一. 簡(jiǎn)介

在過(guò)去幾年間，媒體報(bào)道的“APT相關(guān)”事件數(shù)量已呈顯著增長(zhǎng)趨勢(shì)。但是，對(duì)于其中一些事件而言，“APT”（即高級(jí)持續(xù)性威脅）存在被夸大的成分。除一些比較突出的“例外”，媒體報(bào)道的“APT”事件中很少有較為先進(jìn)高級(jí)的，而這些“例外”，在我們看來(lái)代表了網(wǎng)絡(luò)間諜工具的巔峰之作：真正“高級(jí)的”網(wǎng)絡(luò)間諜威脅主要包含Equation, Regin, Duqu或Careto。另外較為“例外”的間諜平臺(tái)是“ProjectSauron”，又稱“Strider”。

那么，真正高級(jí)的APT組織和普通黑客組織之間有什么區(qū)別呢？以下為列舉的有關(guān)頂級(jí)網(wǎng)絡(luò)間諜組織的一些特點(diǎn)：

－利用0day漏洞進(jìn)行攻擊；

－未知的、無(wú)法識(shí)別的感染載體；

－已經(jīng)成功攻擊過(guò)多個(gè)國(guó)家的政府機(jī)構(gòu)；

－在被發(fā)現(xiàn)前，已經(jīng)成功進(jìn)行了多年的信息竊取活動(dòng)；

－能夠從空氣間隙網(wǎng)絡(luò)（air gapped networks）系統(tǒng)中竊取信息；

－支持多種協(xié)議的眾多隱秘滲漏渠道；

－惡意軟件模塊只能存在于內(nèi)存中，不接觸硬盤(pán)；

－罕見(jiàn)的持久性技術(shù)，能夠使用未經(jīng)記載的操作系統(tǒng)功能；

而事實(shí)上，“ProjectSauron”已經(jīng)輕松地涵蓋了以上提及的所有特性。

二. 從發(fā)現(xiàn)到檢測(cè)

當(dāng)談及長(zhǎng)期持續(xù)性的網(wǎng)絡(luò)間諜活動(dòng)時(shí)，很多人都會(huì)想為什么需要花費(fèi)如此長(zhǎng)的時(shí)間才能夠發(fā)現(xiàn)并捕捉到他們？也許其中一種可能是，做好工作需要正確的工具，如果試圖檢測(cè)到軍事級(jí)別的惡意軟件，那么就需要使用到專門(mén)的檢測(cè)技術(shù)和安全工具。其中的一種安全產(chǎn)品就是卡巴斯基實(shí)驗(yàn)室的AntiTargeted攻擊平臺(tái)——KATA。2015年9月，卡巴斯基實(shí)驗(yàn)室的AntiTargeted攻擊技術(shù)檢測(cè)到了一種前所未見(jiàn)的攻擊。該可疑模塊是一個(gè)可執(zhí)行庫(kù)，加載于一個(gè)Windows域控制器（DC）的內(nèi)存中。這個(gè)庫(kù)會(huì)被注冊(cè)成一個(gè)Windows密碼過(guò)濾器，隨后訪問(wèn)明文形式的敏感數(shù)據(jù)。進(jìn)一步的研究發(fā)現(xiàn)，一個(gè)新型攻擊組織的大規(guī)模攻擊活動(dòng)跡象，我們稱組織為“ProjectSauron”。據(jù)悉該組織此前曾針對(duì)多個(gè)國(guó)家的關(guān)鍵政府機(jī)構(gòu)實(shí)施過(guò)大規(guī)模的網(wǎng)絡(luò)攻擊。

