一. 简介

在过去几年间，媒体报道的“APT相关”事件数量已呈显著增长趋势。但是，对于其中一些事件而言，“APT”（即高级持续性威胁）存在被夸大的成分。除一些比较突出的“例外”，媒体报道的“APT”事件中很少有较为先进高级的，而这些“例外”，在我们看来代表了网络间谍工具的巅峰之作：真正“高级的”网络间谍威胁主要包含Equation, Regin, Duqu或Careto。另外较为“例外”的间谍平台是“ProjectSauron”，又称“Strider”。

那么，真正高级的APT组织和普通黑客组织之间有什么区别呢？以下为列举的有关顶级网络间谍组织的一些特点：

－利用0day漏洞进行攻击；

－未知的、无法识别的感染载体；

－已经成功攻击过多个国家的政府机构；

－在被发现前，已经成功进行了多年的信息窃取活动；

－能够从空气间隙网络（air gapped networks）系统中窃取信息；

－支持多种协议的众多隐秘渗漏渠道；

－恶意软件模块只能存在于内存中，不接触硬盘；

－罕见的持久性技术，能够使用未经记载的操作系统功能；

而事实上，“ProjectSauron”已经轻松地涵盖了以上提及的所有特性。

二. 从发现到检测

当谈及长期持续性的网络间谍活动时，很多人都会想为什么需要花费如此长的时间才能够发现并捕捉到他们？也许其中一种可能是，做好工作需要正确的工具，如果试图检测到军事级别的恶意软件，那么就需要使用到专门的检测技术和安全工具。其中的一种安全产品就是卡巴斯基实验室的AntiTargeted攻击平台——KATA。2015年9月，卡巴斯基实验室的AntiTargeted攻击技术检测到了一种前所未见的攻击。该可疑模块是一个可执行库，加载于一个Windows域控制器（DC）的内存中。这个库会被注册成一个Windows密码过滤器，随后访问明文形式的敏感数据。进一步的研究发现，一个新型攻击组织的大规模攻击活动迹象，我们称组织为“ProjectSauron”。据悉该组织此前曾针对多个国家的关键政府机构实施过大规模的网络攻击。

“SAURON”——LUA脚本中使用的内部名称

ProjectSauron包括一个十分复杂的模块化网络间谍平台，通过隐蔽性非常强的隐藏生存机制，实现对目标进行长期网络间谍活动的目的。相关技术细节展示了攻击者是如何利用该平台学习其他攻击者的先进技术，并避免重复他们此前所犯的错误。例如，所有的东西都设定既定目标，降低其成为其他受害者的威胁指标（IOC）的价值。

ProjectSauron的其他一些主要特征：

－它是一个模块化平台，旨在实现持续性的网络间谍活动；

－所有的模块和网络协议都使用了强加密算法，例如RC6，RC5，RC4，AES，Salsa20等；

－使用了改进的LUA脚本引擎来实现平台的核心功能和插件；

－超过五十种不同类型的插件；

－ProjectSauron背后的攻击者对政府机构广泛使用的通信加密软件有着浓厚的兴趣。它能窃取加密密钥，配置文件，以及与加密软件相关的关键基础设施服务器的IP地址；

－它可以使用特备的USB存储驱动器从空气间隙（air-gapped）网络系统中提取数据，并将数据存储在操作系统不可见的区域中；

－该平台在数据提取和实时状态报告中广泛使用DNS协议；

－该APT组织早在2011年6月份就开始网络间谍活动，并保持活跃度至2016年4月份；

－用于渗透目标网络的初始感染载体尚不清楚；

－攻击者利用合法的软件分发渠道在受感染的网络中实现横向感染；

为了帮助读者更好地了解ProjectSauron攻击平台，下面为大家准备了一个问答环节，期间将汇总一些关于ProjectSauron的关键问题并作出解答。此外，还公布了关于ProjectSauron的技术细节报告，以及IOCs 和 Yara 规则。有兴趣者点击下面了解详情：

技术分析

感染/威胁指标(indicators of compromise)

YARA规则下载

赛门铁克公司的同事也发布了他们自己对于ProjectSauron/Strider的分析报告。您可以点击这里获取。

三. ProjectSauron关键问答汇总（FAQ）：

1．什么是ProjectSauron？

ProjectSauron是一个顶级的模块化网络间谍活动平台，旨在通过隐蔽性超强的隐藏生存机制结合多种渗漏技术，实现管理长期持续性的网络间谍活动的目标。

技术细节显示，攻击者可以利用该平台学习其他攻击者的先进技术，以避免重复他们此前所犯的错误。

通常，APT组织由于地域关系，往往只会针对某一特定的地区或者行业中实施信息窃取活动。这通常会导致某一地区内的一些国家受到感染，或者全球范围内的某些特定行业受到影响。有趣的是，ProjectSauron似乎只专注于某几个国家，专注于从目标地区所有能够触及到的关键实体中收集高价值的情报。

