“NOPEN”遠控木馬分析報告
近日,國家計算機病毒應(yīng)急處理中心對名為“NOPEN”的木馬工具進行了攻擊場景復(fù)現(xiàn)和技術(shù)分析,。該木馬工具針對Unix/Linux平臺,,可實現(xiàn)對目標(biāo)的遠程控制,。根據(jù)“影子經(jīng)紀人”泄露的NSA內(nèi)部文件,該木馬工具為美國國家安全局開發(fā)的網(wǎng)絡(luò)武器,?!癗OPEN”木馬工具是一款功能強大的綜合型木馬工具,也是美國國家安全局接入技術(shù)行動處(TAO)對外攻擊竊密所使用的主戰(zhàn)網(wǎng)絡(luò)武器之一,。
一,、基本情況
“NOPEN”木馬工具為針對Unix/Linux系統(tǒng)的遠程控制工具,主要用于文件竊取,、系統(tǒng)提權(quán),、網(wǎng)絡(luò)通信重定向以及查看目標(biāo)設(shè)備信息等,是TAO遠程控制受害單位內(nèi)部網(wǎng)絡(luò)節(jié)點的主要工具,。通過技術(shù)分析,,我單位認為,“NOPEN”木馬工具編碼技術(shù)復(fù)雜,、功能全面,、隱蔽性強、適配多種處理器架構(gòu)和操作系統(tǒng),,并且采用了插件式結(jié)構(gòu),,可以與其他網(wǎng)絡(luò)武器或攻擊工具進行交互和協(xié)作,,是典型的用于網(wǎng)絡(luò)間諜活動的武器工具,。
二、具體功能
“NOPEN”木馬工具包含客戶端“noclient”和服務(wù)端“noserver”兩部分,,客戶端會采取發(fā)送激活包的方式與服務(wù)端建立連接,,使用RSA算法進行秘鑰協(xié)商,使用RC6算法加密通信流量,。
該木馬工具設(shè)計復(fù)雜,,支持功能眾多,主要包括以下功能:內(nèi)網(wǎng)端口掃描,、端口復(fù)用,、建立隧道,、文件處理(上傳、下載,、刪除,、重命名、計算校驗值),、目錄遍歷,、郵件獲取、環(huán)境變量設(shè)置,、進程獲取,、自毀消痕等。
三,、技術(shù)分析
經(jīng)技術(shù)分析與研判,,該木馬工具針對Unix/Linux平臺,可在主控端和受控端之間建立隱蔽加密信道,,攻擊者可通過向目標(biāo)發(fā)送遠程指令,,實現(xiàn)遠程獲取目標(biāo)主機環(huán)境信息、上傳/下載/創(chuàng)建/修改/刪除文件,、遠程執(zhí)行命令,、網(wǎng)絡(luò)流量代理轉(zhuǎn)發(fā)、內(nèi)網(wǎng)掃描,、竊取電子郵件信息,、自毀等惡意功能。該木馬工具包含主控端(Client)和受控端(Server)兩個部分,,具體分析結(jié)果如下:
?。ㄒ唬┲骺囟斯δ芊治?/p>
文件名:Noclient
MD5:188974cea8f1f4bb75e53d490954c569
SHA-1:a84ac3ea04f28ff1a2027ee0097f69511af0ed9d
SHA-256:ed2c2d475977c78de800857d3dddc739
57d219f9bb09a9e8390435c0b6da21ac
文件大小:241.2KB(241192 字節(jié))
文件類型:ELF32
文件最后修改時間:2011-12-8 19:07:48
支持處理器架構(gòu):i386, i486, i586, i686, sparc, alpha, x86_64, amd64
支持操作系統(tǒng):FreeBSD,、SunOS,、HP-UX、Solaris,、Linux
主控端的主要功能是連接受控端和向受控端發(fā)送指令并接收受控端回傳的信息:
1,、連接目標(biāo)受控端
主控端通過以下命令行連接目標(biāo)受控端:
noclient [參數(shù)1:目標(biāo)主機IP地址]:[端口號(默認為32754)]
連接成功后會組合采用RC6+RSA加密算法,在主控端與受控端之間建立加密信道,。并回顯主控端與被控端基本信息,,包括:IP地址和端口號、軟件版本,、當(dāng)前工作目錄,、進程號(PID)、操作系統(tǒng)版本和內(nèi)核版本,、日期時間等,。同時主控端建立監(jiān)聽端口(默認為1025),,接受受控端的反向連接。
2,、命令控制
主控端與被控端成功建立連接后,,攻擊者可通過主控端控制臺向受控端發(fā)送指令,該木馬工具提供的指令非常豐富,。開發(fā)者還給出了詳細的指令幫助說明,。
其中遠程控制指令如下所示:
-elevate:提升權(quán)限
-getenv:獲取環(huán)境變量
-gs:未知
