電影指環(huán)王中，失去肉身的魔王索倫幻化成了一只魔眼，與魔戒相通，擁有著可以毀滅一切的力量。

2015年9月，卡巴斯基實(shí)驗(yàn)室在其反針對(duì)性攻擊平臺(tái)標(biāo)記出了某個(gè)政府客戶網(wǎng)絡(luò)中的異常流量特征，經(jīng)過(guò)分析后發(fā)現(xiàn)，有一個(gè)可疑的執(zhí)行文件正在加載主機(jī)服務(wù)器中的內(nèi)存。這個(gè)執(zhí)行文件像是Windows密碼過(guò)濾器一樣，可以獲得所有明文管理密碼在內(nèi)的所有敏感數(shù)據(jù)。

2016年8月中旬，賽門(mén)鐵克和卡巴斯基實(shí)驗(yàn)室相繼發(fā)布報(bào)告稱(chēng)，追蹤到一個(gè)名為索倫之眼的網(wǎng)絡(luò)間諜平臺(tái)。經(jīng)過(guò)對(duì)比分析，360的追日?qǐng)F(tuán)隊(duì)也確認(rèn)，與其獨(dú)立截獲的境外APT組織APT-C-16為同一組織。該組織專(zhuān)門(mén)針對(duì)俄羅斯、中國(guó)、比利時(shí)、伊朗、瑞典等國(guó)家發(fā)動(dòng)高級(jí)持續(xù)性攻擊，即APT。

截止報(bào)告發(fā)出前，360威脅情報(bào)中心共發(fā)現(xiàn)國(guó)內(nèi)有數(shù)十個(gè)被影響的單位機(jī)構(gòu)，涉及多個(gè)行業(yè)，其中科研教育、軍事和基礎(chǔ)設(shè)施領(lǐng)域，水利、海洋等行業(yè)最多。

據(jù)卡巴斯基實(shí)驗(yàn)室介紹，這個(gè)黑客組織自2010年起就開(kāi)始活動(dòng)，原名為“行客”（Strider）。之所以把他們命名為索倫之眼（ProjectSauron）是因在分析追蹤的文件時(shí)，發(fā)現(xiàn)代碼中帶有Sauron字符。進(jìn)一步分析后發(fā)現(xiàn)，索倫之眼并不僅僅是一個(gè)黑客組織，而是一個(gè)擁有精密技術(shù)的頂級(jí)間諜模型平臺(tái)。

索倫之眼的主要攻擊任務(wù)就是獲取加密的通訊信息。攻擊者使用一種整合了大量不同工具和技術(shù)的高級(jí)模塊化的網(wǎng)絡(luò)間諜平臺(tái)，并可以讓長(zhǎng)期從事間諜活動(dòng)的黑客隨心所欲的利用上面的工具。平臺(tái)上使用的攻擊策略主要有以下特點(diǎn)：

在進(jìn)攻時(shí)針對(duì)每個(gè)特定的目標(biāo)定制植入程序和基礎(chǔ)設(shè)施；

從不循環(huán)使用攻擊工具；

通常都是對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行秘密和長(zhǎng)期的間諜行動(dòng)。

從卡巴斯基實(shí)驗(yàn)室的報(bào)告中，可以發(fā)現(xiàn)索倫之眼行動(dòng)所使用的攻擊工具和技巧如下：

獨(dú)特的數(shù)字足跡：核心植入程序具有不同的文件名和體積，并且針對(duì)每個(gè)目標(biāo)特別定制——這使得其很難被檢測(cè)，因?yàn)槟硞€(gè)目標(biāo)感染痕跡對(duì)其他目標(biāo)來(lái)說(shuō)幾乎沒(méi)有任何價(jià)值。

運(yùn)行于內(nèi)存中：核心植入程序會(huì)利用合法軟件的升級(jí)腳本，以后門(mén)程序的形式在內(nèi)存中運(yùn)行，接收攻擊者的指令，下載最新模塊或執(zhí)行命令。

偏好加密通訊：索倫之眼會(huì)積極搜索非常罕見(jiàn)的定制網(wǎng)絡(luò)加密軟件的相關(guān)信息。這種服務(wù)器端/客戶端軟件被很多目標(biāo)企業(yè)廣泛用于安全通訊、語(yǔ)言通訊、電子郵件傳輸和文檔交換。攻擊者對(duì)于加密軟件組件、密匙和配置文件頗感興趣，此外還會(huì)收集在節(jié)點(diǎn)之間中繼加密信息的服務(wù)器的地理位置。

