从“方程式”到“方程组”—EQUATION 攻击组织高级恶意代码的全平台能力解析
©安天版权所有,欢迎无损转载 第 1 页
1 背景
安天从 2015 年 2 月起,陆续公布了两篇针对方程式攻击组织的分析报告
[1][2]
,分析了其针对 Windows
平台的恶意代码组件构成、对硬盘的持久化能力和对加密算法的使用。本报告则将首次公布安天对方程式
攻击组织针对 Solaris 平台和 Linux 平台的部分样本分析,我们也可以自豪地说,这是业内首次正式证实这
些“恶灵”真实存在的公开分析。事实上,安天的相关工作完成于数年前。安天的分析工程师们从 2012
年起,已经关注到超级攻击组织力图将其载荷能力覆盖一切可以达成入侵和持久化的场景。在这些场景
中,各种服务器操作系统,如 Linux、Solaris、FreeBSD 等更是其高度关心的目标。这些载荷不是寻常的脚
本木马,而是组件化、具备 Rootkit 能力、具有超强加密抗分析能力、严格进行加密通讯的二进制组件。
在安天工程师一直将类似超级攻击组织发起的攻击称为 A
2
PT,并把恶意代码载荷的全平台覆盖能力作为
A
2
PT 组织的重要标志。安天在 2016 年 5 月的中国网络安全年会
[3]
和 7 月的阿里安全峰会
[4]
上所做的同名
报告《熊猫的伤痕-中国遭遇的 APT 攻击》
[5]
中,对方程式组织的多平台载荷能力进行了初步披露。
安天将长期跟踪分析高级威胁和高级恶意代码的经验转化为产品能力,通过探海威胁检测系统协助用
户在网络中捕获载荷投放与横向移动,利用智甲终端防御系统为传统 Windows 主机和国产操作系统提供全
面保护,使用追影安全分析平台协助用户进行多种平台的恶意代码分析。通过这些产品的部署也使安天能
够在用户支持下获取更多的威胁线索。同时安天也积极关注开源情报和公开信息,关注涉及相关组织的信
息与动向。
在去年年初卡巴斯基和安天先后对方程式组织使用的恶意代码进行分析曝光后,方程式组织又在一系
列“爆料”事件中浮出水面。在 2016 年 8 月所外泄的方程式组织针对多种防火墙和网络设备的攻击代码
中
[6]
,公众第一次把方程式组织和名为“ANT”的攻击装备体系联系起来,并以此看到其针对 Cisco、
Juniper、Fortinet 等防火墙产品达成注入和持久化的能力。而在 2016 年 10 月 31 日,The Hacker News
发布文章“Shadow Brokers reveals list of Servers Hacked by the NSA”
[7]
,文章披露了“影子经纪人”公开
的更多文件,其中包括部分方程式组织入侵的外国服务器列表。相关文件声称,大部分被感染的服务器运
行的是 Solaris,Oracle-owned Unix 等版本的操作系统,有些运行的是 FreeBSD 或 Linux 系统。而随着
这些信息与安天的捕获分析工作相互印证,一个关于这个超级攻击组织的几乎无死角的、全平台化攻击能
力已经日趋清晰。
我们的分析工作不断验证着这些信息,在过去数年,这种分析如此漫长、复杂和艰难,超出了我们之
前对“震网”、“火焰”的分析和复现中所面临的挑战。这种高度复杂、隐蔽的全能高级恶意代码,无论是
对受害者,还是分析者来说,都是一个巨大的挑战。特别是当其打击范围几乎覆盖所有体系结构与操作系
评论0