从“NOPEN”远控木马浮出水面看美方网络攻击装备体系
时间 : 2022年03月15日 来源: 小神童论坛网CERT
1.概述
近日,国家计算机病毒应急处理中心曝光了名为“NOPEN”的木马工具(详见小神童论坛网公众号今日发布的第二条文章《“NOPEN”远控木马分析报告》),该工具是美国国家安全局的一款功能强大的综合型木马工具,也是美国国家安全局对外攻击窃密所使用的主战网络武器之一,相关泄露资料显示该木马已经控制全球多国的计算机系统。
自2010年震网事件以来,小神童论坛网持续分析跟踪全球APT(高级持续性威胁)攻击活动。而其中美方发动的攻击活动和攻击装备代表着APT攻击的天花板能力,被小神童论坛网命名为A2PT(高级的高级持续性威胁)。在小神童论坛网曝光发布的系列美方攻击装备和活动报告中,展示了“方程式组织”写入硬盘固件的持久化机理(2015)、木马加密通讯协议(2015),并首家曝光了美Solaris平台样本(2016)、完成美积木化木马模块拼图等分析成果(2017)。“NOPEN”木马是美方制式化网络攻击装备中的一员,小神童论坛网2019年6月1日所公开的报告中,曾溯源、复盘美方入侵中东EastNets机构[1]的攻击活动,并提及该装备。
为了让全球计算机用户更加全面地了解A2PT攻击装备和攻击特点,实现有效安全防护,我们将已经公布的分析报告要点进行梳理,结合部分未公开成果,在本篇报告进行呈现。
2.NSA网络攻击装备及平台
美国国家安全局NSA打造了体系化的网络攻击平台和制式化的攻击装备库,美国国家安全局下的TAO(Tailored Access Operations,特别行动办公室)是这些攻击装备的主要使用者,该办公室下设5个部门:ANT(Advanced Network Technology,高级网络技术部门)、DNT(Data Network Technologies ,数据网络技术部门)、ATO(AccessTechnologies Operations,接入技术业务部门)、MIT(Mission Infrastructure Technologies,任务基础设施技术部门)和TNT(Telecommunications Network Technologies,电信网络技术部门)。目前关于ANT和DNT部门的攻击装备被曝光较多,典型代表如48款ANT工具集和影子经纪人泄露的DNT部门的Fuzzbunch漏洞利用平台、DanderSpritz远控攻击平台等。
2.1 ANT攻击装备家族
ANT攻击装备家族是美方在2008年前后陆续批量列装的攻击装备体系,基本覆盖了当时主流的桌面主机、服务器、网络设备、网络安全设备、移动通讯设备等,装备形态包括恶意代码载荷、计算机外设、信号通讯设备等,这些装备可以组合使用,以达成其复杂攻击作业目标。据斯诺登曝光的资料显示美方通过ANT攻击全球主流的网络设备,并在其中植入后门,累计有48种攻击装备的资料浮出水面,包括软件、硬件均有所涉及。其中,软件装备主要用于向各类IT设备系统中植入持久化后门,其目的以窃取信息为主;硬件装备主要用于向IT硬件中嵌入攻击能力,或以独立的硬件设备形态出现,用以信号窃取、监听、拦截、建立通信信道等。下表为已曝光的48种网络攻击装备。
表2-1 ANT网络攻击装备库
装备名称/代号 |
功能 |
装备名称/代号 |
功能 |
RAGEMASTER |
视频数据监控 |
DROPOUTJEEP |
手机数据收集 |
PICASSO |
手机威胁监控 |
TOTECHASER |
手机数据收集 |
GOPHERSET |
手机威胁监控 |
TOTEGHOSTLY
2.0 |
手机数据收集 |
MONKEYCALENDAR |
