没有合适的资源?快使用搜索试试~ 我知道了~
1背景安天从 2015 年 2 月起,陆续公布了两篇针对方程式攻击组织的分析报告[1][2],分析了其针对 Windows平台的恶意代码组件构成、对硬盘的持久化
资源详情
资源评论
资源推荐
从“方程式”到“方程组”—EQUATION 攻击组织高级恶意代码的全平台能力解析
初稿完成时间:2014 年 1 月 15 日 16 时 43 分
首次发布时间:2016 年 11 月 4 日 10 时 00 分
本版更新时间:2016 年 11 月 5 日 15 时 30 分
从“方程式”到“方程组”
EQUATION 攻击组织高级恶意代码的全平台能力解析
安天安全研究与应急处理中心(Antiy CERT)
目 录
1 背景 .......................................................................................................................................................... 1
2 方程式组织的多平台作业能力.................................................................................................................. 2
3 X86 Linux 部分载荷分析 ............................................................................................................................ 3
3.1 侦查、探测的前导模块——DoubleFantasy .............................................................................................. 3
4 SPARC 架构 Solaris 场景能力 ....................................................................................................................11
4.1 Solaris 系统及 SPARC 架构 ....................................................................................................................... 11
4.2 Rootkit 隐藏模块 ...................................................................................................................................... 11
4.3 DoubleFantasy 的 Sparc 架构模块 ........................................................................................................... 17
5 总结 .........................................................................................................................................................24
5.1 以真实威胁驱动我国信息防御能力的改进 ........................................................................................... 24
5.2 我们的努力和对能力型厂商深入协作的期待 ....................................................................................... 25
5.3 期待一个更安全的网络世界 ................................................................................................................... 26
附录一:参考资料 ...........................................................................................................................................27
附录二:关于安天 ...........................................................................................................................................28
从“方程式”到“方程组”—EQUATION 攻击组织高级恶意代码的全平台能力解析
©安天版权所有,欢迎无损转载 第 1 页
1 背景
安天从 2015 年 2 月起,陆续公布了两篇针对方程式攻击组织的分析报告
[1][2]
,分析了其针对 Windows
平台的恶意代码组件构成、对硬盘的持久化能力和对加密算法的使用。本报告则将首次公布安天对方程式
攻击组织针对 Solaris 平台和 Linux 平台的部分样本分析,我们也可以自豪地说,这是业内首次正式证实这
些“恶灵”真实存在的公开分析。事实上,安天的相关工作完成于数年前。安天的分析工程师们从 2012
年起,已经关注到超级攻击组织力图将其载荷能力覆盖一切可以达成入侵和持久化的场景。在这些场景
中,各种服务器操作系统,如 Linux、Solaris、FreeBSD 等更是其高度关心的目标。这些载荷不是寻常的脚
本木马,而是组件化、具备 Rootkit 能力、具有超强加密抗分析能力、严格进行加密通讯的二进制组件。
在安天工程师一直将类似超级攻击组织发起的攻击称为 A
2
PT,并把恶意代码载荷的全平台覆盖能力作为
A
2
PT 组织的重要标志。安天在 2016 年 5 月的中国网络安全年会
[3]
和 7 月的阿里安全峰会
[4]
上所做的同名
报告《熊猫的伤痕-中国遭遇的 APT 攻击》
[5]
中,对方程式组织的多平台载荷能力进行了初步披露。
安天将长期跟踪分析高级威胁和高级恶意代码的经验转化为产品能力,通过探海威胁检测系统协助用
户在网络中捕获载荷投放与横向移动,利用智甲终端防御系统为传统 Windows 主机和国产操作系统提供全
面保护,使用追影安全分析平台协助用户进行多种平台的恶意代码分析。通过这些产品的部署也使安天能
