上周FireEye發(fā)布了一份名叫“Operation Saffron Rose”(藏紅花玫瑰行動(dòng)?)的報(bào)告，稱一個(gè)名叫Ajax Security Team的黑客組織正在發(fā)起針對(duì)美國(guó)軍事工業(yè)的APT攻擊。本期回顧就聊聊這個(gè)重新浮出水面的伊朗黑客組織。

Operation Saffron Rose

Ajax Security Team(以下簡(jiǎn)稱AST)的一個(gè)代號(hào)是"Cair3x"，但是"Cair3x"到底是誰(shuí)未可知。在ICT(International Institute for Counter-Terrorism )2013年發(fā)布的“Cyber-Terrorism Activities Report”報(bào)告中稱，是"Cair3x"是一個(gè)人，真實(shí)的名字是Ali Ali Pur。分析認(rèn)為AST是一個(gè)組織性很強(qiáng)的團(tuán)體，和其他很多黑客組織類(lèi)似，更像公司化運(yùn)作。AST的另一個(gè)名字是Flying Kitten(飛貓)。

如果"Cair3x"是一個(gè)人，那么長(zhǎng)什么樣子?沒(méi)有答案。不過(guò)，CrowdStrike給出了一張照片，這張截圖來(lái)自一個(gè)ID為“keyvan ajaxtm ”在Facebook上的截圖：

筆者做了一點(diǎn)小搜索，發(fā)現(xiàn)AST幾年前(不晚于09年)就比較活躍。當(dāng)時(shí)AST主要是篡改一些伊朗國(guó)內(nèi)和以色列網(wǎng)站的主頁(yè)。下面是一個(gè)AST在2012年篡改以色列網(wǎng)站列表：

詭異的是AST在2013年底到2014年初突然銷(xiāo)聲匿跡。直到最近的重出水面，并演變成為專門(mén)針對(duì)大遼國(guó)軍工企業(yè)發(fā)起APT攻擊的組織。

AST發(fā)起的APT攻擊手段很大程度上依靠釣魚(yú)郵件發(fā)起魚(yú)叉式定向攻擊。如下：

這個(gè)來(lái)自“aeroconf2014[.]org”的邀請(qǐng)郵件就是用來(lái)釣魚(yú)的。如果接收郵件的人點(diǎn)擊郵件中的鏈接，就會(huì)訪問(wèn)一個(gè)偽造的頁(yè)面：

上面的頁(yè)面是偽造某國(guó)際組織的網(wǎng)站。網(wǎng)站會(huì)提醒你下載一個(gè)代理軟件。你下了就中招了。惡意軟件如何提權(quán)和控制主機(jī)請(qǐng)大家閱讀FireEye的報(bào)告，這里不再贅述。

談到這里，安全人員提出了一個(gè)十分有意思的、同時(shí)也是“情理之中”的發(fā)現(xiàn)：AST的攻擊行為和兩年前被披露的大宋朝某黑客組織的攻擊行為頗有類(lèi)似之處。專家發(fā)現(xiàn)AST在針對(duì)大遼國(guó)航空軍事工業(yè)機(jī)構(gòu)攻擊時(shí)，其釣魚(yú)并上傳提權(quán)木馬的魚(yú)叉式郵件攻擊的一個(gè)重要偽裝是打著Institute of Electrical and Electronics Engineers (IEEE) Aerospace Conference(IEEE航空大會(huì))的幌子——釣魚(yú)郵件的域名是“aeroconf2014[.]org”(上文已提到)。據(jù)稱宋朝某黑客組織也曾用過(guò)類(lèi)似的手段，當(dāng)時(shí)宋朝黑客采用的釣魚(yú)郵件域名是“aeroconf2013[.]org”。

