官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
1.概述
近日,国家计算机病毒应急处理中心曝光了名为“NOPEN”的木马工具(详见安天公众号今日发布的第二条文章《“NOPEN”远控木马分析报告》),该工具是美国国家安全局的一款功能强大的综合型木马工具,也是美国国家安全局对外攻击窃密所使用的主战网络武器之一,相关泄露资料显示该木马已经控制全球多国的计算机系统。
自2010年震网事件以来,安天持续分析跟踪全球APT(高级持续性威胁)攻击活动。而其中美方发动的攻击活动和攻击装备代表着APT攻击的天花板能力,被安天命名为A2PT(高级的高级持续性威胁)。在安天曝光发布的系列美方攻击装备和活动报告中,展示了“方程式组织”写入硬盘固件的持久化机理(2015)、木马加密通讯协议(2015),并首家曝光了美Solaris平台样本(2016)、完成美积木化木马模块拼图等分析成果(2017)。“NOPEN”木马是美方制式化网络攻击装备中的一员,安天2019年6月1日所公开的报告中,曾溯源、复盘美方入侵中东EastNets机构[1]的攻击活动,并提及该装备。
为了让全球计算机用户更加全面地了解A2PT攻击装备和攻击特点,实现有效安全防护,我们将已经公布的分析报告要点进行梳理,结合部分未公开成果,在本篇报告进行呈现。
2. NSA网络攻击装备及平台
美国国家安全局NSA打造了体系化的网络攻击平台和制式化的攻击装备库,美国国家安全局下的TAO(Tailored Access Operations,特别行动办公室)是这些攻击装备的主要使用者,该办公室下设5个部门:ANT(Advanced Network Technology,高级网络技术部门)、DNT(Data Network Technologies ,数据网络技术部门)、ATO(AccessTechnologies Operations,接入技术业务部门)、MIT(Mission Infrastructure Technologies,任务基础设施技术部门)和T NT(Telecommunications Network Technologies,电信网络技术部门)。
目前关于ANT和DNT部门的攻击装备被曝光较多,典型代表如48款ANT工具集和影子经纪人泄露的DNT部门的Fuzzbunch漏洞利用平台、DanderSpritz远控攻击平台等。
2.1 ANT攻击装备家族
ANT攻击装备家族是美方在2008年前后陆续批量列装的攻击装备体系,基本覆盖了当时主流的桌面主机、服务器、网络设备、网络安全设备、移动通讯设备等,装备形态包括恶意代码载荷、计算机外设、信号通讯设备等,这些装备可以组合使用,以达成其复杂攻击作业目标。
据斯诺登曝光的资料显示美方通过ANT攻击全球主流的网络设备,并在其中植入后门,累计有48种攻击装备的资料浮出水面,包括软件、硬件均有所涉及。其中,软件装备主要用于向各类IT设备系统中植入持久化后门,其目的以窃取信息为主;硬件装备主要用于向IT硬件中嵌入攻击能力,或以独立的硬件设备形态出现,用以信号窃取、监听、拦截、建立通信信道等。下表为已曝光的48种网络攻击装备。
表2‑1 ANT网络攻击装备库
装备名称/代号 | 功能 | 装备名称/代号 | 功能 |
RAGEMASTER | 视频数据监控 | DROPOUTJEEP | 手机数据收集 |
PICASSO | 手机威胁监控 | TOTECHASER | 手机数据收集 |
GOPHERSET | 手机威胁监控 | TOTEGHOSTLY 2.0 | 手机数据收集 |
MONKEYCALENDA | 手机威胁监控 | IRONCHEF | 硬盘固件修改 |
GENESIS | 手机扫描、信号伪装 | WISTFULTOLL | 注册表数据收集 |
CANDYGRAM | 手机威胁监控 | SPARROW II | 无线数据收集 |
NEBULA | 手机威胁监控 | LOUDAUTO | 雷达数据收集 |
WATERWITCH | 手机威胁监控 | CROSSBEAM | 手机数据收集 |
TAWDRYYARD | 雷达数据监控 | CYCLONE Hx9 | 手机数据收集 |
