近日,國家計(jì)算機(jī)病毒應(yīng)急處理中心對美國家安全局(NSA)“酸狐貍”漏洞攻擊武器平臺(FoxAcid)進(jìn)行了技術(shù)分析。該漏洞攻擊武器平臺是美國國家安全局(NSA)特定入侵行動辦公室(TAO,也被稱為“接入技術(shù)行動處”)對他國開展網(wǎng)絡(luò)間諜行動的重要陣地基礎(chǔ)設(shè)施,并成為計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)(CNE)的主力裝備。該漏洞攻擊武器平臺曾被用于多起臭名昭著的網(wǎng)絡(luò)攻擊事件。近期,中國多家科研機(jī)構(gòu)先后發(fā)現(xiàn)了一款名為“驗(yàn)證器”(Validator)木馬的活動痕跡,該惡意程序據(jù)信是NSA“酸狐貍”漏洞攻擊武器平臺默認(rèn)使用的標(biāo)配后門惡意程序。這種情況突出表明,上述單位曾經(jīng)遭受過美國NSA“酸狐貍”漏洞攻擊武器平臺的網(wǎng)絡(luò)攻擊。
一、基本情況
“酸狐貍”漏洞攻擊武器平臺(FoxAcid)(以下簡稱“酸狐貍平臺”)是特定入侵行動辦公室(TAO)打造的一款中間人劫持漏洞攻擊平臺,能夠在具備會話劫持等中間人攻擊能力的前提下,精準(zhǔn)識別被攻擊目標(biāo)的版本信息,自動化開展遠(yuǎn)程漏洞攻擊滲透,向目標(biāo)主機(jī)植入木馬、后門。特定入侵行動辦公室(TAO)主要使用該武器平臺對受害單位辦公內(nèi)網(wǎng)實(shí)施中間人攻擊,突破控制其辦公網(wǎng)主機(jī)。該武器平臺主要被特定入侵行動辦公室(TAO)用于突破控制位于受害單位辦公內(nèi)網(wǎng)的主機(jī)系統(tǒng),并向其植入各類木馬、后門等以實(shí)現(xiàn)持久化控制。酸狐貍平臺采用分布式架構(gòu),由多臺服務(wù)器組成,按照任務(wù)類型進(jìn)行分類,包括:垃圾釣魚郵件、中間人攻擊、后滲透維持等。其中特定入侵行動辦公室還針對中國和俄羅斯目標(biāo)設(shè)置了專用的酸狐貍平臺服務(wù)器。
二、具體功能
酸狐貍平臺一般結(jié)合“QUANTUM(量子)”和“SECONDDATE(二次約會)”等中間人攻擊武器使用,對攻擊目標(biāo)實(shí)施網(wǎng)絡(luò)流量劫持并插入惡意XSS腳本,根據(jù)任務(wù)類型和實(shí)際需求,XSS腳本的漏洞利用代碼可能來自一個或多個酸狐貍平臺服務(wù)器。該漏洞攻擊武器平臺集成了各種主流瀏覽器的零日(0day)漏洞,可智能化配置漏洞載荷針對IE、火狐、蘋果Safari、安卓Webkit等多平臺上的主流瀏覽器開展遠(yuǎn)程漏洞溢出攻擊。攻擊過程中該平臺結(jié)合各類信息泄露漏洞對目標(biāo)系統(tǒng)實(shí)施環(huán)境探測,并依據(jù)探測結(jié)果對漏洞載荷進(jìn)行匹配篩選,選擇合適的漏洞開展攻擊。如果目標(biāo)價(jià)值很高,且目標(biāo)系統(tǒng)版本較新、補(bǔ)丁較全,該平臺會選擇利用高價(jià)值零日漏洞實(shí)施攻擊;相反,如果目標(biāo)價(jià)值較低且系統(tǒng)版本老舊,該平臺會選擇較低價(jià)值的漏洞甚至已公開漏洞實(shí)施攻擊。一旦漏洞被觸發(fā)并符合入侵條件,就會向目標(biāo)植入間諜軟件,獲取目標(biāo)系統(tǒng)的控制權(quán),從而實(shí)現(xiàn)對目標(biāo)的長期監(jiān)視、控制和竊密。
三、技術(shù)分析
(一)技術(shù)架構(gòu)
酸狐貍平臺服務(wù)器采用微軟公司的Windows 2003 Server和IIS作為基礎(chǔ)操作系統(tǒng)和Web應(yīng)用服務(wù)器。通常部署于具有獨(dú)立IP地址的專用服務(wù)器上,對目標(biāo)系統(tǒng)進(jìn)行攻擊篩選以及漏洞載荷分發(fā),完成對目標(biāo)的攻擊過程,其攻擊范圍包括Windows、Linux、Solaris、Macintosh各類桌面系統(tǒng)及Windows phone、蘋果、安卓等移動終端。
