近日,國家計算機(jī)病毒應(yīng)急處理中心曝光了名為“NOPEN”的木馬工具��,該工具是美國國家安全局的一款功能強(qiáng)大的綜合型木馬工具����,也是美國國家安全局對外攻擊竊密所使用的主戰(zhàn)網(wǎng)絡(luò)武器之一����,相關(guān)泄露資料顯示該木馬已經(jīng)控制全球多國的計算機(jī)系統(tǒng)。
自2010年震網(wǎng)事件以來��,安天持續(xù)分析跟蹤全球APT(高級持續(xù)性威脅)攻擊活動�����。而其中美方發(fā)動的攻擊活動和攻擊裝備代表著APT攻擊的天花板能力�����,被安天命名為A2PT(高級的高級持續(xù)性威脅)���。在安天曝光發(fā)布的系列美方攻擊裝備和活動報告中����,展示了“方程式組織”寫入硬盤固件的持久化機(jī)理(2015)����、木馬加密通訊協(xié)議(2015),并首家曝光了美Solaris平臺樣本(2016)����、完成美積木化木馬模塊拼圖等分析成果(2017)�!癗OPEN”木馬是美方制式化網(wǎng)絡(luò)攻擊裝備中的一員,安天2019年6月1日所公開的報告中�����,曾溯源��、復(fù)盤美方入侵中東EastNets機(jī)構(gòu)[1]的攻擊活動����,并提及該裝備。
為了讓全球計算機(jī)用戶更加全面地了解A2PT攻擊裝備和攻擊特點�����,實現(xiàn)有效安全防護(hù),我們將已經(jīng)公布的分析報告要點進(jìn)行梳理�,結(jié)合部分未公開成果,在本篇報告進(jìn)行呈現(xiàn)���。
NSA網(wǎng)絡(luò)攻擊裝備及平臺 美國國家安全局NSA打造了體系化的網(wǎng)絡(luò)攻擊平臺和制式化的攻擊裝備庫�,美國國家安全局下的TAO(Tailored Access Operations�,特別行動辦公室)是這些攻擊裝備的主要使用者,該辦公室下設(shè)5個部門:ANT(Advanced Network Technology���,高級網(wǎng)絡(luò)技術(shù)部門)�����、DNT(Data Network Technologies ��,數(shù)據(jù)網(wǎng)絡(luò)技術(shù)部門)��、ATO(AccessTechnologies Operations,接入技術(shù)業(yè)務(wù)部門)�����、MIT(Mission Infrastructure Technologies,任務(wù)基礎(chǔ)設(shè)施技術(shù)部門)和***(Telecommunications Network Technologies����,電信網(wǎng)絡(luò)技術(shù)部門)。目前關(guān)于ANT和DNT部門的攻擊裝備被曝光較多�,典型代表如48款A(yù)NT工具集和影子經(jīng)紀(jì)人泄露的DNT部門的Fuzzbunch漏洞利用平臺、DanderSpritz遠(yuǎn)控攻擊平臺等�����。
2.1 ANT攻擊裝備家族
ANT攻擊裝備家族是美方在2008年前后陸續(xù)批量列裝的攻擊裝備體系��,基本覆蓋了當(dāng)時主流的桌面主機(jī)�、服務(wù)器、網(wǎng)絡(luò)設(shè)備����、網(wǎng)絡(luò)安全設(shè)備、移動通訊設(shè)備等��,裝備形態(tài)包括惡意代碼載荷���、計算機(jī)外設(shè)�����、信號通訊設(shè)備等����,這些裝備可以組合使用,以達(dá)成其復(fù)雜攻擊作業(yè)目標(biāo)�。據(jù)斯諾登曝光的資料顯示美方通過ANT攻擊全球主流的網(wǎng)絡(luò)設(shè)備,并在其中植入后門�����,累計有48種攻擊裝備的資料浮出水面�,包括軟件、硬件均有所涉及���。其中�����,軟件裝備主要用于向各類IT設(shè)備系統(tǒng)中植入持久化后門�,其目的以竊取信息為主����;硬件裝備主要用于向IT硬件中嵌入攻擊能力���,或以獨立的硬件設(shè)備形態(tài)出現(xiàn)�,用以信號竊取、監(jiān)聽�����、攔截�、建立通信信道等。下表為已曝光的48種網(wǎng)絡(luò)攻擊裝備��。
