近期，ESET的研究人员发现了一个新的间谍平台，它具有复杂的体系结构，还有两个显著的特点：一是它的GSM插件使用AT命令协议；二是使用Tor进行网络通信，因此研究人员将此网络间谍平台命名为Attor。

目标

Attor的间谍活动具有高度针对性，最早的行动可以追溯到2013年，虽然这一年发现的受害者仅有几十名，不过仍可以通过恶意软件的部件来了解目标受害者的更多信息。

例如Attor通过监视活动进程来了解受害者活动，当进程名或窗口标题中有特定的子字符串时，对选定的应用程序进行屏幕截图。

除了流行的Web浏览器、通讯应用程序和电子邮件服务等标准服务外，Attor的目标应用程序列表还包含多种俄语类服务，如表1所示。

表1.相关应用程序

列表中包含俄罗斯两个最受欢迎的社交网络（Odnoklassniki，VKontakte），以及俄罗斯电信运营商提供的VoIP服务（Multifon）。看上去Attor的目标是俄语人群，对受害者的统计信息也显示大多数目标位于俄罗斯，如图1所示，还有一些位于东欧，涉及外交使团和政府机构。

图1.受Attor影响的国家

Attor截图的应用程序包括加密/数字签名实用程序、VPN服务HMA、端到端加密电子邮件服务Hushmail和The Bat！，以及磁盘加密实用程序TrueCrypt。

对TrueCrypt的检查则在Attor的另一部分中进行，通过监视连接到受感染计算机的硬盘设备搜索TrueCrypt的存在。如果检测到TrueCrypt，则将IOCTL发送到TrueCrypt驱动程序（0x222004（TC_IOCTL_GET_DRIVER_VERSION）和0x72018（TC_IOCTL_LEGACY_GET_DRIVER_VERSION））来确定其版本。由于这些是TrueCrypt特定的控制代码，而不是标准代码，恶意软件的作者必须真正理解TrueCrypt安装程序的开源代码才能正确使用。此类技术我们之前从未见过，也未见其他恶意软件中有记载。

图2.设备监视器插件将非标准的TrueCrypt特定的控制代码发送到TrueCrypt驱动程序，以确定TrueCrypt的版本

平台架构

Attor由一个调度程序（dispatcher）和可加载插件组成，所有都实现为动态链接库（DLL）。入侵的第一步是将这些组件拖放到磁盘上并加载调度程序DLL。

调度程序是整个平台的核心，它充当其他插件的管理和同步单元，每次系统启动时将自身注入几乎所有正在运行的进程中，并在每个进程中加载可用插件，但Attor会避免注入某些安全产品相关进程中去。

所有插件都依赖调度程序来实现基本的功能。这些插件不是直接调用Windows API函数，而是引用了一个由调度程序DLL实现的helper函数(一个函数调度程序)。插件加载时，对函数调度程序的引用将传递给插件，因为插件是在与调度程序本身相同的进程中注入的，所以它们共享相同的地址空间，能够直接调用此函数。

函数类型及其数字标识符作为函数调度程序的调用参数，标识符随后转换为有意义的函数执行，这种设计使得在无法访问调度程序的情况下很难分析Attor的各个组件。

图3展示了一个插件的一部分，它多次调用了函数调度程序。在右侧的反汇编中，我们用描述性名称替换了数字标识符（通过对调度程序逆向工程得到的）。有关调度程序接口的完整分析，请参阅我们的白皮书。

图3.其他插件通过调用函数调度程序（在此处称为helperFnc）使用主模块中实现的函数

此外，调度程序是平台中唯一可以访问配置数据的组件。如上所述，Attor的插件通过接口从调度程序中检索其配置数据。

插件

Attor的插件以DLL的形式提供给受感染的计算机，并使用RSA非对称加密，只能使用调度程序中嵌入的公共RSA密钥才能在内存中完全恢复。因此，如果不访问调度程序，就很难获得Attor的插件并对其解密。

我们目前已经恢复了八个Attor插件，其中一些有多个版本，如表2所示。假设插件的编号是连续的，并且如果Attor的幕后人员针对每个受害者都使用不同的插件集，那么可能还有更多的插件未被发现。

表2.分析的插件及其版本

这些插件负责平台的持久性（安装程序/看门狗插件），收集敏感信息（设备监视器、屏幕抓取器、音频记录器、键/剪贴板记录器）以及与C＆C服务器进行网络通信（文件上传器、命令调度程序/ SOCKS代理，Tor客户机）。

Attor的内置机制能添加新的插件、更新自身、自动泄露收集的数据和日志文件。这些机制如图4所示。

在以下各节中，我们将重点介绍Attor的两个核心功能插件——通过AT命令进行GSM指纹识别，以及使用Tor进行网络通信。

图4.Attor架构。请注意ID 0x06表示单个插件，但是为了清楚起见，这里将功能分为两部分

网络通讯

Attor的间谍插件能收集敏感数据(例如磁盘上的文档列表)并上传到远程服务器，但是这些插件本身并不通过网络进行通信。

Attor的组件中只有两个与其C＆C服务器通信：文件上载器和命令调度程序。

“间谍插件”(设备监视器、屏幕抓屏器、录音机和键盘/剪贴板记录器)收集的文件通过文件上传插件自动上传到C&C服务器。这些插件使用一个专门的Upload文件夹作为中心文件夹来存储数据，而其他插件使用它来存储日志文件。

