網(wǎng)絡(luò)基礎(chǔ)設(shè)施分析:
從披露的情報來看���,ProjectSauron組織使用的域名和IP有以下基礎(chǔ)網(wǎng)絡(luò)設(shè)施���。
通過對相關(guān)域名繼續(xù)passive dns分析���,可以得出如下可能具有關(guān)聯(lián)性的域名。
分析得出域名主要信息如下:
通過信息擴(kuò)展����,可以得到cloudstream.me、myhomemusic.net等域名都為該APT組織使用���。
同時發(fā)現(xiàn)manfred-beck@inode.at具有密碼泄漏的情況�����。
溯源分析:
一.與火焰病毒的極其相似
Flame病毒(又名火焰病毒)是于2012年5月被卡巴斯基首次發(fā)現(xiàn)的超級電腦病毒���,其構(gòu)造十分復(fù)雜,危害性巨大��,可以通過USB存儲器以及網(wǎng)絡(luò)復(fù)制等多種方式傳播�����,并能接受來自世界各地多個服務(wù)器的指令��,堪稱目前世界上復(fù)雜�����、危險的病毒。
Flame 病毒用上了 5 種不同的加密算法�,3 種不同的壓縮技術(shù),和至少 5 種不同的文件格式�,包括其專有的格式。并將它感染的系統(tǒng)信息以高度結(jié)構(gòu)化的格式存儲在SQLite 等數(shù)據(jù)庫中��,病毒文件達(dá)到 20MB 之巨���。此外,它還使用了游戲開發(fā)用的 Lua 腳本語言編寫�����,使得結(jié)構(gòu)更加復(fù)雜���。從某些證據(jù)可以表明�����,火焰病毒和攻擊伊朗核設(shè)施的震網(wǎng)病毒師出同門��,是由某國政府研發(fā)或資助開發(fā)用于對伊朗等國家發(fā)起網(wǎng)絡(luò)攻擊的尖刀利器�。
Remsec病毒和火焰病毒有很多相同點(diǎn):都采用Lua模塊編寫木馬;盜取數(shù)據(jù)的方式多種多樣���;木馬程序異常復(fù)雜���;使用多種加密技術(shù)和數(shù)據(jù)傳輸技術(shù);木馬本身具有安全刪除文件的能力��;具備隔離網(wǎng)絡(luò)文件竊取能力�;受害者大多具有政治因素。
雖然無法證明Remsec病毒和火焰病毒出于統(tǒng)一組織或團(tuán)隊(duì)之手�����,但是可以看到二者的技術(shù)特點(diǎn)極其相似��,技術(shù)水平旗鼓相當(dāng)��,出現(xiàn)時間也相差無幾���。
二.可能與Anonymouse有關(guān)
通過對提及的相關(guān)域名進(jìn)行深入分析��,匯總得到如下結(jié)果��。
分析發(fā)現(xiàn)www.myhomemusic.com 注冊人為jason.raz@gmx.de�,同時該郵箱也注冊了www.myhomemusic.net。關(guān)系圖如下:
通過對具有特殊性的Jason Rza進(jìn)行深入分析�����,發(fā)現(xiàn)其中一個facebook用戶名為Jason Rza的匿名者黑客�����。
通過對其blog進(jìn)行分析�����,可以發(fā)現(xiàn)該jason.raz經(jīng)常性發(fā)表網(wǎng)絡(luò)相關(guān)內(nèi)容�����,應(yīng)該是Anonymous相關(guān)成員��。
三.網(wǎng)絡(luò)基礎(chǔ)資源和受害者
經(jīng)過分析���,擴(kuò)展的域名指向11個IP,我們對這11個IP重點(diǎn)進(jìn)行分析�,發(fā)現(xiàn)這11個IP全部來自于IDC機(jī)房。
可以判斷出��,該組織其主要的控制服務(wù)器都是通過IDC租賃得來。這個和斯諾登曝光的某國政府慣用的手段相似�。
受害者則主要集中在俄羅斯和中國兩地,多以政府��、科研機(jī)構(gòu)���、機(jī)場等基礎(chǔ)設(shè)施為主��。從地緣政治的角度來看也不難發(fā)現(xiàn)其真實(shí)的發(fā)起者���。
四.總結(jié)
綜合本報告分析,可以做出初步判斷�����,ProjectSauron 組織可能是由實(shí)力強(qiáng)大的以中俄為競爭對手的某國政府資助����。以獲取相關(guān)國家的經(jīng)濟(jì)、政治和科技情報為基本目的�����。同時也不排除同樣就有強(qiáng)大實(shí)力的Anonymous黑客組織參與其中。
備注:
本報告由興華永恒(北京)科技有限責(zé)任公司墨俠團(tuán)隊(duì)完成����,墨俠團(tuán)隊(duì)是致力于信息安全服務(wù)、威脅情報���、APT防御等方向的專業(yè)安全團(tuán)隊(duì)�����。
興華永恒:miantirepression.org/www.moxia.org
參考文件:
l Symantec_Remsec_IOCs.pdf
l The-ProjectSauron-APT_IOCs_KL.pdf
l The-ProjectSauron-APT_research_KL.pdf
l The-ProjectSauron-APT_Technical_Analysis_KL.pdf
