【APT组织情报】索伦之眼-FancyPig's blog

团伙概况

团伙名称	索伦之眼
攻击者类型	国家背景组织
技术能力	高
负责国家/地区	美国
最早活动时间	2010-01-01
影响行业	科研教育、军事和基础设施领域，水利、海洋
别名	Strider,Sauron,APT-C-16,ProjectSauron,索伦之眼
攻击方式	复杂
攻击频率	未知
影响国家/地区	俄罗斯、中国、瑞典、比利时、伊朗和卢旺达
最近活动时间	2016-08-18
常用语言	英语

团伙描述

Strider由赛门铁克在2016年8月中的报告命名，该组织一直针对俄罗斯，中国，瑞典和比利时。使用Remsec的恶意软件进行攻击，并使用了lua语言编写的模块。至少中2011年10月开始活跃。 2015年9月，卡巴斯基实验室监测到来自政府的异常流量，最后归因到索伦之眼。

技战法

使用了强加密算法，如RC6、RC5、RC4、AES、Salsa20等。 ProjectSauron使用一个修改过的luascript引擎来实现核心平台及其插件。有超过50种不同的插件类型。

1.高度模块化的定制平台

2.无文件实体技术

3.定制化的 LUA 引擎

4.针对目标环境定制的内网横向移动

5.隔离网络数据窃取

6.高强度加密的通讯方式

历史报告

发现时间	报告名称	发布厂商
2016-08-18	走近科学：“索伦之眼”深入追踪	FreeBuf
2016-08-11	360追日团队披露索伦之眼针对中国的攻击	360集团
2016-08-08	ProjectSauron: top level cyber-espionage platform covertly extracts encrypted government comms	Kaspersky
2016-08-07	Strider: Cyberespionage group turns eye of Sauron on targets	Symantec

