一. 簡介
在過去幾年間,媒體報(bào)道的“APT相關(guān)”事件數(shù)量已呈顯著增長趨勢。但是,對于其中一些事件而言,“APT”(即高級持續(xù)性威脅)存在被夸大的成分。除一些比較突出的“例外”,媒體報(bào)道的“APT”事件中很少有較為先進(jìn)高級的,而這些“例外”,在我們看來代表了網(wǎng)絡(luò)間諜工具的巔峰之作:真正“高級的”網(wǎng)絡(luò)間諜威脅主要包含Equation, Regin, Duqu或Careto。另外較為“例外”的間諜平臺(tái)是“ProjectSauron”,又稱“Strider”。
那么,真正高級的APT組織和普通黑客組織之間有什么區(qū)別呢?以下為列舉的有關(guān)頂級網(wǎng)絡(luò)間諜組織的一些特點(diǎn):
-利用0day漏洞進(jìn)行攻擊;
-未知的、無法識(shí)別的感染載體;
-已經(jīng)成功攻擊過多個(gè)國家的政府機(jī)構(gòu);
-在被發(fā)現(xiàn)前,已經(jīng)成功進(jìn)行了多年的信息竊取活動(dòng);
-能夠從空氣間隙網(wǎng)絡(luò)(air gapped networks)系統(tǒng)中竊取信息;
-支持多種協(xié)議的眾多隱秘滲漏渠道;
-惡意軟件模塊只能存在于內(nèi)存中,不接觸硬盤;
-罕見的持久性技術(shù),能夠使用未經(jīng)記載的操作系統(tǒng)功能;
而事實(shí)上,“ProjectSauron”已經(jīng)輕松地涵蓋了以上提及的所有特性。
二. 從發(fā)現(xiàn)到檢測
當(dāng)談及長期持續(xù)性的網(wǎng)絡(luò)間諜活動(dòng)時(shí),很多人都會(huì)想為什么需要花費(fèi)如此長的時(shí)間才能夠發(fā)現(xiàn)并捕捉到他們?也許其中一種可能是,做好工作需要正確的工具,如果試圖檢測到軍事級別的惡意軟件,那么就需要使用到專門的檢測技術(shù)和安全工具。其中的一種安全產(chǎn)品就是卡巴斯基實(shí)驗(yàn)室的AntiTargeted攻擊平臺(tái)——KATA。2015年9月,卡巴斯基實(shí)驗(yàn)室的AntiTargeted攻擊技術(shù)檢測到了一種前所未見的攻擊。該可疑模塊是一個(gè)可執(zhí)行庫,加載于一個(gè)Windows域控制器(DC)的內(nèi)存中。這個(gè)庫會(huì)被注冊成一個(gè)Windows密碼過濾器,隨后訪問明文形式的敏感數(shù)據(jù)。進(jìn)一步的研究發(fā)現(xiàn),一個(gè)新型攻擊組織的大規(guī)模攻擊活動(dòng)跡象,我們稱組織為“ProjectSauron”。據(jù)悉該組織此前曾針對多個(gè)國家的關(guān)鍵政府機(jī)構(gòu)實(shí)施過大規(guī)模的網(wǎng)絡(luò)攻擊。
“SAURON”——LUA腳本中使用的內(nèi)部名稱
ProjectSauron包括一個(gè)十分復(fù)雜的模塊化網(wǎng)絡(luò)間諜平臺(tái),通過隱蔽性非常強(qiáng)的隱藏生存機(jī)制,實(shí)現(xiàn)對目標(biāo)進(jìn)行長期網(wǎng)絡(luò)間諜活動(dòng)的目的。相關(guān)技術(shù)細(xì)節(jié)展示了攻擊者是如何利用該平臺(tái)學(xué)習(xí)其他攻擊者的先進(jìn)技術(shù),并避免重復(fù)他們此前所犯的錯(cuò)誤。例如,所有的東西都設(shè)定既定目標(biāo),降低其成為其他受害者的威脅指標(biāo)(IOC)的價(jià)值。
ProjectSauron的其他一些主要特征:
-它是一個(gè)模塊化平臺(tái),旨在實(shí)現(xiàn)持續(xù)性的網(wǎng)絡(luò)間諜活動(dòng);
-所有的模塊和網(wǎng)絡(luò)協(xié)議都使用了強(qiáng)加密算法,例如RC6,RC5,RC4,AES,Salsa20等;
-使用了改進(jìn)的LUA腳本引擎來實(shí)現(xiàn)平臺(tái)的核心功能和插件;
-超過五十種不同類型的插件;