“SAURON”——LUA腳本中使用的內(nèi)部名稱

ProjectSauron包括一個(gè)十分復(fù)雜的模塊化網(wǎng)絡(luò)間諜平臺(tái)，通過(guò)隱蔽性非常強(qiáng)的隱藏生存機(jī)制，實(shí)現(xiàn)對(duì)目標(biāo)進(jìn)行長(zhǎng)期網(wǎng)絡(luò)間諜活動(dòng)的目的。相關(guān)技術(shù)細(xì)節(jié)展示了攻擊者是如何利用該平臺(tái)學(xué)習(xí)其他攻擊者的先進(jìn)技術(shù)，并避免重復(fù)他們此前所犯的錯(cuò)誤。例如，所有的東西都設(shè)定既定目標(biāo)，降低其成為其他受害者的威脅指標(biāo)（IOC）的價(jià)值。

ProjectSauron的其他一些主要特征：

－它是一個(gè)模塊化平臺(tái)，旨在實(shí)現(xiàn)持續(xù)性的網(wǎng)絡(luò)間諜活動(dòng)；

－所有的模塊和網(wǎng)絡(luò)協(xié)議都使用了強(qiáng)加密算法，例如RC6，RC5，RC4，AES，Salsa20等；

－使用了改進(jìn)的LUA腳本引擎來(lái)實(shí)現(xiàn)平臺(tái)的核心功能和插件；

－超過(guò)五十種不同類型的插件；

－ProjectSauron背后的攻擊者對(duì)政府機(jī)構(gòu)廣泛使用的通信加密軟件有著濃厚的興趣。它能竊取加密密鑰，配置文件，以及與加密軟件相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施服務(wù)器的IP地址；

－它可以使用特備的USB存儲(chǔ)驅(qū)動(dòng)器從空氣間隙（air-gapped）網(wǎng)絡(luò)系統(tǒng)中提取數(shù)據(jù)，并將數(shù)據(jù)存儲(chǔ)在操作系統(tǒng)不可見(jiàn)的區(qū)域中；

－該平臺(tái)在數(shù)據(jù)提取和實(shí)時(shí)狀態(tài)報(bào)告中廣泛使用DNS協(xié)議；

－該APT組織早在2011年6月份就開(kāi)始網(wǎng)絡(luò)間諜活動(dòng)，并保持活躍度至2016年4月份；

－用于滲透目標(biāo)網(wǎng)絡(luò)的初始感染載體尚不清楚；

－攻擊者利用合法的軟件分發(fā)渠道在受感染的網(wǎng)絡(luò)中實(shí)現(xiàn)橫向感染；

為了幫助讀者更好地了解ProjectSauron攻擊平臺(tái)，下面為大家準(zhǔn)備了一個(gè)問(wèn)答環(huán)節(jié)，期間將匯總一些關(guān)于ProjectSauron的關(guān)鍵問(wèn)題并作出解答。此外，還公布了關(guān)于ProjectSauron的技術(shù)細(xì)節(jié)報(bào)告，以及IOCs 和 Yara 規(guī)則。有興趣者點(diǎn)擊下面了解詳情：

技術(shù)分析

感染/威脅指標(biāo)(indicators of compromise)

YARA規(guī)則下載

賽門(mén)鐵克公司的同事也發(fā)布了他們自己對(duì)于ProjectSauron/Strider的分析報(bào)告。您可以點(diǎn)擊這里獲取。

三. ProjectSauron關(guān)鍵問(wèn)答匯總（FAQ）：

1．什么是ProjectSauron？

ProjectSauron是一個(gè)頂級(jí)的模塊化網(wǎng)絡(luò)間諜活動(dòng)平臺(tái)，旨在通過(guò)隱蔽性超強(qiáng)的隱藏生存機(jī)制結(jié)合多種滲漏技術(shù)，實(shí)現(xiàn)管理長(zhǎng)期持續(xù)性的網(wǎng)絡(luò)間諜活動(dòng)的目標(biāo)。

技術(shù)細(xì)節(jié)顯示，攻擊者可以利用該平臺(tái)學(xué)習(xí)其他攻擊者的先進(jìn)技術(shù)，以避免重復(fù)他們此前所犯的錯(cuò)誤。