酸狐貍平臺服務(wù)器之間采用美國國家安全局(NSA)的CDR加密數(shù)據(jù)傳輸規(guī)則,并采用分布式架構(gòu),底層服務(wù)器將截獲的數(shù)據(jù)加密后向頂層匯聚,頂層服務(wù)器解密后按照一定的文件結(jié)構(gòu)存放,以便采用Foxsearch等情報(bào)檢索工具進(jìn)行檢索。完整的酸狐貍平臺服務(wù)器由三部分組成,即:基礎(chǔ)服務(wù)軟件(基于Perl腳本開發(fā))、插件和惡意程序載荷(Payload)。
酸狐貍平臺主要以中間人攻擊方式投遞漏洞載荷。該武器平臺根據(jù)目標(biāo)設(shè)備信息進(jìn)行自動化的無感植入,具體步驟如下:
1.目標(biāo)網(wǎng)絡(luò)會話被重定向劫持之后,該武器平臺的信息搜集模塊首先利用信息泄露手段獲取目標(biāo)設(shè)備信息;
2.根據(jù)獲取的信息匹配篩選符合攻擊條件的漏洞載荷,并將載荷嵌入到請求響應(yīng)頁面中實(shí)現(xiàn)自動化投遞;
3.判斷漏洞攻擊的結(jié)果是否成功,并根據(jù)返回信息向目標(biāo)系統(tǒng)上傳指定類型的持久化載荷。
為實(shí)施上述攻擊過程,酸狐貍平臺提供了自定義邏輯接口,特定入侵行動辦公室的計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)成員可以在服務(wù)器上配置一系列過濾器規(guī)則,對來自受害者的網(wǎng)絡(luò)請求進(jìn)行處理,具體包括:
1.復(fù)寫器(Modrewrite),替換請求中的指定資源;
2.前置過濾器(PreFilter),根據(jù)受害者請求特征判斷是否是攻擊對象,如果不是則反饋HTTP狀態(tài)碼404或200(并指向特定資源);如果受害者屬于攻擊對象范圍,則傳遞給漏洞利用模塊,并由漏洞利用模塊自動選擇相應(yīng)漏洞進(jìn)行攻擊;
3.后置過濾器(PostFilter),漏洞攻擊成功后,根據(jù)偵查到的目標(biāo)主機(jī)信息(包括:軟硬件環(huán)境信息、進(jìn)程信息等)判斷是否符合下一步進(jìn)行植入操作的條件,對于符合植入條件的目標(biāo),可指定向目標(biāo)植入的惡意程序載荷(Payload)。
(二)主要功能組件
1.項(xiàng)目跟蹤器(Project Tracker)
計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)使用項(xiàng)目跟蹤器管理所有使用酸狐貍平臺的行動任務(wù),采用PHP+Javascript編寫,提供非常簡潔的Web管理界面,行動隊(duì)成員通過背景色了解自己的權(quán)限,背景色為紅色代表只有只讀權(quán)限,綠色代表具有修改權(quán)限,黑色為管理員權(quán)限。行動隊(duì)成員通過項(xiàng)目跟蹤器可以完成的功能包括:管理現(xiàn)有行動任務(wù)、添加過濾器、增加新任務(wù)、增加新服務(wù)器、增加服務(wù)器IP地址、查看近三日內(nèi)即將啟動或完成的任務(wù)等。
2.標(biāo)簽編輯器(Tag Maker)
計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)可使用標(biāo)簽編輯器為指定任務(wù)下的服務(wù)器添加標(biāo)簽(Tag),每個標(biāo)簽對應(yīng)一套攻擊技戰(zhàn)術(shù),使用者可配置標(biāo)簽的TLN、HMAC、MSGID等唯一性標(biāo)識,其中MSGID與特定的攻擊工具相關(guān),如:針對路由器、防火墻等植入的間諜軟件SECONDDATE對應(yīng)的MSGID為“ace02468bdf13579”。此外,標(biāo)簽還可以指定植入方式,不同的惡意負(fù)載根據(jù)其特性應(yīng)對應(yīng)選擇不同的植入方式,如:SECONDDATE或MAGICBEAN應(yīng)采用“WEB”植入方式,YATCHSHOP應(yīng)采用“SPAM”方式,QUANTUMINSERT則應(yīng)采用“QI”方式。
3.SECONDDATE任務(wù)自動化腳本工具“FABULOUSFABLE”
