信息來源:安全內(nèi)參
“NOPEN”遠(yuǎn)控木馬分析報告
近日,國家計算機病毒應(yīng)急處理中心對名為“NOPEN”的木馬工具進(jìn)行了攻擊場景復(fù)現(xiàn)和技術(shù)分析。該木馬工具針對Unix/Linux平臺,可實現(xiàn)對目標(biāo)的遠(yuǎn)程控制。根據(jù)“影子經(jīng)紀(jì)人”泄露的NSA內(nèi)部文件,該木馬工具為美國國家安全局開發(fā)的網(wǎng)絡(luò)武器?!癗OPEN”木馬工具是一款功能強大的綜合型木馬工具,也是美國國家安全局接入技術(shù)行動處(TAO)對外攻擊竊密所使用的主戰(zhàn)網(wǎng)絡(luò)武器之一。
一、基本情況
“NOPEN”木馬工具為針對Unix/Linux系統(tǒng)的遠(yuǎn)程控制工具,主要用于文件竊取、系統(tǒng)提權(quán)、網(wǎng)絡(luò)通信重定向以及查看目標(biāo)設(shè)備信息等,是TAO遠(yuǎn)程控制受害單位內(nèi)部網(wǎng)絡(luò)節(jié)點的主要工具。通過技術(shù)分析,我單位認(rèn)為,“NOPEN”木馬工具編碼技術(shù)復(fù)雜、功能全面、隱蔽性強、適配多種處理器架構(gòu)和操作系統(tǒng),并且采用了插件式結(jié)構(gòu),可以與其他網(wǎng)絡(luò)武器或攻擊工具進(jìn)行交互和協(xié)作,是典型的用于網(wǎng)絡(luò)間諜活動的武器工具。
二、具體功能
“NOPEN”木馬工具包含客戶端“noclient”和服務(wù)端“noserver”兩部分,客戶端會采取發(fā)送激活包的方式與服務(wù)端建立連接,使用RSA算法進(jìn)行秘鑰協(xié)商,使用RC6算法加密通信流量。
該木馬工具設(shè)計復(fù)雜,支持功能眾多,主要包括以下功能:內(nèi)網(wǎng)端口掃描、端口復(fù)用、建立隧道、文件處理(上傳、下載、刪除、重命名、計算校驗值)、目錄遍歷、郵件獲取、環(huán)境變量設(shè)置、進(jìn)程獲取、自毀消痕等。
三、技術(shù)分析
經(jīng)技術(shù)分析與研判,該木馬工具針對Unix/Linux平臺,可在主控端和受控端之間建立隱蔽加密信道,攻擊者可通過向目標(biāo)發(fā)送遠(yuǎn)程指令,實現(xiàn)遠(yuǎn)程獲取目標(biāo)主機環(huán)境信息、上傳/下載/創(chuàng)建/修改/刪除文件、遠(yuǎn)程執(zhí)行命令、網(wǎng)絡(luò)流量代理轉(zhuǎn)發(fā)、內(nèi)網(wǎng)掃描、竊取電子郵件信息、自毀等惡意功能。該木馬工具包含主控端(Client)和受控端(Server)兩個部分,具體分析結(jié)果如下:
(一)主控端功能分析
文件名:Noclient
MD5:188974cea8f1f4bb75e53d490954c569
SHA-1:a84ac3ea04f28ff1a2027ee0097f69511af0ed9d
SHA-256:ed2c2d475977c78de800857d3dddc739
57d219f9bb09a9e8390435c0b6da21ac
文件大?。?41.2KB(241192 字節(jié))
文件類型:ELF32
文件最后修改時間:2011-12-8 19:07:48
支持處理器架構(gòu):i386, i486, i586, i686, sparc, alpha, x86_64, amd64
支持操作系統(tǒng):FreeBSD、SunOS、HP-UX、Solaris、Linux
主控端的主要功能是連接受控端和向受控端發(fā)送指令并接收受控端回傳的信息:
1、連接目標(biāo)受控端
主控端通過以下命令行連接目標(biāo)受控端:
noclient [參數(shù)1:目標(biāo)主機IP地址]:[端口號(默認(rèn)為32754)]
連接成功后會組合采用RC6+RSA加密算法,在主控端與受控端之間建立加密信道。并回顯主控端與被控端基本信息,包括:IP地址和端口號、軟件版本、當(dāng)前工作目錄、進(jìn)程號(PID)、操作系統(tǒng)版本和內(nèi)核版本、日期時間等。同時主控端建立監(jiān)聽端口(默認(rèn)為1025),接受受控端的反向連接。
2、命令控制
主控端與被控端成功建立連接后,攻擊者可通過主控端控制臺向受控端發(fā)送指令,該木馬工具提供的指令非常豐富。開發(fā)者還給出了詳細(xì)的指令幫助說明。
其中遠(yuǎn)程控制指令如下所示:
-elevate:提升權(quán)限
-getenv:獲取環(huán)境變量
-gs:未知
