概述

今年是叙利亚内战爆发10周年，在这10年中叙利亚战火从未平息，接二连三的战役造成数十万人丧生，数百万人流离失所，基础设施遭到巨大破坏。“阿勒颇战役” 是叙利亚内战中最血腥的战役之一，该战役开始于2012年7月19日，最终于2016年12月22日以政府军的胜利而结束。持续四年多的“阿勒颇战役”对于叙利亚军队有着重要的意义，该战役是叙利亚军队自危机爆发以来所取得的最大胜利，也是叙利亚战场上的一个重要转折点，该战役的胜利标志着叙利亚军队由战略防御转为了战略进攻。

近期，360安全大脑从海量威胁样本中发现一个和“阿勒颇战役“相关的新移动RAT，该RAT使用此战役期间Jabhat al-Nusra组织参战的图标进行伪装。通过360安全大数据分析，我们发现该类RAT家族最早出现于2016年3月，至今仍在活跃，主要通过以apk子包的方式嵌入到含有正常功能的母包中进行隐蔽传播。鉴于该家族RAT包名的特点，我们将此RAT命名为RemRAT。

伪装方式

RemRAT主要以子包的形式存在于有正常功能应用的assets资源文件中。目前已发现的被用来作为传播载体的母包均与伊斯兰宗教书籍相关。而恶意子包会伪装成系统类应用或母包的更新程序，值得注意的是，其中一个子包的图标来自于一个讨论“叙利亚内战”的waroffline战争论坛，并且图标人物为参加“阿勒颇的进攻”战役的Jabhat al-Nusra组织反对派武装人员。

图1 传播载体的图标

图2 子包中“阿勒颇的进攻“战役相关的图标

图3 “阿勒颇的进攻“战役相关的论坛

2016年7月至8月的“阿勒颇的进攻”战役属于“阿勒颇战役“的一个子战役，该战役双方分别是政府军阵营和反叛者阵营，反叛者阵营由Fatah Halab、Army of Conquest（由Jabhat al-Nusra和其他圣战组织组成）、Ansar al-Islam等组织组成，反叛者在阿勒颇发动反攻，企图解除政府军对反叛者占领地区的包围，最后反叛者取得了短暂的胜利，建立了一条新的补给线。

图4 “阿勒颇的进攻”地图

样本分析

功能分析

载体母包启动后，会诱导用户安装恶意子包RemRAT。

图5 安装恶意子包的代码

子包RemRAT的主要功能为隐私信息窃取，其中包括常规RAT所拥有的功能。从代码和证书创建时间上看，RemRAT共有两个版本，旧版本出现于2016年，新版本出现于2019年，新版本在旧版本的基础之上增加了一些新指令和新功能，如增加解锁自动拍照、窃取用户操作记录等功能。

图6 新旧版本代码对比

图7 解锁自动拍照

图8 窃取用户操作记录

最新版本RemRAT所具备的主要功能整理如下：

• 获取账户、IMEI、语音邮箱、网络制式等设备信息
• 使手机震动
• 拍照
• 录像
• 录音
• 获取短信、通话记录、联系人信息
• 获取地理位置信息
• 创建Toast、Notification
• 上传、下载文件
• 打开指定URL
• 执行命令行操作
• 插入短信、发送短信
• 监听剪贴板内容
• 获取用户操作记录

新旧版本指令及其对应的功能详见下表。

表1 指令及其功能

截止到目前，此RAT家族中部分样本仍未被安全厂商识别。

图9 VT厂商识别情况

通信方式

RemRAT共有三种通信方式，分别为MQTT通信、HTTP通信、TOR代理通信。旧版本使用MQTT通信和HTTP通信两种通信方式，新版本增加了对TOR代理通信的支持。

1) MQTT通信

RemRAT启动后会使用MQTT协议与硬编码的C&C进行通信，并以由指定规则生成的客户端ID作为订阅主题进行消息订阅，最后在订阅回调函数处理订阅服务器下发的指令消息。

