近日,，國家計(jì)算機(jī)病毒應(yīng)急處理中心對美國家安全局（NSA）“酸狐貍”漏洞攻擊武器平臺（FoxAcid）進(jìn)行了技術(shù)分析,。

　　該漏洞攻擊武器平臺是美國國家安全局（NSA）特定入侵行動辦公室（TAO，也被稱為“接入技術(shù)行動處”）對他國開展網(wǎng)絡(luò)間諜行動的重要陣地基礎(chǔ)設(shè)施,，并成為計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)（CNE）的主力裝備,。該漏洞攻擊武器平臺曾被用于多起臭名昭著的網(wǎng)絡(luò)攻擊事件。

　　近期,，中國多家科研機(jī)構(gòu)先后發(fā)現(xiàn)了一款名為“驗(yàn)證器”（Validator）木馬的活動痕跡,，該惡意程序據(jù)信是NSA“酸狐貍”漏洞攻擊武器平臺默認(rèn)使用的標(biāo)配后門惡意程序。這種情況突出表明,，上述單位曾經(jīng)遭受過美國NSA“酸狐貍”漏洞攻擊武器平臺的網(wǎng)絡(luò)攻擊,。

　　一、基本情況

　　“酸狐貍”漏洞攻擊武器平臺（FoxAcid）（以下簡稱“酸狐貍平臺”）是特定入侵行動辦公室（TAO）打造的一款中間人劫持漏洞攻擊平臺,，能夠在具備會話劫持等中間人攻擊能力的前提下,，精準(zhǔn)識別被攻擊目標(biāo)的版本信息，自動化開展遠(yuǎn)程漏洞攻擊滲透,，向目標(biāo)主機(jī)植入木馬,、后門。特定入侵行動辦公室（TAO）主要使用該武器平臺對受害單位辦公內(nèi)網(wǎng)實(shí)施中間人攻擊,，突破控制其辦公網(wǎng)主機(jī),。

　　該武器平臺主要被特定入侵行動辦公室（TAO）用于突破控制位于受害單位辦公內(nèi)網(wǎng)的主機(jī)系統(tǒng)，并向其植入各類木馬,、后門等以實(shí)現(xiàn)持久化控制,。酸狐貍平臺采用分布式架構(gòu)，由多臺服務(wù)器組成,，按照任務(wù)類型進(jìn)行分類,，包括：垃圾釣魚郵件、中間人攻擊,、后滲透維持等,。其中特定入侵行動辦公室還針對中國和俄羅斯目標(biāo)設(shè)置了專用的酸狐貍平臺服務(wù)器。

　　二,、具體功能

　　酸狐貍平臺一般結(jié)合“QUANTUM（量子）”和“SECONDDATE（二次約會）”等中間人攻擊武器使用,，對攻擊目標(biāo)實(shí)施網(wǎng)絡(luò)流量劫持并插入惡意XSS腳本，根據(jù)任務(wù)類型和實(shí)際需求,，XSS腳本的漏洞利用代碼可能來自一個或多個酸狐貍平臺服務(wù)器,。該漏洞攻擊武器平臺集成了各種主流瀏覽器的零日（0day）漏洞，可智能化配置漏洞載荷針對IE,、火狐,、蘋果Safari,、安卓Webkit等多平臺上的主流瀏覽器開展遠(yuǎn)程漏洞溢出攻擊。攻擊過程中該平臺結(jié)合各類信息泄露漏洞對目標(biāo)系統(tǒng)實(shí)施環(huán)境探測,，并依據(jù)探測結(jié)果對漏洞載荷進(jìn)行匹配篩選,，選擇合適的漏洞開展攻擊。如果目標(biāo)價(jià)值很高,，且目標(biāo)系統(tǒng)版本較新,、補(bǔ)丁較全，該平臺會選擇利用高價(jià)值零日漏洞實(shí)施攻擊,；相反,，如果目標(biāo)價(jià)值較低且系統(tǒng)版本老舊，該平臺會選擇較低價(jià)值的漏洞甚至已公開漏洞實(shí)施攻擊,。一旦漏洞被觸發(fā)并符合入侵條件,，就會向目標(biāo)植入間諜軟件，獲取目標(biāo)系統(tǒng)的控制權(quán),，從而實(shí)現(xiàn)對目標(biāo)的長期監(jiān)視,、控制和竊密。

　　三,、技術(shù)分析

　?。ㄒ唬┘夹g(shù)架構(gòu)