-setenv:設(shè)置環(huán)境變量
-shell:返回命令行接口
-status:查看當(dāng)前連接狀態(tài)、本地與遠(yuǎn)程主機環(huán)境信息
-time:查看本地與遠(yuǎn)程主機的日期、時間和時區(qū)信息
-burn:終止控制并關(guān)閉遠(yuǎn)程進(jìn)程
-call ip port:設(shè)置回連IP地址和端口號
-listen port:設(shè)置監(jiān)聽端口號
-pid:查看遠(yuǎn)程受控端進(jìn)程ID
-icmptimetarget_ip [source_ip]:遠(yuǎn)程Ping目標(biāo)地址,查看時延
-ifconfig:查看遠(yuǎn)程主機的IP地址設(shè)置和MAC地址
-nslookup:遠(yuǎn)程對指定域名進(jìn)行解析
-ping:遠(yuǎn)程Ping目標(biāo)地址,用于內(nèi)網(wǎng)探測
-trace:遠(yuǎn)程traceroute
-fixudp port:指定UDP傳輸端口
另外,還有一些隱藏指令并沒有被在控制臺幫助中列出,如“-hammy”、“-trigger”、“-triggerold”和“-sniff”等。經(jīng)研判可能是與其他網(wǎng)絡(luò)武器或攻擊工具之間的功能調(diào)用接口。
(二)受控端功能分析
文件名:noserver_linux
MD5:9081d61fabeb9919e4e3fa84227999db
SHA-1:0274bd33c2785d4e497b6ba49f5485caa52a0855
SHA-256:4acc94c6be340fb8ef4133912843aa0e
4ece01d8d371209a01ccd824f519a9ca
文件大?。?57KB(356996 字節(jié))
文件類型:ELF32
文件最后修改時間:2011-12-8 19:07:48
受控端被加載運行后會默認(rèn)監(jiān)聽32754端口。
受控端程序為了干擾和對抗分析,進(jìn)行了去符號操作,結(jié)合代碼功能,分析受控端程序的主要功能如下所示:
1.KillProc、kill:終止指定進(jìn)程
2.Chmod:為指定對象賦權(quán)限
3.GetCWD:獲得當(dāng)前工作目錄
4.GetPid:獲得當(dāng)前進(jìn)程ID
5.DeleteFile_Dir:刪除指定文件或目錄
6.GetFileMD5:獲得指定文件MD5摘要
7.GetPCInfo:獲得所在主機環(huán)境信息
8.Recv:上傳、下載數(shù)據(jù)
9.Connect:建立socket連接
受控端根據(jù)主控端指令組合調(diào)用相應(yīng)模塊執(zhí)實現(xiàn)相關(guān)惡意操作。
四、使用環(huán)境
“NOPEN”木馬工具支持在Linux、FreeBSD、SunOS、Solaris、JUNOS和HP-UX等各類操作系統(tǒng)上運行,同時兼容i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、PPC、MIPS、ARM以及AMD64等多種體系架構(gòu),適用范圍較廣。根據(jù)監(jiān)控情況,該木馬工具主要用于在受害單位內(nèi)網(wǎng)中執(zhí)行各類攻擊指令,結(jié)合其他取情、嗅探工具,級聯(lián)竊取核心數(shù)據(jù)。
五、植入方式
“NOPEN”木馬工具支持多種植入運行方式,包括手動植入、工具植入、自動化植入等,其中最常見的植入方式是結(jié)合遠(yuǎn)程漏洞攻擊自動化植入至目標(biāo)系統(tǒng)中,以便規(guī)避各種安全防護(hù)機制。此外,TAO還研發(fā)了一款名為Packrat的工具,可用于輔助植入“NOPEN”木馬工具,其主要功能為對“NOPEN”木馬工具進(jìn)行壓縮、編碼、上傳和啟動。
六、使用控制方式
“NOPEN”木馬工具主要包括8個功能模塊,每個模塊支持多個命令操作,TAO主要使用該武器對受害機構(gòu)網(wǎng)絡(luò)內(nèi)部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò)設(shè)備實施持久化控制。其主要使用方式為:攻擊者首先向安裝有“NOPEN”木馬工具的網(wǎng)內(nèi)主機或設(shè)備發(fā)送特殊定制的激活包,“NOPEN”木馬工具被激活后回連至控制端,加密連接建立后,控制端發(fā)送各類指令操作“NOPEN”木馬工具實施網(wǎng)內(nèi)滲透、數(shù)據(jù)竊取、其他武器上傳等后續(xù)攻擊竊密行為。