血债黑站偿？美国斩首行动后伊朗民间报复性黑客活动的技术分析

伊拉克时间1月3日凌晨，其首都巴格达国际机场附近遭到三枚导弹袭击，两部车辆被烧毁，造成至少7人死亡。在袭击中，伊拉克人民动员组织领导人阿布·迈赫迪·穆罕迪斯与伊朗***革命卫队领导人卡西姆·苏莱马尼身亡。这场“暗杀”行动，就此引爆中东地区局势。
苏莱曼尼，伊朗革命卫队下属王牌部队圣城旅的最高指挥官，直接向伊朗最高领袖哈梅内伊负责，被称为中东谍王，多次在叙利亚、伊拉克等国境内策划针对美国的行动。
而伊朗方面近日也做出快速应对措施，宣布进入中止履行伊核协议的第五阶段即最后阶段，放弃伊核协议中的最后一项关键限制，即“对离心机数量的限制”。这意味着，伊朗的核计划将不再受到任何实际限制。
此外，最高领袖哈梅内伊已经下令为苏莱马尼进行为期三天的公众哀悼。
而5日伊朗国家电视台一台当日播出对已故将军苏莱曼尼的送葬过程。直播中，为这名死于美军空袭的将军致悼词的人称“我们伊朗有8000万人，如果我们每人拿出一美元，我们就会有8000万美元，那么我们就可以把这笔钱用来奖赏任何能给我们送上（特朗普的）头颅的人。”
可见，两国激化，难以调和。

而这场公众哀悼活动，在网络上同样进行中。
伊朗民间黑客组织，开始了他们的活动。
攻击美国政府网站
近日最出名的伊朗民间黑客组织的攻击，莫属将美国联邦存储图书馆(Federal Depository Library)项目运营的美国政府网站www.fdlp.gov挂上了黑页

除了最下方提及了这个黑客团伙名称为Spad Security Group外，其他信息均未出现。
而这张图片的制作者为takavar313.ir，同样为伊朗反美斗士，目前未知两者之间是否存在关系。

而奇安信威胁情报中心红雨滴团队在得知该网站被攻击后，为了对其攻击行为进行检测，防止其误伤攻击中国网站，因此进行了溯源分析。
首先，由于目前该页面只有两张图片，其中一张已经有已知作者，因此我们从另一张图片出发，发现图片EXIF信息中标注有在2015年11月20号18点42分使用Adobe Photoshop CS6软件在windows系统上制作而成。

通过对图片信息进行搜查发现，该图曾经出现在另一个被伊朗黑客攻击的网站，攻击者名为Iran-Cyber，因此判断，该黑客团伙也许在2015年就已经开始活跃。

而实际上，美国联邦存储图书馆的网站不是第一次被攻击了。

“强”如美国，政府网站同样会被反复入侵。
分析发现，该网站一直沿用RSForm框架，历史记录查看发现还用着1.4 r48版本。
而此前实际上RSForm 1.5版本就存在SQL注入漏洞和数据库开放漏洞了。

广撒网式攻击
除了上面这种专门针对美国政府网站进行攻击的行为之外，还有一个名为SHIELD IRAN的黑客团伙开始随机攻击任意网站，并挂上具有少将头像的黑页，我们在得知塞拉利昂商业银行（slcb.com）被攻击后，通过谷歌缓存发现


基于该特征，我们发现了大量同一时期被伊朗黑客攻击的网站，但其中没有一个是属于美国网站。
其中还有属于我国台湾省的网站遭受攻击，因此我国其他省份的网站同样需要境界，防止误伤。

此外，他们挂上一个黑页，都会把自己的ID写在上面。同时还有一首歌一直在播放。也许是战歌。
http://www.asanlearn.com/dll/iranhackerz.mp3


经过分析发现，该黑客团伙在几年前已经非常活跃了，从人员分布来看，规模不小。

[1] [2]  下一页