安全動(dòng)態(tài)

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心披露美國(guó)安局網(wǎng)絡(luò)間諜木馬!

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-03-15    瀏覽次數(shù):
 

信息來(lái)源:安全內(nèi)參

“NOPEN”遠(yuǎn)控木馬分析報(bào)告

近日,國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心對(duì)名為“NOPEN”的木馬工具進(jìn)行了攻擊場(chǎng)景復(fù)現(xiàn)和技術(shù)分析。該木馬工具針對(duì)Unix/Linux平臺(tái),可實(shí)現(xiàn)對(duì)目標(biāo)的遠(yuǎn)程控制。根據(jù)“影子經(jīng)紀(jì)人”泄露的NSA內(nèi)部文件,該木馬工具為美國(guó)國(guó)家安全局開發(fā)的網(wǎng)絡(luò)武器?!癗OPEN”木馬工具是一款功能強(qiáng)大的綜合型木馬工具,也是美國(guó)國(guó)家安全局接入技術(shù)行動(dòng)處(TAO)對(duì)外攻擊竊密所使用的主戰(zhàn)網(wǎng)絡(luò)武器之一。

一、基本情況

“NOPEN”木馬工具為針對(duì)Unix/Linux系統(tǒng)的遠(yuǎn)程控制工具,主要用于文件竊取、系統(tǒng)提權(quán)、網(wǎng)絡(luò)通信重定向以及查看目標(biāo)設(shè)備信息等,是TAO遠(yuǎn)程控制受害單位內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)的主要工具。通過(guò)技術(shù)分析,我單位認(rèn)為,“NOPEN”木馬工具編碼技術(shù)復(fù)雜、功能全面、隱蔽性強(qiáng)、適配多種處理器架構(gòu)和操作系統(tǒng),并且采用了插件式結(jié)構(gòu),可以與其他網(wǎng)絡(luò)武器或攻擊工具進(jìn)行交互和協(xié)作,是典型的用于網(wǎng)絡(luò)間諜活動(dòng)的武器工具。

二、具體功能

“NOPEN”木馬工具包含客戶端“noclient”和服務(wù)端“noserver”兩部分,客戶端會(huì)采取發(fā)送激活包的方式與服務(wù)端建立連接,使用RSA算法進(jìn)行秘鑰協(xié)商,使用RC6算法加密通信流量。

該木馬工具設(shè)計(jì)復(fù)雜,支持功能眾多,主要包括以下功能:內(nèi)網(wǎng)端口掃描、端口復(fù)用、建立隧道、文件處理(上傳、下載、刪除、重命名、計(jì)算校驗(yàn)值)、目錄遍歷、郵件獲取、環(huán)境變量設(shè)置、進(jìn)程獲取、自毀消痕等。

三、技術(shù)分析

經(jīng)技術(shù)分析與研判,該木馬工具針對(duì)Unix/Linux平臺(tái),可在主控端和受控端之間建立隱蔽加密信道,攻擊者可通過(guò)向目標(biāo)發(fā)送遠(yuǎn)程指令,實(shí)現(xiàn)遠(yuǎn)程獲取目標(biāo)主機(jī)環(huán)境信息、上傳/下載/創(chuàng)建/修改/刪除文件、遠(yuǎn)程執(zhí)行命令、網(wǎng)絡(luò)流量代理轉(zhuǎn)發(fā)、內(nèi)網(wǎng)掃描、竊取電子郵件信息、自毀等惡意功能。該木馬工具包含主控端(Client)和受控端(Server)兩個(gè)部分,具體分析結(jié)果如下:

(一)主控端功能分析

文件名:Noclient

MD5:188974cea8f1f4bb75e53d490954c569

SHA-1:a84ac3ea04f28ff1a2027ee0097f69511af0ed9d

SHA-256:ed2c2d475977c78de800857d3dddc739

57d219f9bb09a9e8390435c0b6da21ac

文件大?。?41.2KB(241192 字節(jié))

文件類型:ELF32

文件最后修改時(shí)間:2011-12-8 19:07:48

支持處理器架構(gòu):i386, i486, i586, i686, sparc, alpha, x86_64, amd64

支持操作系統(tǒng):FreeBSD、SunOS、HP-UX、Solaris、Linux

主控端的主要功能是連接受控端和向受控端發(fā)送指令并接收受控端回傳的信息:

1、連接目標(biāo)受控端

主控端通過(guò)以下命令行連接目標(biāo)受控端:

noclient [參數(shù)1:目標(biāo)主機(jī)IP地址]:[端口號(hào)(默認(rèn)為32754)]

連接成功后會(huì)組合采用RC6+RSA加密算法,在主控端與受控端之間建立加密信道。并回顯主控端與被控端基本信息,包括:IP地址和端口號(hào)、軟件版本、當(dāng)前工作目錄、進(jìn)程號(hào)(PID)、操作系統(tǒng)版本和內(nèi)核版本、日期時(shí)間等。同時(shí)主控端建立監(jiān)聽(tīng)端口(默認(rèn)為1025),接受受控端的反向連接。

2、命令控制

主控端與被控端成功建立連接后,攻擊者可通過(guò)主控端控制臺(tái)向受控端發(fā)送指令,該木馬工具提供的指令非常豐富。開發(fā)者還給出了詳細(xì)的指令幫助說(shuō)明。