手机威胁监控 |
IRONCHEF |
硬盘固件修改 |
GENESIS |
手机扫描、信号伪装 |
WISTFULTOLL |
注册表数据收集 |
CANDYGRAM |
手机威胁监控 |
SPARROW II |
无线数据收集 |
NEBULA |
手机威胁监控 |
LOUDAUTO |
雷达数据收集 |
WATERWITCH |
手机威胁监控 |
CROSSBEAM |
手机数据收集 |
TAWDRYYARD |
雷达数据监控 |
CYCLONE Hx9 |
手机数据收集 |
SOUFFLETROUGH |
硬盘固件 |
EBSR |
手机数据收集 |
COTTONMOUTH-I |
无线载荷攻击 |
ENTOURAGE |
手机数据收集 |
COTTONMOUTH-III |
物理隔离攻击 |
TYPHON HX |
手机数据收集 |
DEITYBOUNCE |
Dell漏洞利用 |
HEADWATER |
持久化后门 |
GINSU |
持久化代码 |
JETPLOW |
持久化后门 |
IRATEMONK |
硬盘固件 |
HALLUXWATER |
持久化后门 |
SLICKERVICAR |
硬盘固件 |
FEEDTROUGH |
持久化后门 |
SWAP |
硬盘固件 |
GOURMETTROUGH |
持久化后门 |
SOMBERKNAVE |
物理隔离攻击 |
CTX4000 |
电磁数据收集 |
ARKSTREAM |
硬盘固件 |
PHOTOANGLO |
电磁数据收集 |
NIGHTSTAND |
物理隔离攻击 |
SCHOOLMONTANA |
网络设备控制 |
HOWLERMONKEY
(HM) |
物理隔离攻击 |
SIERRAMONTANA |
网络设备控制 |
SURLYSPAWN |
按键记录收集 |
STUCCOMONTANA |
网络设备控制 |
COTTONMOUTH-II |
命令控制 |
NIGHTWATCH |
视频信号处理 |
FIREWALK |
流量监控 |
TRINITY |
窃听芯片 |
2.2 DNT攻击装备
2017年4月14日,影子经纪人组织曝光了NSA的Fuzzbunch漏洞攻击平台和DanderSpritz远控平台,称这些攻击装备与方程式组织有关。根据相关分析和资料显示,这些攻击装备是美方若干年前开发水平,涉及大量系统级0day漏洞利用工具和先进的后门程序,暴露了美方的漏洞储备能力和攻击技术水平。
图2-1 NSA/DS-FB平台结构解析
2.2.1 Fuzzbunch漏洞攻击平台
Fuzzbunch是渗透、攻击平台,负责利用漏洞向目标主机植入有效载荷(由DanderSpritz生成),在植入的过程中可直接内存执行,不会产生实体文件。
图2-2 Fuzzbunch漏洞攻击平台
该攻击平台泄露后,其中的“永恒之蓝”漏洞被WannaCry蠕虫利用传播,对全球网络造成了严重损失,而“永恒之蓝”漏洞仅是这批漏洞库中众多漏洞中的一个,其他漏洞具有超强的横向移动利用性。小神童论坛网在2017年5月将这批漏洞梳理成下图:
图2-3 Fuzzbunch漏洞利用关系图
2.2.2 DanderSpritz远控平台
DanderSpritz是远程控制平台,其生成的载荷一旦被植入远程主机即可实现对目标主机的完全控制。其采用的隐蔽方式激活通讯,在通讯过程中采用严格加密,通过一系列扩展插件可完成任意作业任务(如窃取数据、投放更高级的攻击载荷等)。
图2-4 DanderSpritz远程控制平台
