概述 伪装方式 样本分析 功能分析 通信方式 受害者分析 总结 IOC 参考链接 360烽火实验室 概述 今年是叙利亚内战爆发10周年，在这10年中叙利亚战火从未平息，接二连三的战役造成数十万人丧生，数百万人流离失所，基础设施遭到巨大破坏。“阿勒颇战役” 是叙利亚内战中最血腥的战役之一，该战役开始于2012年7月19日，最终于2016年12月22日以政府军的胜利而结束。持续四年多的“阿勒颇战役”对于叙利亚军队有着重要的意义，该战役是叙利亚军队自危机爆发以来所取得的最大胜利，也是叙利亚战场上的一个重要转折点，该战役的胜利标志着叙利亚军队由战略防御转为了战略进攻。 近期，360安全大脑从海量威胁样本中发现一个和“阿勒颇战役“相关的新移动RAT，该RAT使用此战役期间Jabhat al-Nusra组织参战的图标进行伪装。通过360安全大数据分析，我们发现该类RAT家族最早出现于2016年3月，至今仍在活跃，主要通过以apk子包的方式嵌入到含有正常功能的母包中进行隐蔽传播。鉴于该家族RAT包名的特点，我们将此RAT命名为RemRAT。 伪装方式 RemRAT主要以子包的形式存在于有正常功能应用的assets资源文件中。目前已发现的被用来作为传播载体的母包均与伊斯兰宗教书籍相关。而恶意子包会伪装成系统类应用或母包的更新程序，值得注意的是，其中一个子包的图标来自于一个讨论“叙利亚内战”的waroffline战争论坛，并且图标人物为参加“阿勒颇的进攻”战役的Jabhat al-Nusra组织反对派武装人员。 图1 传播载体的图标 图2 子包中“阿勒颇的进攻“战役相关的图标 图3 “阿勒颇的进攻“战役相关的论坛 2016年7月至8月的“阿勒颇的进攻”战役属于“阿勒颇战役“的一个子战役，该战役双方分别是政府军阵营和反叛者阵营，反叛者阵营由Fatah Halab、Army of Conques...