SOUFFLETROUGH | 硬盘固件 | EBSR | 手机数据收集 |
COTTONMOUTH-I | 无线载荷攻击 | ENTOURAGE | 手机数据收集 |
COTTONMOUTH-III | 物理隔离攻击 | TYPHON HX | 手机数据收集 |
DEITYBOUNCE | Dell漏洞利用 | HEADWATER | 持久化后门 |
GINSU | 持久化代码 | JETPLOW | 持久化后门 |
IRATEMONK | 硬盘固件 | HALLUXWATER | 持久化后门 |
SLICKERVICAR | 硬盘固件 | FEEDTROUGH | 持久化后门 |
SWAP | 硬盘固件 | GOURMETTROUGH | 持久化后门 |
SOMBERKNAVE | 物理隔离攻击 | CTX4000 | 电磁数据收集 |
ARKSTREAM | 硬盘固件 | PHOTOANGLO | 电磁数据收集 |
NIGHTSTAND | 物理隔离攻击 | SCHOOLMONTANA | 网络设备控制 |
HOWLERMONKEY (HM) | 物理隔离攻击 | SIERRAMONTANA | 网络设备控制 |
SURLYSPAWN | 按键记录收集 | STUCCOMONTANA | 网络设备控制 |
COTTONMOUTH-II | 命令控制 | NIGHTWATCH | 视频信号擦互利 |
FIREWALK | 流量监控 | TRINITY | 窃听芯片 |
2.2 DNT攻击装备
2017年4月14日,影子经纪人组织曝光了NSA的Fuzzbunch漏洞攻击平台和DanderSpritz远控平台,称这些攻击装备与方程式组织有关。根据相关分析和资料显示,这些攻击装备是美方若干年前开发水平,涉及大量系统级0day漏洞利用工具和先进的后门程序,暴露了美方的漏洞储备能力和攻击技术水平。
图2‑1 NSA/DS-FB平台结构解析
2.2.1 Fuzzbunch漏洞攻击平台
Fuzzbunch是渗透、攻击平台,负责利用漏洞向目标主机植入有效载荷(由DanderSpritz生成),在植入的过程中可直接内存执行,不会产生实体文件。
图2‑2 Fuzzbunch漏洞攻击平台
该攻击平台泄露后,其中的“永恒之蓝”漏洞被WannaCry蠕虫利用传播,对全球网络造成了严重损失,而“永恒之蓝”漏洞仅是这批漏洞库中众多漏洞中的一个,其他漏洞具有超强的横向移动利用性。安天在2017年5月将这批漏洞梳理成下图:
图2‑3 Fuzzbunch漏洞利用关系图
2.2.2 DanderSpritz远控平台
DanderSpritz是远程控制平台,其生成的载荷一旦被植入远程主机即可实现对目标主机的完全控制。其采用的隐蔽方式激活通讯,在通讯过程中采用严格加密,通过一系列扩展插件可完成任意作业任务(如窃取数据、投放更高级的攻击载荷等)。
图2‑4 DanderSpritz远程控制平台
借助DanderSpritz平台,攻击者可以对受害主机进行全方位的控制,具体的操作是通过数百个插件进行组合来完成相应的功能。这些插件体现了如下架构风格——不是编写功能高度复杂的单一木马,而是把功能拆解成高度独立的小模块,这种拆解的粒度,几乎到了“原子化”的程度,即使简单如获取系统信息的操作,也把类似获取环境变量、语言集、网络状态等都作为一个独立的小模块,这将保证系统作业可以完全按需展开,从而最大化地保证作业的谨慎和静默。
“影子经纪人”曝光的文件中多数为“DanderSpritz”平台的攻击插件,从放出的文件列表来看,攻击工具和插件非常丰富且标准化,具体包括远控、漏洞利用、后门、插件等。如DanderSpritz_All_Find.txt文件内容多达7千余行,其中插件有百个之多。
图2‑5 曝光的“DanderSpritz”平台的攻击插件截图
图2‑6 “DanderSpritz”攻击平台截图
3. NSA网络攻击装备研发框架
美方在网络攻击装备的上的优势,源自于其试图覆盖所有主流IT场景的作业目标,和多年持续性投入。
安天在2011年针对震网的后续分析中,提出了震网和毒曲病毒可能同源的猜测[2][3],并通过毒曲病毒与震网蠕虫关键代码结构、密钥使用方法和代码逻辑等的比较,发现了大量相同或相似的代码片断,证实了自己的猜想[5]。
