北京天融信科技有限公司
近日,“美網絡間諜又一主力裝備曝光"的話題沖上熱搜,國家計算機病毒應急處理中心發布了美國專用“NOPEN"遠程木馬技術分析報告(以下簡稱“報告")
報告指出“NOPEN"木馬工具為針對Unix/Linux系統的遠程控制工具,主要用于文件竊取、系統提權、網絡通信重定向以及查看目標設備信息等,是美國接入技術行動處(TAO)遠程控制受害單位內部網絡節點的主要工具。
天融信自適應安全防御系統、EDR等均可精確檢測并查殺該木馬,同時天融信下一代防火墻可對該木馬監控端口和傳輸端口進行阻斷,有效阻止事件蔓延。
病毒事件分析報告
一、概述
本次分析的木馬為3.0.5.3版本,其基本信息如下表:
二、程序逆向
Noclient主控端
Noclient作為主控端程序需要特定的庫環境才能運行。其字符串并未加密,反編譯后的代碼邏輯清晰。從工具開始顯示的基本信息來看屬于3.0.5.3版本,主控端程序主要的作用是向受控端noserver發送指令并接收返回來的信息與結果;
程序通過-q參數服務器的ip地址和端口,以受控端noserver的上線;
從指令幫助說明中我們可以大致推斷出參數選項與遠控指令功能的對應關系如下;
noserver受控端
noserver受控端為了對抗分析檢測進行了去符號操作,采用變換方法隱藏所需要的字符串、通過系統調用來使用關鍵通信函數等,這給逆向分析帶來了一定阻礙;
如下圖所示,noserver的運行邏輯中會嚴格檢查參數的配置是否正確,所需要的字符串均通過動態解密出來后進行使用。如下圖為解密出getopt函數的第三個參數字符串“dc:l:suiIS:C:T:P:r:o",該字符串代表了noserver的命令行參數格式要求;
noserver用到的字符串解密方法是單字節乘以0x1Dh并舍棄結果的高位字節;
除此之外,noserver直接通過int 80h系統調用使用關鍵通信函數。包括sys_accept、sys_bind、sys_connect、sys_getpeername、sys_getsockname、sys_listen、sys_recvfrom、sys_sendt、sys_sendto、sys_setsockopt、sys_socket函數。一些敏感操作函數也使用此種方法,包括sys_execve、sys_exit、sys_fork、sys_nanosleep、sys_alarm、sys_wait4、sys_newuname函數;
在Linux操作系統中,uname命令的實際底層實現是sys_newuname函數。noserver直接調用sys_newuname函數即可獲取操作系統的版本、處理器信息、硬件架構信息;
在接收主控端的-ifconfig命令指令后,會獲取網絡詳細配置信息;
noserver還具備接收并執行新的shell腳本的能力;
最終將收集的信息和命令返回的結果使用RC6算法加密后發送到主控端;
如下為noserver受控端的部分模塊功能描述;
三、附錄
樣本IOC列表:
此外,該木馬被證實對當前多種主流的計算機環境仍然有效,在網絡上很可能仍然存在大量沒有被發現的受害者,這些受害者面臨長期而嚴重的網絡安全風險。
報告顯示,“NOPEN"遠程木馬既可以由攻擊者手動植入,也可以由美國的網絡攻擊平臺自動植入受害者的互聯網設備,因而可通過以下幾種方式加強防御:
及時修復系統及應用漏洞,降低被“NOPEN"遠程木馬通過漏洞入侵的風險;
加強訪問控制,關閉不必要的端口,禁用不必要的連接,降低資產風險暴露面;
更改系統及應用使用的默認密碼,配置高強度密碼認證,并定期更新密碼,防止弱口令攻擊;
可安裝天融信自適應安全防御系統或者天融信EDR進行主動防御,可有效預防和查殺該木馬病毒。
天融信邊界+終端立體響應方案
1、以微隔離策略加強訪問控制,降低橫向感染風險;
2、通過風險發現功能掃描系統是否存在相關漏洞和弱口令,降低風險、減少資產暴露;
3、開啟病毒實時監測功能,可有效預防和查殺該木馬。
1、以微隔離策略加強訪問控制,降低橫向感染風險;
2、創建周期掃描任務,定時對主機進行全面清理,消除安全隱患;
3、開啟病毒實時監測功能,可有效預防和查殺該木馬。
1、通過訪問控制策略對"1025“和"32754“端口進行控制,阻斷"NOPEN“遠程木馬主控端和受控端連接,降低內網終端被遠程控制的風險;
2、通過訪問控制策略限制網絡中ping和traceroute行為,降低內網被探測風險,減少資產暴露和橫向感染風險。
從棱鏡門曝光美國電子計劃,到臭名昭著的網絡永恒之藍,從針對系列企業長達十余年時間的攻擊活動APT-C-40(NSA),到本次美國接入技術行動處(TAO)對外攻擊竊密所使用的主戰網絡“NOPEN"遠控木馬,這一系列安全事件直接敲響警鐘,網絡安全形勢岌岌可危!