火星探測器軟件的開源庫被惡意利用

近日Palo Alto Networks發布報告稱火星探測器軟件的開源庫被惡意利用。

網絡釣魚攻擊

根據Palo Alto Networks報告，2015 年12月24日印度駐阿富汗大使收到一封釣魚郵件，而在釣魚郵件中包含了一種新型惡意軟件，如果下載和安裝就會在計算機上自動安裝一個后門。當然郵件是偽 造的，郵件中包括了一個RTF（富文本格式）文件。利用到的漏洞是 CVE-2010-3333，該漏洞是 Microsoft Office RTF 分析器堆棧溢出漏洞。而自動解壓安裝在計算機上，下載到計算機的木馬程序才是最具有威脅的。

該惡意程序被研究人員稱為“Rover”，因為它依賴opencv和OpenAL開源庫。

FreeBuf 百科：OpenCV 與 OpenAL

OpenCV是一個基于BSD許可（開源）發行的跨平臺計算機視覺庫，可以運行在Linux、Windows和Mac OS操作系統上。

OpenAL（Open Audio Library）是自由軟件界的跨平臺音效API，它最初是由 Loki Software 所開發，是為了將 Windows 商業游戲移植到 Linux 上。不過現在最大的主導者是創新科技，并得到來自 Apple 和自由軟件/開放源代碼愛好者的持續支援。

這兩者都曾被用于著名的火星探測機器人，尤其opencv的應用領域相當廣泛，人機互動、物體識別、圖像分割、人臉識別、動作識別、運動跟蹤、機器人、運動分析、機器視覺、結構分析、汽車安全駕駛等等。

惡意攻擊步驟

一旦惡意軟件被執行就會在計算機重啟后更改注冊表，路徑：HKEY_CURRENT_USER\SOFTWARE\Microsoft \Windows\CurrentVersion\Run\”System Application” = c:\system\WindowsSecurityService[2 or 3].exe。

惡意程序將會執行以下六個過程：

1.Heartbeat

Heartbeat最核心的包括兩個部分，心跳監測部分和資源接管部分，心跳監測可以通過網絡鏈路和串口進行，而且支持冗 余鏈路，它們之間相互發送報文來告訴對方自己當前的狀態，如果在

指定的時間內未收到對方發送的報文，那么就認為對方失效，這時需啟動資源接管模塊來接管運 行在對方主機上的資源或者服務。也就是說每五秒都會檢查C2服務器運行情況。

2.截圖

每過60分鐘就將計算機桌面截圖并保存（c:\system\screenshot.bmp）成BMP格式上傳到C＆C服務器

3.在移動存儲設備尋找文件

尋找移動存儲設備，一旦找到將其復制到c:\system，每五秒一次。

4.記錄鍵盤敲擊記錄

每過10秒鐘記錄鍵盤敲擊記錄并上傳到C＆C服務器，儲存位置：c:\system\log.txt。

5.硬盤搜索特定文件

每過60分鐘搜索辦公文件并上傳至惡意攻擊者服務器。文件擴展名：pdf、doc、docx、ppt、pptx、xls、xlsx。

6.安裝完整后門程序

此外后門程序還有一個功能，允許攻擊者使用惡意軟件拍照（c:\system\camera.jpg）或錄制視頻（通過網絡攝像頭）和音頻（通過麥克風），當然只要攻擊者想要這么做就可以實現。

雖然惡意軟件Rover缺乏一些新型惡意軟件的特點，但它似乎成功繞過了安全系統，并對有針對性的目標發起攻擊。目前，最重要的是了解這一情況以避免遭受攻擊。

*參考來源：softpedia、paloaltonetworks，FB小編親愛的兔子編譯，來自FreeBuf黑客與極客（FreeBuf.COM）

來自： http://www.oschina.net//news/71212/mars-rover-code-used-for-cyber-espionage-malware