安天分析美方网空攻击活动成果摘编之一丨样本分析篇

时间 :  2022年09月13日  来源:  国家互联网应急中心CNCERT

编者说明:

2022年9月5日,国家计算机病毒应急处理中心和网络安全厂商发布相关分析报告,曝光源自美国国家安全局(NSA)“特定入侵行动办公室”(TAO)针对西北工业大学的网络攻击活动。

安天从2010年起持续分析美方情报机构相关攻击活动,并在攻击组织能力评价标准中将其划定为超高能力网空威胁行为体,提出用A2PT(即“高级的”高级持续性威胁)攻击来界定称其攻击活动。过去12年来,安天针对A2PT攻击活动的持续跟踪、捕获、关联、分析工作,累计发布了数十篇分析报告、论文和其他研究文献。

为了让公众更全面的了解A2PT攻击活动能力,我们对部分历史分析成果进行了聚合梳理,将其整合摘编为样本分析篇,组织体系和能力分析篇,核心机理分析、关联溯源和全过程复盘篇,敌情想定与防御猎杀篇。

本日我们带来样本分析篇。本次西工大事件中的相关木马程序样本,可以参考本专题中的《从方程式到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析》报告进行了解。该报告由安天在2016发布,是业内首次曝光美方Linux和 Solaris平台样本的分析成果。

一、概述


恶意代码是网络攻击的主要武器弹药,A2PT攻击活动中始终伴随着复杂的高级恶意代码的运用。有效捕获恶意代码并展开分析,是分析研判A2PT攻击活动,进行追踪溯源的基础。以下是安天面向A2PT的高级恶意代码分析的部分已公开的报告清单。(本文第二章节附有报告全文阅读链接)

• 2010年

《对Stuxnet蠕虫攻击工业控制系统事件的综合分析报告》

• 2012年

《Flame蠕虫样本集分析报告》

• 2015年

《修改硬盘固件的木马 探索方程式(EQUATION)组织的攻击组件》《方程式(EQUATION)部分组件中的加密技巧分析》

• 2016年

《从方程式到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析

• 2017年

《方程式组织EQUATION DRUG平台解析》

• 2022年

《从“NOPEN”远控木马浮出水面看美方网络攻击装备体系》

二、恶意代码分析部分工作和成果索引


1.《对Stuxnet蠕虫攻击工业控制系统事件的综合分析报告》

【首次发布时间】 2010年9月27日

【安天主要分析工作】 对Stuxnet蠕虫的主要功能、恶意行为、传播机理和攻击行为进行分析,给出解决方案与安全建议,分析和警示工业控制系统安全面临的严峻挑战。

【取得关键成果】 国内系统对“震网”病毒首批分析报告,被多种书籍、媒体转载。

扫码或点击报告封面阅读报告全文

2.《Flame蠕虫样本集分析报告》

【首次发布时间】 2012年5月31日

【安天主要分析工作】 针对Flame蠕虫进行了为期数月的马拉松式分析,将20多个不同Hash值的样本,聚类为6个模块变种,发现了其他衍生文件。经过两个月的分析,安天发布近100页的《Flame蠕虫样本集分析报告》,并将相关事件进行总结。

【取得关键成果】 在漏洞攻击模块中发现了曾被“震网”(Stuxnet)使用过的USB攻击模块,验证了两者的同源关系。

扫码或点击报告封面阅读报告全文

3.《修改硬盘固件的木马 探索方程式(EQUATION)组织的攻击组件》

【首次发布时间】 2015年3月4日

【安天主要分析工作】 安天基于信息比对发现国际友商2015年曝光的“方程式”组织和安天2013年开始跟踪分析的匿名攻击组织为同一组织,可以合并线索分析。安天分析了该组织的攻击组件结构和硬盘固件写入模块,对可能的持久化节点进行了固件提取比对分析。

【取得关键成果】 分析硬盘固件修改技术、指令控制结构。

扫码或点击报告封面阅读报告全文

4.《方程式(EQUATION)部分组件中的加密技巧分析》

【首次发布时间】 2015年4月16日

【安天主要分析工作】 剖析其代码结构和指令控制模块,分析了“方程式”组织内置的数据加密和网络通信加密算法,分析出解密秘钥并推导出解密算法。

【取得关键成果】 破解公布“方程式”组织数据加密、通讯加密方式和算法。

扫码或点击报告封面阅读报告全文

5.《从方程式到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析》

【首次发布时间】 2016年11月4日

【安天主要分析工作】 针对该组织针对特殊架构的Solaris系统以及Linux平台的攻击样本,分析了样本的主要功能、通信模式和指令特点,揭示了A2PT攻击组织的全平台恶意代码开发和运用能力。

【取得关键成果】 全球首次独家曝光美方Sorlaris、Linux两个平台的样本,与卡巴等厂商报告叠加,构成了A2PT攻击组织的全平台恶意代码能力图谱。相关分析成果在海外引起一定反响。

扫码或点击报告封面阅读报告全文

6.《方程式组织EQUATION DRUG平台解析》

【首次发布时间】 2017年1月16日

【安天主要分析工作】 将历史分析成果与“影子经纪人”泄露的美方攻击平台样本文件进行了联合分析梳理,深度揭示了其恶意代码高度积木化的作业风格。

【取得关键成果】 首次完成美方积木化木马面向杀伤链的映射图谱,相关分析成果在海外引起一定反响。

扫码或点击报告封面阅读报告全文

7.《从“NOPEN”远控木马浮出水面看美方网络攻击装备体系》

【首次发布时间】 2022年3月15日

【安天主要分析工作】 “NOPEN”木马是美方制式化网络攻击装备中的一员,本篇报告将已经公布的分析报告要点进行梳理,结合部分未公开成果,在本篇报告进行呈现。

【取得关键成果】 通过逆向分析、搭建复现攻防环境确定“NOPEN”木马是具有重定向功能的后门工具,还原了美方流量重定向攻击技术和多层链路横向渗透攻击的模式。

扫码或点击报告封面阅读报告全文

其他相关报告可在安天官网、公众号平台以及安天技术文章汇编APT卷中查阅。下期将推出《安天分析美方网空攻击活动成果摘编之二丨组织体系和能力分析篇》。