-ProjectSauron背后的攻擊者對政府機(jī)構(gòu)廣泛使用的通信加密軟件有著濃厚的興趣。它能竊取加密密鑰,配置文件,以及與加密軟件相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施服務(wù)器的IP地址;
-它可以使用特備的USB存儲(chǔ)驅(qū)動(dòng)器從空氣間隙(air-gapped)網(wǎng)絡(luò)系統(tǒng)中提取數(shù)據(jù),并將數(shù)據(jù)存儲(chǔ)在操作系統(tǒng)不可見的區(qū)域中;
-該平臺(tái)在數(shù)據(jù)提取和實(shí)時(shí)狀態(tài)報(bào)告中廣泛使用DNS協(xié)議;
-該APT組織早在2011年6月份就開始網(wǎng)絡(luò)間諜活動(dòng),并保持活躍度至2016年4月份;
-用于滲透目標(biāo)網(wǎng)絡(luò)的初始感染載體尚不清楚;
-攻擊者利用合法的軟件分發(fā)渠道在受感染的網(wǎng)絡(luò)中實(shí)現(xiàn)橫向感染;
為了幫助讀者更好地了解ProjectSauron攻擊平臺(tái),下面為大家準(zhǔn)備了一個(gè)問答環(huán)節(jié),期間將匯總一些關(guān)于ProjectSauron的關(guān)鍵問題并作出解答。此外,還公布了關(guān)于ProjectSauron的技術(shù)細(xì)節(jié)報(bào)告,以及IOCs 和 Yara 規(guī)則。有興趣者點(diǎn)擊下面了解詳情:
技術(shù)分析
感染/威脅指標(biāo)(indicators of compromise)
YARA規(guī)則下載
賽門鐵克公司的同事也發(fā)布了他們自己對于ProjectSauron/Strider的分析報(bào)告。您可以點(diǎn)擊這里獲取。
三. ProjectSauron關(guān)鍵問答匯總(FAQ):
1.什么是ProjectSauron?
ProjectSauron是一個(gè)頂級的模塊化網(wǎng)絡(luò)間諜活動(dòng)平臺(tái),旨在通過隱蔽性超強(qiáng)的隱藏生存機(jī)制結(jié)合多種滲漏技術(shù),實(shí)現(xiàn)管理長期持續(xù)性的網(wǎng)絡(luò)間諜活動(dòng)的目標(biāo)。
技術(shù)細(xì)節(jié)顯示,攻擊者可以利用該平臺(tái)學(xué)習(xí)其他攻擊者的先進(jìn)技術(shù),以避免重復(fù)他們此前所犯的錯(cuò)誤。
通常,APT組織由于地域關(guān)系,往往只會(huì)針對某一特定的地區(qū)或者行業(yè)中實(shí)施信息竊取活動(dòng)。這通常會(huì)導(dǎo)致某一地區(qū)內(nèi)的一些國家受到感染,或者全球范圍內(nèi)的某些特定行業(yè)受到影響。有趣的是,ProjectSauron似乎只專注于某幾個(gè)國家,專注于從目標(biāo)地區(qū)所有能夠觸及到的關(guān)鍵實(shí)體中收集高價(jià)值的情報(bào)。
ProjectSauron的名字反映了一個(gè)事實(shí),代碼作者指向出現(xiàn)在Lua腳本中的“Sauron”。
2.誰是受害者?
根據(jù)分析,我們發(fā)現(xiàn)了包含俄羅斯、伊朗、盧旺達(dá)和一些說意大利語的國家在內(nèi)的超過30個(gè)機(jī)構(gòu)受到了感染。我們推測,還會(huì)有更多的組織和地區(qū)都可能受到影響。
受攻擊的機(jī)構(gòu)都是履行核心國家職能的關(guān)鍵實(shí)體:
-政府;
-科學(xué)研究中心:
-軍事機(jī)構(gòu);
-通信服務(wù)提供商;
-金融機(jī)構(gòu);
3.是否將相關(guān)信息告知受害者?
與往常一樣,卡巴斯基實(shí)驗(yàn)室與行業(yè)合作伙伴間保持積極地溝通,CERT和執(zhí)法部門會(huì)將情況告知受害者并幫助他們緩解安全威脅。我們還依靠公眾意識(shí)來傳播這些信息。如果您需要更多關(guān)于該組織的信息,歡迎聯(lián)系intelreports@kaspersky.com.