表2‑1 ANT網(wǎng)絡(luò)攻擊裝備庫
2.2 DNT攻擊裝備
2017年4月14日����,影子經(jīng)紀(jì)人組織曝光了NSA的Fuzzbunch漏洞攻擊平臺和DanderSpritz遠(yuǎn)控平臺,稱這些攻擊裝備與方程式組織有關(guān)����。根據(jù)相關(guān)分析和資料顯示,這些攻擊裝備是美方若干年前開發(fā)水平�,涉及大量系統(tǒng)級0day漏洞利用工具和先進(jìn)的后門程序,暴露了美方的漏洞儲備能力和攻擊技術(shù)水平�����。
2.2.1 Fuzzbunch漏洞攻擊平臺
Fuzzbunch是滲透、攻擊平臺�����,負(fù)責(zé)利用漏洞向目標(biāo)主機(jī)植入有效載荷(由DanderSpritz生成)��,在植入的過程中可直接內(nèi)存執(zhí)行����,不會產(chǎn)生實體文件。
該攻擊平臺泄露后��,其中的“永恒之藍(lán)”漏洞被WannaCry蠕蟲利用傳播��,對全球網(wǎng)絡(luò)造成了嚴(yán)重?fù)p失�����,而“永恒之藍(lán)”漏洞僅是這批漏洞庫中眾多漏洞中的一個��,其他漏洞具有超強(qiáng)的橫向移動利用性�����。安天在2017年5月將這批漏洞梳理成下圖:
2.2.2 DanderSpritz遠(yuǎn)控平臺
DanderSpritz是遠(yuǎn)程控制平臺��,其生成的載荷一旦被植入遠(yuǎn)程主機(jī)即可實現(xiàn)對目標(biāo)主機(jī)的完全控制。其采用的隱蔽方式激活通訊�����,在通訊過程中采用嚴(yán)格加密���,通過一系列擴(kuò)展插件可完成任意作業(yè)任務(wù)(如竊取數(shù)據(jù)、投放更高級的攻擊載荷等)�。
借助DanderSpritz平臺,攻擊者可以對受害主機(jī)進(jìn)行全方位的控制����,具體的操作是通過數(shù)百個插件進(jìn)行組合來完成相應(yīng)的功能。這些插件體現(xiàn)了如下架構(gòu)風(fēng)格——不是編寫功能高度復(fù)雜的單一木馬�,而是把功能拆解成高度獨立的小模塊,這種拆解的粒度����,幾乎到了“原子化”的程度,即使簡單如獲取系統(tǒng)信息的操作��,也把類似獲取環(huán)境變量�、語言集、網(wǎng)絡(luò)狀態(tài)等都作為一個獨立的小模塊����,這將保證系統(tǒng)作業(yè)可以完全按需展開�����,從而最大化地保證作業(yè)的謹(jǐn)慎和靜默��。
“影子經(jīng)紀(jì)人”曝光的文件中多數(shù)為“DanderSpritz”平臺的攻擊插件��,從放出的文件列表來看�,攻擊工具和插件非常豐富且標(biāo)準(zhǔn)化�����,具體包括遠(yuǎn)控���、漏洞利用�����、后門�����、插件等�。如DanderSpritz_All_Find.txt文件內(nèi)容多達(dá)7千余行,其中插件有百個之多��。
NSA網(wǎng)絡(luò)攻擊裝備研發(fā)框架