通常，APT組織由于地域關(guān)系，往往只會(huì)針對(duì)某一特定的地區(qū)或者行業(yè)中實(shí)施信息竊取活動(dòng)。這通常會(huì)導(dǎo)致某一地區(qū)內(nèi)的一些國(guó)家受到感染，或者全球范圍內(nèi)的某些特定行業(yè)受到影響。有趣的是，ProjectSauron似乎只專注于某幾個(gè)國(guó)家，專注于從目標(biāo)地區(qū)所有能夠觸及到的關(guān)鍵實(shí)體中收集高價(jià)值的情報(bào)。

ProjectSauron的名字反映了一個(gè)事實(shí)，代碼作者指向出現(xiàn)在Lua腳本中的“Sauron”。

2.誰(shuí)是受害者？

根據(jù)分析，我們發(fā)現(xiàn)了包含俄羅斯、伊朗、盧旺達(dá)和一些說(shuō)意大利語(yǔ)的國(guó)家在內(nèi)的超過(guò)30個(gè)機(jī)構(gòu)受到了感染。我們推測(cè)，還會(huì)有更多的組織和地區(qū)都可能受到影響。

受攻擊的機(jī)構(gòu)都是履行核心國(guó)家職能的關(guān)鍵實(shí)體：

－政府；

－科學(xué)研究中心：

－軍事機(jī)構(gòu)；

－通信服務(wù)提供商；

－金融機(jī)構(gòu)；

3.是否將相關(guān)信息告知受害者？

與往常一樣，卡巴斯基實(shí)驗(yàn)室與行業(yè)合作伙伴間保持積極地溝通，CERT和執(zhí)法部門(mén)會(huì)將情況告知受害者并幫助他們緩解安全威脅。我們還依靠公眾意識(shí)來(lái)傳播這些信息。如果您需要更多關(guān)于該組織的信息，歡迎聯(lián)系[email protected].

4.ProjectSauron已經(jīng)活躍了多久？

取證分析表明，該APT組織至少?gòu)?011年的6月就已經(jīng)開(kāi)始從事網(wǎng)絡(luò)間諜活動(dòng)，此后一直到2016年都處于活躍狀態(tài)。盡管它目前看似已經(jīng)基本停止行動(dòng)，但是在卡巴斯基實(shí)驗(yàn)室解決方案未涵蓋的計(jì)算機(jī)系統(tǒng)內(nèi)，它可能仍然在活躍。

5.攻擊者是否使用了一些有趣的或先進(jìn)的攻擊技術(shù)？

攻擊者使用了大量有趣的，非同尋常的技術(shù)，包括：

－利用DNS請(qǐng)求來(lái)進(jìn)行數(shù)據(jù)提取和實(shí)時(shí)狀態(tài)報(bào)告；

－使用正版軟件的更新腳本來(lái)植入和部署惡意軟件；

－通過(guò)使用特備的USB存儲(chǔ)驅(qū)動(dòng)器從空氣間隙（air-gapped）網(wǎng)絡(luò)系統(tǒng)中提取數(shù)據(jù)，并將數(shù)據(jù)存儲(chǔ)在操作系統(tǒng)不可見(jiàn)的區(qū)域中；

－使用了改進(jìn)的LUA腳本引擎來(lái)實(shí)現(xiàn)平臺(tái)的核心功能和插件。在惡意軟件中使用LUA組件是非常罕見(jiàn)的。此前只在Flame和Animal Farm攻擊中出現(xiàn)過(guò)。

6.卡巴斯基實(shí)驗(yàn)室是如何發(fā)現(xiàn)該惡意軟件的？

2015年9月，卡巴斯基實(shí)驗(yàn)室的Anti-Targeted攻擊平臺(tái)在一個(gè)客戶的企業(yè)網(wǎng)絡(luò)中發(fā)現(xiàn)了異常的網(wǎng)絡(luò)流量。針對(duì)該事件的分析發(fā)現(xiàn)，一個(gè)奇怪的可執(zhí)行程序庫(kù)被加載到域控制器服務(wù)器的內(nèi)存中。該庫(kù)被注冊(cè)為Windows密碼過(guò)濾器，隨后訪問(wèn)明文形式的敏感數(shù)據(jù)，進(jìn)一步的研究發(fā)現(xiàn)一個(gè)前所未見(jiàn)的威脅組織的活動(dòng)跡象。

