“NOPEN”遠(yuǎn)控木馬分析報(bào)告

　　近日，國家計(jì)算機(jī)病毒應(yīng)急處理中心對(duì)名為“NOPEN”的木馬工具進(jìn)行了攻擊場景復(fù)現(xiàn)和技術(shù)分析。該木馬工具針對(duì)Unix/Linux平臺(tái)，可實(shí)現(xiàn)對(duì)目標(biāo)的遠(yuǎn)程控制。根據(jù)“影子經(jīng)紀(jì)人”泄露的NSA內(nèi)部文件，該木馬工具為美國國家安全局開發(fā)的網(wǎng)絡(luò)武器?！癗OPEN”木馬工具是一款功能強(qiáng)大的綜合型木馬工具，也是美國國家安全局接入技術(shù)行動(dòng)處（TAO）對(duì)外攻擊竊密所使用的主戰(zhàn)網(wǎng)絡(luò)武器之一。

　　一、基本情況

　　“NOPEN”木馬工具為針對(duì)Unix/Linux系統(tǒng)的遠(yuǎn)程控制工具，主要用于文件竊取、系統(tǒng)提權(quán)、網(wǎng)絡(luò)通信重定向以及查看目標(biāo)設(shè)備信息等，是TAO遠(yuǎn)程控制受害單位內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)的主要工具。通過技術(shù)分析，我單位認(rèn)為，“NOPEN”木馬工具編碼技術(shù)復(fù)雜、功能全面、隱蔽性強(qiáng)、適配多種處理器架構(gòu)和操作系統(tǒng)，并且采用了插件式結(jié)構(gòu)，可以與其他網(wǎng)絡(luò)武器或攻擊工具進(jìn)行交互和協(xié)作，是典型的用于網(wǎng)絡(luò)間諜活動(dòng)的武器工具。

　　二、具體功能

　　“NOPEN”木馬工具包含客戶端“noclient”和服務(wù)端“noserver”兩部分，客戶端會(huì)采取發(fā)送激活包的方式與服務(wù)端建立連接，使用RSA算法進(jìn)行秘鑰協(xié)商，使用RC6算法加密通信流量。

　　該木馬工具設(shè)計(jì)復(fù)雜，支持功能眾多，主要包括以下功能：內(nèi)網(wǎng)端口掃描、端口復(fù)用、建立隧道、文件處理（上傳、下載、刪除、重命名、計(jì)算校驗(yàn)值）、目錄遍歷、郵件獲取、環(huán)境變量設(shè)置、進(jìn)程獲取、自毀消痕等。

　　三、技術(shù)分析

　　經(jīng)技術(shù)分析與研判，該木馬工具針對(duì)Unix/Linux平臺(tái)，可在主控端和受控端之間建立隱蔽加密信道，攻擊者可通過向目標(biāo)發(fā)送遠(yuǎn)程指令，實(shí)現(xiàn)遠(yuǎn)程獲取目標(biāo)主機(jī)環(huán)境信息、上傳/下載/創(chuàng)建/修改/刪除文件、遠(yuǎn)程執(zhí)行命令、網(wǎng)絡(luò)流量代理轉(zhuǎn)發(fā)、內(nèi)網(wǎng)掃描、竊取電子郵件信息、自毀等惡意功能。該木馬工具包含主控端（Client）和受控端（Server）兩個(gè)部分，具體分析結(jié)果如下：

　?。ㄒ唬┲骺囟斯δ芊治?/p>

　　文件名：Noclient

　　MD5：188974cea8f1f4bb75e53d490954c569

　　SHA-1：a84ac3ea04f28ff1a2027ee0097f69511af0ed9d

　　SHA-256：ed2c2d475977c78de800857d3dddc739

　　57d219f9bb09a9e8390435c0b6da21ac

　　文件大小：241.2KB（241192 字節(jié)）

　　文件類型：ELF32

　　文件最后修改時(shí)間：2011-12-8 19:07:48

　　支持處理器架構(gòu)：i386, i486, i586, i686, sparc, alpha, x86_64, amd64

　　支持操作系統(tǒng)：FreeBSD、SunOS、HP-UX、Solaris、Linux

　　主控端的主要功能是連接受控端和向受控端發(fā)送指令并接收受控端回傳的信息：

　　1、連接目標(biāo)受控端

　　主控端通過以下命令行連接目標(biāo)受控端：

　　noclient [參數(shù)1：目標(biāo)主機(jī)IP地址]:[端口號(hào)（默認(rèn)為32754）]

　　連接成功后會(huì)組合采用RC6+RSA加密算法，在主控端與受控端之間建立加密信道。并回顯主控端與被控端基本信息，包括：IP地址和端口號(hào)、軟件版本、當(dāng)前工作目錄、進(jìn)程號(hào)（PID）、操作系統(tǒng)版本和內(nèi)核版本、日期時(shí)間等。同時(shí)主控端建立監(jiān)聽端口（默認(rèn)為1025），接受受控端的反向連接。

　　2、命令控制

　　主控端與被控端成功建立連接后，攻擊者可通過主控端控制臺(tái)向受控端發(fā)送指令，該木馬工具提供的指令非常豐富。開發(fā)者還給出了詳細(xì)的指令幫助說明。