SECONDDATE是CNE行動隊(duì)通過酸狐貍平臺進(jìn)行分發(fā)的主要惡意植入體之一,因此酸狐貍平臺提供了專門為SECONDDATE設(shè)計(jì)的自動化任務(wù)腳本工具“FABULOUSFABLE”(簡稱“FABFAB”)。FABFAB可以代替行動隊(duì)人員與SECONDDATE植入體交互,并按照事先設(shè)定好的邏輯,自動化分發(fā)規(guī)則,并收集規(guī)則執(zhí)行日志和相關(guān)回傳數(shù)據(jù)。
4.標(biāo)簽替換器(MODREWRITES)
標(biāo)簽替換器是酸狐貍平臺的核心組件之一,通過標(biāo)簽替換器,計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)可以任意替換被其劫持的網(wǎng)絡(luò)流量中的資源,標(biāo)簽替換器的規(guī)則采用XML格式編寫,與過濾器相同。如圖1所示,一旦流量中的資源路徑與規(guī)則特征相匹配,則會被替換。
實(shí)際上,標(biāo)簽替換器規(guī)則還支持對路徑或資源中的部分字符串進(jìn)行替換,具有較好的適應(yīng)性和可擴(kuò)展性。
5.白名單規(guī)則(CASTLECREEK Whitelist)
白名單規(guī)則基于后置過濾器,可以對指定IP地址的主機(jī)植入指定的惡意負(fù)載,規(guī)則樣例如圖2所示。
6.封裝器(Wrappers)
封裝器主要用于輔助后續(xù)植入的惡意負(fù)載實(shí)現(xiàn)持久化駐留。其中一種封裝器名為DireScallop,專門針對名為DeepFreeze的系統(tǒng)還原工具,該工具多用于網(wǎng)吧中并實(shí)現(xiàn)計(jì)算機(jī)重啟后對系統(tǒng)進(jìn)行自動還原,DireScallop可以在不重啟的條件下中止DeepFreeze運(yùn)行,植入惡意負(fù)載后再重新啟用DeepFreeze,使惡意負(fù)載被記錄在還原鏡像中,以實(shí)現(xiàn)目標(biāo)主機(jī)重啟后仍可保持惡意負(fù)載的可用性。
(三)植入的主要惡意負(fù)載
1.SECONDDATE(二次約會)
針對路由器和防火墻的間諜惡意程序,可在網(wǎng)絡(luò)設(shè)備中潛伏并根據(jù)酸狐貍平臺組件分發(fā)的規(guī)則對網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行竊密、劫持、替換等惡意操作。
2.Validator
Validator是酸狐貍平臺默認(rèn)使用的后門惡意程序,可實(shí)現(xiàn)對目標(biāo)的長期控制。
3.MistyVeal
MistyVeal是Validator后門的增強(qiáng)版,并且可以配置為按細(xì)粒度遞增時間間隔進(jìn)行回聯(lián),以逃避特征檢測。并且會利用IE瀏覽器作為回聯(lián)的渠道,并可復(fù)用IE瀏覽器的代理服務(wù)器設(shè)置,且僅對IE瀏覽器有效。
4.Ferret Cannon
Ferret Cannon是可執(zhí)行程序投送器,借助Ferret Cannon,酸狐貍平臺可以目標(biāo)投送多種間諜軟件工具,如:United Rake,Peddle Cheap,PktWench和Beach Head等,可執(zhí)行程序可以是.dll或.exe文件。
四、運(yùn)作方式
基于美國國家安全局(NSA)前雇員斯諾登公開的資料,我們可以部分分析出酸狐貍平臺的運(yùn)作方式如下:
(一)人員編制
特定入侵行動辦公室的計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)中會設(shè)置一名或多名酸狐貍項(xiàng)目教官,這些教官可以領(lǐng)導(dǎo)一個或多個酸狐貍行動組,行動組中包括多名計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)隊(duì)員,分別負(fù)責(zé)直接支援特定的網(wǎng)絡(luò)入侵行動、維護(hù)酸狐貍服務(wù)器、軟件等基礎(chǔ)設(shè)施以及根據(jù)任務(wù)需要開發(fā)和測試新的插件、漏洞利用代碼、輔助入侵工具和木馬后門等惡意負(fù)載。