　　酸狐貍平臺服務(wù)器采用微軟公司的Windows 2003 Server和IIS作為基礎(chǔ)操作系統(tǒng)和Web應(yīng)用服務(wù)器。通常部署于具有獨(dú)立IP地址的專用服務(wù)器上,，對目標(biāo)系統(tǒng)進(jìn)行攻擊篩選以及漏洞載荷分發(fā),，完成對目標(biāo)的攻擊過程，其攻擊范圍包括Windows,、Linux,、Solaris、Macintosh各類桌面系統(tǒng)及Windows phone,、蘋果,、安卓等移動終端。     

      酸狐貍平臺服務(wù)器之間采用美國國家安全局（NSA）的CDR加密數(shù)據(jù)傳輸規(guī)則,，并采用分布式架構(gòu),，底層服務(wù)器將截獲的數(shù)據(jù)加密后向頂層匯聚，頂層服務(wù)器解密后按照一定的文件結(jié)構(gòu)存放,，以便采用Foxsearch等情報(bào)檢索工具進(jìn)行檢索,。完整的酸狐貍平臺服務(wù)器由三部分組成，即：基礎(chǔ)服務(wù)軟件（基于Perl腳本開發(fā)）,、插件和惡意程序載荷（Payload）,。     

       酸狐貍平臺主要以中間人攻擊方式投遞漏洞載荷。該武器平臺根據(jù)目標(biāo)設(shè)備信息進(jìn)行自動化的無感植入，具體步驟如下：

1.目標(biāo)網(wǎng)絡(luò)會話被重定向劫持之后,，該武器平臺的信息搜集模塊首先利用信息泄露手段獲取目標(biāo)設(shè)備信息,；

2.根據(jù)獲取的信息匹配篩選符合攻擊條件的漏洞載荷，并將載荷嵌入到請求響應(yīng)頁面中實(shí)現(xiàn)自動化投遞,；

3.判斷漏洞攻擊的結(jié)果是否成功，并根據(jù)返回信息向目標(biāo)系統(tǒng)上傳指定類型的持久化載荷,。    

為實(shí)施上述攻擊過程,，酸狐貍平臺提供了自定義邏輯接口，特定入侵行動辦公室的計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)成員可以在服務(wù)器上配置一系列過濾器規(guī)則,，對來自受害者的網(wǎng)絡(luò)請求進(jìn)行處理,，具體包括：

1.復(fù)寫器（Modrewrite），替換請求中的指定資源,；

2.前置過濾器（PreFilter）,，根據(jù)受害者請求特征判斷是否是攻擊對象，如果不是則反饋HTTP狀態(tài)碼404或200（并指向特定資源）,；如果受害者屬于攻擊對象范圍,，則傳遞給漏洞利用模塊，并由漏洞利用模塊自動選擇相應(yīng)漏洞進(jìn)行攻擊,；

3.后置過濾器（PostFilter）,，漏洞攻擊成功后，根據(jù)偵查到的目標(biāo)主機(jī)信息（包括：軟硬件環(huán)境信息,、進(jìn)程信息等）判斷是否符合下一步進(jìn)行植入操作的條件,，對于符合植入條件的目標(biāo)，可指定向目標(biāo)植入的惡意程序載荷（Payload）,。

　?。ǘ┲饕δ芙M件

　　1.項(xiàng)目跟蹤器（Project Tracker）

　　計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)使用項(xiàng)目跟蹤器管理所有使用酸狐貍平臺的行動任務(wù)，采用PHP+Javascript編寫,，提供非常簡潔的Web管理界面,，行動隊(duì)成員通過背景色了解自己的權(quán)限，背景色為紅色代表只有只讀權(quán)限,，綠色代表具有修改權(quán)限,，黑色為管理員權(quán)限。行動隊(duì)成員通過項(xiàng)目跟蹤器可以完成的功能包括：管理現(xiàn)有行動任務(wù),、添加過濾器,、增加新任務(wù)、增加新服務(wù)器,、增加服務(wù)器IP地址,、查看近三日內(nèi)即將啟動或完成的任務(wù)等。

　　2.標(biāo)簽編輯器（Tag Maker）

　　計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)可使用標(biāo)簽編輯器為指定任務(wù)下的服務(wù)器添加標(biāo)簽（Tag），每個標(biāo)簽對應(yīng)一套攻擊技戰(zhàn)術(shù),，使用者可配置標(biāo)簽的TLN,、HMAC、MSGID等唯一性標(biāo)識,，其中MSGID與特定的攻擊工具相關(guān),，如：針對路由器、防火墻等植入的間諜軟件SECONDDATE對應(yīng)的MSGID為“ace02468bdf13579”,。此外,，標(biāo)簽還可以指定植入方式，不同的惡意負(fù)載根據(jù)其特性應(yīng)對應(yīng)選擇不同的植入方式,，如：SECONDDATE或MAGICBEAN應(yīng)采用“WEB”植入方式,，YATCHSHOP應(yīng)采用“SPAM”方式，QUANTUMINSERT則應(yīng)采用“QI”方式,。

