安全矩阵

 找回密码
 立即注册
搜索
查看: 1130|回复: 0

第77篇:美国APT入侵西北工业大学使用的5款远控后门揭秘

[复制链接]

102

主题

102

帖子

330

积分

中级会员

Rank: 3Rank: 3

积分
330
发表于 2023-9-27 16:32:33 | 显示全部楼层 |阅读模式
本帖最后由 jiangmingzi 于 2023-9-27 16:32 编辑

原创 希潭实验室2023-09-24 21:59发表于山东
Part1 前言
大家好,我是ABC_123。在几个月前,我反复研读国家计算机病毒应急处理中心的多篇报告及360安全公司发布的各种关于该事件的报道,再结合国外对于美国APT研究报告,花了半个多月的时间复盘了美国APT入侵中国西北工业大学的整个流程,详见《[color=var(--weui-LINK)]第58篇:美国安全局NSA入侵西北工业大学流程图梳理和分析(正式篇)》。随着对美国APT组织和武器库的进一步了解,ABC_123最近又有新的领悟和研究成果,本着“未知攻、焉知防”的道理,今天给大家讲一讲美国APT在入侵西工大过程中,所用到的5款远控后门。
Part2 技术研究过程
根据官方发布的多篇报告,美国APT在入侵西工大过程中,一共使用了以下5款远控:
1 针对边界设备及linux系统的"NOPEN"远控木马。
2 针对Windows主机的“怒火喷射”图形界面远控。
3 针对边界设备的“二次约会”中间人劫持远控。
4 用于持久化控制的长期潜伏的“狡诈异端犯”后门。
5 与"NOPEN"后门配合使用的实现各种隐藏功能的“坚忍外科医生”rootkit后门。

  • NOPEN远控木马
在之前的文章中介绍过,美国NSA通过SunOS系统远程溢出漏洞或者其它网络设备漏洞向边界设备植入后门,这种后门通常就是NOPEN木马。它由美国国家安全局NSA研发,主要用于控制受害单位的网络设备节点,主要针对unix/linux系统,包括FreeBSD、SunOS、HP-UX、Solaris、Linux等。

ABC_123对以往美国APT的报告解读来看,美国NSA曾利用防火墙等边界设备的多个远程权限获取漏洞,对很多公司的边界设备植入了大量的NOPEN后门。NOPEN后门的植入方式主要有以下几种: 1   攻击者手工植入。 2   通过"酸狐狸"浏览器0day攻击平台配套的"验证器"后门加载植入。 3   通过"狡诈异端犯"持久型潜伏后门植入。 4   防火墙等边界网络设备0day漏洞利用工具自动化植入等。 5   Linux系统远程溢出漏洞植入。
NOPEN木马包括服务端noserver和客户端noclient两部分,客户端会采取发送激活包的方式与服务端建立连接,使用RSA算法进行密钥协商,使用RC6算法加密通信流量。NOPEN后门的默认监听端口是32754,如果32754端口被占用,那么会递增一个端口号,监听在32755上,以此类推。
如下图所示,这是NOPEN木马的客户端的使用过程:
noclient [参数1:目标主机IP地址]:[端口号(默认为32754)]

如下图所示,它连接服务端会有一个密钥协商过程,之后返回一个命令行格式的控制台。

输入help命令会显示当前NOPEN可以进行的操作,而且提供了使用帮助。

输入shell命令,会返回一个交互型的shell,可以执行任意Linux操作系统命令。

使用wireshark进行抓包,发现通信过程中流量是完全加密的。

  • 二次约会中间人劫持后门
“二次约会”中间人劫持后门是美国NSA的最重要的网络攻击武器之一,一般与"酸狐狸"浏览器0day打击平台Foxacid配合使用。这款攻击武器一般会长期驻留在网关服务器、边界路由器、防火墙设备中,针对海量数据流量进行精准过滤与自动化劫持,可以用于网络流量监听、中间人劫持攻击、在流量包中插入恶意链接或者恶意代码,同时它还可以结合BADDECISION无线攻击武器对无线网络上的用户发起“中间人”攻击,在用户不知情的情况下访问NSA服务器的恶意载荷,导致个人电脑被控。
在美国入侵西工大案例中,美国NSA的TAO(特定入侵行动办公室)在西北工业大学边界设备上安置该武器,劫持流经该设备的流量引导至“酸狐狸”平台实施浏览器溢出漏洞攻击。

