你可从高阶监控软件网络中找到的能力。

它支持运行远程 shell 命令、控制注册表键、提取文件、获取本地应用列表、加载驱动、获取网络信息、禁用 UAC、关闭 Windows 防火墙等。RC2CL 还能通过麦克风记录音频并像第一个模块那样通过网络摄像头截屏。

Hromcová 表示该模块还具有一些独特的功能。其中一个功能是开始收集数据后自删除文件。这一步骤是为了阻止取证工具检测到磁盘上的影子稳健并找出恶意软件可能收集到的并发送给命令和控制服务器的内容。

它的另外一个独特功能是将自身转变为一个代理并促进第一个模块和攻击者命令和控制服务器之间的通信。这种独特能力此前并未在其它恶意软件中发现过。

总而言之,InvisiMole 是一款恶意满满的工具,它显然是一款非常强大的网络监控工具,而且很可能是迄今为止最好的监控工具。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/invisimole-is-a-complex-spyware-that-can-take-pictures-and-record-audio/
参与讨论,请先 登录 | 注册

用户评论