　　3.SECONDDATE任務(wù)自動化腳本工具“FABULOUSFABLE”

　　SECONDDATE是CNE行動隊(duì)通過酸狐貍平臺進(jìn)行分發(fā)的主要惡意植入體之一,，因此酸狐貍平臺提供了專門為SECONDDATE設(shè)計(jì)的自動化任務(wù)腳本工具“FABULOUSFABLE”（簡稱“FABFAB”）。FABFAB可以代替行動隊(duì)人員與SECONDDATE植入體交互,，并按照事先設(shè)定好的邏輯,，自動化分發(fā)規(guī)則，并收集規(guī)則執(zhí)行日志和相關(guān)回傳數(shù)據(jù),。

　　4.標(biāo)簽替換器（MODREWRITES）

　　標(biāo)簽替換器是酸狐貍平臺的核心組件之一,，通過標(biāo)簽替換器，計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)可以任意替換被其劫持的網(wǎng)絡(luò)流量中的資源,，標(biāo)簽替換器的規(guī)則采用XML格式編寫,，與過濾器相同。如圖1所示,，一旦流量中的資源路徑與規(guī)則特征相匹配,，則會被替換。

　　實(shí)際上,，標(biāo)簽替換器規(guī)則還支持對路徑或資源中的部分字符串進(jìn)行替換,，具有較好的適應(yīng)性和可擴(kuò)展性。

　　5.白名單規(guī)則（CASTLECREEK Whitelist）

　　白名單規(guī)則基于后置過濾器,，可以對指定IP地址的主機(jī)植入指定的惡意負(fù)載,，規(guī)則樣例如圖2所示。

　　6.封裝器（Wrappers）

　　封裝器主要用于輔助后續(xù)植入的惡意負(fù)載實(shí)現(xiàn)持久化駐留,。其中一種封裝器名為DireScallop,，專門針對名為DeepFreeze的系統(tǒng)還原工具，該工具多用于網(wǎng)吧中并實(shí)現(xiàn)計(jì)算機(jī)重啟后對系統(tǒng)進(jìn)行自動還原,，DireScallop可以在不重啟的條件下中止DeepFreeze運(yùn)行,，植入惡意負(fù)載后再重新啟用DeepFreeze,，使惡意負(fù)載被記錄在還原鏡像中，以實(shí)現(xiàn)目標(biāo)主機(jī)重啟后仍可保持惡意負(fù)載的可用性,。

　?。ㄈ┲踩氲闹饕獝阂庳?fù)載

　　1.SECONDDATE（二次約會）

　　針對路由器和防火墻的間諜惡意程序，可在網(wǎng)絡(luò)設(shè)備中潛伏并根據(jù)酸狐貍平臺組件分發(fā)的規(guī)則對網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行竊密,、劫持,、替換等惡意操作。

　　2.Validator

　　Validator是酸狐貍平臺默認(rèn)使用的后門惡意程序,，可實(shí)現(xiàn)對目標(biāo)的長期控制,。

　　3.MistyVeal

　　MistyVeal是Validator后門的增強(qiáng)版，并且可以配置為按細(xì)粒度遞增時間間隔進(jìn)行回聯(lián),，以逃避特征檢測。并且會利用IE瀏覽器作為回聯(lián)的渠道,，并可復(fù)用IE瀏覽器的代理服務(wù)器設(shè)置,，且僅對IE瀏覽器有效。

　　4.Ferret Cannon

　　Ferret Cannon是可執(zhí)行程序投送器,，借助Ferret Cannon,，酸狐貍平臺可以目標(biāo)投送多種間諜軟件工具，如：United Rake,，Peddle Cheap,，PktWench和Beach Head等，可執(zhí)行程序可以是.dll或.exe文件,。

　　04 運(yùn)作方式

　　基于美國國家安全局（NSA）前雇員斯諾登公開的資料,，我們可以部分分析出酸狐貍平臺的運(yùn)作方式如下：

（一）人員編制    特定入侵行動辦公室的計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)中會設(shè)置一名或多名酸狐貍項(xiàng)目教官，這些教官可以領(lǐng)導(dǎo)一個或多個酸狐貍行動組,，行動組中包括多名計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)隊(duì)員,，分別負(fù)責(zé)直接支援特定的網(wǎng)絡(luò)入侵行動、維護(hù)酸狐貍服務(wù)器,、軟件等基礎(chǔ)設(shè)施以及根據(jù)任務(wù)需要開發(fā)和測試新的插件,、漏洞利用代碼、輔助入侵工具和木馬后門等惡意負(fù)載,。