够在用户支持下获取更多的威胁线索。同时安天也积极关注开源情报和公开信息,关注涉及相关组织的信
息与动向。
在去年年初卡巴斯基和安天先后对方程式组织使用的恶意代码进行分析曝光后,方程式组织又在一系
列“爆料”事件中浮出水面。在 2016 年 8 月所外泄的方程式组织针对多种防火墙和网络设备的攻击代码
中
[6]
,公众第一次把方程式组织和名为“ANT”的攻击装备体系联系起来,并以此看到其针对 Cisco、
Juniper、Fortinet 等防火墙产品达成注入和持久化的能力。而在 2016 年 10 月 31 日,The Hacker News
发布文章“Shadow Brokers reveals list of Servers Hacked by the NSA”
[7]
,文章披露了“影子经纪人”公开
的更多文件,其中包括部分方程式组织入侵的外国服务器列表。相关文件声称,大部分被感染的服务器运
行的是 Solaris,Oracle-owned Unix 等版本的操作系统,有些运行的是 FreeBSD 或 Linux 系统。而随着
这些信息与安天的捕获分析工作相互印证,一个关于这个超级攻击组织的几乎无死角的、全平台化攻击能
力已经日趋清晰。
我们的分析工作不断验证着这些信息,在过去数年,这种分析如此漫长、复杂和艰难,超出了我们之
前对“震网”、“火焰”的分析和复现中所面临的挑战。这种高度复杂、隐蔽的全能高级恶意代码,无论是
对受害者,还是分析者来说,都是一个巨大的挑战。特别是当其打击范围几乎覆盖所有体系结构与操作系
从“方程式”到“方程组”—EQUATION 攻击组织高级恶意代码的全平台能力解析
第 2 页 ©安天版权所有,欢迎无损转载
统的时候,相对更擅长 Windows、Linux 和 Android 等主流操作系统平台下恶意代码分析的传统安全分析
团队感受到了巨大的压力和挑战。如果用这个组织的名称“方程式”做一个关于分析难度的比喻的话,我
们需要破解的已经并不只是一个“方程式”,而是更为复杂的多元多次的“方程组”。
2 方程式组织的多平台作业能力
方程式组织采用了工业水准的制式化攻击武器库,安天在此前报告中已经对其 6 件恶意代码组件“装
备”进行了分析,他们分别是:EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny 和
GrayFish,其中 EquationDrug、DoubleFantasy 安天均已发现其他平台的样本。方程式武器库信息见下表:
组件名称
多平台特性
组件说明
使用时间
EquationLaser
尚未发现
方程式组织早期使用的植入程序,大约在 2001 至 2003 年
间被使用。兼容 Windows 95/98 系统。
2001-2003
EquationDrug
部分插件已
经发现
该组织使用的一个非常复杂的攻击组件,用于支持能够被
攻 击 者 动 态 上 传 和 卸 载 的 模 块 插 件 系 统 。 怀 疑 是
EquationLaser 的升级版。
2003-2013
DoubleFantasy
已经证实
一个验证式的木马,旨在确定目标为预期目标。如果目标
被确认,那么已植入恶意代码会升级到一个更为复杂的平
台,如 EquationDrug 或 GrayFish。
2004-2012
TripleFantasy
推测存在
全功能的后门程序,有时用于配合 GrayFish 使用。看起来
像是 DoubleFantasy 的升级版,可能是更新的验证式插件。
2012-至今
Fanny
尚未发现
创建于 2008 年的利用 USB 设备进行传播的蠕虫,可攻击
物理隔离网络并回传收集到的信息。Fanny 被用于收集位
于中东和亚洲的目标的信息。一些受害主机似乎已被投放
DoubleFantasy,然后又升级为 EquationDrug。Fanny 利用
了两个后来被应用到 Stuxnet 中的 0day 漏洞。
2008-2011
GrayFish
尚未发现
方程式组织中最复杂的攻击组件,完全驻留在注册表中,
依靠 bootkit 在操作系统启动时执行。
2008-至今
读者可以通过阅读下列报告,自己完成了方程式攻击组织针对多平台操作系统的拼图:
信息
Windows
Linux
Solaris
Oracle-owned
Unix
FreeBSD
Mac OS
安天:修改硬盘固件的木马 探索
方程式(EQUATION)组织的攻击
组件
分析样 本载 荷
和硬盘 持久 化
能力
从“方程式”到“方程组”—EQUATION 攻击组织高级恶意代码的全平台能力解析
©安天版权所有,欢迎无损转载 第 3 页
安天:方程式(EQUATION)部分
组件中的加密技巧分析
分析加密算法
安天:EQUATION 攻击组织的全
平台载荷能力解析(本报告)
曝光存在,分
析相关载荷
分析相关
载荷
The Hacker News :《 Shadow
Brokers reveals list of Servers
Hacked by the NSA》
曝光存在
曝光存在
曝光存在
卡巴斯基:Equation: The Death Star
of Malware Galaxy
[8]
揭秘方 程式 攻
击组织
卡巴斯基:A Fanny Equation: "I am
your father, Stuxnet"
[9]
Fanny 组 件 分
析
卡巴斯基:Equation Group: from
Houston with love
[[10]
Doublefantasy
分析
卡巴斯基:《EQUATION GROUP:
QUESTIONS AND ANSWERS》
[11]
方程式 组织 问
与答
根据网
络特征
提出猜
测
注:安天在 Solaris 样本中分析出的 User Agent 具有 Solaris 标识,而卡巴斯基在“EQUATION GROUP:
QUESTIONS AND ANSWERS”
[11]
中披露出曾捕获到 Mac OS X 的 User Agent 的信息,由此来看,尽管安天和
卡巴斯基厂商目前都尚未捕获 Mac OS X 的样本,但方程式组织针对 MAC OS X 的攻击载荷是真实存在的。
3 X86 Linux 部分载荷分析
安天已经捕获分析了 Linux 下的 DoubleFantasy 组件。该组件是方程式组织在 Linux 平台上用于前期侦
查、探测预期目标的攻击样本。由于是 Linux 平台下的样本,在具体功能实现的技术细节上与我们之前的
曝光的 Windows 样本有所区别。
3.1 侦查、探测的前导模块——DoubleFantasy
3.1.1 文件标签
病毒名称
Trojan/Linux.DoubleFantasy
原始文件名
████████
MD5
████████████████
处理器架构
X86(32 位平台)
文件大小
████████
剩余29页未读,继续阅读
老光私享
- 粉丝: 85
- 资源: 255
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0