4.ProjectSauron已經(jīng)活躍了多久?
取證分析表明,該APT組織至少從2011年的6月就已經(jīng)開始從事網(wǎng)絡(luò)間諜活動(dòng),此后一直到2016年都處于活躍狀態(tài)。盡管它目前看似已經(jīng)基本停止行動(dòng),但是在卡巴斯基實(shí)驗(yàn)室解決方案未涵蓋的計(jì)算機(jī)系統(tǒng)內(nèi),它可能仍然在活躍。
5.攻擊者是否使用了一些有趣的或先進(jìn)的攻擊技術(shù)?
攻擊者使用了大量有趣的,非同尋常的技術(shù),包括:
-利用DNS請求來進(jìn)行數(shù)據(jù)提取和實(shí)時(shí)狀態(tài)報(bào)告;
-使用正版軟件的更新腳本來植入和部署惡意軟件;
-通過使用特備的USB存儲(chǔ)驅(qū)動(dòng)器從空氣間隙(air-gapped)網(wǎng)絡(luò)系統(tǒng)中提取數(shù)據(jù),并將數(shù)據(jù)存儲(chǔ)在操作系統(tǒng)不可見的區(qū)域中;
-使用了改進(jìn)的LUA腳本引擎來實(shí)現(xiàn)平臺(tái)的核心功能和插件。在惡意軟件中使用LUA組件是非常罕見的。此前只在Flame和Animal Farm攻擊中出現(xiàn)過。
6.卡巴斯基實(shí)驗(yàn)室是如何發(fā)現(xiàn)該惡意軟件的?
2015年9月,卡巴斯基實(shí)驗(yàn)室的Anti-Targeted攻擊平臺(tái)在一個(gè)客戶的企業(yè)網(wǎng)絡(luò)中發(fā)現(xiàn)了異常的網(wǎng)絡(luò)流量。針對該事件的分析發(fā)現(xiàn),一個(gè)奇怪的可執(zhí)行程序庫被加載到域控制器服務(wù)器的內(nèi)存中。該庫被注冊為Windows密碼過濾器,隨后訪問明文形式的敏感數(shù)據(jù),進(jìn)一步的研究發(fā)現(xiàn)一個(gè)前所未見的威脅組織的活動(dòng)跡象。
7. ProjectSauron是如何操作的?
ProjectSauron通常在域控制器上注冊自己的持久性模塊來作為一個(gè)Windows LSA(本地安全性權(quán)限)密碼過濾器。該功能通常由系統(tǒng)管理員操作,來執(zhí)行密碼策略和驗(yàn)證新密碼以滿足一些特定要求,如長度和復(fù)雜性等。這樣一來,ProjectSauron被動(dòng)后門(passive backdoor)模塊就會(huì)在每次任意網(wǎng)絡(luò)或本地用戶(包括管理員)登錄或修改密碼的時(shí)候啟動(dòng),及時(shí)獲取明文密碼。
在域控制器缺少直接網(wǎng)絡(luò)訪問的情況下,攻擊者會(huì)在另一個(gè)本地服務(wù)器(具備本地網(wǎng)絡(luò)和互聯(lián)網(wǎng)接入,即代理服務(wù)器,網(wǎng)絡(luò)服務(wù)器或軟件更新服務(wù)器)上安裝附加植入。隨后,ProjectSauron就用這些中間服務(wù)器作為不顯眼的數(shù)據(jù)滲漏的內(nèi)部服務(wù)器節(jié)點(diǎn),與高容量的合法流量混合。
一旦安裝成功,ProjectSauron主模塊就開始像“潛伏分子(sleeper cells)”一樣運(yùn)行,不會(huì)自己行動(dòng)只會(huì)等待傳入網(wǎng)絡(luò)流量中的“喚醒”命令。這種操作方法可以確保ProjectSauron在目標(biāo)組織服務(wù)器上的持久性。
