作者:國家計算機病毒應急處理中心
以下為全文轉載
近日,國家計算機病毒應急處理中心對美國家安全局(NSA)「酸狐狸」漏洞攻擊武器平台(FoxAcid)進行了技術分析。該漏洞攻擊武器平台是美國國家安全局(NSA)特定入侵行動辦公室(TAO,也被稱為「接入技術行動處」)對他國開展網絡間諜行動的重要陣地基礎設施,並成為計算機網絡入侵行動隊(CNE)的主力裝備。該漏洞攻擊武器平台曾被用於多起臭名昭著的網絡攻擊事件。近期,中國多家科研機構先後發現了一款名為「驗證器」(Validator)木馬的活動痕跡,該惡意程序據信是NSA「酸狐狸」漏洞攻擊武器平台默認使用的標配後門惡意程序。這種情況突出表明,上述單位曾經遭受過美國NSA「酸狐狸」漏洞攻擊武器平台的網絡攻擊。
一、基本情況
二、具體功能
三、技術分析
(一)技術架構
酸狐狸平台服務器採用微軟公司的Windows 2003 Server和IIS作為基礎操作系統和Web應用服務器。通常部署於具有獨立IP地址的專用服務器上,對目標系統進行攻擊篩選以及漏洞載荷分發,完成對目標的攻擊過程,其攻擊範圍包括Windows、Linux、Solaris、Macintosh各類桌面系統及Windows phone、蘋果、安卓等移動終端。
酸狐狸平台服務器之間採用美國國家安全局(NSA)的CDR加密數據傳輸規則,並採用分布式架構,底層服務器將截獲的數據加密後向頂層匯聚,頂層服務器解密後按照一定的文件結構存放,以便採用Foxsearch等情報檢索工具進行檢索。完整的酸狐狸平台服務器由三部分組成,即:基礎服務軟件(基於Perl腳本開發)、插件和惡意程序載荷(Payload)。
酸狐狸平台主要以中間人攻擊方式投遞漏洞載荷。該武器平台根據目標設備信息進行自動化的無感植入,具體步驟如下:
1.目標網絡會話被重定向劫持之後,該武器平台的信息搜集模塊首先利用信息泄露手段獲取目標設備信息;
2.根據獲取的信息匹配篩選符合攻擊條件的漏洞載荷,並將載荷嵌入到請求響應頁面中實現自動化投遞;
3.判斷漏洞攻擊的結果是否成功,並根據返回信息向目標系統上傳指定類型的持久化載荷。
為實施上述攻擊過程,酸狐狸平台提供了自定義邏輯接口,特定入侵行動辦公室的計算機網絡入侵行動隊成員可以在服務器上配置一系列過濾器規則,對來自受害者的網絡請求進行處理,具體包括:
1.複寫器(Modrewrite),替換請求中的指定資源;
2.前置過濾器(PreFilter),根據受害者請求特徵判斷是否是攻擊對象,如果不是則反饋HTTP狀態碼404或200(並指向特定資源);如果受害者屬於攻擊對象範圍,則傳遞給漏洞利用模塊,並由漏洞利用模塊自動選擇相應漏洞進行攻擊;
3.後置過濾器(PostFilter),漏洞攻擊成功後,根據偵查到的目標主機信息(包括:軟硬件環境信息、進程信息等)判斷是否符合下一步進行植入操作的條件,對於符合植入條件的目標,可指定向目標植入的惡意程序載荷(Payload)。
(二)主要功能組件
1.項目跟蹤器(Project Tracker)
計算機網絡入侵行動隊使用項目跟蹤器管理所有使用酸狐狸平台的行動任務,採用PHP+Javascript編寫,提供非常簡潔的Web管理界面,行動隊成員通過背景色了解自己的權限,背景色為紅色代表只有隻讀權限,綠色代表具有修改權限,黑色為管理員權限。行動隊成員通過項目跟蹤器可以完成的功能包括:管理現有行動任務、添加過濾器、增加新任務、增加新服務器、增加服務器IP地址、查看近三日內即將啟動或完成的任務等。
2.標籤編輯器(Tag Maker)
計算機網絡入侵行動隊可使用標籤編輯器為指定任務下的服務器添加標籤(Tag),每個標籤對應一套攻擊技戰術,使用者可配置標籤的TLN、HMAC、MSGID等唯一性標識,其中MSGID與特定的攻擊工具相關,如:針對路由器、防火牆等植入的間諜軟件SECONDDATE對應的MSGID為「ace02468bdf13579」。此外,標籤還可以指定植入方式,不同的惡意負載根據其特性應對應選擇不同的植入方式,如:SECONDDATE或MAGICBEAN應採用「WEB」植入方式,YATCHSHOP應採用「SPAM」方式,QUANTUMINSERT則應採用「QI」方式。
3.SECONDDATE任務自動化腳本工具「FABULOUSFABLE」
SECONDDATE是CNE行動隊通過酸狐狸平台進行分發的主要惡意植入體之一,因此酸狐狸平台提供了專門為SECONDDATE設計的自動化任務腳本工具「FABULOUSFABLE」(簡稱「FABFAB」)。FABFAB可以代替行動隊人員與SECONDDATE植入體交互,並按照事先設定好的邏輯,自動化分發規則,並收集規則執行日誌和相關回傳數據。