情报信息

文件hash情报

文件类型	文件哈希值
MD5	0886ace08961e71e5a572698307efdee
MD5	0a0948d871ef5a3006c0ab2997ad330e
MD5	113050c3e3140bf631d186d78d4b1dc0
MD5	171f39bd2f79963b5ec2b588b42da034
MD5	1f316e14e773ca0f468d0d160b5d0307
MD5	234e22d3b7bba6c0891de0a19b79d7ea
MD5	44879e5240fbe41c909c59abdcc678bc
MD5	546a2ebb0100ebff6c150fae49b87187
MD5	58e770a9630e13129b4187cfcada76d0
MD5	65823a7f4c545cc64d7d478dd6866381
MD5	7001a747eed1b2da1c863b75500241f7
MD5	7c3eecfb5174ca5cb1e03b8bf4b06f19
MD5	beb2cc1694d89354a062b04b27811099
MD5	bf208df25db6ef67639765b2f0fc2c8c
MD5	58952e4ff65393aca5d839200a4958e5
MD5	591db4412185b4d28e20d6a8f9e95314
MD5	674facdab7138a5b5d9b0ff9bf199b04
MD5	919e73b0bf091a4c7f41a4f9156f666e
MD5	a7a5c1f0ad07a9452f27ca617a23e690
MD5	027dbd573f1978e96503a06419253aa5
MD5	039c09efafcf32b86e4e18340b3e978e
MD5	06525bd2c1cb88351d3333d5e6442ede
MD5	06c4a9f9f14aa2cf94dbe991f895da7c
MD5	06f448db3fae57a78b43cbccc5b7d820
MD5	7b28249954908b24b0cc31c90f35270
MD5	095db44cd70662f592a8f454cb52fbdd
MD5	9d708d9e5cfbae3a3bec9eeb3a9af6e
MD5	ae8a852b37bc177ac7efbbb80016c6f
MD5	0c4093c80235da682e0a249eda98787c
MD5	d373b54be87e23799b42adbac6bfa2f
MD5	0d38fdbb226c9d372a7ce6e8e1df6477
MD5	0e6ee149aea08588425fcec424d0dd82
MD5	0eaa940c94acd48840582006f19f7cb3
MD5	1f6a03026758e2f084a1c7806d702aa
MD5	128f5256232b50dd9947dcfde19f2b6c
MD5	12ba37106ac89ca47b529e3a3960c57e
MD5	133ad8f7c87eee350c777e3d6281ce02
MD5	01ac1cd4064b44cdfa24bf4eb40290e7
MD5	0209541dead744715e359b6c6cb069a2
MD5	0c12e834187203fbb87d0286de903dab
MD5	0c4a971e028dc2ae91789e08b424a265
MD5	1511f3c455128042f1f6db0c3d13f1ab
MD5	17deb723a16856e72dd5c1ba0dae0cc7
MD5	181c84e45abf1b03af0322f571848c2d
MD5	1d9d7d05ab7c68bdc257afb1c086fb88
MD5	1f6ba85c62d30a69208fe9fb69d601fa
MD5	1f7ddb6752461615ebf0d76bdcc6ab1a
MD5	2054d07ae841fcff6158c7ccf5f14bf2
MD5	227ea8f8281b75c5cd5f10370997d801
MD5	2382a79f9764389acfb4cb4692aa044d
MD5	2a8785bf45f4f03c10cd929bb0685c2d
MD5	2e460fd574e4e4cce518f9bc8fc25547
MD5	2f49544325e80437b709c3f10e01cb2d
MD5	2f704cb6c080024624fc3267f9fdf30e
MD5	34284b62456995ca0001bc3ba6709a8a
MD5	40f751f2b22208433a1a363550c73c6b
MD5	44c2fa487a1c01f7839b4898cc54495e
MD5	46a676ab7f179e511e30dd2dc41bd388
MD5	4728a97e720c564f6e76d0e22c76bae5
MD5	501fe625d15b91899cc9f29fdfc19c40
MD5	5373c62d99aff7135a26b2d38870d277
MD5	57c48b6f6cf410002503a670f1337a4b
MD5	5d41719eb355fdf06277140da14af03e
MD5	5ddd5294655e9eb3b9b2071dc2e503b1
MD5	6296851190e685498955a5b37d277582
MD5	63780a1690b922045625ead794696482
MD5	6b114168fb117bd870c28c5557f60efe
MD5	6ca97b89af29d7eff94a3a60fa7efe0a
MD5	6cd8311d11dc973e970237e10ed04ad7
MD5	71eb97ff9bf70ea8bb1157d54608f8bb
MD5	7261230a43a40bb29227a169c2c8e1be
MD5	72b03abb87f25e4d5a5c0e31877a3077
MD5	76db7e3af9be2dfaa491ec1142599075
MD5	7b6fdbd3839642d6ad7786182765d897
MD5	7b8a3bf6fd266593db96eddaa3fae6f9
MD5	814ca3a31122d821cd1e582abf958e8f
MD5	85ea0d79ff015d0b1e09256a880a13ce
MD5	8d02e1eb86b7d1280446628f039c1964
MD5	914c669dbaaa27041a0be44f88d9a6bd
MD5	91bb599cbba4fb1f72e30c09823e35f7
MD5	93c9c50ac339219ee442ec53d31c11a2
MD5	951ebe1ee17f61cd2398d8bc0e00b099
MD5	9f81f59bc58452127884ce513865ed20
MD5	a277f018c2bb7c0051e15a00e214bbf2
MD5	a5588746a057f4b990e215b415d2d441
MD5	ac8072dfda27f9ea068dcad5712dd893
MD5	b6273b3d45f48e9531a65d0f44dfee13
MD5	b6fe14091359399c4ea572ebf645d2c5
MD5	b98227f8116133dc8060f2ada986631c
MD5	bb6aec0cf17839a6bedfb9ddb05a0a6f
MD5	c074710482023cd73da9f83438c3839f
MD5	c0dfb68a5de80b3434b04b38a61dbb61
MD5	c3f8f39009c583e2ea0abe2710316d2a
MD5	c58a90accc1200a7f1e98f7f7aa1b1ae
MD5	c8c30989a25c0b2918a5bb9fd6025a7a
MD5	ca05d537b46d87ea700860573dd8a093
MD5	cf6c049bd7cd9e04cc365b73f3f6098e
MD5	d2065603ea3538d17b6ce276f64aa7a2
MD5	e710f28d59aa529d6792ca6ff0ca1b34
MD5	eb8d5f44924b4df2ce4a70305dc4bd59
MD5	edb9e045b8dc7bb0b549bdf28e55f3b5
MD5	f01dc49fce3a2ff22b18457b1bf098f8
MD5	f0e0cbf1498dbf9b8321d11d21c49811
MD5	f3b9c454b799e2fe6f09b6170c81ff5c
MD5	f59813ac7e30a1b0630621e865e3538c
MD5	f7434b5c52426041cc87aa7045f04ec7
MD5	f936b1c068749fe37ed4a92c9b4cfab6
MD5	fc77b80755f7189dee1bd74760e62a72
MD5	fca102a0b39e2e3eddd0fe0a42807417
MD5	fcd1a80575f503a5c4c05d4489d78ff9

域名/IP情报

类型	IOC列表
域名	www.myhomemusic.com
域名	flowershop22.110mb.com
域名	wildhorses.awardspace.info
域名	360.officemice.com
域名	ads.authorizeddns.org
域名	appdate.elementfx.com
域名	bikessport.com
域名	banners.tgkvt.info
域名	cache.mynetav.org
域名	cn.appsoo.net
域名	galaxy.yellowbowl.fr
域名	tinycodesnippets.serveblog.net
域名	update8080.servehxxp.com
域名	up.360digit.com
域名	video.online-rockstar.com
域名	updates.qvt.me
域名	wildhorses.awardspace.info
域名	j.bikessport.com
域名	csrv.rapidcomments.com
域名	ww1.rapidcomments.com
域名	00000h.omagsadoabtaa1yaeaahmabraaxaam.a.bikessport.com
域名	flowershop22.110mb.com
域名	rapidcomments.com
域名	www.rapidcomments.com
域名	www.bikessport.com
域名	www.myhomemusic.com
域名	00004h.abqqa3aaneag4adoaaxaacqabiaeqa.a.bikessport.com
域名	csrv01.rapidcomments.com
域名	a.bikessport.com
域名	agc9221.bikessport.com
域名	bikessport.com
域名	dievinothek.net
域名	chirotherapie.at
域名	mbit-web.com
域名	weingut-haider-malloth.at
域名	mail.mbit-web.com

相关声明 1 微信公众号：猪猪安全
2 本站永久网址：https://www.iculture.cc
3 本文内容仅为技术科普，请勿用于非法用途
4 本文内容未隐讳任何个人、群体、公司。非文学作品，请勿用于阅读理解的练习
5 根据《计算机软件保护条例》第十七条，本站所有软件请仅用于学习研究用途
6 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责

THE END