美方在網(wǎng)絡(luò)攻擊裝備的上的優(yōu)勢����,源自于其試圖覆蓋所有主流IT場景的作業(yè)目標(biāo),和多年持續(xù)性投入�����。安天在2011年針對震網(wǎng)的后續(xù)分析中��,提出了震網(wǎng)和毒曲病毒可能同源的猜測[2][3]���,并通過毒曲病毒與震網(wǎng)蠕蟲關(guān)鍵代碼結(jié)構(gòu)、密鑰使用方法和代碼邏輯等的比較���,發(fā)現(xiàn)了大量相同或相似的代碼片斷�,證實了自己的猜想[5]����。安天在當(dāng)時做出的結(jié)論是“通過對毒曲病毒與震網(wǎng)蠕蟲關(guān)鍵代碼結(jié)構(gòu)、密鑰使用方法和代碼邏輯等的比較���,我們發(fā)現(xiàn)了大量相同或相似的代碼片斷�,這說明兩者間存在代碼復(fù)用關(guān)系,或者兩者基于相同的代碼框架開發(fā)�。”但對于是復(fù)用關(guān)系����,還是同框架開發(fā)這一問題,當(dāng)時并未給出定論�。而融合其他機(jī)構(gòu)的后期分析成果和進(jìn)展,可以形成的結(jié)論是���,相關(guān)A2PT攻擊組織至少維護(hù)了Tilded和Flamer兩個惡意代碼框架����。震網(wǎng)�����、毒曲與火焰�����、高斯分別是基于Tilded和Flamer框架開發(fā)的�。2012年6月11日��,卡巴斯基發(fā)布報告稱2009年早期版本的(即0.5版)Stuxnet模塊(稱為“Resource 207”)實際上是一個Flame插件����。而這一成果也將Flamer和Tilded這兩個完全不同的框架串接了起來�。基于這兩個框架的惡意代碼在感染目標(biāo)系統(tǒng)和執(zhí)行主要任務(wù)方面具有獨特的技巧�����,均用來開發(fā)不同的網(wǎng)空攻擊裝備���。卡巴斯基提出的結(jié)論是:兩個框架背后的團(tuán)隊曾經(jīng)共享過至少一個模塊的源代碼���,表明他們至少有一次團(tuán)隊合作�����,是屬于同一機(jī)構(gòu)的兩個平行項目[12]���������;诟嗟木索,還可以把Fanny和Flowershop與上述事件串接到一起�,它們的關(guān)系如圖3-1所示。
美方網(wǎng)絡(luò)攻擊活動作業(yè)特點
根據(jù)安天對美方相關(guān)武器和攻擊行動的分析來看�����,可以總結(jié)出美方網(wǎng)絡(luò)攻擊作業(yè)的如下特點:1. 進(jìn)行全面的前期偵查與信息搜集��。例如震網(wǎng)事件中��,美方經(jīng)歷了超過4年的準(zhǔn)備過程����,在攻擊伊朗核設(shè)施之前,美方已經(jīng)完全滲透了伊朗的基礎(chǔ)工業(yè)機(jī)構(gòu)�,包括設(shè)備生產(chǎn)商、供應(yīng)商���、軟件開發(fā)商等���,完整研究與模擬了伊朗核工業(yè)體系,知己知彼后才實施最后攻擊。
2. 充足的0day漏洞儲備����、飽和式多漏洞組合使用。例如在“震網(wǎng)”攻擊中美方使用不少于5個0day漏洞�;在攻擊中東SWIFT服務(wù)商等事件中,美方使用了不少于7個0day漏洞���。這都能說明美方有極為豐富的0day漏洞儲備���,在其攻擊戰(zhàn)略目標(biāo)活動中,以“范弗里特彈藥量”式的思路����,進(jìn)行飽和式的多漏洞組合利用。
3. 超強(qiáng)邊界突防能力�。美方針對網(wǎng)絡(luò)防火墻�、路由器、交換機(jī)����、VPN等網(wǎng)絡(luò)設(shè)備漏洞儲備豐富,利用工具完備�����,能打入控制邊界和網(wǎng)絡(luò)設(shè)備,進(jìn)行流量轉(zhuǎn)發(fā)����,并將此作為持續(xù)攻擊內(nèi)網(wǎng)目標(biāo)的中繼站。例如在針對中東最大SWIFT服務(wù)商EastNets的攻擊中�����,美方先后擊穿外部VPN防火墻和內(nèi)網(wǎng)企業(yè)級防火墻�����,并在防火墻上安裝流量轉(zhuǎn)發(fā)木馬��。