8. ProjectSauron使用的是什么類型的植入?
大多數(shù)ProjectSauron的核心植入物被設(shè)置成后門運(yùn)行,在內(nèi)存中下載新的模塊或只運(yùn)行攻擊者的命令。捕捉這些模塊的唯一方法是將受感染系統(tǒng)的全部存儲(chǔ)信息轉(zhuǎn)儲(chǔ)。
幾乎所有ProjectSauron的核心植入物都是獨(dú)特的,它們具有不同的文件名和大小,而且是為每個(gè)目標(biāo)分別建立的。每個(gè)模塊的時(shí)間戳,無論是在文件系統(tǒng)還是在自己的標(biāo)頭,都是為其安裝環(huán)境量身打造的。
ProjectSauron二級模塊的設(shè)計(jì)旨在實(shí)現(xiàn)一些特殊功能,例如竊取文件,鍵盤記錄,以及從受感染的計(jì)算機(jī)中竊取加密密鑰等。
ProjectSauron實(shí)現(xiàn)了一個(gè)模塊化架構(gòu),通過使用自己的虛擬文件系統(tǒng)來存儲(chǔ)附加模塊(插件)以及通過改進(jìn)的Lua解釋器來執(zhí)行內(nèi)部腳本。此外,還包含50多個(gè)不同類型的插件。
9. 初始感染載體是什么?
截至目前,ProjectSauron的初始感染載體依然不明。
10. ProjectSauron植入物是如何部署到目標(biāo)網(wǎng)絡(luò)中的?
在一些情況下,ProjectSauron模塊是在系統(tǒng)管理員為了集中部署網(wǎng)絡(luò)中的合法軟件升級而修改腳本時(shí)實(shí)施部署的。
本質(zhì)上,攻擊者通過修改現(xiàn)有的軟件部署腳本來注入啟動(dòng)惡意軟件的命令。注入的惡意軟件是一個(gè)很小的模塊,作為一個(gè)簡單的下載器運(yùn)行。
一旦在網(wǎng)絡(luò)管理員帳戶下啟動(dòng),這個(gè)小下載器就會(huì)連接到一個(gè)硬編碼的內(nèi)部或外部IP地址上,并從中下載更大的ProjectSauron有效載荷。
在這種情況下,ProjectSauron的持久性容器以EXE文件格式存儲(chǔ)在磁盤中,并用正版軟件的文件名來偽裝這些文件。
11. ProjectSauron是否以關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)?
一些ProjectSauron的感染實(shí)體可以被列為關(guān)鍵基礎(chǔ)設(shè)施。但是,我們還沒有在部署SCADA系統(tǒng)的工控系統(tǒng)網(wǎng)絡(luò)內(nèi)發(fā)現(xiàn)ProjectSauron感染實(shí)體。
此外,我們也還沒有發(fā)現(xiàn)任何一個(gè)ProjectSauron模塊是針對特定的關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的硬件或軟件的情況。
12. ProjectSauron是否使用了任何特殊的通訊方式?
就網(wǎng)絡(luò)通訊而言,ProjectSauron工具包可謂功能強(qiáng)大,最常用的協(xié)議包括:ICMP, UDP, TCP, DNS, SMTP and HTTP。
ProjectSauron其中一個(gè)插件是DNS數(shù)據(jù)泄露工具。為了避免網(wǎng)絡(luò)級的DNS隧道通用檢測,攻擊者通常只在低帶寬模式使用它,這就是它僅用于滲漏目標(biāo)系統(tǒng)元數(shù)據(jù)的原因。
ProjectSauron惡意軟件(運(yùn)用DNS協(xié)議)中另一個(gè)有趣的功能是將操作進(jìn)展實(shí)時(shí)報(bào)告到遠(yuǎn)程服務(wù)器。一旦一個(gè)操作里程碑實(shí)現(xiàn),ProjectSauron就會(huì)發(fā)送DNS請求到一個(gè)特殊的子域(每個(gè)目標(biāo)都不同的)中。
13. ProjectSauron APT最復(fù)雜、先進(jìn)的功能是什么?
總體而言,ProjectSauron平臺(tái)是非常先進(jìn)的,與我們此前報(bào)道的Regin間諜軟件的復(fù)雜程度類似。關(guān)于ProjectSauron平臺(tái)一些獨(dú)特的因素包括:
-多滲出機(jī)制,包括盜用已知的協(xié)議;
-利用U盤的隱藏?cái)?shù)據(jù)分區(qū)繞過空氣間隙(air-gaps);
-劫持Windows LSA來控制網(wǎng)絡(luò)域中的服務(wù)器;
-執(zhí)行一個(gè)擴(kuò)展的Lua引擎編寫自定義的惡意腳本,用高級語言控制整個(gè)惡意軟件平臺(tái)。
14. 攻擊者是否利用零日漏洞實(shí)施攻擊?