其中遠(yuǎn)程控制指令如下所示:

-elevate:提升權(quán)限

-getenv:獲取環(huán)境變量

-gs:未知

-setenv:設(shè)置環(huán)境變量

-shell:返回命令行接口

-status:查看當(dāng)前連接狀態(tài)、本地與遠(yuǎn)程主機(jī)環(huán)境信息

-time:查看本地與遠(yuǎn)程主機(jī)的日期、時(shí)間和時(shí)區(qū)信息

-burn:終止控制并關(guān)閉遠(yuǎn)程進(jìn)程

-call ip port:設(shè)置回連IP地址和端口號(hào)

-listen port:設(shè)置監(jiān)聽(tīng)端口號(hào)

-pid:查看遠(yuǎn)程受控端進(jìn)程ID

-icmptimetarget_ip [source_ip]:遠(yuǎn)程Ping目標(biāo)地址,查看時(shí)延

-ifconfig:查看遠(yuǎn)程主機(jī)的IP地址設(shè)置和MAC地址

-nslookup:遠(yuǎn)程對(duì)指定域名進(jìn)行解析

-ping:遠(yuǎn)程Ping目標(biāo)地址,用于內(nèi)網(wǎng)探測(cè)

-trace:遠(yuǎn)程traceroute

-fixudp port:指定UDP傳輸端口

另外,還有一些隱藏指令并沒(méi)有被在控制臺(tái)幫助中列出,如“-hammy”、“-trigger”、“-triggerold”和“-sniff”等。經(jīng)研判可能是與其他網(wǎng)絡(luò)武器或攻擊工具之間的功能調(diào)用接口。

(二)受控端功能分析

文件名:noserver_linux

MD5:9081d61fabeb9919e4e3fa84227999db

SHA-1:0274bd33c2785d4e497b6ba49f5485caa52a0855

SHA-256:4acc94c6be340fb8ef4133912843aa0e

4ece01d8d371209a01ccd824f519a9ca

文件大小:357KB(356996 字節(jié))

文件類型:ELF32

文件最后修改時(shí)間:2011-12-8 19:07:48

受控端被加載運(yùn)行后會(huì)默認(rèn)監(jiān)聽(tīng)32754端口。

受控端程序?yàn)榱烁蓴_和對(duì)抗分析,進(jìn)行了去符號(hào)操作,結(jié)合代碼功能,分析受控端程序的主要功能如下所示:

1.KillProc、kill:終止指定進(jìn)程

2.Chmod:為指定對(duì)象賦權(quán)限

3.GetCWD:獲得當(dāng)前工作目錄

4.GetPid:獲得當(dāng)前進(jìn)程ID

5.DeleteFile_Dir:刪除指定文件或目錄

6.GetFileMD5:獲得指定文件MD5摘要

7.GetPCInfo:獲得所在主機(jī)環(huán)境信息

8.Recv:上傳、下載數(shù)據(jù)

9.Connect:建立socket連接

受控端根據(jù)主控端指令組合調(diào)用相應(yīng)模塊執(zhí)實(shí)現(xiàn)相關(guān)惡意操作。

四、使用環(huán)境

“NOPEN”木馬工具支持在Linux、FreeBSD、SunOS、Solaris、JUNOS和HP-UX等各類操作系統(tǒng)上運(yùn)行,同時(shí)兼容i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、PPC、MIPS、ARM以及AMD64等多種體系架構(gòu),適用范圍較廣。根據(jù)監(jiān)控情況,該木馬工具主要用于在受害單位內(nèi)網(wǎng)中執(zhí)行各類攻擊指令,結(jié)合其他取情、嗅探工具,級(jí)聯(lián)竊取核心數(shù)據(jù)。

五、植入方式

“NOPEN”木馬工具支持多種植入運(yùn)行方式,包括手動(dòng)植入、工具植入、自動(dòng)化植入等,其中最常見(jiàn)的植入方式是結(jié)合遠(yuǎn)程漏洞攻擊自動(dòng)化植入至目標(biāo)系統(tǒng)中,以便規(guī)避各種安全防護(hù)機(jī)制。此外,TAO還研發(fā)了一款名為Packrat的工具,可用于輔助植入“NOPEN”木馬工具,其主要功能為對(duì)“NOPEN”木馬工具進(jìn)行壓縮、編碼、上傳和啟動(dòng)。

六、使用控制方式

“NOPEN”木馬工具主要包括8個(gè)功能模塊,每個(gè)模塊支持多個(gè)命令操作,TAO主要使用該武器對(duì)受害機(jī)構(gòu)網(wǎng)絡(luò)內(nèi)部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò)設(shè)備實(shí)施持久化控制。其主要使用方式為:攻擊者首先向安裝有“NOPEN”木馬工具的網(wǎng)內(nèi)主機(jī)或設(shè)備發(fā)送特殊定制的激活包,“NOPEN”木馬工具被激活后回連至控制端,加密連接建立后,控制端發(fā)送各類指令操作“NOPEN”木馬工具實(shí)施網(wǎng)內(nèi)滲透、數(shù)據(jù)竊取、其他武器上傳等后續(xù)攻擊竊密行為。

 
 

上一篇:2022年3月14日聚銘安全速遞

下一篇:工信部開展APP侵害用戶權(quán)益整治“回頭看”,通報(bào)14款存在問(wèn)題APP