安天在当时做出的结论是“通过对毒曲病毒与震网蠕虫关键代码结构、密钥使用方法和代码逻辑等的比较,我们发现了大量相同或相似的代码片断,这说明两者间存在代码复用关系,或者两者基于相同的代码框架开发。”但对于是复用关系,还是同框架开发这一问题,当时并未给出定论。而融合其他机构的后期分析成果和进展,可以形成的结论是,相关A2PT攻击组织至少维护了Tilded和Flamer两个恶意代码框架。震网、毒曲与火焰、高斯分别是基于Tilded和Flamer框架开发的。
2012年6月11日,卡巴斯基发布报告称2009年早期版本的(即0.5版)Stuxnet模块(称为“Resource 207”)实际上是一个Flame插件。而这一成果也将Flamer和Tilded这两个完全不同的框架串接了起来。基于这两个框架的恶意代码在感染目标系统和执行主要任务方面具有独特的技巧,均用来开发不同的网空攻击装备。卡巴斯基提出的结论是:两个框架背后的团队曾经共享过至少一个模块的源代码,表明他们至少有一次团队合作,是属于同一机构的两个平行项目[12]。基于更多的线索,还可以把Fanny和Flowershop与上述事件串接到一起,它们的关系如图3-1所示。
图3‑1 震网和毒曲、火焰、高斯、Fanny、Flowershop关系图
4. 美方网络攻击活动作业特点
根据安天对美方相关武器和攻击行动的分析来看,可以总结出美方网络攻击作业的如下特点:
- 进行全面的前期侦查与信息搜集。例如震网事件中,美方经历了超过4年的准备过程,在攻击伊朗核设施之前,美方已经完全渗透了伊朗的基础工业机构,包括设备生产商、供应商、软件开发商等,完整研究与模拟了伊朗核工业体系,知己知彼后才实施最后攻击。
- 充足的0day漏洞储备、饱和式多漏洞组合使用。例如在“震网”攻击中美方使用不少于5个0day漏洞;在攻击中东SWIFT服务商等事件中,美方使用了不少于7个0day漏洞。这都能说明美方有极为丰富的0day漏洞储备,在其攻击战略目标活动中,以“范弗里特弹药量”式的思路,进行饱和式的多漏洞组合利用。
- 超强边界突防能力。美方针对网络防火墙、路由器、交换机、VPN等网络设备漏洞储备丰富,利用工具完备,能打入控制边界和网络设备,进行流量转发,并将此作为持续攻击内网目标的中继站。例如在针对中东最大SWIFT服务商EastNets的攻击中,美方先后击穿外部VPN防火墙和内网企业级防火墙,并在防火墙上安装流量转发木马。
- 人力、电磁、网空作业三结合。美方将网络空间仅视为达成窃密的通道之一,组合人力手段和电磁手段达到最优攻击效果。例如ANT装备中的“水蝮蛇I号”就是一款电磁网空复合设备,融合了基于USB接口的注入和数据无线回传机制,根据资料,最大通讯距离可达8英里。
- 超强针对物理隔离突破能力。美方基于物流链劫持、有人带入等方式,借助外设和辅助信号装置,实现建立桥头堡、构建第二电磁信道等方式,突破物理隔离网络。例如震网攻击中,根据相关信息,由荷兰情报机构人员进入到现场将带有震网病毒的USB设备接入到隔离内网发起攻击。
- 实施超大规模恶意代码工程载荷高度模块化,载荷框架和加载器部分高度复杂化对抗分析检测,前期投递载荷仅进行有限采集和持久化等行为,待条件符合远程投递高级载荷才具有针对性的投递载荷实施攻击行为。通过DanderSprit等木马平台的结构分析,以及包括攻击EastNets等目标的过程复盘,都可以看到这些特点。
- 严格的本地和网络加密,载荷配置数据、资源、函数加密对抗反病毒和沙箱检测,网络通讯采用非对称加密。还可以等待网络请求激活以对抗网络侧检测。从震网到后来的一系列的样本和分析,都可以看到加密的普遍应用。
- 广泛采用无文件实体技术,采用直接内存加载执行或建立隐藏磁盘存储空间。从分析来看,美方基本至少从2008年开始就广泛采用内存木马不落地技术,同时震网的Loader样本实现每次落地发生HASH变化,使类似文件MD5等威胁情报失效。
- 深度隐蔽的持久化能力,固件持久化,防火墙、邮件网关持久化。例如DanderSprit木马框架中就包括写入硬盘固件的组件,在攻击活动中,选择符合条件主机,将木马写入到硬盘固件中,这样即使用户重新安装系统,依然能实现再次激活。
