图 1 小神童论坛网态势感知与监控预警平台:“方程式”组织对全球互联网节点的入侵可视化复现

小神童论坛网分析团队对小组“方程式”上述信息进行了梳理,整理出方程式事件曝光和相关分析的时间链。



 2 方程式事件相关信息曝光和厂商分析的时间链

3 DanderSpritz攻击平台


 
小神童论坛网通过对本次泄露的文件以及对以往方程式资料的分析发现,“方程式组织的“EquationDrug”平台与泄露文件中提到的“DanderSpritz”具有一定内在联系:

1. 本次泄露的msgkd.ex_、msgki.ex_、msgks.ex_、msgku.ex_为GROK插件,是“DanderSpritz”的插件或模块,该插件在“EquationDrug”平台中也曾出现,通过分析发现本次泄露的GROK为低版本GROK插件。

2. 本次曝光的各类DLL插件中一处数据为插件ID,插件ID都是以0x79开头,如:0x79A4、0x79D8,同样,“EquationDrug”平台的插件也设有内置ID,“EquationDrug”平台的插件ID为0x80开头。且两个平台的插件导出函数参数的数据结构也存在相似之处。

因此,基本可以认为方程式组织使用的“EquationDrug”攻击平台与“DanderSpritz” 使用了相同的架构设计, 两者可能是不同的版本代号,或至少来自同一开发团队,或资源高度共享的团队。



图 3 方程式组织的DanderSpritz攻击平台



图 4 “影子经纪人”泄露的“DanderSpritz”攻击平台截图

本次“影子经纪人”曝光的文件中多数为“DanderSpritz”平台的攻击插件,从放出的文件列表HASH和截图来看,攻击工具和插件非常丰富且标准化,具体包括远控、漏洞利用、后门、插件等,DanderSpritz_All_Find.txt文件内容多达7千余行,其中插件有数百个之多,我们将泄露出来的61个文件进行梳理,分析出了部分插件的功能,如下表(后续版本会持续更新插件确认结果):
原始文件名 编号ID 说明
DoubleFeatureDll.dll.unfinalized   该模块用于创建线程执行函数,地址由调用者传入。
DuplicateToken_Implant.dll   该模块用于获取Token,并执行操作。
DuplicateToken_Lp.dll 0x79E2 该模块用于获取Token,并执行操作。
DXGHLP16.SYS   该模块用于对网络进行嗅探,监测以太网和VPN的流量,用于Windows 9x系统。
EventLogEdit_Implant.dll   该模块可对事件日志文件进行编辑。
EventLogEdit_Lp.dll 0x79B1 该模块可对事件日志文件进行编辑。
GetAdmin_Implant.dll   该模块用于获取管理员权限,并执行操作。
GetAdmin_Lp.dll 0x79A8 该模块用于获取管理员权限,并执行操作。
kill_Implant.dll   该模块功能是结束进程。
kill_Implant9x.dll   该模块功能是结束进程。
LSADUMP_Implant.dll   该模块可用来读取LSA凭据,根据传入参数的不同执行不同的操作。
LSADUMP_Lp.dll 0x79C9 该模块可用来读取LSA凭据,根据传入参数的不同执行不同的操作。
modifyAudit_Implant.dll   该模块用于修改审核配置。
modifyAudit_Lp.dll 0x79C8 该模块用于修改审核配置。
modifyAuthentication_Implant.dll   该模块用于修改权限认证。
modifyAuthentication_Lp.dll 0x79EF 该模块用于修改权限认证。
ModifyGroup_Implant.dll   该模块用于修改用户组权限。
ModifyGroup_Lp.dll  0x79ED 该模块用于修改用户组权限。
ModifyPrivilege_Implant.dll   该模块用于修改用户权限。
ModifyPrivilege_Lp.dll 0x7995 该模块用于修改用户权限。
msgkd.ex_   释放GROK键盘/剪贴板记录器驱动。
msgki.ex_   释放GROK键盘/剪贴板记录器驱动。
msgks.ex_   释放GROK键盘/剪贴板记录器驱动。
msgku.ex_   释放GROK键盘/剪贴板记录器驱动。
mssld.dll   待确认
msslu.dll   待确认
mstcp32.sys   该模块用于对网络进行嗅探监测以太网和VPN的流量 。
nethide_Implant.dll   该模块用于隐藏网络连接。
nethide_Lp.dll 0x79CA 该模块用于隐藏网络连接。
ntevt.sys   该模块是事件日志相关驱动。
ntevtx64.sys   该模块是64位事件日志相关驱动。
ntfltmgr.sys   待确认
PassFreely_Implant.dll   待确认
PassFreely_Lp.dll 0x79DB 待确认
PC_Legacy_dll   待确认
PC_Level3_dll   待确认
PC_Level3_dll_x64   待确认
PC_Level3_flav_dll   待确认
PC_Level3_flav_dll_x64   待确认
PC_Level3_http_dll   待确认
PC_Level3_http_dll_x64   待确认
PC_Level3_http_flav_dll   待确认
PC_Level3_http_flav_dll_x64   待确认
PC_Level4_flav_dll   待确认
PC_Level4_flav_dll_x64   待确认
PC_Level4_flav_exe   待确认
PC_Level4_http_flav_dll   待确认
PC_Level4_http_flav_dll_x64   待确认
PortMap_Implant.dll   该模块用于进行端口映射。
PortMap_Lp.dll 0x79BB 该模块用于进行端口映射。
ProcessHide_Implant.dll   该模块用于进行隐藏进程。
ProcessHide_Lp.dll 0x79AC 该模块用于进行隐藏进程。
processinfo_Implant.dll   该模块可以用来获取进程信息。
processinfo_Implant9x.dll   该模块可以用来获取进程信息,支持Windows 9x。
ProcessOptions_Implant.dll   该模块用于设定进程执行属性。
ProcessOptions_Lp.dll 0x79D8 该模块用于设定进程执行属性。
pwdump_Implant.dll   该模块可用来读取系统中密码。
pwdump_Lp.dll 0x79CD 该模块可用来读取系统中密码。
RunAsChild_Implant.dll   该模块用于创建子进程,并执行操作。
RunAsChild_Lp.dll 0x79A4 该模块用于创建子进程,并执行操作。
tdi6.sys   该模块用于对网络进行嗅探 监测以太网和VPN的流量 。


