欢迎来到兴华永恒!加入收藏设为首页
王者新葡京
您当前所在位置:首页 > 手艺专栏 > 专业公布
手艺专栏

网络基础设施阐发:

从表露的谍报来看,ProjectSauron构造利用的域名和IP有以下根底网络设备。

blob.png

经由过程对相干域名持续passive dns阐发,能够得出以下能够具有关联性的域名。


blob.png


阐发得出域名次要信息以下:

 


域名

邮箱

最初更新工夫

N/A

N/A




  

 

2016-07-25 00:31:27


 

2015-11-12 04:16:42




  

 

2016-03-20 00:31:36


  

 

2015-11-16 04:17:12

N/A

N/A


 

2015-11-14 00:00:00


2015-11-09 01:27:16


 

2015-08-25 04:17:08




2016-01-08 16:01:01

N/A

N/A


  

2015-08-16 01:41:36




 

2014-10-21 12:05:51


2016-04-24 12:21:13


 



2016-07-16 00:00:00




2015-08-11 07:43:07

N/A

N/A


2016-03-25 01:28:26




 

2016-01-09 18:14:33


 


N/A

N/A


2016-08-09 09:45:46

N/A

N/A

N/A

N/A


  

2011-09-16 14:12:03



经由过程信息扩大,能够获得myhomemusic.net等域名都为该APT构造利用。



blob.png

blob.png

blob.png

同时发明manfred-beck@inode.at具有暗码走漏的状况。

blob.png

溯源阐发:

一.与火焰病毒的极端类似

Flame病毒(别名火焰病毒)是于2012年5月被卡巴斯基初次发明的超等电脑病毒,其机关十分复杂,危害性宏大,能够经由过程USB存储器以及网络复制等多种方法传布,并能承受来自世界各地多个服务器的指令,可谓今朝世界上最庞大、最伤害的病毒。

Flame 病毒用上了 5 种差别的加密算法,3 种差别的紧缩手艺,和最少 5 种差别的文件格式,包罗其专有的格局。并将它传染的体系信息以高度构造化的格局存储在SQLite 等数据库中,病毒文件到达 20MB 之巨。另外,它还利用了游戏开辟用的 Lua 脚本语言编写,使得构造愈加庞大。从某些证据能够表白,火焰病毒和进犯伊朗核设备的震网病毒师出同门,是由某国政府研发或赞助开辟用于对伊朗等国度倡议网络进犯的尖刀利器。

Remsec病毒和火焰病毒有许多相同点:都接纳Lua模块编写木马;偷取数据的方法多种多样;木马程序非常庞大;利用多种加密手艺和数据传输手艺;木马自己具有安全删除文件的才能;具有断绝网络文件夺取才能;受害者大多具有政治身分。

固然无法证实Remsec病毒和火焰病毒出于统一组织或团队之手,可是能够看到两者的手艺特性极端类似,技术水平半斤八两,呈现工夫也相差无几。


二.能够与Anonymouse有关


经由过程对说起的相干域名停止深化阐发,汇总获得以下成果。

blob.png

阐发发明www.myhomemusic.com 注册报酬jason.raz@gmx.de,同时该邮箱也注册了www.myhomemusic.net。干系图以下:

blob.png

经由过程对具有特殊性的Jason Rza停止深化阐发,发明此中一个facebook用户名为Jason Rza的匿名者黑客。


blob.png


经由过程对其blog停止阐发,能够发明该jason.raz经常性揭晓网络相关内容,应该是Anonymous相干成员。


blob.png


三.网络根底资本和受害者


颠末阐发,扩大的域名指向11个IP,我们对这11个IP重点停止阐发,发明这11个IP局部来自于IDC机房。


blob.png


能够判定出,该构造其次要的掌握服务器都是经由过程IDC租赁得来。这个和斯诺登暴光的某国政府习用的手腕类似。

受害者则次要集合在俄罗斯和国外两地,多以当局、科研机构、机场等基础设施为主。从地缘政治的角度来看也不难发明其实在的发起者。


四.总结


综合本报告阐发,能够做出初步判断,ProjectSauron 构造能够是由实力壮大的以中俄为竞争对手的某国政府赞助。以获得相干国度的经济、政治和科技情报为根本目标。同时也不解除一样就有壮大实力的Anonymous黑客构造到场此中。

备注:

本报告由兴华永恒(北京)科技有限责任公司墨侠团队完成,墨侠团队是致力于信息安全服务、要挟谍报、APT防备等标的目的的专业安全团队。

兴华永恒:www.ardsec.com/www.moxia.org

参考文件:

l  Symantec_Remsec_IOCs.pdf

l  The-ProjectSauron-APT_IOCs_KL.pdf

l  The-ProjectSauron-APT_research_KL.pdf

l  The-ProjectSauron-APT_Technical_Analysis_KL.pdf






新葡京388
葡京网址
在线征询 周一至周五
09:00-18:00