4. 人力�����、電磁�����、網(wǎng)空作業(yè)三結(jié)合�。美方將網(wǎng)絡(luò)空間僅視為達(dá)成竊密的通道之一,組合人力手段和電磁手段達(dá)到最優(yōu)攻擊效果。例如ANT裝備中的“水蝮蛇I號”就是一款電磁網(wǎng)空復(fù)合設(shè)備�����,融合了基于USB接口的注入和數(shù)據(jù)無線回傳機(jī)制����,根據(jù)資料,最大通訊距離可達(dá)8英里����。
5. 超強(qiáng)針對物理隔離突破能力。美方基于物流鏈劫持�����、有人帶入等方式����,借助外設(shè)和輔助信號裝置,實現(xiàn)建立橋頭堡�、構(gòu)建第二電磁信道等方式,突破物理隔離網(wǎng)絡(luò)����。例如震網(wǎng)攻擊中,根據(jù)相關(guān)信息��,由荷蘭情報機(jī)構(gòu)人員進(jìn)入到現(xiàn)場將帶有震網(wǎng)病毒的USB設(shè)備接入到隔離內(nèi)網(wǎng)發(fā)起攻擊����。
6. 實施超大規(guī)模惡意代碼工程載荷高度模塊化,載荷框架和加載器部分高度復(fù)雜化對抗分析檢測���,前期投遞載荷僅進(jìn)行有限采集和持久化等行為����,待條件符合遠(yuǎn)程投遞高級載荷才具有針對性的投遞載荷實施攻擊行為��。通過DanderSprit等木馬平臺的結(jié)構(gòu)分析�,以及包括攻擊EastNets等目標(biāo)的過程復(fù)盤,都可以看到這些特點����。
7. 嚴(yán)格的本地和網(wǎng)絡(luò)加密,載荷配置數(shù)據(jù)�、資源、函數(shù)加密對抗反病毒和沙箱檢測�����,網(wǎng)絡(luò)通訊采用非對稱加密。還可以等待網(wǎng)絡(luò)請求激活以對抗網(wǎng)絡(luò)側(cè)檢測�����。從震網(wǎng)到后來的一系列的樣本和分析����,都可以看到加密的普遍應(yīng)用。
8. 廣泛采用無文件實體技術(shù)�,采用直接內(nèi)存加載執(zhí)行或建立隱藏磁盤存儲空間。從分析來看�����,美方基本至少從2008年開始就廣泛采用內(nèi)存木馬不落地技術(shù)�����,同時震網(wǎng)的Loader樣本實現(xiàn)每次落地發(fā)生HASH變化��,使類似文件MD5等威脅情報失效�。
9. 深度隱蔽的持久化能力,固件持久化�����,防火墻�����、郵件網(wǎng)關(guān)持久化�����。例如DanderSprit木馬框架中就包括寫入硬盤固件的組件�����,在攻擊活動中��,選擇符合條件主機(jī)��,將木馬寫入到硬盤固件中�����,這樣即使用戶重新安裝系統(tǒng)�,依然能實現(xiàn)再次激活。
10. 載荷覆蓋所有操作系統(tǒng)平臺����。目前發(fā)現(xiàn)美方攻擊行動中���,已發(fā)現(xiàn)各類操作系統(tǒng)平臺樣本,如Windows��、Linux����、Solaris、Android���、OSX�、iOS等���。這在安天歷史報告《從方程式到方程組》中有完整的披露����。
小結(jié)