借助DanderSpritz平台,攻击者可以对受害主机进行全方位的控制,具体的操作是通过数百个插件进行组合来完成相应的功能。这些插件体现了如下架构风格——不是编写功能高度复杂的单一木马,而是把功能拆解成高度独立的小模块,这种拆解的粒度,几乎到了“原子化”的程度,即使简单如获取系统信息的操作,也把类似获取环境变量、语言集、网络状态等都作为一个独立的小模块,这将保证系统作业可以完全按需展开,从而最大化地保证作业的谨慎和静默。
“影子经纪人”曝光的文件中多数为“DanderSpritz”平台的攻击插件,从放出的文件列表来看,攻击工具和插件非常丰富且标准化,具体包括远控、漏洞利用、后门、插件等。如DanderSpritz_All_Find.txt文件内容多达7千余行,其中插件有百个之多。
图2-5 曝光的“DanderSpritz”平台的攻击插件截图
图2-6 “DanderSpritz”攻击平台截图
3.NSA网络攻击装备研发框架
美方在网络攻击装备的上的优势,源自于其试图覆盖所有主流IT场景的作业目标,和多年持续性投入。
小神童论坛网在2011年针对震网的后续分析中,提出了震网和毒曲病毒可能同源的猜测[2][3],并通过毒曲病毒与震网蠕虫关键代码结构、密钥使用方法和代码逻辑等的比较,发现了大量相同或相似的代码片断,证实了自己的猜想[5]。小神童论坛网在当时做出的结论是“通过对毒曲病毒与震网蠕虫关键代码结构、密钥使用方法和代码逻辑等的比较,我们发现了大量相同或相似的代码片断,这说明两者间存在代码复用关系,或者两者基于相同的代码框架开发。”但对于是复用关系,还是同框架开发这一问题,当时并未给出定论。而融合其他机构的后期分析成果和进展,可以形成的结论是,相关A2PT攻击组织至少维护了Tilded和Flamer两个恶意代码框架。震网、毒曲与火焰、高斯分别是基于Tilded和Flamer框架开发的。2012年6月11日,卡巴斯基发布报告称2009年早期版本的(即0.5版)Stuxnet模块(称为“Resource 207”)实际上是一个Flame插件。而这一成果也将Flamer和Tilded这两个完全不同的框架串接了起来。基于这两个框架的恶意代码在感染目标系统和执行主要任务方面具有独特的技巧,均用来开发不同的网空攻击装备。卡巴斯基提出的结论是:两个框架背后的团队曾经共享过至少一个模块的源代码,表明他们至少有一次团队合作,是属于同一机构的两个平行项目[12]。基于更多的线索,还可以把Fanny和Flowershop与上述事件串接到一起,它们的关系如图3-1所示。
图3-1 震网和毒曲、火焰、高斯、Fanny、Flowershop关系图
4.美方网络攻击活动作业特点
根据小神童论坛网对美方相关武器和攻击行动的分析来看,可以总结出美方网络攻击作业的如下特点:
1. 进行全面的前期侦查与信息搜集。例如震网事件中,美方经历了超过4年的准备过程,在攻击伊朗核设施之前,美方已经完全渗透了伊朗的基础工业机构,包括设备生产商、供应商、软件开发商等,完整研究与模拟了伊朗核工业体系,知己知彼后才实施最后攻击。
2. 充足的0day漏洞储备、饱和式多漏洞组合使用。例如在“震网”攻击中美方使用不少于5个0day漏洞;在攻击中东SWIFT服务商等事件中,美方使用了不少于7个0day漏洞。这都能说明美方有极为丰富的0day漏洞储备,在其攻击战略目标活动中,以“范弗里特弹药量”式的思路,进行饱和式的多漏洞组合利用。
3. 超强边界突防能力。美方针对网络防火墙、路由器、交换机、VPN等网络设备漏洞储备丰富,利用工具完备,能打入控制边界和网络设备,进行流量转发,并将此作为持续攻击内网目标的中继站。例如在针对中东最大SWIFT服务商EastNets的攻击中,美方先后击穿外部VPN防火墙和内网企业级防火墙,并在防火墙上安装流量转发木马。