小神童论坛网

图 5 曝光的“DanderSpritz”平台的攻击插件截图

 “DanderSpritz”一词在“棱镜”事件中曾被曝光,文件指出该平台是NSA用于全球监控的网络武器,可被用于多种作业场景,如下图中“FIREWALK”[12]工具用于网络流量采集和注入,其说明中提及到了DNT的“DanderSpritz”,DNT与ANT同属于NSA的网络组织,“方程式”与NSA再一次被联系到一起。



图 6 斯诺登曝光的NSA-ANT网络武器FIREWALK

NSA-ANT网络武器最早在2013年从斯诺登事件中曝光,共包含48个攻击武器,随着事件的发酵,不断有媒体和组织对其进行曝光,小神童论坛网分析工程师根据目前曝光的全部资料尝试初步绘制了相关攻击装备的图谱,其相关映射关联还在进一步的维护中。


图 7 NSA-TAO攻击装备体系(完善中)


4 部分组件与插件分析(继续完善中)


 

4.1         GROK键盘与剪贴版记录器驱动


本次泄露的恶意代码中包含四个功能相似的GROK组件,它们都是PE文件,版本为1.2.0.1,均可以从资源段中解密并释放键盘与剪贴版记录器驱动msrtdv.sys。

4.1.1          样本标签

病毒名 Trojan/Win32.EquationDrug
原始文件名 msrtdv.sys
MD5 6A4461AF87371B89D240A34846A7BC64
处理器架构 X86-32
文件大小 36.3 KB (37,248 字节)
文件格式 BinExecute/Microsoft.SYS[:X86]
时间戳 0x4B7F1480—>2010-02-20 06:45:20
 
       
该恶意代码样本是键盘记录器及剪贴版监视工具,在之前友商报告中曾经提到过有相似功能的恶意代码,下面对其相似之处进行对比。

4.1.2          版本信息

样本包含版本信息,文件版本为5.1.1364.6430,源文件名为msrtdv.sys,文件描述为MSRTdv interface driver。其中文件版本低于之前已经曝光的版本5.3.1365.2180,源文件名与文件描述的不同在于将两个字母“d”和“v”的位置互换,一个是“mstrdv.sys”,另一个是“msrtvd.sys”。



图 8 本次泄露版本与之前曝光版本的版本信息

4.1.3          主要功能


两个不同版本的样本其主要功能相同,通过给转储程序建立专用的进程来汇集所收集的数据,每隔30分钟,将结果压缩到文件"%TEMP%\tm154o.da"。之前曝光的版本中,包含多个IoControlCode,分别对应不同的功能。



