歡迎來到興華永恒!加入收藏設為首頁
您當前所在位置:首頁 > 技術專欄 > 專業發布
技術專欄

網絡基礎設施分析:

從披露的情報來看,ProjectSauron組織使用的域名和IP有以下基礎網絡設施。

blob.png

通過對相關域名繼續passive dns分析,可以得出如下可能具有關聯性的域名。


blob.png


分析得出域名主要信息如下:

 


域名

郵箱

更新時間

ping.sideways.ru

N/A

N/A

lydia-leydolf.at



gtf.cc

lender@eli-immobilien.at
  
techadmin@world4you.com
 

2016-07-25 00:31:27

domain.com

corpdomains@endurance.com
 

2015-11-12 04:16:42

sba-messebau.at



art-irisarns.com

office@itspirit.at
  
dom-reg@inode.at
 

2016-03-20 00:31:36

ad-consult.cc

petra.resch@hotmail.com
  
techadmin@world4you.com
 

2015-11-16 04:17:12

wildhorses.awardspace.info

N/A

N/A

bikessport.com

domains@hugedomains.com
 

2015-11-14 00:00:00

mbit-web.com


2015-11-09 01:27:16

techno-fandom.org

latzko@pobox.com
 

2015-08-25 04:17:08

display24.at



ipchicken.com


2016-01-08 16:01:01

iut.hcmut.edu.vn

N/A

N/A

windward-trading.biz

manfred-beck@inode.at
  
techadmin@world4you.com

2015-08-16 01:41:36

liebstoecklco.at



rapidcomments.com

awilkington@outlook.com
 

2014-10-21 12:05:51

mycruiseship.net


2016-04-24 12:21:13

utc-wien.at

union-tennisclub-wien@aon.at
 


easterncredit.net


2016-07-16 00:00:00

weingut-haider-malloth.at



winnie-andersen.com


2015-08-11 07:43:07

flowershop22.110mb.com

N/A

N/A

dievinothek.net


2016-03-25 01:28:26

der-wein.at



avian.org

hobbit@avian.org
 

2016-01-09 18:14:33

chirotherapie.at

ordi.rauch@aon.at
 


mail.mbit-web.com

N/A

N/A

dr-rauch.com


2016-08-09 09:45:46

dee.hcmut.edu.vn

N/A

N/A

csrv01.rapidcomments.com

N/A

N/A

myhomemusic.com

jason.raz@gmx.de
  
hostmaster@1and1.com

2011-09-16 14:12:03



通過信息擴展,可以得到cloudstream.me、myhomemusic.net等域名都為該APT組織使用。



blob.png

blob.png

blob.png

同時發現manfred-beck@inode.at具有密碼泄漏的情況。

blob.png

溯源分析:

一.與火焰病毒的極其相似

Flame病毒(又名火焰病毒)是于2012年5月被卡巴斯基首次發現的超級電腦病毒,其構造十分復雜,危害性巨大,可以通過USB存儲器以及網絡復制等多種方式傳播,并能接受來自世界各地多個服務器的指令,堪稱目前世界上復雜、危險的病毒。

Flame 病毒用上了 5 種不同的加密算法,3 種不同的壓縮技術,和至少 5 種不同的文件格式,包括其專有的格式。并將它感染的系統信息以高度結構化的格式存儲在SQLite 等數據庫中,病毒文件達到 20MB 之巨。此外,它還使用了游戲開發用的 Lua 腳本語言編寫,使得結構更加復雜。從某些證據可以表明,火焰病毒和攻擊伊朗核設施的震網病毒師出同門,是由某國政府研發或資助開發用于對伊朗等國家發起網絡攻擊的尖刀利器。

Remsec病毒和火焰病毒有很多相同點:都采用Lua模塊編寫木馬;盜取數據的方式多種多樣;木馬程序異常復雜;使用多種加密技術和數據傳輸技術;木馬本身具有安全刪除文件的能力;具備隔離網絡文件竊取能力;受害者大多具有政治因素。

雖然無法證明Remsec病毒和火焰病毒出于統一組織或團隊之手,但是可以看到二者的技術特點極其相似,技術水平旗鼓相當,出現時間也相差無幾。


二.可能與Anonymouse有關


通過對提及的相關域名進行深入分析,匯總得到如下結果。

blob.png

分析發現www.myhomemusic.com 注冊人為jason.raz@gmx.de,同時該郵箱也注冊了www.myhomemusic.net。關系圖如下:

blob.png

通過對具有特殊性的Jason Rza進行深入分析,發現其中一個facebook用戶名為Jason Rza的匿名者黑客。


blob.png


通過對其blog進行分析,可以發現該jason.raz經常性發表網絡相關內容,應該是Anonymous相關成員。


blob.png


三.網絡基礎資源和受害者


經過分析,擴展的域名指向11個IP,我們對這11個IP重點進行分析,發現這11個IP全部來自于IDC機房。


blob.png


可以判斷出,該組織其主要的控制服務器都是通過IDC租賃得來。這個和斯諾登曝光的某國政府慣用的手段相似。

受害者則主要集中在俄羅斯和中國兩地,多以政府、科研機構、機場等基礎設施為主。從地緣政治的角度來看也不難發現其真實的發起者。


四.總結


綜合本報告分析,可以做出初步判斷,ProjectSauron 組織可能是由實力強大的以中俄為競爭對手的某國政府資助。以獲取相關國家的經濟、政治和科技情報為基本目的。同時也不排除同樣就有強大實力的Anonymous黑客組織參與其中。

備注:

本報告由興華永恒(北京)科技有限責任公司墨俠團隊完成,墨俠團隊是致力于信息安全服務、威脅情報、APT防御等方向的專業安全團隊。

興華永恒:www.flatwaterrentals.com/www.moxia.org

參考文件:

l  Symantec_Remsec_IOCs.pdf

l  The-ProjectSauron-APT_IOCs_KL.pdf

l  The-ProjectSauron-APT_research_KL.pdf

l  The-ProjectSauron-APT_Technical_Analysis_KL.pdf






在線咨詢 周一至周五
09:00-18:00
老师让我脱她乳罩摸她乳视频