《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 國家計算機(jī)病毒應(yīng)急處理中心披露美國安局網(wǎng)絡(luò)間諜裝備,!

國家計算機(jī)病毒應(yīng)急處理中心披露美國安局網(wǎng)絡(luò)間諜裝備,!

2022-03-18
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 網(wǎng)絡(luò)間諜

  “NOPEN”遠(yuǎn)控木馬分析報告

  近日,,國家計算機(jī)病毒應(yīng)急處理中心對名為“NOPEN”的木馬工具進(jìn)行了攻擊場景復(fù)現(xiàn)和技術(shù)分析。該木馬工具針對Unix/Linux平臺,,可實現(xiàn)對目標(biāo)的遠(yuǎn)程控制。根據(jù)“影子經(jīng)紀(jì)人”泄露的NSA內(nèi)部文件,,該木馬工具為美國國家安全局開發(fā)的網(wǎng)絡(luò)武器,。“NOPEN”木馬工具是一款功能強(qiáng)大的綜合型木馬工具,,也是美國國家安全局接入技術(shù)行動處(TAO)對外攻擊竊密所使用的主戰(zhàn)網(wǎng)絡(luò)武器之一,。

  一,、基本情況

  “NOPEN”木馬工具為針對Unix/Linux系統(tǒng)的遠(yuǎn)程控制工具,主要用于文件竊取,、系統(tǒng)提權(quán),、網(wǎng)絡(luò)通信重定向以及查看目標(biāo)設(shè)備信息等,是TAO遠(yuǎn)程控制受害單位內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)的主要工具,。通過技術(shù)分析,,我單位認(rèn)為,“NOPEN”木馬工具編碼技術(shù)復(fù)雜,、功能全面,、隱蔽性強(qiáng)、適配多種處理器架構(gòu)和操作系統(tǒng),,并且采用了插件式結(jié)構(gòu),,可以與其他網(wǎng)絡(luò)武器或攻擊工具進(jìn)行交互和協(xié)作,是典型的用于網(wǎng)絡(luò)間諜活動的武器工具,。

  二,、具體功能

  “NOPEN”木馬工具包含客戶端“noclient”和服務(wù)端“noserver”兩部分,客戶端會采取發(fā)送激活包的方式與服務(wù)端建立連接,,使用RSA算法進(jìn)行秘鑰協(xié)商,,使用RC6算法加密通信流量。

  該木馬工具設(shè)計復(fù)雜,,支持功能眾多,,主要包括以下功能:內(nèi)網(wǎng)端口掃描、端口復(fù)用,、建立隧道,、文件處理(上傳、下載,、刪除,、重命名、計算校驗值),、目錄遍歷,、郵件獲取、環(huán)境變量設(shè)置,、進(jìn)程獲取,、自毀消痕等。

  三,、技術(shù)分析

  經(jīng)技術(shù)分析與研判,,該木馬工具針對Unix/Linux平臺,可在主控端和受控端之間建立隱蔽加密信道,,攻擊者可通過向目標(biāo)發(fā)送遠(yuǎn)程指令,,實現(xiàn)遠(yuǎn)程獲取目標(biāo)主機(jī)環(huán)境信息,、上傳/下載/創(chuàng)建/修改/刪除文件、遠(yuǎn)程執(zhí)行命令,、網(wǎng)絡(luò)流量代理轉(zhuǎn)發(fā),、內(nèi)網(wǎng)掃描、竊取電子郵件信息,、自毀等惡意功能,。該木馬工具包含主控端(Client)和受控端(Server)兩個部分,具體分析結(jié)果如下:

 ?。ㄒ唬┲骺囟斯δ芊治?/p>

  文件名:Noclient

  MD5:188974cea8f1f4bb75e53d490954c569

  SHA-1:a84ac3ea04f28ff1a2027ee0097f69511af0ed9d

  SHA-256:ed2c2d475977c78de800857d3dddc739

  57d219f9bb09a9e8390435c0b6da21ac

  文件大?。?41.2KB(241192 字節(jié))

  文件類型:ELF32

  文件最后修改時間:2011-12-8 19:07:48

  支持處理器架構(gòu):i386, i486, i586, i686, sparc, alpha, x86_64, amd64

  支持操作系統(tǒng):FreeBSD、SunOS,、HP-UX,、Solaris、Linux

  主控端的主要功能是連接受控端和向受控端發(fā)送指令并接收受控端回傳的信息:

  1,、連接目標(biāo)受控端

  主控端通過以下命令行連接目標(biāo)受控端:

  noclient [參數(shù)1:目標(biāo)主機(jī)IP地址]:[端口號(默認(rèn)為32754)]

  連接成功后會組合采用RC6+RSA加密算法,,在主控端與受控端之間建立加密信道。并回顯主控端與被控端基本信息,,包括:IP地址和端口號,、軟件版本、當(dāng)前工作目錄,、進(jìn)程號(PID)、操作系統(tǒng)版本和內(nèi)核版本,、日期時間等,。同時主控端建立監(jiān)聽端口(默認(rèn)為1025),接受受控端的反向連接,。

  2,、命令控制

  主控端與被控端成功建立連接后,攻擊者可通過主控端控制臺向受控端發(fā)送指令,,該木馬工具提供的指令非常豐富,。開發(fā)者還給出了詳細(xì)的指令幫助說明。