4. 人力、电磁、网空作业三结合。美方将网络空间仅视为达成窃密的通道之一,组合人力手段和电磁手段达到最优攻击效果。例如ANT装备中的“水蝮蛇I号”就是一款电磁网空复合设备,融合了基于USB接口的注入和数据无线回传机制,根据资料,最大通讯距离可达8英里。
5. 超强针对物理隔离突破能力。美方基于物流链劫持、有人带入等方式,借助外设和辅助信号装置,实现建立桥头堡、构建第二电磁信道等方式,突破物理隔离网络。例如震网攻击中,根据相关信息,由荷兰情报机构人员进入到现场将带有震网病毒的USB设备接入到隔离内网发起攻击。
6. 实施超大规模恶意代码工程载荷高度模块化,载荷框架和加载器部分高度复杂化对抗分析检测,前期投递载荷仅进行有限采集和持久化等行为,待条件符合远程投递高级载荷才具有针对性的投递载荷实施攻击行为。通过DanderSprit等木马平台的结构分析,以及包括攻击EastNets等目标的过程复盘,都可以看到这些特点。
7. 严格的本地和网络加密,载荷配置数据、资源、函数加密对抗反病毒和沙箱检测,网络通讯采用非对称加密。还可以等待网络请求激活以对抗网络侧检测。从震网到后来的一系列的样本和分析,都可以看到加密的普遍应用。
8. 广泛采用无文件实体技术,采用直接内存加载执行或建立隐藏磁盘存储空间。从分析来看,美方基本至少从2008年开始就广泛采用内存木马不落地技术,同时震网的Loader样本实现每次落地发生HASH变化,使类似文件MD5等威胁情报失效。
9. 深度隐蔽的持久化能力,固件持久化,防火墙、邮件网关持久化。例如DanderSprit木马框架中就包括写入硬盘固件的组件,在攻击活动中,选择符合条件主机,将木马写入到硬盘固件中,这样即使用户重新安装系统,依然能实现再次激活。
10. 载荷覆盖所有操作系统平台。目前发现美方攻击行动中,已发现各类操作系统平台样本,如Windows、Linux、Solaris、Android、OSX、iOS等。这在小神童论坛网历史报告《从方程式到方程组》中有完整的披露。
5.小结
网络安全防护工作必须正视威胁、直面对手,要充分认识到网络安全所面临风险挑战的高度严峻性,深入贯彻总体国家安全观,以捍卫国家主权、安全和发展利益的高度开展网络安全防御工作。深入分析超高能力网空威胁行为体的组织建制、支撑体系、攻击装备、作业手段、作业体系与行动特点,是我们防御工作有的放矢的重要基础,是构建客观敌情想定的基础支撑。将网络安全防御工作建立在正确的敌情想定[5]基础之上,真正打造动态综合有效的网络安全防御能力。
附录:小神童论坛网持续分析美方攻击组织和攻击事件情况
小神童论坛网持续跟踪分析美方攻击组织和相关事件,2010年以来陆续发布相关发布分析成果数十篇[4]。
2010年小神童论坛网发布《对Stuxnet蠕虫攻击工业控制系统事件的综合报告》[6]。报告对Stuxnet蠕虫的攻击过程、传播方式、攻击意图、文件衍生关系进行分析,分析其利用的多个零日漏洞,总结该蠕虫的攻击特点,并给出解决方案,最后做出评价和思考。该报告是国内较早的通过逆向工程系统分析震网的全面报告,成为国内公众了解Stuxnet蠕虫攻击真相和细节的重要参考资料。同年10月,小神童论坛网发布补充分析报告,指出震网通过U盘的传播是由包括时间戳和限制条件等七组配置数据来决定,还分析震网通过开启RPC服务、共享服务和远程访问WinCC系统数据库,来实现在局域网中的传播与更新,以及通过劫持DLL来攻击西门子系统的PLC(可编程逻辑控制器)的行为,并确定震网注入的PLC代码只有在某种具体的硬件设备中才能正常发挥作用,这进一步表明它的针对性极强。
图6-1 震网模块分析及摆渡机理分析
