顶级网络间谍平台ProjectSauron正在悄悄地窃取政府

顶级网络间谍平台ProjectSauron正在悄悄地窃取政府

内容数据库索引

下载免费的详细调查报告(PDF)

关键技术分析

入侵指数值

免费下载YARA标准

如果你需要大量关于ProjectSauron的信息，可以根据诺顿反病毒实验室的资源报告服务项目来获取。电话:intelreports@kaspersky.com

详细介绍

近两年来，新闻媒体报道的“与APT组织有关”的恶性袭击事件总数呈现出明显的改善趋势。尽管新闻媒体将这一恶性攻击描述为“APT攻击”，但总的来说，此类术语中存在一些夸张的成分。这里人们常说的“APT”，指的是“高级持续性威胁”。但是也有一些特殊的不可抗力事件，因为小部分攻击者选择的攻击技术确实很优秀。人们往往认为这个APT组织的攻击技术非常优秀，因为他们针对互联网代理的特殊工具非常强大:现阶段真正先进的恶意程序是Equation、Regin、Duqu和Careto。此外，还有一个独特的互联网代理服务平台——“亚龙项目”，别名“Strider”。

那么，真正的高级APT组织和一般的网络黑客组织有什么区别呢？下面，我们列出了一些顶级互联网特勤局组织特有的定性分析:

-利用0天系统漏洞进行攻击；

-未知和无法核实的原始感官媒体；

-它已经成功侵入几个国家的政府部门；

-在被发现之前，已经成功进行了多年的信息窃取活动；

-可以从gas空gap应用系统中窃取数据信息；

-恶意程序控制模块可以停留在运行内存中，不接触电脑硬盘；

-具有罕见的持久化技术，可用于尚未描述的计算机 *** 作系统的角色；

特别是“ProjectSauron”的基础符合所述特征。

从发现到检查:

当我们在讨论长期持续的互联网智能活动时，很多人会想知道:为什么通常需要很长时间才能发现他们的主题活动足迹？或许最有可能的表达方式之一是，只有使用适当的特殊工具，我们才能检测到特殊的人身攻击。如果要检测国防级别的恶意程序，必须应用专业的无损检测技术和特制的安全仪器。网络安全产品之一是-KATA，诺顿防病毒实验室的反目标攻击服务平台。2015年9月，人人反目标攻击技术测试，来了一次前所未有的攻击。发现其中的异常控制模块是一个可执行库，它会在整个目标服务器的运行内存中的一个Windows域控制器(DC)中。这个库会在Windows电脑 *** 作系统中申请注册，以Windows登录密码过滤设备的真实身份运行，然后以密文方式浏览秘密数据。除此之外，在我们的研究过程中，我们还发现了一种新型攻击组织大规模攻击活动的迹象，我们将该组织命名为“ProjectSauron”。据统计，该组织此前曾对多个国家的重要政府部门进行过大规模互联网攻击。

如图，在一个LUA脚本的制作中，我们发现了一个名为“索隆”的自变量。

ProjectSauron包含了非常复杂的模块化设计互联网特勤平台，选择了非常具有防御性的隐藏和生存系统，可以针对总体目标进行长期的互联网情报活动。经过对这个服务平台的详细分析，发现攻击者可以利用这个服务平台学习和训练其他攻击者的优秀技能，防止他们重蹈覆辙。

ProjectSauron的其他一些重要特性:

-这是一个模块化的设计服务平台，可以进行持续的互联网智能活动；

-所有控制模块和网络层协议都使用强大的加密技术，如RC6、RC5、RC4、AES和Salsa20

-应用自制的LUA脚本模块完成服务平台的关键角色和部分软件；

-至少可以列出50多种不同的软件；

-幕后攻击者-ProjectSauron对政府部门广泛使用的通信文件加密软件有着浓厚的兴趣。可以窃取文件加密软件相关的数据加密密钥、环境变量、重要网络服务器的IP地址；

-能够根据独有的USB存储控制器从gas空gap应用系统中获取数据信息，并将数据存储在计算机 *** 作系统不可见的存储室空中；

-在数据信息获取和实时情况报告的整个过程中应用了大量的DNS协议；

-这个APT组织的互联网情报活动起源于2011年6月，一直活跃到2016年4月；

-现阶段，尚不清楚该组织渗透到整体目标互联网所使用的原始媒体；

-攻击者可以利用合理合法的手机软件分发方式，整体完成穿越互联网的感觉；

为了更好的让我们的读者掌握ProjectSauron攻击服务平台，我们提前为大家准备了一个问答的舞台。在这个问答阶段，你可能会讨论一些与ProjectSauron相关的关键问题。另外，在文章开头，我们已经拿到了关于ProjectSauron的关键技术和详细报道，有兴趣的读者可以独立离线阅读。

赛门铁克企业之友也发布了一份关于ProjectSauron/Strider的数据分析报告。读者可以点击这里获取。

ProjectSauron的问题和答案(常见问题解答):

1.1到底是什么？索隆计划？

ProjectSauron是顶尖的模块化设计互联网特勤平台，可以执行和管理长期持续的互联网情报活动。它选择了防御性强的隐藏生存系统，可以根据各种方式获取整体目标数据信息。

关键技术显示信息，攻击者可以利用这个服务平台学习和训练其他攻击者的优秀技术，防止他们重蹈覆辙。此外，服务平台还可以根据不同的整体攻击目标制定专业的攻击方案，大大降低其攻击被整体目标服务器检测到的概率。

一般来说，APT的攻击主题活动受限于自然地理位置和范围，通常针对某一特定区域或领域开展信息窃取主题活动。因此，这种网络情报活动一般会造成某个地区的某些国家被感染，或者在全球范围内危及某些特殊领域。但有趣的是，虽然ProjectSauron只关注少数几个国家，但攻击者会从这类国家所有可以触及的重要物理线路上收集高价值资源。

2.哪个受害者？

根据你的分析数据，在乌克兰、沙特、卢旺达和一些意大利语国家，有超过30个组织遭受了损失。由此推断，未来很可能会有大量的组织和地区继续受害。

大多数受到攻击的组织都是关键的国家组织，它们必须执行重要的行政系统:

-政府部门；

-科研管理中心:

-部队；

-通信服务提供商；

-金融企业；

3.你已经告诉受害者相关信息了吗？

与过去一样，诺顿防病毒实验室将积极与该领域的小伙伴进行沟通和协作。CERT和执法部门会将相关信息告知受影响的公司和组织，大家一起帮助他们减少安全威胁带来的危害。另外，大家一定要利用群众的能量来传播这种信息。

4.4有多长时间了？索隆计划在附近吗？

法医分析显示，该APT组织至少从2011年6月开始活动，并将持续到2016年。

5.攻击者运用了哪些优秀的攻击技术？

攻击者应用了许多有趣的高科技技术，包括:

-使用DNS要求获取数据信息并立即报告情况；

-应用合理合法的手机软件升级脚本，嵌入部署恶意程序；

-能够根据独有的USB存储控制器从gas空gap应用系统中获取数据信息，并将数据存储在计算机 *** 作系统不可见的存储室空中；

-应用自制的LUA脚本模块完成服务平台的关键角色和部分软件。特别是，在恶意程序中应用LUA组件是非常罕见的。在此之前，这种技术只出现在火焰攻击和动物庄园攻击中。

因为文章数量有限，有兴趣的读者可以阅读一下，获得很多自己相信的信息。

欢迎分享，转载请注明来源：内存溢出

原文地址: http://outofmemory.cn/zz/771762.html