電影指環(huán)王中，失去肉身的魔王索倫幻化成了一只魔眼，與魔戒相通，擁有著可以毀滅一切的力量。

2015年9月，卡巴斯基實驗室在其反針對性攻擊平臺標(biāo)記出了某個政府客戶網(wǎng)絡(luò)中的異常流量特征，經(jīng)過分析后發(fā)現(xiàn)，有一個可疑的執(zhí)行文件正在加載主機服務(wù)器中的內(nèi)存。這個執(zhí)行文件像是Windows密碼過濾器一樣，可以獲得所有明文管理密碼在內(nèi)的所有敏感數(shù)據(jù)。

2016年8月中旬，賽門鐵克和卡巴斯基實驗室相繼發(fā)布報告稱，追蹤到一個名為索倫之眼的網(wǎng)絡(luò)間諜平臺。經(jīng)過對比分析，360的追日團隊也確認(rèn)，與其獨立截獲的境外APT組織APT-C-16為同一組織。該組織專門針對俄羅斯、中國、比利時、伊朗、瑞典等國家發(fā)動高級持續(xù)性攻擊，即APT。

截止報告發(fā)出前，360威脅情報中心共發(fā)現(xiàn)國內(nèi)有數(shù)十個被影響的單位機構(gòu)，涉及多個行業(yè)，其中科研教育、軍事和基礎(chǔ)設(shè)施領(lǐng)域，水利、海洋等行業(yè)最多。

據(jù)卡巴斯基實驗室介紹，這個黑客組織自2010年起就開始活動，原名為“行客”（Strider）。之所以把他們命名為索倫之眼（ProjectSauron）是因在分析追蹤的文件時，發(fā)現(xiàn)代碼中帶有Sauron字符。進(jìn)一步分析后發(fā)現(xiàn)，索倫之眼并不僅僅是一個黑客組織，而是一個擁有精密技術(shù)的頂級間諜模型平臺。

索倫之眼的主要攻擊任務(wù)就是獲取加密的通訊信息。攻擊者使用一種整合了大量不同工具和技術(shù)的高級模塊化的網(wǎng)絡(luò)間諜平臺，并可以讓長期從事間諜活動的黑客隨心所欲的利用上面的工具。平臺上使用的攻擊策略主要有以下特點：

在進(jìn)攻時針對每個特定的目標(biāo)定制植入程序和基礎(chǔ)設(shè)施；

從不循環(huán)使用攻擊工具；

通常都是對目標(biāo)網(wǎng)絡(luò)進(jìn)行秘密和長期的間諜行動。

從卡巴斯基實驗室的報告中，可以發(fā)現(xiàn)索倫之眼行動所使用的攻擊工具和技巧如下：

獨特的數(shù)字足跡：核心植入程序具有不同的文件名和體積，并且針對每個目標(biāo)特別定制——這使得其很難被檢測，因為某個目標(biāo)感染痕跡對其他目標(biāo)來說幾乎沒有任何價值。

運行于內(nèi)存中：核心植入程序會利用合法軟件的升級腳本，以后門程序的形式在內(nèi)存中運行，接收攻擊者的指令，下載最新模塊或執(zhí)行命令。

偏好加密通訊：索倫之眼會積極搜索非常罕見的定制網(wǎng)絡(luò)加密軟件的相關(guān)信息。這種服務(wù)器端/客戶端軟件被很多目標(biāo)企業(yè)廣泛用于安全通訊、語言通訊、電子郵件傳輸和文檔交換。攻擊者對于加密軟件組件、密匙和配置文件頗感興趣，此外還會收集在節(jié)點之間中繼加密信息的服務(wù)器的地理位置。

基于腳本的靈活性：索倫之眼部署了一系列由高水準(zhǔn)LUA腳本精心編排的低水準(zhǔn)工具。在惡意軟件中使用LUA組件，這種組件非常罕見，之前僅在Flame和Animal Farm攻擊中出現(xiàn)過。

繞過隔離網(wǎng)閘：索倫之眼使用特別定制的優(yōu)盤繞過隔離網(wǎng)閘。這些優(yōu)盤包含隱藏空間，用戶保存和隱藏竊取到的數(shù)據(jù)。

多種數(shù)據(jù)竊取機制：索倫之眼部署了多個竊取數(shù)據(jù)的途徑，包括合法渠道如電子郵件和DNS，將從受害者竊取到的信息偽裝成日常通訊流量。

索倫之眼幕后的黑客團伙都是經(jīng)驗豐富的傳統(tǒng)攻擊者，并且曾花費過大量精力學(xué)習(xí)其他頂級黑客組織的攻擊技術(shù)，包括震網(wǎng)病毒的姊妹病毒（Duqu）、火焰病毒（Flame）、方程式組織（Equation）和高級間諜軟件Regin。這些黑客團伙在吸收了這些攻擊中最具創(chuàng)新的技術(shù)的同時，也吸取其被發(fā)現(xiàn)的教訓(xùn)，不斷改善攻擊策略，有意刪除容易被監(jiān)測的組件，確保其不易被發(fā)現(xiàn)。

卡巴斯基實驗室的安全專家介紹說，通常這種APT攻擊都具有十分明確的攻擊目的，即針對一個特定區(qū)域或某個特定的行業(yè)提取信息，在進(jìn)行攻擊時，通常會導(dǎo)致一個區(qū)域內(nèi)的幾個國家被感染，或是同行業(yè)的企業(yè)被感染。但索倫之眼似乎只是針對一些特定的國家進(jìn)行攻擊活動，并專注于收集這幾個國家中任何企業(yè)、政府部門或個人的有重要價值的情報。

截止至報告發(fā)出前，卡巴斯基實驗室共發(fā)現(xiàn)了30多個已經(jīng)被這個惡意軟件感染的網(wǎng)站，其中包括一家中國航空公司、比利時的一處大使館以及瑞典一家企業(yè)。根據(jù)卡巴斯基實驗室的分析，受攻擊組織通常在提供政府服務(wù)中扮演重要角色，這些組織包括：

除了這些政府機構(gòu)與企業(yè)，他們還在公用網(wǎng)絡(luò)中各種開后門，針對個人進(jìn)行鍵盤監(jiān)聽、竊取用戶憑證或密碼等個人隱私信息。

經(jīng)過取證分析后，卡巴斯基實驗室得出結(jié)論：

這種攻擊行動的成本、復(fù)雜性、持續(xù)性以及以竊取同政府有關(guān)的敏感和機密信息為最終目標(biāo)等特征都表明，索倫之眼得到了政府的支持，或者政府有所參與。

卡巴斯基實驗室首席安全研究員 Vitaly Kamluk說，現(xiàn)在有很多依靠低成本現(xiàn)成工具的針對性攻擊，而索倫之眼則不同，這種攻擊行動主要依靠自制的受信任的工具以及定制的腳本代碼。且只使用控制服務(wù)器、加密密匙等獨特的指標(biāo)，或借鑒其他威脅組織的領(lǐng)先技術(shù)。這種攻擊手法很新穎。 

Vitaly Kamluk表示，要抵御這種威脅的唯一手段，就是部署多層級的安全防護，通過大量的傳感器監(jiān)測組織流程中出現(xiàn)的一場，同時借助于威脅情報服務(wù)和取證分析查找固定的攻擊模式，盡管這種攻擊不會留下明顯的攻擊模式特征。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。