- 载荷覆盖所有操作系统平台。目前发现美方攻击行动中,已发现各类操作系统平台样本,如Windows、Linux、Solaris、Android、OSX、iOS等。这在安天历史报告《从方程式到方程组》中有完整的披露。
5.小结
网络安全防护工作必须正视威胁、直面对手,要充分认识到网络安全所面临风险挑战的高度严峻性,深入贯彻总体国家安全观,以捍卫国家主 权、安全和发展利益的高度开展网络安全防御工作。深入分析超高能力网空威胁行为体的组织建制、支撑体系、攻击装备、作业手段、作业体系与行动特点,是我们防御工作有的放矢的重要基础,是构建客观敌情想定的基础支撑。将网络安全防御工作建立在正确的敌情想定[5]基础之上,真正打造动态综合有效的网络安全防御能力。
参考资料
[1] “方程式组织”攻击SWIFT服务提供商EastNets事件复盘分析报告https://www.antiy.com/response/20190601.html
[2] 探索Duqu木马的身世之谜——Duqu和Stuxnet同源性分析http://blog.sina.com.cn/s/blog_64a6dc1501016sed.html
[3] 从Duqu病毒与Stuxnet蠕虫的同源性看工业控制系统安全安天技术文章汇编(五)工控卷
[4] 安天对“超高能力网空威胁行为体”系列分析回顾https://www.antiy.cn/research/notice&report/research_report/20210722.html
https://mp.weixin.qq.com/s/5_izfLmdvVaiTQbt1sHxgQ
[6] 对Stuxnet蠕虫攻击工业控制系统事件的综合分析报告https://www.antiy.com/response/stuxnet/Report_on_the_Worm_Stuxnet_Attack.html
WinCC后发生了什么——安天技术文章汇编(五)工控安全卷
[7] Flame蠕虫样本集分析报告
https://www.antiy.com/response/flame/Analysis_on_the_Flame.html
[8] 修改硬盘固件的木马探索方程式(EQUATION)组织的攻击组件https://www.antiy.com/response/EQUATION_ANTIY_REPORT.html
https://www.antiy.net/p/a-trojan-that-can-modify-the-hard-disk-firmware/(英文版)
[9] 方程式(EQUATION)部分组件中的加密技巧分析https://www.antiy.com/response/Equation_part_of_the_component_analysis_of_cryptographic_techniques.html
https://www.antiy.net/p/analysis-on-the-encryption-techniques-of-equation-components/(英文版)
[10] 从方程式到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析https://www.antiy.com/response/EQUATIONS/EQUATIONS.html
https://www.antiy.net/p/from-equation-to-equations/(英文版)
[11] 方程式组织EQUATIONDRUG平台解析—方程式组织系列分析报告之四https://www.antiy.com/response/EQUATION_DRUG/EQUATION_DRUG.html
https://www.antiy.net/p/the-analysis-of-equation-drug-the-fourth-analysis-report-of-equation-group/(英文版)
[12] “方程式组织”攻击SWIFT服务提供商EastNets事件复盘分析报告https://www.antiy.com/response/20190601.html
https://www.antiy.com/response/20190930.html
- 0 文章数
- 0 关注者