这款后门支持分布式部署,由服务端和客户端构成。攻击者可指定源IP地址、源端口、目的IP地址、目的端口、协议类型、TCP标志等对网络流量进行过滤,并且可以指定匹配正则表达式文件以获取特定内容的流量,并且能够在流量中插入包含特定内容的返回包。接下来看这款工具的部分功能,以下是客户端程序:

以下是"二次约会"工具的server端程序:

  • 怒火喷射图形界面远控
"怒火喷射"远控是一款基于各种版本Windows系统的远控木马,并且带有图形界面,它可以生成20多种payload,本身具备极强的抗分析、反调试功能。在内网横向过程中,"怒火喷射"远控可以结合方程式工具包的"永恒之蓝"、"永恒浪漫"、"双脉冲星"等Windows远程溢出漏洞实施攻击。在美国APT对西工大攻击的案例中,TAO机构主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内网的个人电脑实施持久化控制。

如下图所示一旦木马上线,它会自动化进行一系列的信息收集。

这款远控提供了很多后渗透功能,提供了各种插件,包括执行命令、文件浏览、日志查看、脚本定制、提升权限、网络查看、进程查看等。

为了适应各种网络环境,它支持正向连接、反向连接,支持TCP协议、HTTP协议及ICMP协议。

同样带有对windows系统的截屏功能。

  • 狡诈异端犯
"狡诈异端犯"是一款轻量级的后门植入工具,运行后即删除自身,具备权限提升能力,可长久潜伏于目标设备并可随系统自启动。TAO主要使用该武器实现持久化,以便在合适时机建立加密管道上传NOPEN木马,保障对西北工业大学信息网络的长期控制。

根据美国NSA的公开资料显示,"狡诈异端犯"分为持久化版本和一次性版本,持久化版本在Linux系统重启后仍能存活。这款后门在进程注入之前会检查系统的进程,检查是否有适合注入的进程,如果返回00,则代表后门安装成功,如果返回09错误,代表没有找到合适的能注入的进程,后门安装失败。"狡诈异端犯"可以通过触发(Trigger)来激活,并上传前面我们介绍的"NOPEN"后门
此外,这款后门美国NSA提供了专门的卸载工具,运行后卸载工具会删除自身,木马随之被清空,不留痕迹。美国NSA的官方文档指出该工具不能与TripWire(文件系统完整性检查)同时使用,说明该类安全防护软件还是有一定效果的。
  • 坚忍外科医生rootkit后门
"坚忍外科医生"是一款高级rootkit后门,在对西北工业大学的网络攻击中,美国NSA使用了多个版本。它可以和Dewdrop模块搭配使用,此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门,该武器可持久化运行于目标设备上,根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程,避免其被监控发现。
美国NSA的TAO机构将“精准外科医生”后门与远程控制木马NOPEN配合使用,实现进程、文件和操作行为的全面“隐身”,长期隐蔽控制西北工业大学的运维管理服务器,同时采取替换3个原系统文件和3类系统日志的方式,清楚痕迹,隐藏自身。官方报告指出,先前的美国NSA的"Incision"后门可以直接升级到"坚忍外科医生"后门。

Part3 总结
1.  美国NSA针对不同的操作系统、在不同的APT攻击阶段,会定制和使用不同的远控后门,这点与其它APT组织不同,其它APT组织更习惯把各种功能都集中到一两款远控上。
2.  对于"二次约会"中间人劫持工具、狡诈异端犯后门、坚忍外科医生后门,我目前还没弄明白怎么使用。公开的资料太少了,有的可能需要多个组件配合使用,如果有读者了解使用方法,烦请指点一下,在此谢过
3.  后续ABC_123会对美国NSA的后门做进一步分析,需要借助IDA Pro等反编译工具,我已经好多年没搞过这一块了。只能感叹,对于网络安全的各个技术方向,研究到最后都离不开系统底层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 23:43 , Processed in 0.013449 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表