　　其中遠(yuǎn)程控制指令如下所示：

　　-elevate：提升權(quán)限

　　-getenv：獲取環(huán)境變量

　　-gs：未知

　　-setenv：設(shè)置環(huán)境變量

　　-shell：返回命令行接口

　　-status：查看當(dāng)前連接狀態(tài)、本地與遠(yuǎn)程主機(jī)環(huán)境信息

　　-time：查看本地與遠(yuǎn)程主機(jī)的日期、時(shí)間和時(shí)區(qū)信息

　　-burn：終止控制并關(guān)閉遠(yuǎn)程進(jìn)程

　　-call ip port：設(shè)置回連IP地址和端口號(hào)

　　-listen port：設(shè)置監(jiān)聽端口號(hào)

　　-pid：查看遠(yuǎn)程受控端進(jìn)程ID

　　-icmptimetarget_ip [source_ip]：遠(yuǎn)程Ping目標(biāo)地址，查看時(shí)延

　　-ifconfig：查看遠(yuǎn)程主機(jī)的IP地址設(shè)置和MAC地址

　　-nslookup：遠(yuǎn)程對(duì)指定域名進(jìn)行解析

　　-ping：遠(yuǎn)程Ping目標(biāo)地址，用于內(nèi)網(wǎng)探測

　　-trace：遠(yuǎn)程traceroute

　　-fixudp port：指定UDP傳輸端口

　　另外，還有一些隱藏指令并沒有被在控制臺(tái)幫助中列出，如“-hammy”、“-trigger”、“-triggerold”和“-sniff”等。經(jīng)研判可能是與其他網(wǎng)絡(luò)武器或攻擊工具之間的功能調(diào)用接口。

　?。ǘ┦芸囟斯δ芊治?/p>

　　文件名：noserver_linux

　　MD5：9081d61fabeb9919e4e3fa84227999db

　　SHA-1：0274bd33c2785d4e497b6ba49f5485caa52a0855

　　SHA-256：4acc94c6be340fb8ef4133912843aa0e

　　4ece01d8d371209a01ccd824f519a9ca

　　文件大小：357KB（356996 字節(jié)）

　　文件類型：ELF32

　　文件最后修改時(shí)間：2011-12-8 19:07:48

　　受控端被加載運(yùn)行后會(huì)默認(rèn)監(jiān)聽32754端口。

　　受控端程序?yàn)榱烁蓴_和對(duì)抗分析，進(jìn)行了去符號(hào)操作，結(jié)合代碼功能，分析受控端程序的主要功能如下所示：

　　1.KillProc、kill：終止指定進(jìn)程

　　2.Chmod：為指定對(duì)象賦權(quán)限

　　3.GetCWD：獲得當(dāng)前工作目錄

　　4.GetPid：獲得當(dāng)前進(jìn)程ID

　　5.DeleteFile_Dir：刪除指定文件或目錄

　　6.GetFileMD5：獲得指定文件MD5摘要

　　7.GetPCInfo：獲得所在主機(jī)環(huán)境信息

　　8.Recv：上傳、下載數(shù)據(jù)

　　9.Connect：建立socket連接

　　受控端根據(jù)主控端指令組合調(diào)用相應(yīng)模塊執(zhí)實(shí)現(xiàn)相關(guān)惡意操作。

　　四、使用環(huán)境

　　“NOPEN”木馬工具支持在Linux、FreeBSD、SunOS、Solaris、JUNOS和HP-UX等各類操作系統(tǒng)上運(yùn)行，同時(shí)兼容i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、PPC、MIPS、ARM以及AMD64等多種體系架構(gòu)，適用范圍較廣。根據(jù)監(jiān)控情況，該木馬工具主要用于在受害單位內(nèi)網(wǎng)中執(zhí)行各類攻擊指令，結(jié)合其他取情、嗅探工具，級(jí)聯(lián)竊取核心數(shù)據(jù)。

　　五、植入方式

　　“NOPEN”木馬工具支持多種植入運(yùn)行方式，包括手動(dòng)植入、工具植入、自動(dòng)化植入等，其中最常見的植入方式是結(jié)合遠(yuǎn)程漏洞攻擊自動(dòng)化植入至目標(biāo)系統(tǒng)中，以便規(guī)避各種安全防護(hù)機(jī)制。此外，TAO還研發(fā)了一款名為Packrat的工具，可用于輔助植入“NOPEN”木馬工具，其主要功能為對(duì)“NOPEN”木馬工具進(jìn)行壓縮、編碼、上傳和啟動(dòng)。

　　六、使用控制方式

　　“NOPEN”木馬工具主要包括8個(gè)功能模塊，每個(gè)模塊支持多個(gè)命令操作，TAO主要使用該武器對(duì)受害機(jī)構(gòu)網(wǎng)絡(luò)內(nèi)部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò)設(shè)備實(shí)施持久化控制。其主要使用方式為：攻擊者首先向安裝有“NOPEN”木馬工具的網(wǎng)內(nèi)主機(jī)或設(shè)備發(fā)送特殊定制的激活包，“NOPEN”木馬工具被激活后回連至控制端，加密連接建立后，控制端發(fā)送各類指令操作“NOPEN”木馬工具實(shí)施網(wǎng)內(nèi)滲透、數(shù)據(jù)竊取、其他武器上傳等后續(xù)攻擊竊密行為。