索伦之眼

雷锋网AI研习社 AI投研邦 活动 专题 爱搞机

业界人工智能 学术 开发者 智能驾驶 新智驾TV AI+金融科技未来医疗网络安全智慧城市 智慧安防 智慧教育 智慧交通 智慧社区 智慧零售 智慧政务 机器人行业云智能硬件物联网GAIR
网络安全正文
3

揭秘：和中国过不去的顶级网络间谍“索伦之眼”
本文作者：张丹 2016-09-05 18:34
导语：绝不仅仅是一个黑客组织。
揭秘：和中国过不去的顶级网络间谍“索伦之眼”

电影指环王中，失去肉身的魔王索伦幻化成了一只魔眼，与魔戒相通，拥有着可以毁灭一切的力量。

2015年9月，卡巴斯基实验室在其反针对性攻击平台标记出了某个政府客户网络中的异常流量特征，经过分析后发现，有一个可疑的执行文件正在加载主机服务器中的内存。这个执行文件像是Windows密码过滤器一样，可以获得所有明文管理密码在内的所有敏感数据。

2016年8月中旬，赛门铁克和卡巴斯基实验室相继发布报告称，追踪到一个名为索伦之眼的网络间谍平台。经过对比分析，360的追日团队也确认，与其独立截获的境外APT组织APT-C-16为同一组织。该组织专门针对俄罗斯、中国、比利时、伊朗、瑞典等国家发动高级持续性攻击，即APT。

截止报告发出前，360威胁情报中心共发现国内有数十个被影响的单位机构，涉及多个行业，其中科研教育、军事和基础设施领域，水利、海洋等行业最多。

揭秘：和中国过不去的顶级网络间谍“索伦之眼”

据卡巴斯基实验室介绍，这个黑客组织自2010年起就开始活动，原名为“行客”（Strider）。之所以把他们命名为索伦之眼（ProjectSauron）是因在分析追踪的文件时，发现代码中带有Sauron字符。进一步分析后发现，索伦之眼并不仅仅是一个黑客组织，而是一个拥有精密技术的顶级间谍模型平台。

索伦之眼的主要攻击任务就是获取加密的通讯信息。攻击者使用一种整合了大量不同工具和技术的高级模块化的网络间谍平台，并可以让长期从事间谍活动的黑客随心所欲的利用上面的工具。平台上使用的攻击策略主要有以下特点：

在进攻时针对每个特定的目标定制植入程序和基础设施；

从不循环使用攻击工具；

通常都是对目标网络进行秘密和长期的间谍行动。

从卡巴斯基实验室的报告中，可以发现索伦之眼行动所使用的攻击工具和技巧如下：

独特的数字足迹：核心植入程序具有不同的文件名和体积，并且针对每个目标特别定制——这使得其很难被检测，因为某个目标感染痕迹对其他目标来说几乎没有任何价值。

运行于内存中：核心植入程序会利用合法软件的升级脚本，以后门程序的形式在内存中运行，接收攻击者的指令，下载最新模块或执行命令。

偏好加密通讯：索伦之眼会积极搜索非常罕见的定制网络加密软件的相关信息。这种服务器端/客户端软件被很多目标企业广泛用于安全通讯、语言通讯、电子邮件传输和文档交换。攻击者对于加密软件组件、密匙和配置文件颇感兴趣，此外还会收集在节点之间中继加密信息的服务器的地理位置。

基于脚本的灵活性：索伦之眼部署了一系列由高水准LUA脚本精心编排的低水准工具。在恶意软件中使用LUA组件，这种组件非常罕见，之前仅在Flame和Animal Farm攻击中出现过。

绕过隔离网闸：索伦之眼使用特别定制的优盘绕过隔离网闸。这些优盘包含隐藏空间，用户保存和隐藏窃取到的数据。

多种数据窃取机制：索伦之眼部署了多个窃取数据的途径，包括合法渠道如电子邮件和DNS，将从受害者窃取到的信息伪装成日常通讯流量。

索伦之眼幕后的黑客团伙都是经验丰富的传统攻击者，并且曾花费过大量精力学习其他顶级黑客组织的攻击技术，包括震网病毒的姊妹病毒（Duqu）、火焰病毒（Flame）、方程式组织（Equation）和高级间谍软件Regin。这些黑客团伙在吸收了这些攻击中最具创新的技术的同时，也吸取其被发现的教训，不断改善攻击策略，有意删除容易被监测的组件，确保其不易被发现。