  其中遠(yuǎn)程控制指令如下所示:

  -elevate:提升權(quán)限

  -getenv:獲取環(huán)境變量

  -gs:未知

  -setenv:設(shè)置環(huán)境變量

  -shell:返回命令行接口

  -status:查看當(dāng)前連接狀態(tài),、本地與遠(yuǎn)程主機(jī)環(huán)境信息

  -time:查看本地與遠(yuǎn)程主機(jī)的日期,、時間和時區(qū)信息

  -burn:終止控制并關(guān)閉遠(yuǎn)程進(jìn)程

  -call ip port:設(shè)置回連IP地址和端口號

  -listen port:設(shè)置監(jiān)聽端口號

  -pid:查看遠(yuǎn)程受控端進(jìn)程ID

  -icmptimetarget_ip [source_ip]:遠(yuǎn)程Ping目標(biāo)地址,查看時延

  -ifconfig:查看遠(yuǎn)程主機(jī)的IP地址設(shè)置和MAC地址

  -nslookup:遠(yuǎn)程對指定域名進(jìn)行解析

  -ping:遠(yuǎn)程Ping目標(biāo)地址,,用于內(nèi)網(wǎng)探測

  -trace:遠(yuǎn)程traceroute

  -fixudp port:指定UDP傳輸端口

  另外,,還有一些隱藏指令并沒有被在控制臺幫助中列出,如“-hammy”,、“-trigger”,、“-triggerold”和“-sniff”等,。經(jīng)研判可能是與其他網(wǎng)絡(luò)武器或攻擊工具之間的功能調(diào)用接口。

 ?。ǘ┦芸囟斯δ芊治?/p>

  文件名:noserver_linux

  MD5:9081d61fabeb9919e4e3fa84227999db

  SHA-1:0274bd33c2785d4e497b6ba49f5485caa52a0855

  SHA-256:4acc94c6be340fb8ef4133912843aa0e

  4ece01d8d371209a01ccd824f519a9ca

  文件大?。?57KB(356996 字節(jié))

  文件類型:ELF32

  文件最后修改時間:2011-12-8 19:07:48

  受控端被加載運(yùn)行后會默認(rèn)監(jiān)聽32754端口。

  受控端程序為了干擾和對抗分析,,進(jìn)行了去符號操作,,結(jié)合代碼功能,分析受控端程序的主要功能如下所示:

  1.KillProc,、kill:終止指定進(jìn)程

  2.Chmod:為指定對象賦權(quán)限

  3.GetCWD:獲得當(dāng)前工作目錄

  4.GetPid:獲得當(dāng)前進(jìn)程ID

  5.DeleteFile_Dir:刪除指定文件或目錄

  6.GetFileMD5:獲得指定文件MD5摘要

  7.GetPCInfo:獲得所在主機(jī)環(huán)境信息

  8.Recv:上傳,、下載數(shù)據(jù)

  9.Connect:建立socket連接

  受控端根據(jù)主控端指令組合調(diào)用相應(yīng)模塊執(zhí)實現(xiàn)相關(guān)惡意操作。

  四,、使用環(huán)境

  “NOPEN”木馬工具支持在Linux,、FreeBSD、SunOS,、Solaris,、JUNOS和HP-UX等各類操作系統(tǒng)上運(yùn)行,同時兼容i386,、i486,、i586、i686,、i86pc,、i86、SPARC,、Alpha,、x86_64、PPC,、MIPS,、ARM以及AMD64等多種體系架構(gòu),適用范圍較廣,。根據(jù)監(jiān)控情況,,該木馬工具主要用于在受害單位內(nèi)網(wǎng)中執(zhí)行各類攻擊指令,結(jié)合其他取情,、嗅探工具,,級聯(lián)竊取核心數(shù)據(jù)。

  五,、植入方式

  “NOPEN”木馬工具支持多種植入運(yùn)行方式,,包括手動植入、工具植入、自動化植入等,,其中最常見的植入方式是結(jié)合遠(yuǎn)程漏洞攻擊自動化植入至目標(biāo)系統(tǒng)中,,以便規(guī)避各種安全防護(hù)機(jī)制。此外,,TAO還研發(fā)了一款名為Packrat的工具,,可用于輔助植入“NOPEN”木馬工具,其主要功能為對“NOPEN”木馬工具進(jìn)行壓縮,、編碼,、上傳和啟動。

  六,、使用控制方式

  “NOPEN”木馬工具主要包括8個功能模塊,,每個模塊支持多個命令操作,TAO主要使用該武器對受害機(jī)構(gòu)網(wǎng)絡(luò)內(nèi)部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò)設(shè)備實施持久化控制,。其主要使用方式為:攻擊者首先向安裝有“NOPEN”木馬工具的網(wǎng)內(nèi)主機(jī)或設(shè)備發(fā)送特殊定制的激活包,,“NOPEN”木馬工具被激活后回連至控制端,加密連接建立后,,控制端發(fā)送各類指令操作“NOPEN”木馬工具實施網(wǎng)內(nèi)滲透,、數(shù)據(jù)竊取、其他武器上傳等后續(xù)攻擊竊密行為,。




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。