(二)陣地基礎(chǔ)設(shè)施建設(shè)
如圖3所示,特定入侵行動辦公室在全球范圍內(nèi)部署酸狐貍平臺服務(wù)器,其中編號前綴為XS的服務(wù)器是統(tǒng)籌多項(xiàng)任務(wù)的主服務(wù)器,值得注意的是編號為XS11的服務(wù)器明確被分配給英國情報(bào)機(jī)構(gòu)“英國政府通信總部”(GCHQ)開展中間人攻擊行動;編號為FOX00-60XX系列的酸狐貍平臺服務(wù)器用于支援垃圾釣魚郵件行動,服務(wù)器按照目標(biāo)所在區(qū)域進(jìn)行了分布式部署,包括中東地區(qū)、亞洲地區(qū)、歐洲地區(qū)、俄羅斯和其他特定區(qū)域;編號為FOX00-61XX系列的服務(wù)器則用于支援中間人攻擊行動,服務(wù)器分布與FOX00-60XX系列相同;值得注意的是,編號為FOX00-64XX系列的服務(wù)器用于支援計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)漏洞攻擊行動,其中編號為FOX00-6401的服務(wù)器專門針對中國,F(xiàn)OX00-6402號服務(wù)器針對俄羅斯,F(xiàn)OX00-6403號服務(wù)器則針對其他目標(biāo)。另外,F(xiàn)OX00-6300號服務(wù)器可能被用于代號為“ENCHANTED”的攻擊行動。
(三)攻擊實(shí)例
1.案例1
如圖4所展示的酸狐貍平臺服務(wù)器上的過濾器規(guī)則片段,可以判斷該服務(wù)器主要針對中國的主機(jī)目標(biāo)進(jìn)行攻擊,過濾器中重點(diǎn)針對目標(biāo)環(huán)境中的卡巴斯基殺毒軟件、瑞星殺毒軟件、江民殺毒軟件等中國地區(qū)流行的殺毒軟件進(jìn)程進(jìn)行了匹配并進(jìn)行了可植入條件判斷。
2.案例2
如圖5所展示的服務(wù)器上的過濾器規(guī)則片段,可以判斷該FA服務(wù)器被用于攻擊IP地址“203.99.164[.]199”的目標(biāo),并將向目標(biāo)植入前文中提到的FerrentCannon惡意負(fù)載,從而進(jìn)一步向目標(biāo)投送其他間諜軟件。經(jīng)查,IP地址“203.99.164[.]199”歸屬于巴基斯坦電信公司。
五、總結(jié)
上述技術(shù)分析表明,美國NSA“酸狐貍”漏洞攻擊武器平臺仍是目前美國政府的主戰(zhàn)網(wǎng)絡(luò)武器之一,有三點(diǎn)結(jié)論值得國際社會嚴(yán)密關(guān)注:一是該漏洞利用平臺是美國國家安全局NSA特定入侵行動辦公室(TAO)下屬計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)的主戰(zhàn)裝備,在計(jì)算機(jī)網(wǎng)絡(luò)入侵行動隊(duì)單獨(dú)或配合進(jìn)行的網(wǎng)絡(luò)入侵行動中得到廣泛應(yīng)用,攻擊范圍覆蓋全球,其中中國和俄羅斯是重點(diǎn)目標(biāo)。二是該武器平臺采用了高度模塊化結(jié)構(gòu),具有較高的可擴(kuò)展性,同時可以與特定入侵行動辦公室的項(xiàng)目管理工具高度集成,實(shí)現(xiàn)高效跨行動支援。三是支持跨平臺攻擊,與特定入侵行動辦公室(TAO)的其他網(wǎng)絡(luò)武器進(jìn)行集成后,其幾乎可以攻擊所有具有網(wǎng)絡(luò)連接功能的設(shè)備,是名副其實(shí)的網(wǎng)絡(luò)“黑洞”。
中國國家計(jì)算機(jī)病毒應(yīng)急處理中心對全球互聯(lián)網(wǎng)用戶發(fā)出預(yù)警,中國的科研機(jī)構(gòu)絕不是受到NSA網(wǎng)絡(luò)攻擊的唯一目標(biāo),全球范圍內(nèi)的政府機(jī)構(gòu)、科研機(jī)構(gòu)和商業(yè)企業(yè),都可能正在被酸狐貍平臺遠(yuǎn)程控制,平時遠(yuǎn)程竅取重要數(shù)據(jù),戰(zhàn)時癱瘓重要信息基礎(chǔ)設(shè)施,為美國式的“顏色革命”鋪平道路。
來源:國家計(jì)算機(jī)病毒應(yīng)急處理中心