網(wǎng)絡(luò)安全防護(hù)工作必須正視威脅���、直面對手�����,要充分認(rèn)識到網(wǎng)絡(luò)安全所面臨風(fēng)險挑戰(zhàn)的高度嚴(yán)峻性��,深入貫徹總體國家安全觀�����,以捍衛(wèi)國家主權(quán)����、安全和發(fā)展利益的高度開展網(wǎng)絡(luò)安全防御工作�。深入分析超高能力網(wǎng)空威脅行為體的組織建制、支撐體系�����、攻擊裝備��、作業(yè)手段����、作業(yè)體系與行動特點,是我們防御工作有的放矢的重要基礎(chǔ)�,是構(gòu)建客觀敵情想定的基礎(chǔ)支撐。將網(wǎng)絡(luò)安全防御工作建立在正確的敵情想定[5]基礎(chǔ)之上����,真正打造動態(tài)綜合有效的網(wǎng)絡(luò)安全防御能力�。
附錄:安天持續(xù)分析美方攻擊組織和攻擊事件情況
安天持續(xù)跟蹤分析美方攻擊組織和相關(guān)事件,2010年以來陸續(xù)發(fā)布相關(guān)發(fā)布分析成果數(shù)十篇[4]��。
2010年安天發(fā)布《對Stuxnet蠕蟲攻擊工業(yè)控制系統(tǒng)事件的綜合報告》[6]��。報告對Stuxnet蠕蟲的攻擊過程��、傳播方式���、攻擊意圖、文件衍生關(guān)系進(jìn)行分析���,分析其利用的多個零日漏洞����,總結(jié)該蠕蟲的攻擊特點���,并給出解決方案�,最后做出評價和思考�。該報告是國內(nèi)較早的通過逆向工程系統(tǒng)分析震網(wǎng)的全面報告,成為國內(nèi)公眾了解Stuxnet蠕蟲攻擊真相和細(xì)節(jié)的重要參考資料�����。同年10月,安天發(fā)布補充分析報告���,指出震網(wǎng)通過U盤的傳播是由包括時間戳和限制條件等七組配置數(shù)據(jù)來決定�,還分析震網(wǎng)通過開啟RPC服務(wù)�、共享服務(wù)和遠(yuǎn)程訪問WinCC系統(tǒng)數(shù)據(jù)庫,來實現(xiàn)在局域網(wǎng)中的傳播與更新����,以及通過劫持DLL來攻擊西門子系統(tǒng)的PLC(可編程邏輯控制器)的行為��,并確定震網(wǎng)注入的PLC代碼只有在某種具體的硬件設(shè)備中才能正常發(fā)揮作用���,這進(jìn)一步表明它的針對性極強(qiáng)����。
圖6‑1 震網(wǎng)模塊分析及擺渡機(jī)理分析
2011年9月�����,安天發(fā)布了《Duqu和Stuxnet同源性分析報告》[6]�,其中對毒曲(Duqu)病毒的模塊結(jié)構(gòu)、編譯器架構(gòu)、關(guān)鍵功能進(jìn)行分析�����,發(fā)現(xiàn)Duqu與Stuxnet相應(yīng)結(jié)構(gòu)和功能具有一定的相似性����,同時在分析Duqu的解密密鑰、反跟蹤手段�����、程序BUG時����,發(fā)現(xiàn)病毒作者編碼心理特點與Stuxnet的邏輯相似。通過在Duqu與Stuxnet樣本中發(fā)現(xiàn)的相同邏輯判斷錯誤�����,由編碼心理學(xué)的方法判斷兩者具有同源性��,發(fā)布了關(guān)于Duqu與Stuxnet同源性的分析報告����,并在《程序員》雜志發(fā)表了相關(guān)文章。
2012年1月,安天微電子與嵌入式安全研發(fā)中心發(fā)布報告《WinCC之后發(fā)生了什么》[6]����,推測震網(wǎng)可能的攻擊場景機(jī)理:假設(shè)離心機(jī)轉(zhuǎn)速采用PID算法實現(xiàn)自動控制,震網(wǎng)蠕蟲攻擊WinCC��,修改數(shù)據(jù)庫中的PID算法相關(guān)參數(shù)��,則離心機(jī)轉(zhuǎn)速就會發(fā)生變化�,甚至導(dǎo)致離心機(jī)轉(zhuǎn)速自動控制失靈,輕則導(dǎo)致離心機(jī)分離功率和分離系數(shù)下降��,分離核燃料級或者武器級鈾235失����。ㄢ235濃度不足)����。