命令调度程序插件从C&C服务器下载命令和其他工具并进行解释，它也使用专用的文件夹来存储数据，包括新下载的插件、平台更新，以及包含执行命令的状态/结果的加密日志数据。

调度程序负责监视共享文件夹，并加载更新推送到受感染计算机。

这意味着Attor的调度程序和间谍插件都不会与C＆C服务器进行通信——它们仅使用本地共享文件夹来存储要窃取的数据并从服务器读取进一步的指令。

文件上传器和命令调度程序都使用相同的基础结构来访问远程服务器——网络通信本身分散在四个不同的Attor组件中，每个组件实现不同的层。

Attor使用洋葱服务协议(Tor: Onion Service Protocol)，并为C&C服务器提供一个洋葱地址。为了与C&C服务器通信，任何插件必须首先与Tor客户端插件建立连接(监听非默认的127.0.0.1:8045)，后者负责解析洋葱域、选择线路和分层加密数据。Tor客户端插件基于Tor客户端，能根据恶意软件需求定制，比如这次增加了与Attor调度程序的交互。

Tor客户端插件必须与实现加密功能的调度程序通信。此外，它还与SOCKS代理插件通信(监听127.0.0.1:5153)，该插件负责中继Tor客户机和远程服务器之间的通信。

文件上传程序和命令调度程序都使用FTP，文件上传或下载都受配置中硬编码的凭据保护：

C＆C服务器：idayqh3zhj5j243t [.] onion

用户名：do

密码：[Redacted] 

插件登录到FTP服务器，并将收集的数据复制到特定受害者的目录，或从特定受害者的目录下载命令。

总的来说，C&C通信的基础架构跨越了四个Attor组件——一个提供加密功能的调度程序，以及实现FTP协议、Tor功能和实际网络通信的三个插件，如图5所示。这种机制使得分析Attor的网络通信无法达成，除非收集了所有的“拼图”模块。

图5.四个Attor组件协作以实现与C＆C服务器的通信

需要注意的是，Attor使用了几个额外的技巧来隐藏它的通信，不让用户和安全产品看到:

首先，C＆C服务器是Tor服务，旨在实现匿名和不可追踪性。

其次，只有在web浏览器、即时通讯软件或其他网络应用程序的进程运行时，所有与网络通信相关的插件才会被激活(这是通过根据硬编码列表检查进程名来确定的)。此方法的技巧是将入侵相关的网络通信隐藏在应用程序发出的合法通信流中，从而降低被怀疑的风险。

GSM指纹

这是Attor武器库中另一个值得注意的插件，它负责收集连接的调制解调器/电话设备/存储驱动器（以及驱动器上的文件）的信息，收集的是元数据而非文件本身，因此我们将其视为一个用于设备指纹识别的插件，很可能是进一步盗窃数据的基础。

尽管Attor的指纹识别存储驱动器功能相当常规，但其GSM设备的指纹识别却是独特的。

每当将调制解调器或电话设备连接到COM端口时，设备监视器都会使用AT命令通过关联的串行端口与设备进行通信。

AT命令（也称为Hayes命令集）最初是在1980年代开发的，用于命令调制解调器拨号、挂断或更改连接设置，命令集在之后也得到了扩展，能支持标准功能或供应商的定制功能。

而这些命令在现代大多数智能手机中仍在使用，有研究人员测试过，能通过滥用这些命令来绕过安全机制，通过USB接口使用AT命令与智能手机通信。研究人员恢复并测试了数千个命令，包括用于发送SMS消息、模拟屏幕触摸事件或泄漏敏感信息的命令，研究结果表明，旧AT指令如果被被滥用的话会带来严重的风险。

但Attor似乎不太可能瞄准现代智能手机设备，其插件将忽略通过USB端口连接的设备，而仅与通过串行端口连接的设备联系（确切地说是设备的友好名称匹配“COM*”）。

那么这个插件的主要目的应该是针对调制解调器和老式手机，或者用于与一些使用USB-to-serial适配器连接到COM端口或USB端口的特定设备进行通信，这些设备既可以是受害者的，也可以是目标组织所使用的。在这种情况下，攻击者可能已经通过其他侦察技术了解了受害者使用设备的情况。

不管怎样，插件都是使用表3中列出的AT命令从连接的设备中检索以下信息：

· 手机或GSM/GPRS调制解调器基本信息:制造商名称、型号、IMEI号码和软件版本

· 用户基本信息:MSISDN和IMSI号

表3.设备监视器插件使用的AT协议命令

但表中还有许多(特定于供应商的)AT命令没有被这个插件使用。恶意软件操作人员可能使用列出的命令来识别连接的设备，然后部署另一个带有更具体命令的插件来从设备中提取信息。

结论

Attor是一个具有高度针对性的间谍平台，主要针对俄罗斯以及东欧的一些目标群体。

该恶意软件自2013年出现以来就一直低调发展，它的可加载的插件架构，可用于为特定受害者定制功能。它还包含了一个用于GSM指纹识别的插件，该插件利用了过去很少发现被使用的AT命令集，为了不被追踪还结合了Tor。

关于Attor更多活动的检测名称和其他危害指标请参见此文档。