（二）陣地基礎(chǔ)設(shè)施建設(shè)    如圖3所示,，特定入侵行動辦公室在全球范圍內(nèi)部署酸狐貍平臺服務(wù)器，其中編號前綴為XS的服務(wù)器是統(tǒng)籌多項(xiàng)任務(wù)的主服務(wù)器,，值得注意的是編號為XS11的服務(wù)器明確被分配給英國情報(bào)機(jī)構(gòu)“英國政府通信總部”（GCHQ）開展中間人攻擊行動,；編號為FOX00-60XX系列的酸狐貍平臺服務(wù)器用于支援垃圾釣魚郵件行動，服務(wù)器按照目標(biāo)所在區(qū)域進(jìn)行了分布式部署,，包括中東地區(qū),、亞洲地區(qū)、歐洲地區(qū)、俄羅斯和其他特定區(qū)域,；編號為FOX00-61XX系列的服務(wù)器則用于支援中間人攻擊行動,，服務(wù)器分布與FOX00-60XX系列相同；值得注意的是,，編號為FOX00-64XX系列的服務(wù)器用于支援計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)漏洞攻擊行動,，其中編號為FOX00-6401的服務(wù)器專門針對中國，F(xiàn)OX00-6402號服務(wù)器針對俄羅斯,，F(xiàn)OX00-6403號服務(wù)器則針對其他目標(biāo),。另外，F(xiàn)OX00-6300號服務(wù)器可能被用于代號為“ENCHANTED”的攻擊行動,。

（三）攻擊實(shí)例

1. 案例1

   
   

　　如圖4所展示的酸狐貍平臺服務(wù)器上的過濾器規(guī)則片段,，可以判斷該服務(wù)器主要針對中國的主機(jī)目標(biāo)進(jìn)行攻擊，過濾器中重點(diǎn)針對目標(biāo)環(huán)境中的卡巴斯基殺毒軟件,、瑞星殺毒軟件,、江民殺毒軟件等中國地區(qū)流行的殺毒軟件進(jìn)程進(jìn)行了匹配并進(jìn)行了可植入條件判斷。

2.案例2

　　如圖5所展示的服務(wù)器上的過濾器規(guī)則片段,，可以判斷該FA服務(wù)器被用于攻擊IP地址“203.99.164[.]199”的目標(biāo),，并將向目標(biāo)植入前文中提到的FerrentCannon惡意負(fù)載，從而進(jìn)一步向目標(biāo)投送其他間諜軟件,。經(jīng)查,，IP地址“203.99.164[.]199”歸屬于巴基斯坦電信公司。

　　總結(jié)

　　上述技術(shù)分析表明,，美國NSA“酸狐貍”漏洞攻擊武器平臺仍是目前美國政府的主戰(zhàn)網(wǎng)絡(luò)武器之一,，有三點(diǎn)結(jié)論值得國際社會嚴(yán)密關(guān)注：一是該漏洞利用平臺是美國國家安全局NSA特定入侵行動辦公室（TAO）下屬計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)的主戰(zhàn)裝備，在計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)單獨(dú)或配合進(jìn)行的網(wǎng)絡(luò)入侵行動中得到廣泛應(yīng)用,，攻擊范圍覆蓋全球,，其中中國和俄羅斯是重點(diǎn)目標(biāo)。二是該武器平臺采用了高度模塊化結(jié)構(gòu),，具有較高的可擴(kuò)展性,，同時可以與特定入侵行動辦公室的項(xiàng)目管理工具高度集成，實(shí)現(xiàn)高效跨行動支援,。三是支持跨平臺攻擊,，與特定入侵行動辦公室（TAO）的其他網(wǎng)絡(luò)武器進(jìn)行集成后，其幾乎可以攻擊所有具有網(wǎng)絡(luò)連接功能的設(shè)備,，是名副其實(shí)的網(wǎng)絡(luò)“黑洞”,。

　　中國國家計(jì)算機(jī)病毒應(yīng)急處理中心對全球互聯(lián)網(wǎng)用戶發(fā)出預(yù)警，中國的科研機(jī)構(gòu)絕不是受到NSA網(wǎng)絡(luò)攻擊的唯一目標(biāo),，全球范圍內(nèi)的政府機(jī)構(gòu),、科研機(jī)構(gòu)和商業(yè)企業(yè),，都可能正在被酸狐貍平臺遠(yuǎn)程控制，平時遠(yuǎn)程竅取重要數(shù)據(jù),，戰(zhàn)時癱瘓重要信息基礎(chǔ)設(shè)施,，為美國式的“顏色革命”鋪平道路。