-setenv:設(shè)置環(huán)境變量
-shell:返回命令行接口
-status:查看當(dāng)前連接狀態(tài)、本地與遠程主機環(huán)境信息
-time:查看本地與遠程主機的日期,、時間和時區(qū)信息
-burn:終止控制并關(guān)閉遠程進程
-call ip port:設(shè)置回連IP地址和端口號
-listen port:設(shè)置監(jiān)聽端口號
-pid:查看遠程受控端進程ID
-icmptimetarget_ip [source_ip]:遠程Ping目標(biāo)地址,,查看時延
-ifconfig:查看遠程主機的IP地址設(shè)置和MAC地址
-nslookup:遠程對指定域名進行解析
-ping:遠程Ping目標(biāo)地址,用于內(nèi)網(wǎng)探測
-trace:遠程traceroute
-fixudp port:指定UDP傳輸端口
另外,,還有一些隱藏指令并沒有被在控制臺幫助中列出,,如“-hammy”、“-trigger”,、“-triggerold”和“-sniff”等,。經(jīng)研判可能是與其他網(wǎng)絡(luò)武器或攻擊工具之間的功能調(diào)用接口。
?。ǘ┦芸囟斯δ芊治?/p>
文件名:noserver_linux
MD5:9081d61fabeb9919e4e3fa84227999db
SHA-1:0274bd33c2785d4e497b6ba49f5485caa52a0855
SHA-256:4acc94c6be340fb8ef4133912843aa0e
4ece01d8d371209a01ccd824f519a9ca
文件大?。?57KB(356996 字節(jié))
文件類型:ELF32
文件最后修改時間:2011-12-8 19:07:48
受控端被加載運行后會默認監(jiān)聽32754端口。
受控端程序為了干擾和對抗分析,,進行了去符號操作,,結(jié)合代碼功能,分析受控端程序的主要功能如下所示:
1.KillProc,、kill:終止指定進程
2.Chmod:為指定對象賦權(quán)限
3.GetCWD:獲得當(dāng)前工作目錄
4.GetPid:獲得當(dāng)前進程ID
5.DeleteFile_Dir:刪除指定文件或目錄
6.GetFileMD5:獲得指定文件MD5摘要
7.GetPCInfo:獲得所在主機環(huán)境信息
8.Recv:上傳,、下載數(shù)據(jù)
9.Connect:建立socket連接
受控端根據(jù)主控端指令組合調(diào)用相應(yīng)模塊執(zhí)實現(xiàn)相關(guān)惡意操作。
四,、使用環(huán)境
“NOPEN”木馬工具支持在Linux,、FreeBSD、SunOS,、Solaris,、JUNOS和HP-UX等各類操作系統(tǒng)上運行,同時兼容i386,、i486,、i586、i686,、i86pc、i86,、SPARC,、Alpha,、x86_64、PPC,、MIPS,、ARM以及AMD64等多種體系架構(gòu),適用范圍較廣,。根據(jù)監(jiān)控情況,,該木馬工具主要用于在受害單位內(nèi)網(wǎng)中執(zhí)行各類攻擊指令,結(jié)合其他取情,、嗅探工具,,級聯(lián)竊取核心數(shù)據(jù)。
五,、植入方式
“NOPEN”木馬工具支持多種植入運行方式,,包括手動植入、工具植入,、自動化植入等,,其中最常見的植入方式是結(jié)合遠程漏洞攻擊自動化植入至目標(biāo)系統(tǒng)中,以便規(guī)避各種安全防護機制,。此外,,TAO還研發(fā)了一款名為Packrat的工具,可用于輔助植入“NOPEN”木馬工具,,其主要功能為對“NOPEN”木馬工具進行壓縮,、編碼、上傳和啟動,。
六,、使用控制方式
“NOPEN”木馬工具主要包括8個功能模塊,每個模塊支持多個命令操作,,TAO主要使用該武器對受害機構(gòu)網(wǎng)絡(luò)內(nèi)部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò)設(shè)備實施持久化控制,。其主要使用方式為:攻擊者首先向安裝有“NOPEN”木馬工具的網(wǎng)內(nèi)主機或設(shè)備發(fā)送特殊定制的激活包,“NOPEN”木馬工具被激活后回連至控制端,,加密連接建立后,,控制端發(fā)送各類指令操作“NOPEN”木馬工具實施網(wǎng)內(nèi)滲透、數(shù)據(jù)竊取,、其他武器上傳等后續(xù)攻擊竊密行為,。
