自2011年10月以来,Strider网络间谍组织使用名为“Remsec”的后门木马,攻击了四个国家至少7大企业。 网络安全公司赛门铁克称Strider(Strider也被称为 ProjectSauron,一直保持相当低调的黑客群体,至今只有赛门铁克的的行为引擎发现了他们的APT攻击。)网络间谍组织攻击了俄罗斯四家企业、比利时大使馆、一家瑞士公司和一家中国航空公司。从操作层面看,赛门铁克强调该组织与Flamer(火焰)病毒组织有共同点,因为这两个组织均使用基于Lua模块的恶意软件。 此外,Strider的其中一个目标过去也曾被Regin后门恶意软件感染。除了这些相同点,未发现与其它网络间谍活动有关的细节。赛门铁克并未将攻击归因落到任何某个具体国家或工业间谍犯罪组织。 Strider使用Remsec恶意软件攻击目标 Strider组织使用被称为“Remsec”的恶意软件,Remsec在被感染的主机上设有后门。
赛门铁克研究人员在博文中解释道,“该组织使用Remsec(Backdoor.Remsec)恶意软件实施攻击。Remsec是一种主要针对间谍目的设计的隐秘工具,其代码包含Sauron,电影《指环王》中的人物之一(Sauron中文名索伦,他和甘道夫,萨鲁曼等同属迈雅,但是其地位远远高过后两位)。” 所有Strider攻击均通过Remsec后门木马实施。此恶意软件能感染设备并使用二级Lua在运行时加载执行多项行动。 Remsec后门大多数时候在计算机内存运行,难以检测。另外,该后门将目标集中在少量目标上,从而使得该间谍组织隐秘攻击长达5年之久,而未被察觉。 Strider基本渗透以Remsec感染开始,通常通过以MSAOSSPC.dll文件隐藏的恶意软件载入程序实施感染。此DLL从磁盘将文件装入OS内存。 Remsec—强大的全能后门木马 同一文件还包含所有Remsec模块,载入程序只会在需要时载入。这些模块为记录击键提供提供,将Lua恶意模块注入到系统进程中,在网络上加载可执行文件从而攻击其它目标。 此外,Remsec能监听本地网络套接字,并以多种方式将后门向控制与命令服务器打开。赛门铁克团队关于Remsec的报告下载地址:http://www./content/en/us/enterprise/media/security_response/whitepapers/Symantec_Remsec_IOCs.pdf 赛门铁克团队强调,“Strider能创建自定义恶意软件工具并潜伏实施攻击至少5年之久。根据其恶意软件的间谍功能以及已知目标的性质,可能该组织是国家级攻击者。” 真正的高级威胁攻击者与自封为高级持续性威胁(APT)的区别何在? 以下为“顶级”网络间谍组织的某些特征:
卡巴斯基也发布了一份Strider组织的活动报告,他们将其称之为“Sauron行动(OperationSauron)”。卡巴斯基称,他们在超过30个组织机构的系统上发现恶意软件,这些受影响的组织机构分布在俄罗斯、伊朗、卢旺达以及许多意大利语国家。 卡巴斯基的安全专家强调了ProjectSauron组织能力,由于该组织对每个目标采取定制程序实施工具,因此难以被检测,使得归因难以定论。 卡巴斯基实验室在报告中指出:“ProjectSauron背后的攻击者对在攻击政府机构中广泛使用的通信加密软件具有浓厚的兴趣。该组织窃取密钥、配置文件和与加密软件有关的关键基础设施服务器的IP地址。” 卡巴斯基的安全专家未找到利用零日漏洞的证据,但不排除ProjectSauron使用了零日漏洞。 卡巴斯基的专家表示,“甚至ProjectSauron行动选择了多样化ISP,很显然攻击者尽一切所能避免创建模式。” |
|