卡巴斯基实验室的安全专家介绍说，通常这种APT攻击都具有十分明确的攻击目的，即针对一个特定区域或某个特定的行业提取信息，在进行攻击时，通常会导致一个区域内的几个国家被感染，或是同行业的企业被感染。但索伦之眼似乎只是针对一些特定的国家进行攻击活动，并专注于收集这几个国家中任何企业、政府部门或个人的有重要价值的情报。

截止至报告发出前，卡巴斯基实验室共发现了30多个已经被这个恶意软件感染的网站，其中包括一家中国航空公司、比利时的一处大使馆以及瑞典一家企业。根据卡巴斯基实验室的分析，受攻击组织通常在提供政府服务中扮演重要角色，这些组织包括：

揭秘：和中国过不去的顶级网络间谍“索伦之眼”

除了这些政府机构与企业，他们还在公用网络中各种开后门，针对个人进行键盘监听、窃取用户凭证或密码等个人隐私信息。

经过取证分析后，卡巴斯基实验室得出结论：

这种攻击行动的成本、复杂性、持续性以及以窃取同政府有关的敏感和机密信息为最终目标等特征都表明，索伦之眼得到了政府的支持，或者政府有所参与。

卡巴斯基实验室首席安全研究员 Vitaly Kamluk说，现在有很多依靠低成本现成工具的针对性攻击，而索伦之眼则不同，这种攻击行动主要依靠自制的受信任的工具以及定制的脚本代码。且只使用控制服务器、加密密匙等独特的指标，或借鉴其他威胁组织的领先技术。这种攻击手法很新颖。

Vitaly Kamluk表示，要抵御这种威胁的唯一手段，就是部署多层级的安全防护，通过大量的传感器监测组织流程中出现的一场，同时借助于威胁情报服务和取证分析查找固定的攻击模式，尽管这种攻击不会留下明显的攻击模式特征。

雷锋网原创文章，未经授权禁止转载。详情见转载须知。

3人收藏 分享：
相关文章
黑客间谍

胆大黑客竟敢入侵交警视频监控后台“销分”，这是什 ...

“黑客政治”孕育出的美国总统候选人：贝托·奥罗克 ...

黑客顺着数据线爬过来，搞瘫了一台电脑

赛门铁克非军方最大威胁情报中心揭秘：黑客今年怎么 ...
文章点评：

我有话要说……
表情 同步到新浪微博 提交

张丹
编辑

如果你读了我的文章，也想和我聊聊，欢迎加微信451766945
发私信
当月热门文章
最新文章
脸书又双叒叕泄露6亿用户数据，GDPR：来小扎，我们聊聊
胆大黑客竟敢入侵交警视频监控后台“销分”，这是什么鬼操作 | 视频监控安全系列（一）
视频|手机锁屏了APP能不能窃听？我亲自试了试
Facebook 明文存储数亿用户密码，被员工访问 900 多万次
安卓4.4及后续版本被曝漏洞，登录凭证和浏览历史可遭窃取
骗补刷量 黑产变现|短视频及直播行业的暗流涌动
热门搜索
虚拟现实chrome语音识别设计Xbox One移动医疗交互设计iPhone 5CWhatsapp谷歌地图太阳能
热门关键字
热门标签人工智能 机器人机器学习深度学习金融科技未来医疗智能驾驶自动驾驶计算机视觉激光雷达图像识别智能音箱区块链智能投顾医学影像物联网IoTCV微信小程序平台微信小程序在哪CES 2017CES2016年最值得购买的智能硬件2016 互联网小程序微信朋友圈抢票软件智能手机智能家居智能手环智能机器人智能电视360智能硬件智能摄像机智能硬件产品智能硬件发展智能硬件创业黑客白帽子大数据云计算新能源汽车无人驾驶无人机大疆小米无人机特斯拉VR游戏VR电影VR视频VR眼镜VR购物AR直播扫地机器人医疗机器人工业机器人类人机器人聊天机器人微信机器人微信小程序移动支付支付宝P2P区块链比特币风控高盛人脸识别指纹识别黑科技谷歌地图谷歌IBM微软乐视百度三星s8腾讯三星Note8 小米MIX小米Note华为小米阿里巴巴苹果MacBook ProiPhoneFacebookGAIRIROS双创周云栖大会先打智能硬件公司智能硬件QQ红包支付宝红包敬业福微鲸法拉第未来基因检测在线教育麦克风阵列步行自行车resnet论文adobe face2face8i小牛改装磁悬浮广州单车微信小程序开发者文档buddy机器人iphone6 vr更多
联系我们关于我们加入我们意见反馈投稿申请专栏作者
Copyright © 2011-2019 www.leiphone.com 雷锋网-读懂智能&未来 All Rights Reserved 粤ICP备11095991号-1 ICP证粤B2-20150332 0daybank