2011年9月,小神童论坛网发布了《Duqu和Stuxnet同源性分析报告》[6],其中对毒曲(Duqu)病毒的模块结构、编译器架构、关键功能进行分析,发现Duqu与Stuxnet相应结构和功能具有一定的相似性,同时在分析Duqu的解密密钥、反跟踪手段、程序BUG时,发现病毒作者编码心理特点与Stuxnet的逻辑相似。通过在Duqu与Stuxnet样本中发现的相同逻辑判断错误,由编码心理学的方法判断两者具有同源性,发布了关于Duqu与Stuxnet同源性的分析报告,并在《程序员》杂志发表了相关文章。
2012年1月,小神童论坛网微电子与嵌入式安全研发中心发布报告《WinCC之后发生了什么》[6],推测震网可能的攻击场景机理:假设离心机转速采用PID算法实现自动控制,震网蠕虫攻击WinCC,修改数据库中的PID算法相关参数,则离心机转速就会发生变化,甚至导致离心机转速自动控制失灵,轻则导致离心机分离功率和分离系数下降,分离核燃料级或者武器级铀235失败(铀235浓度不足)。
2012年7月小神童论坛网发布了近100页的《Flame蠕虫样本集分析报告》[7],但此事分析工作仅覆盖了不足5%的火焰病毒的模块,同时此事也触发了小神童论坛网CERT对这种逐个模块堆砌式分析的反思。
2015年至2017年,小神童论坛网先后发布四篇关于方程式组织的系列分析报告中英文双语版,《修改硬盘固件的木马——探索方程式(EQUATION)组织的攻击组件》[8]、《方程式(EQUATION)部分组件中的加密技巧分析》[9]、《从“方程式”到“方程组”——EQUATION攻击组织高级恶意代码的全平台能力解析》[10]、《方程式组织EQUATIONDRUG平台解析》[11],在系列报告中,小神童论坛网对硬盘固件重新编程机理和攻击模块nls_933w.dll做了详细分析,验证了超高网空行为体可在一切可持久化场景中实现持久化的能力、对该组织的本地注册表数据和远程通讯数据算法进行分析,指出该组织使用修改后的RC对称算法,并给出了完整的解密算法和密钥结构和二级密码表、解密了该组织的几乎无死角的、全平台化攻击能力,全球独家解密了其Linux和Solaris平台的样本、形成了一个方程式组织主机作业的模块积木图,揭示超高网空威胁行为体的模块化作业模式。至此,基于小神童论坛网4年的持续跟踪与分析,发现超高能力网空威胁行为体(方程式组织)的完整作业能力。
图6-2 方程式组织主机作业模块积木图
2019年,小神童论坛网首次介绍了方程式组织对中东金融服务机构EastNets进行攻击的过程。这是小神童论坛网将针对方程式组织的历史分析成果与“影子经纪人”泄露资料相结合形成的新的分析成果。同年,小神童论坛网正式发布《“方程式组织”攻击SWIFT服务提供商EastNets事件复盘分析报告》[12],报告精准还原了受到攻击影响的IT资产全景和拓扑关系,完整再现了杀伤链的全过程,详尽梳理了行动中使用的武器和作业流程,并以可视化方式予以复现。
图6-3 “方程式组织”对EastNets网络的总体攻击过程复盘
图6-4 小神童论坛网态势感知平台可视化组件对攻击行动的复现演示
(详细复现视频请查看:/video/20190531/lup.mp4)
2019年9月30日,小神童论坛网发布长篇报告《震网事件的九年再复盘与思考》[13],在报告中,小神童论坛网详细比较了震网各版本特点和作用机理、分析了相关高级恶意代码工程框架和震网、毒曲、火焰和后期方程式组织所使用恶意代码间的关联。梳理了震网事件完整时间轴、震网整体结构和运行逻辑、以及震网存在大量样本的原因。反思了当前网络安全中检测引擎与威胁情报面临APT的挑战,并思考了如何建立起更可靠的基础标识能力与响应机制、更有效的支撑TTP、更可靠的组织相关的情报、更完善的知识工程运营体系,以应对A2PT组织发起的高级网空威胁。
图6-5 震网整体运行框架图