2012年7月安天發(fā)布了近100頁的《Flame蠕蟲樣本集分析報告》[7],但此事分析工作僅覆蓋了不足5%的火焰病毒的模塊�,同時此事也觸發(fā)了安天CERT對這種逐個模塊堆砌式分析的反思。
2015年至2017年����,安天先后發(fā)布四篇關(guān)于方程式組織的系列分析報告中英文雙語版,《修改硬盤固件的木馬——探索方程式(EQUATION)組織的攻擊組件》[8]、《方程式(EQUATION)部分組件中的加密技巧分析》[9]��、《從“方程式”到“方程組”——EQUATION攻擊組織高級惡意代碼的全平臺能力解析》[10]��、《方程式組織EQUATIONDRUG平臺解析》[11]���,在系列報告中��,安天對硬盤固件重新編程機(jī)理和攻擊模塊nls_933w.dll做了詳細(xì)分析��,驗證了超高網(wǎng)空行為體可在一切可持久化場景中實現(xiàn)持久化的能力����、對該組織的本地注冊表數(shù)據(jù)和遠(yuǎn)程通訊數(shù)據(jù)算法進(jìn)行分析����,指出該組織使用修改后的RC對稱算法,并給出了完整的解密算法和密鑰結(jié)構(gòu)和二級密碼表����、解密了該組織的幾乎無死角的、全平臺化攻擊能力��,全球獨家解密了其Linux和Solaris平臺的樣本��、形成了一個方程式組織主機(jī)作業(yè)的模塊積木圖,揭示超高網(wǎng)空威脅行為體的模塊化作業(yè)模式����。至此,基于安天4年的持續(xù)跟蹤與分析���,發(fā)現(xiàn)超高能力網(wǎng)空威脅行為體(方程式組織)的完整作業(yè)能力�����。
2019年���,安天首次介紹了方程式組織對中東金融服務(wù)機(jī)構(gòu)EastNets進(jìn)行攻擊的過程。這是安天將針對方程式組織的歷史分析成果與“影子經(jīng)紀(jì)人”泄露資料相結(jié)合形成的新的分析成果�����。同年���,安天正式發(fā)布《“方程式組織”攻擊SWIFT服務(wù)提供商EastNets事件復(fù)盤分析報告》[12],報告精準(zhǔn)還原了受到攻擊影響的IT資產(chǎn)全景和拓?fù)潢P(guān)系����,完整再現(xiàn)了殺傷鏈的全過程����,詳盡梳理了行動中使用的武器和作業(yè)流程�,并以可視化方式予以復(fù)現(xiàn)。
圖6‑3 “方程式組織”對EastNets網(wǎng)絡(luò)的總體攻擊過程復(fù)盤
圖6‑4 安天態(tài)勢感知平臺可視化組件對攻擊行動的復(fù)現(xiàn)演示
(詳細(xì)復(fù)現(xiàn)視頻請查看:http://www.antiy.cn/video/20190531/lup.mp4)
2019年9月30日�����,安天發(fā)布長篇報告《震網(wǎng)事件的九年再復(fù)盤與思考》[13]���,在報告中�����,安天詳細(xì)比較了震網(wǎng)各版本特點和作用機(jī)理�����、分析了相關(guān)高級惡意代碼工程框架和震網(wǎng)���、毒曲、火焰和后期方程式組織所使用惡意代碼間的關(guān)聯(lián)�。梳理了震網(wǎng)事件完整時間軸、震網(wǎng)整體結(jié)構(gòu)和運行邏輯�、以及震網(wǎng)存在大量樣本的原因�����。反思了當(dāng)前網(wǎng)絡(luò)安全中檢測引擎與威脅情報面臨APT的挑戰(zhàn)�,并思考了如何建立起更可靠的基礎(chǔ)標(biāo)識能力與響應(yīng)機(jī)制���、更有效的支撐TTP����、更可靠的組織相關(guān)的情報�、更完善的知識工程運營體系,以應(yīng)對A2PT組織發(fā)起的高級網(wǎng)空威脅����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