ProjectSauron的名字反映了一个事实，代码作者指向出现在Lua脚本中的“Sauron”。

2.谁是受害者？

根据分析，我们发现了包含俄罗斯、伊朗、卢旺达和一些说意大利语的国家在内的超过30个机构受到了感染。我们推测，还会有更多的组织和地区都可能受到影响。

受攻击的机构都是履行核心国家职能的关键实体：

－政府；

－科学研究中心：

－军事机构；

－通信服务提供商；

－金融机构；

3.是否将相关信息告知受害者？

与往常一样，卡巴斯基实验室与行业合作伙伴间保持积极地沟通，CERT和执法部门会将情况告知受害者并帮助他们缓解安全威胁。我们还依靠公众意识来传播这些信息。如果您需要更多关于该组织的信息，欢迎联系intelreports@kaspersky.com.

4.ProjectSauron已经活跃了多久？

取证分析表明，该APT组织至少从2011年的6月就已经开始从事网络间谍活动，此后一直到2016年都处于活跃状态。尽管它目前看似已经基本停止行动，但是在卡巴斯基实验室解决方案未涵盖的计算机系统内，它可能仍然在活跃。

5.攻击者是否使用了一些有趣的或先进的攻击技术？

攻击者使用了大量有趣的，非同寻常的技术，包括：

－利用DNS请求来进行数据提取和实时状态报告；

－使用正版软件的更新脚本来植入和部署恶意软件；

－通过使用特备的USB存储驱动器从空气间隙（air-gapped）网络系统中提取数据，并将数据存储在操作系统不可见的区域中；

－使用了改进的LUA脚本引擎来实现平台的核心功能和插件。在恶意软件中使用LUA组件是非常罕见的。此前只在Flame和Animal Farm攻击中出现过。

6.卡巴斯基实验室是如何发现该恶意软件的？

2015年9月，卡巴斯基实验室的Anti-Targeted攻击平台在一个客户的企业网络中发现了异常的网络流量。针对该事件的分析发现，一个奇怪的可执行程序库被加载到域控制器服务器的内存中。该库被注册为Windows密码过滤器，随后访问明文形式的敏感数据，进一步的研究发现一个前所未见的威胁组织的活动迹象。

7. ProjectSauron是如何操作的？

ProjectSauron通常在域控制器上注册自己的持久性模块来作为一个Windows LSA（本地安全性权限）密码过滤器。该功能通常由系统管理员操作，来执行密码策略和验证新密码以满足一些特定要求，如长度和复杂性等。这样一来，ProjectSauron被动后门（passive backdoor）模块就会在每次任意网络或本地用户（包括管理员）登录或修改密码的时候启动，及时获取明文密码。

在域控制器缺少直接网络访问的情况下，攻击者会在另一个本地服务器（具备本地网络和互联网接入，即代理服务器，网络服务器或软件更新服务器）上安装附加植入。随后，ProjectSauron就用这些中间服务器作为不显眼的数据渗漏的内部服务器节点，与高容量的合法流量混合。

一旦安装成功，ProjectSauron主模块就开始像“潜伏分子（sleeper cells）”一样运行，不会自己行动只会等待传入网络流量中的“唤醒”命令。这种操作方法可以确保ProjectSauron在目标组织服务器上的持久性。

8. ProjectSauron使用的是什么类型的植入？

大多数ProjectSauron的核心植入物被设置成后门运行，在内存中下载新的模块或只运行攻击者的命令。捕捉这些模块的唯一方法是将受感染系统的全部存储信息转储。

几乎所有ProjectSauron的核心植入物都是独特的，它们具有不同的文件名和大小，而且是为每个目标分别建立的。每个模块的时间戳，无论是在文件系统还是在自己的标头，都是为其安装环境量身打造的。

ProjectSauron二级模块的设计旨在实现一些特殊功能，例如窃取文件，键盘记录，以及从受感染的计算机中窃取加密密钥等。

ProjectSauron实现了一个模块化架构，通过使用自己的虚拟文件系统来存储附加模块（插件）以及通过改进的Lua解释器来执行内部脚本。此外，还包含50多个不同类型的插件。

