美相关 APT 组织分析报告 — APT-C-16(索伦之眼)

"APT" (高级持续性攻击)是一种针对性、隐蔽性、持续性极强的网络攻击行为。

现已发现的绝大多数 APT 组织都具有国家或政府背景，相关攻击行为通常由某个与特定国家政府关联的实体机构具体实施。

APT 攻击的主要目标不是普通个体，而是特定的组织机构，包括政府、大学、医疗、企业、科研甚至重要信息基础设施运维单位等不同类型的重要机构。

过去数年，360 公司持续跟踪美国 APT 组织及其活动情况，发现美国顶尖 APT 组织对全球各国(包括美国盟友)的政府机构、重要组织和信息基础设施实施了复杂、精密、持续性的 APT 攻击行动。

本报告针对美国代表性 APT 组织架构、攻击武器、实施过程等展开分析，并结合真实案例，全面印证了美 APT 组织凭借高度自动化、工程化的先进网络武器装备发起无差别网络攻击，给全球带来无穷的安全隐忧。

索伦之眼(ProjectSauron)组织，又名 Strider、Sauron、APT-C-16、神行客，最早活跃于 2011 年，并一直活跃至 2016 年 8 月

根据英国《每日邮报》媒体报道，该组织攻击过的目标包括中国、 俄罗斯、比利时、伊朗、瑞典、卢旺达等 30 多个国家，以窃取敏感信息为主要目的。受该组织攻击的机构包括国防部门、大使馆、金融机构、政府部门、电信公司、军事和基础设施领域以及科技研究中心等。

组织归因分析

2016 年 8 月，赛门铁克公司披露了一个针对中国、俄罗斯等国家发动高级攻击的 APT 组织。随后，卡巴斯基也发布报告，针对该组织披露了更多详细分析资料。因在分析追踪文件时，发现其代码中带有 Sauron 字符，所以命名为 索伦之眼(Project Sauron)，其不仅是一个顶级黑客组织，而是一个拥有精密技术的顶级间谍模型平台。

经比对分析，确认该组织与 360 高级威胁情报中心独立截获的境 外 APT 组织 APT-C-16 为同一组织。在 360 长期跟踪并对索伦之眼组织行动进行归属分析过程中，发现其与美国几大关联证据:

证据一、惯性语言的使用暴露所属国家:

索伦之眼组织攻击过程使用的语言、代码文本、关键模块输出均为英文。此外，索伦之眼在模块开发中使用 "cruft" 单词，该词语很少 被非母语人士使用。其首次出现约在 1958 年，常被麻省理工学院(MIT) 科技铁路模型俱乐部(TMRC) 的学生们用在“垃圾”的意义上。

证据二、关键技术特征与美制造的恶意病毒存在相似:

索伦之眼组织攻击目标时使用了一种名为 "Remsec" 的高端恶意软件。而 Remsec 被发现与 2012 年 5 月 卡巴斯基首次发现的超级电脑病毒 Flame 病毒(火焰病毒)存在诸多技术相似点。

Remsec 与 Flame 病毒的技术上的相似点包括:

• 都采用 Lua 模块编写木马

• 盗取数据的方式多种多样

• 木马程序异常复杂

• 使用多种加密技术和数据传输技术

• 木马本身具有安全删除文件的能力

• 具备隔离网络文件窃取能力

• 受害者大多具有政治因素

卡巴斯基、赛门铁克、360 公司相关技术报告研判的互相印证表明:

Remsec 与 Flame 病毒疑似是师出同门，是由美国政府研发或资助开发用于对伊朗等国家发起网络攻击的尖刀利器。

攻击武器

索伦之眼攻击目标所使用的 Remsec 恶意软件是一款技术含量很高的远程控制软件，主要用来暗中监视和控制目标。这种软件能够在受感染计算机上打开后门，记录用户点击的按键，并盗取相关文件。其攻击武器具备三大特征:

特征一

Remsec 恶意软件率先采用模块化设计，具备不同功能的模块之间作为一个框架整体协同工作，使攻击者能够完全控制受感染的计算机，从而允许他们跨网络移动、窃取数据并根据需要部署自定义模块。

特征二

Remsec 恶意软件具有强 "隐身" 性。它的几个组件采用可执行 blob(二进制大型对象) 的形式，这对于传统防病毒软件来说更难以检测。除此之外，该恶意软件的大部分功能都是通过网络部署的，这意味着它仅驻留在计算机的内存中，并且从不存储在磁盘上，使得其更难以检测。索伦之眼整个攻击过程高度隐蔽，且针对性极强，对特定目标采用定制的恶意程序或通信设施，不会重复使用相关攻击资源。

特征三

索伦之眼武器工程化、复杂度、成熟性之高远非个体、游兵散将制造，背后需要大量人力、财力、技术资源投入开发，或为国家力量支持的高端网络武器开发使用项目。

总之，索伦之眼凭借超强恶意软件 Remsec，攻击方式、攻击效果和攻击隐蔽性等方面在当时具有领先能力，属于顶级 APT 组织。

攻击案例

2016 年 8 月，赛门铁克公司在报告中披露，自 2011 年起，索伦之眼攻击了中国、比利时、俄罗斯和瑞典的七个组织，包括位于俄罗斯的多个组织和个人、中国的一家航空公司、瑞典一个未公开的组织及比利时国内的一个大使馆。

2016 年 8 月，卡巴斯基公司在报告中披露，2015 年 9 月 其反定向攻击技术遭遇了一次未知的攻击。可疑模块是一个可执行库，加载 到 Windows 域控制器(DC) 的内存中该库已注册为 Windows 密码过滤器，并且可以访问明文形式的敏感数据。经过研究发现索伦之眼大规模活动迹象，主要针对多国政府实体进行攻击行动。

原文地址：https://cdn.isc.360.com/iscvideo-bucket/APT_organization_analysis.pdf

原文始发于微信公众号（刨洞安全团队）：美相关 APT 组织分析报告 — APT-C-16(索伦之眼)