7. ProjectSauron是如何操作的？

ProjectSauron通常在域控制器上注冊(cè)自己的持久性模塊來(lái)作為一個(gè)Windows LSA（本地安全性權(quán)限）密碼過(guò)濾器。該功能通常由系統(tǒng)管理員操作，來(lái)執(zhí)行密碼策略和驗(yàn)證新密碼以滿足一些特定要求，如長(zhǎng)度和復(fù)雜性等。這樣一來(lái)，ProjectSauron被動(dòng)后門(mén)（passive backdoor）模塊就會(huì)在每次任意網(wǎng)絡(luò)或本地用戶（包括管理員）登錄或修改密碼的時(shí)候啟動(dòng)，及時(shí)獲取明文密碼。

在域控制器缺少直接網(wǎng)絡(luò)訪問(wèn)的情況下，攻擊者會(huì)在另一個(gè)本地服務(wù)器（具備本地網(wǎng)絡(luò)和互聯(lián)網(wǎng)接入，即代理服務(wù)器，網(wǎng)絡(luò)服務(wù)器或軟件更新服務(wù)器）上安裝附加植入。隨后，ProjectSauron就用這些中間服務(wù)器作為不顯眼的數(shù)據(jù)滲漏的內(nèi)部服務(wù)器節(jié)點(diǎn)，與高容量的合法流量混合。

一旦安裝成功，ProjectSauron主模塊就開(kāi)始像“潛伏分子（sleeper cells）”一樣運(yùn)行，不會(huì)自己行動(dòng)只會(huì)等待傳入網(wǎng)絡(luò)流量中的“喚醒”命令。這種操作方法可以確保ProjectSauron在目標(biāo)組織服務(wù)器上的持久性。

8. ProjectSauron使用的是什么類型的植入？

大多數(shù)ProjectSauron的核心植入物被設(shè)置成后門(mén)運(yùn)行，在內(nèi)存中下載新的模塊或只運(yùn)行攻擊者的命令。捕捉這些模塊的唯一方法是將受感染系統(tǒng)的全部存儲(chǔ)信息轉(zhuǎn)儲(chǔ)。

幾乎所有ProjectSauron的核心植入物都是獨(dú)特的，它們具有不同的文件名和大小，而且是為每個(gè)目標(biāo)分別建立的。每個(gè)模塊的時(shí)間戳，無(wú)論是在文件系統(tǒng)還是在自己的標(biāo)頭，都是為其安裝環(huán)境量身打造的。

ProjectSauron二級(jí)模塊的設(shè)計(jì)旨在實(shí)現(xiàn)一些特殊功能，例如竊取文件，鍵盤(pán)記錄，以及從受感染的計(jì)算機(jī)中竊取加密密鑰等。

ProjectSauron實(shí)現(xiàn)了一個(gè)模塊化架構(gòu)，通過(guò)使用自己的虛擬文件系統(tǒng)來(lái)存儲(chǔ)附加模塊（插件）以及通過(guò)改進(jìn)的Lua解釋器來(lái)執(zhí)行內(nèi)部腳本。此外，還包含50多個(gè)不同類型的插件。

9. 初始感染載體是什么？

截至目前，ProjectSauron的初始感染載體依然不明。

10. ProjectSauron植入物是如何部署到目標(biāo)網(wǎng)絡(luò)中的？

在一些情況下，ProjectSauron模塊是在系統(tǒng)管理員為了集中部署網(wǎng)絡(luò)中的合法軟件升級(jí)而修改腳本時(shí)實(shí)施部署的。

本質(zhì)上，攻擊者通過(guò)修改現(xiàn)有的軟件部署腳本來(lái)注入啟動(dòng)惡意軟件的命令。注入的惡意軟件是一個(gè)很小的模塊，作為一個(gè)簡(jiǎn)單的下載器運(yùn)行。