4.標籤替換器(MODREWRITES)
標籤替換器是酸狐狸平台的核心組件之一,通過標籤替換器,計算機網絡入侵行動隊可以任意替換被其劫持的網絡流量中的資源,標籤替換器的規則採用XML格式編寫,與過濾器相同。如圖1所示,一旦流量中的資源路徑與規則特徵相匹配,則會被替換。
實際上,標籤替換器規則還支持對路徑或資源中的部分字符串進行替換,具有較好的適應性和可擴展性。
5.白名單規則(CASTLECREEK Whitelist)
白名單規則基於後置過濾器,可以對指定IP地址的主機植入指定的惡意負載,規則樣例如圖2所示。
6.封裝器(Wrappers)
封裝器主要用於輔助後續植入的惡意負載實現持久化駐留。其中一種封裝器名為DireScallop,專門針對名為DeepFreeze的系統還原工具,該工具多用於網吧中並實現計算機重啟後對系統進行自動還原,DireScallop可以在不重啟的條件下中止DeepFreeze運行,植入惡意負載後再重新啟用DeepFreeze,使惡意負載被記錄在還原鏡像中,以實現目標主機重啟後仍可保持惡意負載的可用性。
(三)植入的主要惡意負載
1.SECONDDATE(二次約會)
針對路由器和防火牆的間諜惡意程序,可在網絡設備中潛伏並根據酸狐狸平台組件分發的規則對網絡流量數據進行竊密、劫持、替換等惡意操作。
2.Validator
Validator是酸狐狸平台默認使用的後門惡意程序,可實現對目標的長期控制。
3.MistyVeal
MistyVeal是Validator後門的增強版,並且可以配置為按細粒度遞增時間間隔進行回聯,以逃避特徵檢測。並且會利用IE瀏覽器作為回聯的渠道,並可復用IE瀏覽器的代理服務器設置,且僅對IE瀏覽器有效。
4.Ferret Cannon
Ferret Cannon是可執行程序投送器,藉助Ferret Cannon,酸狐狸平台可以目標投送多種間諜軟件工具,如:United Rake,Peddle Cheap,PktWench和Beach Head等,可執行程序可以是.dll或.exe文件。
四、運作方式
(一)人員編制
特定入侵行動辦公室的計算機網絡入侵行動隊中會設置一名或多名酸狐狸項目教官,這些教官可以領導一個或多個酸狐狸行動組,行動組中包括多名計算機網絡入侵行動隊隊員,分別負責直接支援特定的網絡入侵行動、維護酸狐狸服務器、軟件等基礎設施以及根據任務需要開發和測試新的插件、漏洞利用代碼、輔助入侵工具和木馬後門等惡意負載。
(二)陣地基礎設施建設
如圖3所示,特定入侵行動辦公室在全球範圍內部署酸狐狸平台服務器,其中編號前綴為XS的服務器是統籌多項任務的主服務器,值得注意的是編號為XS11的服務器明確被分配給英國情報機構「英國政府通信總部」(GCHQ)開展中間人攻擊行動;編號為FOX00-60XX系列的酸狐狸平台服務器用於支援垃圾釣魚郵件行動,服務器按照目標所在區域進行了分布式部署,包括中東地區、亞洲地區、歐洲地區、俄羅斯和其他特定區域;編號為FOX00-61XX系列的服務器則用於支援中間人攻擊行動,服務器分布與FOX00-60XX系列相同;值得注意的是,編號為FOX00-64XX系列的服務器用於支援計算機網絡入侵行動隊漏洞攻擊行動,其中編號為FOX00-6401的服務器專門針對中國,FOX00-6402號服務器針對俄羅斯,FOX00-6403號服務器則針對其他目標。另外,FOX00-6300號服務器可能被用於代號為「ENCHANTED」的攻擊行動。
(三)攻擊實例
1.案例1
如圖4所展示的酸狐狸平台服務器上的過濾器規則片段,可以判斷該服務器主要針對中國的主機目標進行攻擊,過濾器中重點針對目標環境中的卡巴斯基殺毒軟件、瑞星殺毒軟件、江民殺毒軟件等中國地區流行的殺毒軟件進程進行了匹配並進行了可植入條件判斷。
2.案例2
如圖5所展示的服務器上的過濾器規則片段,可以判斷該FA服務器被用於攻擊IP地址「203.99.164[.]199」的目標,並將向目標植入前文中提到的FerrentCannon惡意負載,從而進一步向目標投送其他間諜軟件。經查,IP地址「203.99.164[.]199」歸屬於巴基斯坦電信公司。
五、總結
中國國家計算機病毒應急處理中心對全球互聯網用戶發出預警,中國的科研機構絕不是受到NSA網絡攻擊的唯一目標,全球範圍內的政府機構、科研機構和商業企業,都可能正在被酸狐狸平台遠程控制,平時遠程竅取重要數據,戰時癱瘓重要信息基礎設施,為美國式的「顏色革命」鋪平道路。
留言列表