說(shuō)到這里，需要簡(jiǎn)單闡述一下當(dāng)時(shí)所謂的宋朝黑客釣魚(yú)事件。該事件背后是大名鼎鼎的Sykipot，甚至有人干脆把該宋朝黑客組織稱為Sykipot。事實(shí)上，Sykipot是一個(gè)惡意軟件，通過(guò)釣魚(yú)郵件誘騙被攻擊者點(diǎn)擊鏈接，然后利用CVE-2011-0611、CVE-2012-1889等文件漏洞獲得對(duì)被攻擊者的系統(tǒng)權(quán)限，下載僵尸程序。這個(gè)僵尸程序通過(guò)SSL與遠(yuǎn)程的控制臺(tái)(C&C服務(wù)器)通信，獲得指令。Sykipot經(jīng)過(guò)不斷變種和發(fā)展，當(dāng)前已經(jīng)是第四代：

我不太明白宋朝黑客組織和AST到底有什么關(guān)系。好像看了很多文章也沒(méi)有說(shuō)兩者存在什么可能的聯(lián)系。FireEye報(bào)告里提到了宋朝黑客攻擊的演進(jìn)史。大概的結(jié)論就是，伊朗黑客組織和宋朝黑客組織有著相類(lèi)似的演進(jìn)過(guò)程。這真是一個(gè)很詭異的邏輯，就算類(lèi)似，又能說(shuō)明什么呢?我看，是已經(jīng)形成定式的思維使得每談到APT定向攻擊，必然拉上宋朝。

關(guān)于AST的故事暫時(shí)告一段落，不知道接下來(lái)AST會(huì)有什么驚人的舉動(dòng)。會(huì)成為下一個(gè)SEA或者QCF?或是再次銷(xiāo)聲匿跡?讓我們拭目以待吧。

由抗D系統(tǒng)發(fā)起的DDoS攻擊

Incapsula公司(美國(guó)一家知名云安全服務(wù)提供商)在上周稱，中國(guó)和加拿大的兩家抗DDoS服務(wù)商系統(tǒng)被黑客用來(lái)發(fā)起面向Incapsula用戶的DDoS攻擊。據(jù)Incapsula稱，來(lái)自中國(guó)和加拿大的兩家抗D服務(wù)商系統(tǒng)的DDoS攻擊是DNS Flood，請(qǐng)求流量達(dá)到25Mpps，總攻擊(DNS requests)達(dá)到630億次，攻擊持續(xù)7小時(shí)。

按照Incapsula的分析，攻擊者并沒(méi)有采用反射放大，直接打的DNS request。如此一來(lái)，應(yīng)該是發(fā)起攻擊的系統(tǒng)被控制了，然后發(fā)起的請(qǐng)求洪水。

和大家一樣，我很想知道這兩家抗D服務(wù)商到底是誰(shuí)?可是搜遍了，也沒(méi)找到答案。

其他

有的朋友通過(guò)某些渠道反饋并建議，每期回顧增加更多的事件，側(cè)重大家都關(guān)心的重大事件。

我的回答是：

第一，熱點(diǎn)事件大家可以通過(guò)各種渠道獲得相關(guān)資訊，這些熱點(diǎn)反而不是我最大的關(guān)注;

第二，由于時(shí)間和精力所限，每期也只能重點(diǎn)分析和挖掘一、兩個(gè)事件。這已經(jīng)是不易的事情(以本期為例，雖然只是一個(gè)AST，但是需要參考的網(wǎng)頁(yè)/報(bào)告近20個(gè))。對(duì)于其他有趣兒的事兒，歡迎分享，我們可以一起討論，大家可以一起挖。最后，就是參考鏈接的問(wèn)題，已經(jīng)不止一個(gè)同學(xué)向我要鏈接。我只能說(shuō)每期的回顧不是寫(xiě)論文，很多參考鏈接不便公開(kāi)發(fā)出來(lái)。如果真的需要，可以私下聯(lián)系。當(dāng)然，能不能訪問(wèn)，訪問(wèn)后會(huì)不會(huì)中木馬，那就完全是您自己的事情了。

(完)