一旦在網(wǎng)絡(luò)管理員帳戶下啟動(dòng)，這個(gè)小下載器就會(huì)連接到一個(gè)硬編碼的內(nèi)部或外部IP地址上，并從中下載更大的ProjectSauron有效載荷。

在這種情況下，ProjectSauron的持久性容器以EXE文件格式存儲(chǔ)在磁盤(pán)中，并用正版軟件的文件名來(lái)偽裝這些文件。

11. ProjectSauron是否以關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)？

一些ProjectSauron的感染實(shí)體可以被列為關(guān)鍵基礎(chǔ)設(shè)施。但是，我們還沒(méi)有在部署SCADA系統(tǒng)的工控系統(tǒng)網(wǎng)絡(luò)內(nèi)發(fā)現(xiàn)ProjectSauron感染實(shí)體。

此外，我們也還沒(méi)有發(fā)現(xiàn)任何一個(gè)ProjectSauron模塊是針對(duì)特定的關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的硬件或軟件的情況。

12. ProjectSauron是否使用了任何特殊的通訊方式？

就網(wǎng)絡(luò)通訊而言，ProjectSauron工具包可謂功能強(qiáng)大，最常用的協(xié)議包括：ICMP, UDP, TCP, DNS, SMTP and HTTP。

ProjectSauron其中一個(gè)插件是DNS數(shù)據(jù)泄露工具。為了避免網(wǎng)絡(luò)級(jí)的DNS隧道通用檢測(cè)，攻擊者通常只在低帶寬模式使用它，這就是它僅用于滲漏目標(biāo)系統(tǒng)元數(shù)據(jù)的原因。

ProjectSauron惡意軟件（運(yùn)用DNS協(xié)議）中另一個(gè)有趣的功能是將操作進(jìn)展實(shí)時(shí)報(bào)告到遠(yuǎn)程服務(wù)器。一旦一個(gè)操作里程碑實(shí)現(xiàn)，ProjectSauron就會(huì)發(fā)送DNS請(qǐng)求到一個(gè)特殊的子域（每個(gè)目標(biāo)都不同的）中。

13. ProjectSauron APT最復(fù)雜、先進(jìn)的功能是什么？

總體而言，ProjectSauron平臺(tái)是非常先進(jìn)的，與我們此前報(bào)道的Regin間諜軟件的復(fù)雜程度類似。關(guān)于ProjectSauron平臺(tái)一些獨(dú)特的因素包括：

－多滲出機(jī)制，包括盜用已知的協(xié)議；

－利用U盤(pán)的隱藏?cái)?shù)據(jù)分區(qū)繞過(guò)空氣間隙（air-gaps）；

－劫持Windows LSA來(lái)控制網(wǎng)絡(luò)域中的服務(wù)器；

－執(zhí)行一個(gè)擴(kuò)展的Lua引擎編寫(xiě)自定義的惡意腳本，用高級(jí)語(yǔ)言控制整個(gè)惡意軟件平臺(tái)。

14. 攻擊者是否利用零日漏洞實(shí)施攻擊？

截至目前，我們并沒(méi)有發(fā)現(xiàn)與ProjectSauron相關(guān)的任何0-day漏洞，也還沒(méi)有發(fā)現(xiàn)惡意軟件上有嵌 入任何零日漏洞的情況，我們相信這種部署是非常罕見(jiàn)也是非常難以捕捉的。

15. 什么版本的Windows會(huì)成為攻擊目標(biāo)？

ProjectSauron適用于目前所有的MicrosoftWindows操作系統(tǒng) –包括x64和x86。我們已經(jīng)見(jiàn)證了發(fā)生在Windows XP x86以及Windows 2012 R2（x64）上的感染案例。