基于腳本的靈活性：索倫之眼部署了一系列由高水準(zhǔn)LUA腳本精心編排的低水準(zhǔn)工具。在惡意軟件中使用LUA組件，這種組件非常罕見(jiàn)，之前僅在Flame和Animal Farm攻擊中出現(xiàn)過(guò)。

繞過(guò)隔離網(wǎng)閘：索倫之眼使用特別定制的優(yōu)盤(pán)繞過(guò)隔離網(wǎng)閘。這些優(yōu)盤(pán)包含隱藏空間，用戶保存和隱藏竊取到的數(shù)據(jù)。

多種數(shù)據(jù)竊取機(jī)制：索倫之眼部署了多個(gè)竊取數(shù)據(jù)的途徑，包括合法渠道如電子郵件和DNS，將從受害者竊取到的信息偽裝成日常通訊流量。

索倫之眼幕后的黑客團(tuán)伙都是經(jīng)驗(yàn)豐富的傳統(tǒng)攻擊者，并且曾花費(fèi)過(guò)大量精力學(xué)習(xí)其他頂級(jí)黑客組織的攻擊技術(shù)，包括震網(wǎng)病毒的姊妹病毒（Duqu）、火焰病毒（Flame）、方程式組織（Equation）和高級(jí)間諜軟件Regin。這些黑客團(tuán)伙在吸收了這些攻擊中最具創(chuàng)新的技術(shù)的同時(shí)，也吸取其被發(fā)現(xiàn)的教訓(xùn)，不斷改善攻擊策略，有意刪除容易被監(jiān)測(cè)的組件，確保其不易被發(fā)現(xiàn)。

卡巴斯基實(shí)驗(yàn)室的安全專(zhuān)家介紹說(shuō)，通常這種APT攻擊都具有十分明確的攻擊目的，即針對(duì)一個(gè)特定區(qū)域或某個(gè)特定的行業(yè)提取信息，在進(jìn)行攻擊時(shí)，通常會(huì)導(dǎo)致一個(gè)區(qū)域內(nèi)的幾個(gè)國(guó)家被感染，或是同行業(yè)的企業(yè)被感染。但索倫之眼似乎只是針對(duì)一些特定的國(guó)家進(jìn)行攻擊活動(dòng)，并專(zhuān)注于收集這幾個(gè)國(guó)家中任何企業(yè)、政府部門(mén)或個(gè)人的有重要價(jià)值的情報(bào)。

截止至報(bào)告發(fā)出前，卡巴斯基實(shí)驗(yàn)室共發(fā)現(xiàn)了30多個(gè)已經(jīng)被這個(gè)惡意軟件感染的網(wǎng)站，其中包括一家中國(guó)航空公司、比利時(shí)的一處大使館以及瑞典一家企業(yè)。根據(jù)卡巴斯基實(shí)驗(yàn)室的分析，受攻擊組織通常在提供政府服務(wù)中扮演重要角色，這些組織包括：

除了這些政府機(jī)構(gòu)與企業(yè)，他們還在公用網(wǎng)絡(luò)中各種開(kāi)后門(mén)，針對(duì)個(gè)人進(jìn)行鍵盤(pán)監(jiān)聽(tīng)、竊取用戶憑證或密碼等個(gè)人隱私信息。

經(jīng)過(guò)取證分析后，卡巴斯基實(shí)驗(yàn)室得出結(jié)論：

這種攻擊行動(dòng)的成本、復(fù)雜性、持續(xù)性以及以竊取同政府有關(guān)的敏感和機(jī)密信息為最終目標(biāo)等特征都表明，索倫之眼得到了政府的支持，或者政府有所參與。

卡巴斯基實(shí)驗(yàn)室首席安全研究員 Vitaly Kamluk說(shuō)，現(xiàn)在有很多依靠低成本現(xiàn)成工具的針對(duì)性攻擊，而索倫之眼則不同，這種攻擊行動(dòng)主要依靠自制的受信任的工具以及定制的腳本代碼。且只使用控制服務(wù)器、加密密匙等獨(dú)特的指標(biāo)，或借鑒其他威脅組織的領(lǐng)先技術(shù)。這種攻擊手法很新穎。 

Vitaly Kamluk表示，要抵御這種威脅的唯一手段，就是部署多層級(jí)的安全防護(hù)，通過(guò)大量的傳感器監(jiān)測(cè)組織流程中出現(xiàn)的一場(chǎng)，同時(shí)借助于威脅情報(bào)服務(wù)和取證分析查找固定的攻擊模式，盡管這種攻擊不會(huì)留下明顯的攻擊模式特征。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。