9. 初始感染载体是什么？

截至目前，ProjectSauron的初始感染载体依然不明。

10. ProjectSauron植入物是如何部署到目标网络中的？

在一些情况下，ProjectSauron模块是在系统管理员为了集中部署网络中的合法软件升级而修改脚本时实施部署的。

本质上，攻击者通过修改现有的软件部署脚本来注入启动恶意软件的命令。注入的恶意软件是一个很小的模块，作为一个简单的下载器运行。

一旦在网络管理员帐户下启动，这个小下载器就会连接到一个硬编码的内部或外部IP地址上，并从中下载更大的ProjectSauron有效载荷。

在这种情况下，ProjectSauron的持久性容器以EXE文件格式存储在磁盘中，并用正版软件的文件名来伪装这些文件。

11. ProjectSauron是否以关键基础设施为目标？

一些ProjectSauron的感染实体可以被列为关键基础设施。但是，我们还没有在部署SCADA系统的工控系统网络内发现ProjectSauron感染实体。

此外，我们也还没有发现任何一个ProjectSauron模块是针对特定的关键基础设施行业的硬件或软件的情况。

12. ProjectSauron是否使用了任何特殊的通讯方式？

就网络通讯而言，ProjectSauron工具包可谓功能强大，最常用的协议包括：ICMP, UDP, TCP, DNS, SMTP and HTTP。

ProjectSauron其中一个插件是DNS数据泄露工具。为了避免网络级的DNS隧道通用检测，攻击者通常只在低带宽模式使用它，这就是它仅用于渗漏目标系统元数据的原因。

ProjectSauron恶意软件（运用DNS协议）中另一个有趣的功能是将操作进展实时报告到远程服务器。一旦一个操作里程碑实现，ProjectSauron就会发送DNS请求到一个特殊的子域（每个目标都不同的）中。

13. ProjectSauron APT最复杂、先进的功能是什么？

总体而言，ProjectSauron平台是非常先进的，与我们此前报道的Regin间谍软件的复杂程度类似。关于ProjectSauron平台一些独特的因素包括：

－多渗出机制，包括盗用已知的协议；

－利用U盘的隐藏数据分区绕过空气间隙（air-gaps）；

－劫持Windows LSA来控制网络域中的服务器；

－执行一个扩展的Lua引擎编写自定义的恶意脚本，用高级语言控制整个恶意软件平台。

14. 攻击者是否利用零日漏洞实施攻击？

截至目前，我们并没有发现与ProjectSauron相关的任何0-day漏洞，也还没有发现恶意软件上有嵌 入任何零日漏洞的情况，我们相信这种部署是非常罕见也是非常难以捕捉的。

15. 什么版本的Windows会成为攻击目标？

ProjectSauron适用于目前所有的MicrosoftWindows操作系统 –包括x64和x86。我们已经见证了发生在Windows XP x86以及Windows 2012 R2（x64）上的感染案例。

目前，我们没有发现任何Windows版本可以在ProjectSauron的魔爪下幸免于难。

16. 攻击者到底从目标计算机中盗取了什么信息？

我们发现的ProjectSauron模块能够从被感染的计算机和连接U盘中窃取文件，记录键盘信息以及盗取加密密钥。

以下是从ProjectSauron中提取的部分片段，显示了攻击者正在寻找的信息类型和文件拓展名：

有趣的是，上图中虽然大多数的词语和扩展名都是英语，但是也存在几个意大利词语，如：“codice’，’strCodUtente’和’segreto’。

ProjectSauron数据盗窃模块的目标关键词/文件名：

这说明攻击者同样已经把意大利语国家列为攻击目标，然而，目前我们暂未发现ProjectSauron项目中的任何意大利语国家受害者。

17. 是否是国家支持的网络间谍攻击？

我们认为如此复杂、先进的攻击手段，且目的是窃取机密信息，这种行为只可能在国家支持的情况下实现。

18. ProjectSauron项目开发和运营成本有多少？

卡巴斯基实验室对此并没有任何确切的数据，但根据估算，ProjectSauron项目的开发和运营很可能需要多个专家团队支持，预算可能在数百万美元。

19. ProjectSauron与其他顶级威胁软件相比怎么样？

ProjectSauron项目背后的威胁软件即使是与最顶级的威胁软件（如Duqu, Flame, Equation以及 Regin等）相比也是非常先进的。不论ProjectSauron是否与这些先进的网络间谍软件间存在关联，可以肯定的是ProjectSauron的攻击者从这些软件身上学到了很多。

作为提醒，以下为我们发现ProjectSauron攻击者从其他APT攻击上学到和模仿的一些特征：

Duqu：

－使用内联网C&Cs（其中受损的目标服务器可以作为独立的C&Cs）；

－仅在内存中运行（只在少数网关主机中存在持久性）；

－针对每个受害者使用不同的加密方式；

－针对LAN通信使用命名管道（named pipe）；

－每个受害者不同的加密方式使用

－使用命名管道的LAN通信

－通过合法软件部署渠道分发恶意软件；

Flame:

－Lua嵌入（Lua-embedded）代码；

－安全的文件删除（通过数据擦除）；

－通过可移动设备攻击空气间隙系统；

Equation和Regin:

－使用RC5/RC6加密；

－虚拟文件系统（VFS）；

－通过可移动设备攻击空气间隙系统；

－隐式数据存储在移动设备中；

点击查看完整版报告

* 原文链接：Securelist、米雪儿编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）