目前，我們沒(méi)有發(fā)現(xiàn)任何Windows版本可以在ProjectSauron的魔爪下幸免于難。

16. 攻擊者到底從目標(biāo)計(jì)算機(jī)中盜取了什么信息？

我們發(fā)現(xiàn)的ProjectSauron模塊能夠從被感染的計(jì)算機(jī)和連接U盤(pán)中竊取文件，記錄鍵盤(pán)信息以及盜取加密密鑰。

以下是從ProjectSauron中提取的部分片段，顯示了攻擊者正在尋找的信息類型和文件拓展名：

有趣的是，上圖中雖然大多數(shù)的詞語(yǔ)和擴(kuò)展名都是英語(yǔ)，但是也存在幾個(gè)意大利詞語(yǔ)，如：“codice’，’strCodUtente’和’segreto’。

ProjectSauron數(shù)據(jù)盜竊模塊的目標(biāo)關(guān)鍵詞/文件名：

這說(shuō)明攻擊者同樣已經(jīng)把意大利語(yǔ)國(guó)家列為攻擊目標(biāo)，然而，目前我們暫未發(fā)現(xiàn)ProjectSauron項(xiàng)目中的任何意大利語(yǔ)國(guó)家受害者。

17. 是否是國(guó)家支持的網(wǎng)絡(luò)間諜攻擊？

我們認(rèn)為如此復(fù)雜、先進(jìn)的攻擊手段，且目的是竊取機(jī)密信息，這種行為只可能在國(guó)家支持的情況下實(shí)現(xiàn)。

18. ProjectSauron項(xiàng)目開(kāi)發(fā)和運(yùn)營(yíng)成本有多少？

卡巴斯基實(shí)驗(yàn)室對(duì)此并沒(méi)有任何確切的數(shù)據(jù)，但根據(jù)估算，ProjectSauron項(xiàng)目的開(kāi)發(fā)和運(yùn)營(yíng)很可能需要多個(gè)專家團(tuán)隊(duì)支持，預(yù)算可能在數(shù)百萬(wàn)美元。

19. ProjectSauron與其他頂級(jí)威脅軟件相比怎么樣？

ProjectSauron項(xiàng)目背后的威脅軟件即使是與最頂級(jí)的威脅軟件（如Duqu, Flame, Equation以及 Regin等）相比也是非常先進(jìn)的。不論P(yáng)rojectSauron是否與這些先進(jìn)的網(wǎng)絡(luò)間諜軟件間存在關(guān)聯(lián)，可以肯定的是ProjectSauron的攻擊者從這些軟件身上學(xué)到了很多。

作為提醒，以下為我們發(fā)現(xiàn)ProjectSauron攻擊者從其他APT攻擊上學(xué)到和模仿的一些特征：

Duqu：

－使用內(nèi)聯(lián)網(wǎng)C&Cs（其中受損的目標(biāo)服務(wù)器可以作為獨(dú)立的C&Cs）；

－僅在內(nèi)存中運(yùn)行（只在少數(shù)網(wǎng)關(guān)主機(jī)中存在持久性）；

－針對(duì)每個(gè)受害者使用不同的加密方式；

－針對(duì)LAN通信使用命名管道（named pipe）；

－每個(gè)受害者不同的加密方式使用

－使用命名管道的LAN通信

－通過(guò)合法軟件部署渠道分發(fā)惡意軟件；

Flame:

－Lua嵌入（Lua-embedded）代碼；

－安全的文件刪除（通過(guò)數(shù)據(jù)擦除）；

－通過(guò)可移動(dòng)設(shè)備攻擊空氣間隙系統(tǒng)；

Equation和Regin:

－使用RC5/RC6加密；

－虛擬文件系統(tǒng)（VFS）；

－通過(guò)可移動(dòng)設(shè)備攻擊空氣間隙系統(tǒng)；

－隱式數(shù)據(jù)存儲(chǔ)在移動(dòng)設(shè)備中；

點(diǎn)擊查看完整版報(bào)告

* 原文鏈接：Securelist、米雪兒編譯，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客（FreeBuf.COM）