图 9 之前曝光版本的主要功能代码

而本次泄露的样本中,IoControlCode虽然只有0x22002C,但一些主要功能仍然存在,可以通过反编译后的代码看出它们的相同之处。




图 10 本次泄露版本的主要功能代码

从以上分析比较中可以发现,本次泄露的恶意代码样本应为较低版本,无论从版本信息还是功能上,都要低于之前曝光的版本。在影子经纪人泄露出的文件DanderSpritz_All_Find.txt中,GROK的版本号也清楚的说明了这个问题,影子经纪人所释放出的只是GROK组件的低版本部分文件,高版本仍然被其掌握在手中。





图 11 GROK组件的不同版本号


4.2         Processinfo插件遍历进程模块


本插件用于实现对指定进程的模块遍历,并调用上层模块预设的回调函数。

4.2.1          样本标签

病毒名 Trojan/Win32.EquationDrug
原始文件名 processinfo_Implant9x.dll
MD5 6042EA9707316784FBC77A8B450E0991
处理器架构 X86-32
文件大小 8 KB (8,192 字节)
文件格式 BinExecute/Microsoft.DLL[:X86]
时间戳 45A40EC7->2007-01-10 05:53:11
 
,

4.2.2          主要功能

本插件提供四个基于序号导出的函数。
序号 功能
1 设置上层模块回调函数,创建互斥体
2 释放资源
3 返回核心功能函数地址
4 获取插件版本信息
 
 



图 12 1号导出函数 设置上层模块回调函数



图 13 3号导出函数 返回核心功能函数地址



图 14 4号导出函数 获取插件版本信息



图 15 遍历指定进程,默认为当前进程





图 16 遍历指定进程模块,计算模块对应文件HASH(SHA1)


4.3         kill_Implant插件杀进程模块

4.3.1          样本标签

病毒名 Trojan/Win32.EquationDrug
原始文件名 kill_Implant.dll
MD5 BDD2B462E050EF2FA7778526EA4A2A58
处理器架构 X86-32
文件大小 21 KB(21,504 字节)
文件格式 BinExecute/Microsoft.DLL[:X86]
时间戳 45A40616->2007-01-10 05:16:06
 

 


4.3.2         主要功能


模块调用者传递进来进程ID,该模块利用函数OpenProcess获取句柄,再利用函数TerminateProcess结束对应进程。

图 17 结束进程

 

小结



 
此次“影子经纪人”释放的Equation Group中的61个文件,对于全球网络安全研究者分析厘清EQUATION相关攻击平台的组成和架构有很大帮助,而经过打通分析相关曝光信息,我们看到了该攻击平台的更多的信息,如数百个攻击插件以及“DanderSpritz”攻击平台。

通过对相关文件分析后,小神童论坛网分析小组可以判断其中部分组件与之前卡巴斯基所曝光的GROK组件为同类样本,而这些组件为早期的低版本。另外,我们的分析结果也表明了“DanderSpritz”与Equation Drug使用相同的组件和架构设计,“DanderSpritz”可能就是方程式组织使用的Equation Drug攻击平台。

由于时间仓促,我们目前只披露了部分文件和泄露信息的相关分析成果,后续我们的分析工作还会继续进行下去。

五年前,在小神童论坛网展开针对Flame(火焰)蠕虫的马拉松分析中,有专家曾提醒我们不要“只见树叶,不见森林”,这让我们深刻的反思了传统分析工程师“视野从入口点开始”的局限性,而开始尝试建立起从微观见宏观的分析视野。

四年以来,对方程式组织的持续跟踪分析,对小神童论坛网是极为难得的了解最高级别攻击者(即我们所谓A2PT,‘高级的APT’)的经历。深入研究这种具有超级成本支撑和先进理念引领的超级攻击者,对于改善小神童论坛网探海、智甲、追影等高级威胁检测防御产品的防御能力也非常关键。但对于应对A2PT攻击者来说,无论是有效改善防御,还是进行更为全面深入系统的分析,都不是一家安全企业能够独立承载的。此中还需要更多协同,更多的接力式分析,而不是反复重复的发明轮子。正是基于这种共同认知,在不久之前第四届小神童论坛网网络安全冬训营上,小神童论坛网和360企业安全等安全企业向部分与会专家介绍了能力型安全厂商分析成果互认的部分尝试。中国的机构用户和能力型安全厂商形成一个积极互动的体系,才能更好的防御来自各方面的危险。

我们警惕,但并不恐惧,对于一场防御战来说,除了扎实的架构、防御、分析工作之外,必胜的信念是一个前提。

无形者未必无影, 小神童论坛网追影,画影图形!