图10 订阅消息

图11 订阅消息的回调处理函数

MQTT（Message Queuing Telemetry Transport，消息队列遥测传输）是IBM开发的一个即时通讯协议。它是一种发布/订阅，极其简单和轻量级的消息传递协议，专为受限设备和低带宽，高延迟或不可靠的网络而设计。这种通信方式已不是首次出现在移动端木马，此前就有多家安全厂商报道过使用MQTT协议进行通信的移动端木马，例如中东地区的双尾蝎（APT-C-23）组织，它的移动端攻击样本中就使用了MQTT协议。

2) HTTP通信

RemRAT使用此种通信方式将收集的数据上传到服务器。当收到request指令后也会使用此协议与C&C进行一次请求通信。

图12 使用HTTP通信

3) TOR代理

新版本使用了开源的Tor Onion代理库，该代理库可使Java和Android程序实现匿名通信，具有隐藏用户真实地址、避免网络监控及流量分析的特点。但是从代码逻辑看实际并未使用此方式进行通信，预计后续版本会开启此类通信方式，从而达到隐藏自身C&C的目的。

图13 使用Tor Onion代理库

受害者分析

通过对受害者进行分析，我们发现受害者主要集中在叙利亚和伊朗，受害用户的最早感染时间是2016年底，并且目前仍有新用户被感染。“阿勒颇战役“已结束多年，但攻击仍在继续，这暗示着攻击者关注的不仅仅是叙利亚的阿勒颇战役，而是与中东地区局势紧密相关或关注中东地区局势的人员。

图14 受害用户地域分布

总结

从新旧版本的RemRAT代码对比中可以看出，攻击者正在试图获取受害者更多的隐私信息并对设备进行更多的操作，并且开始关注自身C&C的隐藏，预计下个版本将会使用TOR代理来代替硬编码的C&C。

RemRAT的发现不是偶然，它只是中东各国战争背影下催生的众多产物之一。借助宗教书籍APP进行载荷投递，攻击时间长，种种迹象表明这是一起中东地区有针对性的长期攻击活动，活动背后更深层次的秘密需要我们持续深入的跟进挖掘。

IOC

MD5

fa34a610742c8faf48cb9e203f9eaa77

ac1f906a719a5f6285dcedd3f5567fae

31d0630879e3d35f66feaf02d39c051e

afecc3fdd82f19a361e5adc046326706

6fbbfe565e53b4b029367acc890110b9

C&C

supportedwebs.com

websitesparadise.com

参考链接

【1】 https://zh.wikipedia.org/wiki/阿勒頗戰役_(敘利亞內戰)

【2】 https://en.wikipedia.org/wiki/Battle_of_Aleppo_(2012%E2%80%932016)

【3】 https://en.wikipedia.org/wiki/Al-Nusra_Front

【4】 https://twitter.com/sayed_ridha/status/759758832360763393

【5】 http://archive.4plebs.org/pol/thread/83609210/

【6】 https://archive.org/details/Archive_JFS

【7】 http://waroffline.org/index.php?showtopic=578&st=1140

【8】 https://github.com/thaliproject/Tor_Onion_Proxy_Library/tree/71dc2a13f674260e34d31d723fcb21a5e7649731

【9】 https://research.checkpoint.com/2020/hamas-android-malware-on-idf-soldiers-this-is-how-it-happened/

360烽火实验室

360烽火实验室致力于移动恶意软件分析、移动灰黑产研究、移动威胁预警、移动APT的发现与追踪等移动安全领域的深入研究。作为全球顶级移动安全生态研究实验室，360烽火实验室在全球范围内不仅首发了多篇具备国际影响力的移动安全生态研究成果，并且成功狩猎了蔓灵花、拍拍熊等多个APT组织针对我国及境外重要目标的攻击活动。实验室在为360手机卫士、360手机助手、360加固保等公司产品提供核心安全数据的同时，也为科研单位、手机厂商、应用商店及上百家国内外合作伙伴提供了移动应用安全检测服务，全方位守护移动安全。