截至目前,我們并沒有發(fā)現(xiàn)與ProjectSauron相關(guān)的任何0-day漏洞,也還沒有發(fā)現(xiàn)惡意軟件上有嵌 入任何零日漏洞的情況,我們相信這種部署是非常罕見也是非常難以捕捉的。
15. 什么版本的Windows會(huì)成為攻擊目標(biāo)?
ProjectSauron適用于目前所有的MicrosoftWindows操作系統(tǒng) –包括x64和x86。我們已經(jīng)見證了發(fā)生在Windows XP x86以及Windows 2012 R2(x64)上的感染案例。
目前,我們沒有發(fā)現(xiàn)任何Windows版本可以在ProjectSauron的魔爪下幸免于難。
16. 攻擊者到底從目標(biāo)計(jì)算機(jī)中盜取了什么信息?
我們發(fā)現(xiàn)的ProjectSauron模塊能夠從被感染的計(jì)算機(jī)和連接U盤中竊取文件,記錄鍵盤信息以及盜取加密密鑰。
以下是從ProjectSauron中提取的部分片段,顯示了攻擊者正在尋找的信息類型和文件拓展名:
有趣的是,上圖中雖然大多數(shù)的詞語和擴(kuò)展名都是英語,但是也存在幾個(gè)意大利詞語,如:“codice’,’strCodUtente’和’segreto’。
ProjectSauron數(shù)據(jù)盜竊模塊的目標(biāo)關(guān)鍵詞/文件名:
這說明攻擊者同樣已經(jīng)把意大利語國家列為攻擊目標(biāo),然而,目前我們暫未發(fā)現(xiàn)ProjectSauron項(xiàng)目中的任何意大利語國家受害者。
17. 是否是國家支持的網(wǎng)絡(luò)間諜攻擊?
我們認(rèn)為如此復(fù)雜、先進(jìn)的攻擊手段,且目的是竊取機(jī)密信息,這種行為只可能在國家支持的情況下實(shí)現(xiàn)。
18. ProjectSauron項(xiàng)目開發(fā)和運(yùn)營成本有多少?
卡巴斯基實(shí)驗(yàn)室對此并沒有任何確切的數(shù)據(jù),但根據(jù)估算,ProjectSauron項(xiàng)目的開發(fā)和運(yùn)營很可能需要多個(gè)專家團(tuán)隊(duì)支持,預(yù)算可能在數(shù)百萬美元。
19. ProjectSauron與其他頂級威脅軟件相比怎么樣?
ProjectSauron項(xiàng)目背后的威脅軟件即使是與最頂級的威脅軟件(如Duqu, Flame, Equation以及 Regin等)相比也是非常先進(jìn)的。不論P(yáng)rojectSauron是否與這些先進(jìn)的網(wǎng)絡(luò)間諜軟件間存在關(guān)聯(lián),可以肯定的是ProjectSauron的攻擊者從這些軟件身上學(xué)到了很多。
作為提醒,以下為我們發(fā)現(xiàn)ProjectSauron攻擊者從其他APT攻擊上學(xué)到和模仿的一些特征:
Duqu:
-使用內(nèi)聯(lián)網(wǎng)C&Cs(其中受損的目標(biāo)服務(wù)器可以作為獨(dú)立的C&Cs);
-僅在內(nèi)存中運(yùn)行(只在少數(shù)網(wǎng)關(guān)主機(jī)中存在持久性);
-針對每個(gè)受害者使用不同的加密方式;
-針對LAN通信使用命名管道(named pipe);
-每個(gè)受害者不同的加密方式使用
-使用命名管道的LAN通信
-通過合法軟件部署渠道分發(fā)惡意軟件;
Flame:
-Lua嵌入(Lua-embedded)代碼;
-安全的文件刪除(通過數(shù)據(jù)擦除);
-通過可移動(dòng)設(shè)備攻擊空氣間隙系統(tǒng);
Equation和Regin:
-使用RC5/RC6加密;
-虛擬文件系統(tǒng)(VFS);
-通過可移動(dòng)設(shè)備攻擊空氣間隙系統(tǒng);
-隱式數(shù)據(jù)存儲(chǔ)在移動(dòng)設(shè)備中;
點(diǎn)擊查看完整版報(bào)告
* 原文鏈接:Securelist、米雪兒編譯,轉(zhuǎn)載請注明來自FreeBuf黑客與極客(FreeBuf.COM)