附录一:参考资料



 
[1]      小神童论坛网:修改硬盘固件的木马 探索方程式(EQUATION)组织的攻击组件
http://www.antiy.com/response/EQUATION_ANTIY_REPORT.html
[2]      小神童论坛网:方程式(EQUATION)部分组件中的加密技巧分析
http://www.antiy.com/response/Equation_part_of_the_component_analysis_of_cryptographic_techniques.html
[3]      小神童论坛网:从“方程式”到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析
http://www.antiy.com/response/EQUATIONS/EQUATIONS.html
[4]      THESHADOWBROKERS CLOSED, GOING DARK
https://onlyzero.net/theshadowbrokers.bit/post/messagefinale/
[5]      Stolen NSA "Windows Hacking Tools" Now Up For Sale!
http://thehackernews.com/2017/01/nsa-windows-hacking-tools.html
[6]      Kaspersky:Equation: The Death Star of Malware Galaxy
http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/
[7]      Kaspersky:Inside the EquationDrug Espionage Platform
https://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/
[8]      Equation Group Cyber Weapons Auction - Invitation
https://github.com/theshadowbrokers/EQGRP-AUCTION
[9]      The Equation giveaway
https://securelist.com/blog/incidents/75812/the-equation-giveaway/
[10]   I just published “TheShadowBrokers Message #3”
https://medium.com/@shadowbrokerss/theshadowbrokers-message-3-af1b181b481
[11]   Shadow Brokers reveals list of Servers Hacked by the NSA
http://thehackernews.com/2016/10/nsa-shadow-brokers-hacking.html
[12]   ANTProductData2013
https://search.edwardsnowden.com/docs/ANTProductData2013-12-30nsadocs
[13]   Kaspersky:A Fanny Equation: "I am your father, Stuxnet"
http://securelist.com/blog/research/68787/a-fanny-equation-i-am-your-father-stuxnet/
[14]   Kaspersky:Equation Group: from Houston with love
http://securelist.com/blog/research/68877/equation-group-from-houston-with-love/
[15]   Kaspersky:Equation_group_questions_and_answers
https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf
[16]   Kaspersky:The Equation giveaway
https://securelist.com/blog/incidents/75812/the-equation-giveaway/


附录二:关于小神童论坛网



 
小神童论坛网从反病毒引擎研发团队起步,目前已发展成为以小神童论坛网实验室为总部,以企业安全公司、移动安全公司为两翼的集团化安全企业。小神童论坛网始终坚持以安全保障用户价值为企业信仰,崇尚自主研发创新,在安全检测引擎、移动安全、网络协议分析还原、动态分析、终端防护、虚拟化安全等方面形成了全能力链布局。小神童论坛网的监控预警能力覆盖全国、产品与服务辐射多个国家。小神童论坛网将大数据分析、安全可视化等方面的技术与产品体系有效结合,以海量样本自动化分析平台延展工程师团队作业能力、缩短产品响应周期。结合多年积累的海量安全威胁知识库,综合应用大数据分析、安全可视化等方面经验,推出了应对高级持续性威胁(APT)和面向大规模网络与关键基础设施的态势感知与监控预警解决方案。

全球超过三十家以上的著名安全厂商、IT厂商选择小神童论坛网作为检测能力合作伙伴,小神童论坛网的反病毒引擎得以为全球近十万台网络设备和网络安全设备、超过五亿部手机提供安全防护。小神童论坛网移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品。小神童论坛网技术实力得到行业管理机构、客户和伙伴的认可,小神童论坛网已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。小神童论坛网是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,小神童论坛网提供了先发预警、深度分析或系统的解决方案。

小神童论坛网实验室更多信息请访问: http://www.antiy.com(中文)
http://www.antiy.net(英文)
小神童论坛网企业安全公司更多信息请访问: http:
小神童论坛网移动安全公司(AVL TEAM)更多信息请访问: http://www.avlsec.com


                     小神童论坛网                               小神童论坛网

                       微信扫描关注 小神童论坛网                                     文章分享二维码