上周FireEye發(fā)布了一份名叫“Operation Saffron Rose”(藏紅花玫瑰行動(dòng)?)的報(bào)告，稱一個(gè)名叫Ajax Security Team的黑客組織正在發(fā)起針對(duì)美國(guó)軍事工業(yè)的APT攻擊。本期回顧就聊聊這個(gè)重新浮出水面的伊朗黑客組織。

Operation Saffron Rose

Ajax Security Team(以下簡(jiǎn)稱AST)的一個(gè)代號(hào)是"Cair3x"，但是"Cair3x"到底是誰(shuí)未可知。在ICT(International Institute for Counter-Terrorism )2013年發(fā)布的“Cyber-Terrorism Activities Report”報(bào)告中稱，是"Cair3x"是一個(gè)人，真實(shí)的名字是Ali Ali Pur。分析認(rèn)為AST是一個(gè)組織性很強(qiáng)的團(tuán)體，和其他很多黑客組織類似，更像公司化運(yùn)作。AST的另一個(gè)名字是Flying Kitten(飛貓)。

如果"Cair3x"是一個(gè)人，那么長(zhǎng)什么樣子?沒(méi)有答案。不過(guò)，CrowdStrike給出了一張照片，這張截圖來(lái)自一個(gè)ID為“keyvan ajaxtm ”在Facebook上的截圖：

筆者做了一點(diǎn)小搜索，發(fā)現(xiàn)AST幾年前(不晚于09年)就比較活躍。當(dāng)時(shí)AST主要是篡改一些伊朗國(guó)內(nèi)和以色列網(wǎng)站的主頁(yè)。下面是一個(gè)AST在2012年篡改以色列網(wǎng)站列表：

詭異的是AST在2013年底到2014年初突然銷聲匿跡。直到最近的重出水面，并演變成為專門針對(duì)大遼國(guó)軍工企業(yè)發(fā)起APT攻擊的組織。

AST發(fā)起的APT攻擊手段很大程度上依靠釣魚郵件發(fā)起魚叉式定向攻擊。如下：

這個(gè)來(lái)自“aeroconf2014[.]org”的邀請(qǐng)郵件就是用來(lái)釣魚的。如果接收郵件的人點(diǎn)擊郵件中的鏈接，就會(huì)訪問(wèn)一個(gè)偽造的頁(yè)面：

上面的頁(yè)面是偽造某國(guó)際組織的網(wǎng)站。網(wǎng)站會(huì)提醒你下載一個(gè)代理軟件。你下了就中招了。惡意軟件如何提權(quán)和控制主機(jī)請(qǐng)大家閱讀FireEye的報(bào)告，這里不再贅述。

談到這里，安全人員提出了一個(gè)十分有意思的、同時(shí)也是“情理之中”的發(fā)現(xiàn)：AST的攻擊行為和兩年前被披露的大宋朝某黑客組織的攻擊行為頗有類似之處。專家發(fā)現(xiàn)AST在針對(duì)大遼國(guó)航空軍事工業(yè)機(jī)構(gòu)攻擊時(shí)，其釣魚并上傳提權(quán)木馬的魚叉式郵件攻擊的一個(gè)重要偽裝是打著Institute of Electrical and Electronics Engineers (IEEE) Aerospace Conference(IEEE航空大會(huì))的幌子——釣魚郵件的域名是“aeroconf2014[.]org”(上文已提到)。據(jù)稱宋朝某黑客組織也曾用過(guò)類似的手段，當(dāng)時(shí)宋朝黑客采用的釣魚郵件域名是“aeroconf2013[.]org”。

說(shuō)到這里，需要簡(jiǎn)單闡述一下當(dāng)時(shí)所謂的宋朝黑客釣魚事件。該事件背后是大名鼎鼎的Sykipot，甚至有人干脆把該宋朝黑客組織稱為Sykipot。事實(shí)上，Sykipot是一個(gè)惡意軟件，通過(guò)釣魚郵件誘騙被攻擊者點(diǎn)擊鏈接，然后利用CVE-2011-0611、CVE-2012-1889等文件漏洞獲得對(duì)被攻擊者的系統(tǒng)權(quán)限，下載僵尸程序。這個(gè)僵尸程序通過(guò)SSL與遠(yuǎn)程的控制臺(tái)(C&C服務(wù)器)通信，獲得指令。Sykipot經(jīng)過(guò)不斷變種和發(fā)展，當(dāng)前已經(jīng)是第四代：

我不太明白宋朝黑客組織和AST到底有什么關(guān)系。好像看了很多文章也沒(méi)有說(shuō)兩者存在什么可能的聯(lián)系。FireEye報(bào)告里提到了宋朝黑客攻擊的演進(jìn)史。大概的結(jié)論就是，伊朗黑客組織和宋朝黑客組織有著相類似的演進(jìn)過(guò)程。這真是一個(gè)很詭異的邏輯，就算類似，又能說(shuō)明什么呢?我看，是已經(jīng)形成定式的思維使得每談到APT定向攻擊，必然拉上宋朝。

關(guān)于AST的故事暫時(shí)告一段落，不知道接下來(lái)AST會(huì)有什么驚人的舉動(dòng)。會(huì)成為下一個(gè)SEA或者QCF?或是再次銷聲匿跡?讓我們拭目以待吧。

由抗D系統(tǒng)發(fā)起的DDoS攻擊

Incapsula公司(美國(guó)一家知名云安全服務(wù)提供商)在上周稱，中國(guó)和加拿大的兩家抗DDoS服務(wù)商系統(tǒng)被黑客用來(lái)發(fā)起面向Incapsula用戶的DDoS攻擊。據(jù)Incapsula稱，來(lái)自中國(guó)和加拿大的兩家抗D服務(wù)商系統(tǒng)的DDoS攻擊是DNS Flood，請(qǐng)求流量達(dá)到25Mpps，總攻擊(DNS requests)達(dá)到630億次，攻擊持續(xù)7小時(shí)。

按照Incapsula的分析，攻擊者并沒(méi)有采用反射放大，直接打的DNS request。如此一來(lái)，應(yīng)該是發(fā)起攻擊的系統(tǒng)被控制了，然后發(fā)起的請(qǐng)求洪水。

和大家一樣，我很想知道這兩家抗D服務(wù)商到底是誰(shuí)?可是搜遍了，也沒(méi)找到答案。

其他

有的朋友通過(guò)某些渠道反饋并建議，每期回顧增加更多的事件，側(cè)重大家都關(guān)心的重大事件。

我的回答是：

第一，熱點(diǎn)事件大家可以通過(guò)各種渠道獲得相關(guān)資訊，這些熱點(diǎn)反而不是我最大的關(guān)注;

第二，由于時(shí)間和精力所限，每期也只能重點(diǎn)分析和挖掘一、兩個(gè)事件。這已經(jīng)是不易的事情(以本期為例，雖然只是一個(gè)AST，但是需要參考的網(wǎng)頁(yè)/報(bào)告近20個(gè))。對(duì)于其他有趣兒的事兒，歡迎分享，我們可以一起討論，大家可以一起挖。最后，就是參考鏈接的問(wèn)題，已經(jīng)不止一個(gè)同學(xué)向我要鏈接。我只能說(shuō)每期的回顧不是寫論文，很多參考鏈接不便公開(kāi)發(fā)出來(lái)。如果真的需要，可以私下聯(lián)系。當(dāng)然，能不能訪問(wèn)，訪問(wèn)后會(huì)不會(huì)中木馬，那就完全是您自己的事情了。

(完)