北京天融信科技有限公司
近日,“美網(wǎng)絡(luò)間諜又一主力裝備曝光"的話題沖上熱搜,國家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布了美國專用“NOPEN"遠(yuǎn)程木馬技術(shù)分析報(bào)告(以下簡(jiǎn)稱“報(bào)告")
報(bào)告指出“NOPEN"木馬工具為針對(duì)Unix/Linux系統(tǒng)的遠(yuǎn)程控制工具,主要用于文件竊取、系統(tǒng)提權(quán)、網(wǎng)絡(luò)通信重定向以及查看目標(biāo)設(shè)備信息等,是美國接入技術(shù)行動(dòng)處(TAO)遠(yuǎn)程控制受害單位內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)的主要工具。
天融信自適應(yīng)安全防御系統(tǒng)、EDR等均可精確檢測(cè)并查殺該木馬,同時(shí)天融信下一代防火墻可對(duì)該木馬監(jiān)控端口和傳輸端口進(jìn)行阻斷,有效阻止事件蔓延。
病毒事件分析報(bào)告
一、概述
本次分析的木馬為3.0.5.3版本,其基本信息如下表:
二、程序逆向
Noclient主控端
Noclient作為主控端程序需要特定的庫環(huán)境才能運(yùn)行。其字符串并未加密,反編譯后的代碼邏輯清晰。從工具開始顯示的基本信息來看屬于3.0.5.3版本,主控端程序主要的作用是向受控端noserver發(fā)送指令并接收返回來的信息與結(jié)果;
程序通過-q參數(shù)服務(wù)器的ip地址和端口,以受控端noserver的上線;
從指令幫助說明中我們可以大致推斷出參數(shù)選項(xiàng)與遠(yuǎn)控指令功能的對(duì)應(yīng)關(guān)系如下;
noserver受控端
noserver受控端為了對(duì)抗分析檢測(cè)進(jìn)行了去符號(hào)操作,采用變換方法隱藏所需要的字符串、通過系統(tǒng)調(diào)用來使用關(guān)鍵通信函數(shù)等,這給逆向分析帶來了一定阻礙;
如下圖所示,noserver的運(yùn)行邏輯中會(huì)嚴(yán)格檢查參數(shù)的配置是否正確,所需要的字符串均通過動(dòng)態(tài)解密出來后進(jìn)行使用。如下圖為解密出getopt函數(shù)的第三個(gè)參數(shù)字符串“dc:l:suiIS:C:T:P:r:o",該字符串代表了noserver的命令行參數(shù)格式要求;
noserver用到的字符串解密方法是單字節(jié)乘以0x1Dh并舍棄結(jié)果的高位字節(jié);
除此之外,noserver直接通過int 80h系統(tǒng)調(diào)用使用關(guān)鍵通信函數(shù)。包括sys_accept、sys_bind、sys_connect、sys_getpeername、sys_getsockname、sys_listen、sys_recvfrom、sys_sendt、sys_sendto、sys_setsockopt、sys_socket函數(shù)。一些敏感操作函數(shù)也使用此種方法,包括sys_execve、sys_exit、sys_fork、sys_nanosleep、sys_alarm、sys_wait4、sys_newuname函數(shù);
在Linux操作系統(tǒng)中,uname命令的實(shí)際底層實(shí)現(xiàn)是sys_newuname函數(shù)。noserver直接調(diào)用sys_newuname函數(shù)即可獲取操作系統(tǒng)的版本、處理器信息、硬件架構(gòu)信息;
在接收主控端的-ifconfig命令指令后,會(huì)獲取網(wǎng)絡(luò)詳細(xì)配置信息;
noserver還具備接收并執(zhí)行新的shell腳本的能力;
最終將收集的信息和命令返回的結(jié)果使用RC6算法加密后發(fā)送到主控端;
如下為noserver受控端的部分模塊功能描述;
三、附錄
樣本IOC列表:
此外,該木馬被證實(shí)對(duì)當(dāng)前多種主流的計(jì)算機(jī)環(huán)境仍然有效,在網(wǎng)絡(luò)上很可能仍然存在大量沒有被發(fā)現(xiàn)的受害者,這些受害者面臨長(zhǎng)期而嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
報(bào)告顯示,“NOPEN"遠(yuǎn)程木馬既可以由攻擊者手動(dòng)植入,也可以由美國的網(wǎng)絡(luò)攻擊平臺(tái)自動(dòng)植入受害者的互聯(lián)網(wǎng)設(shè)備,因而可通過以下幾種方式加強(qiáng)防御:
及時(shí)修復(fù)系統(tǒng)及應(yīng)用漏洞,降低被“NOPEN"遠(yuǎn)程木馬通過漏洞入侵的風(fēng)險(xiǎn);
加強(qiáng)訪問控制,關(guān)閉不必要的端口,禁用不必要的連接,降低資產(chǎn)風(fēng)險(xiǎn)暴露面;
更改系統(tǒng)及應(yīng)用使用的默認(rèn)密碼,配置高強(qiáng)度密碼認(rèn)證,并定期更新密碼,防止弱口令攻擊;
可安裝天融信自適應(yīng)安全防御系統(tǒng)或者天融信EDR進(jìn)行主動(dòng)防御,可有效預(yù)防和查殺該木馬病毒。
天融信邊界+終端立體響應(yīng)方案
1、以微隔離策略加強(qiáng)訪問控制,降低橫向感染風(fēng)險(xiǎn);
2、通過風(fēng)險(xiǎn)發(fā)現(xiàn)功能掃描系統(tǒng)是否存在相關(guān)漏洞和弱口令,降低風(fēng)險(xiǎn)、減少資產(chǎn)暴露;
3、開啟病毒實(shí)時(shí)監(jiān)測(cè)功能,可有效預(yù)防和查殺該木馬。
1、以微隔離策略加強(qiáng)訪問控制,降低橫向感染風(fēng)險(xiǎn);
2、創(chuàng)建周期掃描任務(wù),定時(shí)對(duì)主機(jī)進(jìn)行全面清理,消除安全隱患;
3、開啟病毒實(shí)時(shí)監(jiān)測(cè)功能,可有效預(yù)防和查殺該木馬。
1、通過訪問控制策略對(duì)"1025“和"32754“端口進(jìn)行控制,阻斷"NOPEN“遠(yuǎn)程木馬主控端和受控端連接,降低內(nèi)網(wǎng)終端被遠(yuǎn)程控制的風(fēng)險(xiǎn);
2、通過訪問控制策略限制網(wǎng)絡(luò)中ping和traceroute行為,降低內(nèi)網(wǎng)被探測(cè)風(fēng)險(xiǎn),減少資產(chǎn)暴露和橫向感染風(fēng)險(xiǎn)。
從棱鏡門曝光美國電子計(jì)劃,到臭名昭著的網(wǎng)絡(luò)永恒之藍(lán),從針對(duì)系列企業(yè)長(zhǎng)達(dá)十余年時(shí)間的攻擊活動(dòng)APT-C-40(NSA),到本次美國接入技術(shù)行動(dòng)處(TAO)對(duì)外攻擊竊密所使用的主戰(zhàn)網(wǎng)絡(luò)“NOPEN"遠(yuǎn)控木馬,這一系列安全事件直接敲響警鐘,網(wǎng)絡(luò)安全形勢(shì)岌岌可危!