又一起以政府为目标的重大网络威胁——ProjectSauron

信息的顶级网络间谍平台ProjectSauron(又名Remsec)

2015年9月,卡巴斯基实验室的反针对性攻击平台标记出了某客户网络中的异常特征,研究人员进而从中发现了ProjectSauron——一种得到政府支持的以国家机关为目标的攻击平台。它使用独特的攻击工具攻击每一个受害者,令传统的威胁识别技术几乎失效,主要目的是进行网络间谍行为。目前,卡巴斯基实验室产品已将ProjectSauron使用的恶意软件样本检测为HEUR:Trojan.Multi.Remsec.gen。

ProjectSauron主要获取加密的通讯信息,攻击者使用一种整合了大量不同工具和技术的高级模块化的网络间谍平台。其攻击策略中最值得注意的是采取不固定的攻击模式:在进行攻击时,针对每个特定的目标定制植入程序和基础设施,并且从不循环使用这些攻击工具。通过上述手段,再加上多种窃取数据的渠道,例如合法的电子邮件渠道和DNS渠道,让ProjectSauron能够针对目标网络进行秘密和长期的间谍行动。

ProjectSauron幕后的网络罪犯是经验丰富的传统攻击者,并且花费了大量精力学习其他高级攻击者的技术,包括Duqu、Flame、Equation和Regin:吸收了这些攻击中最具创新的技术,并且改善了其攻击策略,以确保自身不被发现。

主要特征

ProjectSauron行动所使用的攻击工具和技巧如下:

独特的数字足迹:核心植入程序具有不同的文件名和体积,并且针对每个目标特别定制——这使得其很难被检测,因为某个目标感染痕迹对其他目标来说几乎没有任何价值。

运行于内存中:核心植入程序会利用合法软件的升级脚本,以后门程序的形式在内存中运行,接收攻击者的指令,下载最新模块或执行命令。

偏好加密通讯:ProjectSauron会积极搜索非常罕见的定制网络加密软件的相关信息。这种服务器端/客户端软件被很多目标企业广泛用于安全通讯、语言通讯、电子邮件传输和文档交换。攻击者对于加密软件组件、密匙和配置文件颇感兴趣,此外还会收集在节点之间中继加密信息的服务器的地理位置。

基于脚本的灵活性:ProjectSauron部署了一系列由高水准LUA脚本精心编排的低水准工具。在恶意软件中使用LUA组件非常罕见,之前仅在Flame和Animal Farm攻击中出现过。

绕过隔离网闸:ProjectSauron使用特别定制的优盘绕过隔离网闸。这些优盘包含隐藏空间,用户保存和隐藏窃取到的数据。

多种数据窃取机制:ProjectSauron部署了多个窃取数据的途径,包括合法渠道如电子邮件和DNS,将从受害者窃取到的信息伪装成日常通讯流量。

受害者地理分布/受害者特征

截止到目前,我们已在俄罗斯、伊朗和卢旺达发现了超过30个受害组织,另外一些意大利语国家可能也存在受害者,实际遭受影响的组织和地区应该会更多。

根据卡巴斯基实验室的分析,受攻击组织通常在提供政府服务中扮演重要角色,这些组织包括:

d9dfa18b21e13e1c4b5bbccdd936eedc

巴斯基实验室的取证分析显示,ProjectSauron从2011年6月就已经开始,到2016年仍然在活跃。ProjectSauron入侵受害者网络所使用的最初感染途径仍然未知。

d78e09752ac0d8f1dd50601985168152

这种攻击行动的成本、复杂性、持续性以及以窃取同政府有关的敏感和机密信息为最终目标等特征都表明,ProjectSauron得到了政府的支持,或者政府有所参与。

4bfdc03845f454462b7d05e37c7ad2ac

 

*参考来源:卡巴斯基实验室

原创文章,作者:Moto,如若转载,请注明出处:http://www.mottoin.com/news/86962.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code