ProjectSauron APT:攻击行动评估 - By nEINEI Time:2016-08-07 1) ProjectSauron(也被称作Strider,Backdoor.Remsec赛门铁克报的病毒名称)的先前未知的高级威胁组织一直在对俄罗斯,中国,瑞典和比利时 的选定目标进行网络间谍式攻击。 2) Strider的攻击与之前被发现的Flamer存在着一定的联系,例如Lua模块的使用,同样的被攻击的目标也被region感染过。该组织迄今为止一 直保持低调,其目标主要是组织和个人,似乎对一个国家的情报部门特别感兴趣,攻击目标包括,政府,科研中心,军事机构,电信提供商,金融行业。 Symptoms 相关样本信息: 46a676ab7f179e511e30dd2dc41bd388 9f81f59bc58452127884ce513865ed20 e710f28d59aa529d6792ca6ff0ca1b34 1F7DDB6752461615EBF0D76BDCC6AB1A 227EA8F8281B75C5CD5F10370997D801 2F704CB6C080024624FC3267F9FDF30E 34284B62456995CA0001BC3BA6709A8A 501FE625D15B91899CC9F29FDFC19C40 6296851190E685498955A5B37D277582 6B114168FB117BD870C28C5557F60EFE 7B6FDBD3839642D6AD7786182765D897 7B8A3BF6FD266593DB96EDDAA3FAE6F9 C0DFB68A5DE80B3434B04B38A61DBB61 B6273B3D45F48E9531A65D0F44DFEE13 最小闭合的攻击样本: 最初的感染向量已经无法获得, backdoor,9f81f59bc58452127884ce513865ed20 ,size = 12800 usb manager,2a8785bf45f4f03c10cd929bb0685c2d ,size = 52736 攻击能力计算: K = 3 (超出正常安全认知范围) a = 3 (无交互) s = 2 (初始攻击向量未知,U盘感染) m = 12 (代码注入,特种木马,特定人群,武器集合,支持多协议,高强度破解难度,高难度&复杂技术实现,横移渗透,3年以上隐藏时间, 改写自开源软件,usb特性利用,特殊持久化隐藏) p = 1 (攻击1种平台,windows) x = 8+4(完全属于apt组织的独有的破解高难度目标的利用技术[存储在usb的隐藏分区,自定义虚拟机文件系统,改写的lua的核心引擎], 目前未捕获0day漏洞的利用,但不排除使用了目前我们所不能识别的加载的实例当中); 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 2 + 12 + 1) ^ 3 * (1+8+4) ^ 2 + (12800+52736)/1024 = 18^3 * (13^2)+ 264 = 985608+264 = 985672 ==> 985672*1000/1279625(1T攻击力单位) = 770.281T 参考引用: 1.https://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets 2.https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07190154/The-ProjectSauron-APT_research_KL.pdf 3.https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07190156/The-ProjectSauron-APT_Technical_Analysis_KL.pdf 4.https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07190157/The-ProjectSauron-APT_IOCs_KL.pdf 5.http://www.vxjump.net/files/virus_analysis/ProjectSauron_p.pdf 6.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt