近日,國家計(jì)算機(jī)病毒應(yīng)急處理中心對(duì)美國家安全局(NSA)“酸狐貍”漏洞攻擊武器平臺(tái)(FoxAcid)進(jìn)行了技術(shù)分析。該漏洞攻擊武器平臺(tái)是美國國家安全局(NSA)特定入侵行動(dòng)辦公室(TAO,也被稱為“接入技術(shù)行動(dòng)處”)對(duì)他國開展網(wǎng)絡(luò)間諜行動(dòng)的重要陣地基礎(chǔ)設(shè)施,并成為計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)(CNE)的主力裝備。該漏洞攻擊武器平臺(tái)曾被用于多起臭名昭著的網(wǎng)絡(luò)攻擊事件。近期,中國多家科研機(jī)構(gòu)先后發(fā)現(xiàn)了一款名為“驗(yàn)證器”(Validator)木馬的活動(dòng)痕跡,該惡意程序據(jù)信是NSA“酸狐貍”漏洞攻擊武器平臺(tái)默認(rèn)使用的標(biāo)配后門惡意程序。這種情況突出表明,上述單位曾經(jīng)遭受過美國NSA“酸狐貍”漏洞攻擊武器平臺(tái)的網(wǎng)絡(luò)攻擊。
一、基本情況
“酸狐貍”漏洞攻擊武器平臺(tái)(FoxAcid)(以下簡稱“酸狐貍平臺(tái)”)是特定入侵行動(dòng)辦公室(TAO)打造的一款中間人劫持漏洞攻擊平臺(tái),能夠在具備會(huì)話劫持等中間人攻擊能力的前提下,精準(zhǔn)識(shí)別被攻擊目標(biāo)的版本信息,自動(dòng)化開展遠(yuǎn)程漏洞攻擊滲透,向目標(biāo)主機(jī)植入木馬、后門。特定入侵行動(dòng)辦公室(TAO)主要使用該武器平臺(tái)對(duì)受害單位辦公內(nèi)網(wǎng)實(shí)施中間人攻擊,突破控制其辦公網(wǎng)主機(jī)。該武器平臺(tái)主要被特定入侵行動(dòng)辦公室(TAO)用于突破控制位于受害單位辦公內(nèi)網(wǎng)的主機(jī)系統(tǒng),并向其植入各類木馬、后門等以實(shí)現(xiàn)持久化控制。酸狐貍平臺(tái)采用分布式架構(gòu),由多臺(tái)服務(wù)器組成,按照任務(wù)類型進(jìn)行分類,包括:垃圾釣魚郵件、中間人攻擊、后滲透維持等。其中特定入侵行動(dòng)辦公室還針對(duì)中國和俄羅斯目標(biāo)設(shè)置了專用的酸狐貍平臺(tái)服務(wù)器。
二、具體功能
酸狐貍平臺(tái)一般結(jié)合“QUANTUM(量子)”和“SECONDDATE(二次約會(huì))”等中間人攻擊武器使用,對(duì)攻擊目標(biāo)實(shí)施網(wǎng)絡(luò)流量劫持并插入惡意XSS腳本,根據(jù)任務(wù)類型和實(shí)際需求,XSS腳本的漏洞利用代碼可能來自一個(gè)或多個(gè)酸狐貍平臺(tái)服務(wù)器。該漏洞攻擊武器平臺(tái)集成了各種主流瀏覽器的零日(0day)漏洞,可智能化配置漏洞載荷針對(duì)IE、火狐、蘋果Safari、安卓Webkit等多平臺(tái)上的主流瀏覽器開展遠(yuǎn)程漏洞溢出攻擊。攻擊過程中該平臺(tái)結(jié)合各類信息泄露漏洞對(duì)目標(biāo)系統(tǒng)實(shí)施環(huán)境探測,并依據(jù)探測結(jié)果對(duì)漏洞載荷進(jìn)行匹配篩選,選擇合適的漏洞開展攻擊。如果目標(biāo)價(jià)值很高,且目標(biāo)系統(tǒng)版本較新、補(bǔ)丁較全,該平臺(tái)會(huì)選擇利用高價(jià)值零日漏洞實(shí)施攻擊;相反,如果目標(biāo)價(jià)值較低且系統(tǒng)版本老舊,該平臺(tái)會(huì)選擇較低價(jià)值的漏洞甚至已公開漏洞實(shí)施攻擊。一旦漏洞被觸發(fā)并符合入侵條件,就會(huì)向目標(biāo)植入間諜軟件,獲取目標(biāo)系統(tǒng)的控制權(quán),從而實(shí)現(xiàn)對(duì)目標(biāo)的長期監(jiān)視、控制和竊密。
三、技術(shù)分析
(一)技術(shù)架構(gòu)
酸狐貍平臺(tái)服務(wù)器采用微軟公司的Windows 2003 Server和IIS作為基礎(chǔ)操作系統(tǒng)和Web應(yīng)用服務(wù)器。通常部署于具有獨(dú)立IP地址的專用服務(wù)器上,對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊篩選以及漏洞載荷分發(fā),完成對(duì)目標(biāo)的攻擊過程,其攻擊范圍包括Windows、Linux、Solaris、Macintosh各類桌面系統(tǒng)及Windows phone、蘋果、安卓等移動(dòng)終端。
酸狐貍平臺(tái)服務(wù)器之間采用美國國家安全局(NSA)的CDR加密數(shù)據(jù)傳輸規(guī)則,并采用分布式架構(gòu),底層服務(wù)器將截獲的數(shù)據(jù)加密后向頂層匯聚,頂層服務(wù)器解密后按照一定的文件結(jié)構(gòu)存放,以便采用Foxsearch等情報(bào)檢索工具進(jìn)行檢索。完整的酸狐貍平臺(tái)服務(wù)器由三部分組成,即:基礎(chǔ)服務(wù)軟件(基于Perl腳本開發(fā))、插件和惡意程序載荷(Payload)。
酸狐貍平臺(tái)主要以中間人攻擊方式投遞漏洞載荷。該武器平臺(tái)根據(jù)目標(biāo)設(shè)備信息進(jìn)行自動(dòng)化的無感植入,具體步驟如下:
1.目標(biāo)網(wǎng)絡(luò)會(huì)話被重定向劫持之后,該武器平臺(tái)的信息搜集模塊首先利用信息泄露手段獲取目標(biāo)設(shè)備信息;
2.根據(jù)獲取的信息匹配篩選符合攻擊條件的漏洞載荷,并將載荷嵌入到請(qǐng)求響應(yīng)頁面中實(shí)現(xiàn)自動(dòng)化投遞;
3.判斷漏洞攻擊的結(jié)果是否成功,并根據(jù)返回信息向目標(biāo)系統(tǒng)上傳指定類型的持久化載荷。
為實(shí)施上述攻擊過程,酸狐貍平臺(tái)提供了自定義邏輯接口,特定入侵行動(dòng)辦公室的計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)成員可以在服務(wù)器上配置一系列過濾器規(guī)則,對(duì)來自受害者的網(wǎng)絡(luò)請(qǐng)求進(jìn)行處理,具體包括:
1.復(fù)寫器(Modrewrite),替換請(qǐng)求中的指定資源;
2.前置過濾器(PreFilter),根據(jù)受害者請(qǐng)求特征判斷是否是攻擊對(duì)象,如果不是則反饋HTTP狀態(tài)碼404或200(并指向特定資源);如果受害者屬于攻擊對(duì)象范圍,則傳遞給漏洞利用模塊,并由漏洞利用模塊自動(dòng)選擇相應(yīng)漏洞進(jìn)行攻擊;
3.后置過濾器(PostFilter),漏洞攻擊成功后,根據(jù)偵查到的目標(biāo)主機(jī)信息(包括:軟硬件環(huán)境信息、進(jìn)程信息等)判斷是否符合下一步進(jìn)行植入操作的條件,對(duì)于符合植入條件的目標(biāo),可指定向目標(biāo)植入的惡意程序載荷(Payload)。
(二)主要功能組件
1.項(xiàng)目跟蹤器(Project Tracker)
計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)使用項(xiàng)目跟蹤器管理所有使用酸狐貍平臺(tái)的行動(dòng)任務(wù),采用PHP+Javascript編寫,提供非常簡潔的Web管理界面,行動(dòng)隊(duì)成員通過背景色了解自己的權(quán)限,背景色為紅色代表只有只讀權(quán)限,綠色代表具有修改權(quán)限,黑色為管理員權(quán)限。行動(dòng)隊(duì)成員通過項(xiàng)目跟蹤器可以完成的功能包括:管理現(xiàn)有行動(dòng)任務(wù)、添加過濾器、增加新任務(wù)、增加新服務(wù)器、增加服務(wù)器IP地址、查看近三日內(nèi)即將啟動(dòng)或完成的任務(wù)等。
2.標(biāo)簽編輯器(Tag Maker)
計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)可使用標(biāo)簽編輯器為指定任務(wù)下的服務(wù)器添加標(biāo)簽(Tag),每個(gè)標(biāo)簽對(duì)應(yīng)一套攻擊技戰(zhàn)術(shù),使用者可配置標(biāo)簽的TLN、HMAC、MSGID等唯一性標(biāo)識(shí),其中MSGID與特定的攻擊工具相關(guān),如:針對(duì)路由器、防火墻等植入的間諜軟件SECONDDATE對(duì)應(yīng)的MSGID為“ace02468bdf13579”。此外,標(biāo)簽還可以指定植入方式,不同的惡意負(fù)載根據(jù)其特性應(yīng)對(duì)應(yīng)選擇不同的植入方式,如:SECONDDATE或MAGICBEAN應(yīng)采用“WEB”植入方式,YATCHSHOP應(yīng)采用“SPAM”方式,QUANTUMINSERT則應(yīng)采用“QI”方式。
3.SECONDDATE任務(wù)自動(dòng)化腳本工具“FABULOUSFABLE”
SECONDDATE是CNE行動(dòng)隊(duì)通過酸狐貍平臺(tái)進(jìn)行分發(fā)的主要惡意植入體之一,因此酸狐貍平臺(tái)提供了專門為SECONDDATE設(shè)計(jì)的自動(dòng)化任務(wù)腳本工具“FABULOUSFABLE”(簡稱“FABFAB”)。FABFAB可以代替行動(dòng)隊(duì)人員與SECONDDATE植入體交互,并按照事先設(shè)定好的邏輯,自動(dòng)化分發(fā)規(guī)則,并收集規(guī)則執(zhí)行日志和相關(guān)回傳數(shù)據(jù)。
4.標(biāo)簽替換器(MODREWRITES)
標(biāo)簽替換器是酸狐貍平臺(tái)的核心組件之一,通過標(biāo)簽替換器,計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)可以任意替換被其劫持的網(wǎng)絡(luò)流量中的資源,標(biāo)簽替換器的規(guī)則采用XML格式編寫,與過濾器相同。如圖1所示,一旦流量中的資源路徑與規(guī)則特征相匹配,則會(huì)被替換。
實(shí)際上,標(biāo)簽替換器規(guī)則還支持對(duì)路徑或資源中的部分字符串進(jìn)行替換,具有較好的適應(yīng)性和可擴(kuò)展性。
5.白名單規(guī)則(CASTLECREEK Whitelist)
白名單規(guī)則基于后置過濾器,可以對(duì)指定IP地址的主機(jī)植入指定的惡意負(fù)載,規(guī)則樣例如圖2所示。
6.封裝器(Wrappers)
封裝器主要用于輔助后續(xù)植入的惡意負(fù)載實(shí)現(xiàn)持久化駐留。其中一種封裝器名為DireScallop,專門針對(duì)名為DeepFreeze的系統(tǒng)還原工具,該工具多用于網(wǎng)吧中并實(shí)現(xiàn)計(jì)算機(jī)重啟后對(duì)系統(tǒng)進(jìn)行自動(dòng)還原,DireScallop可以在不重啟的條件下中止DeepFreeze運(yùn)行,植入惡意負(fù)載后再重新啟用DeepFreeze,使惡意負(fù)載被記錄在還原鏡像中,以實(shí)現(xiàn)目標(biāo)主機(jī)重啟后仍可保持惡意負(fù)載的可用性。
(三)植入的主要惡意負(fù)載
1.SECONDDATE(二次約會(huì))
針對(duì)路由器和防火墻的間諜惡意程序,可在網(wǎng)絡(luò)設(shè)備中潛伏并根據(jù)酸狐貍平臺(tái)組件分發(fā)的規(guī)則對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行竊密、劫持、替換等惡意操作。
2.Validator
Validator是酸狐貍平臺(tái)默認(rèn)使用的后門惡意程序,可實(shí)現(xiàn)對(duì)目標(biāo)的長期控制。
3.MistyVeal
MistyVeal是Validator后門的增強(qiáng)版,并且可以配置為按細(xì)粒度遞增時(shí)間間隔進(jìn)行回聯(lián),以逃避特征檢測。并且會(huì)利用IE瀏覽器作為回聯(lián)的渠道,并可復(fù)用IE瀏覽器的代理服務(wù)器設(shè)置,且僅對(duì)IE瀏覽器有效。
4.Ferret Cannon
Ferret Cannon是可執(zhí)行程序投送器,借助Ferret Cannon,酸狐貍平臺(tái)可以目標(biāo)投送多種間諜軟件工具,如:United Rake,Peddle Cheap,PktWench和Beach Head等,可執(zhí)行程序可以是.dll或.exe文件。
四、運(yùn)作方式
基于美國國家安全局(NSA)前雇員斯諾登公開的資料,我們可以部分分析出酸狐貍平臺(tái)的運(yùn)作方式如下:
(一)人員編制
特定入侵行動(dòng)辦公室的計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)中會(huì)設(shè)置一名或多名酸狐貍項(xiàng)目教官,這些教官可以領(lǐng)導(dǎo)一個(gè)或多個(gè)酸狐貍行動(dòng)組,行動(dòng)組中包括多名計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)隊(duì)員,分別負(fù)責(zé)直接支援特定的網(wǎng)絡(luò)入侵行動(dòng)、維護(hù)酸狐貍服務(wù)器、軟件等基礎(chǔ)設(shè)施以及根據(jù)任務(wù)需要開發(fā)和測試新的插件、漏洞利用代碼、輔助入侵工具和木馬后門等惡意負(fù)載。
(二)陣地基礎(chǔ)設(shè)施建設(shè)
如圖3所示,特定入侵行動(dòng)辦公室在全球范圍內(nèi)部署酸狐貍平臺(tái)服務(wù)器,其中編號(hào)前綴為XS的服務(wù)器是統(tǒng)籌多項(xiàng)任務(wù)的主服務(wù)器,值得注意的是編號(hào)為XS11的服務(wù)器明確被分配給英國情報(bào)機(jī)構(gòu)“英國政府通信總部”(GCHQ)開展中間人攻擊行動(dòng);編號(hào)為FOX00-60XX系列的酸狐貍平臺(tái)服務(wù)器用于支援垃圾釣魚郵件行動(dòng),服務(wù)器按照目標(biāo)所在區(qū)域進(jìn)行了分布式部署,包括中東地區(qū)、亞洲地區(qū)、歐洲地區(qū)、俄羅斯和其他特定區(qū)域;編號(hào)為FOX00-61XX系列的服務(wù)器則用于支援中間人攻擊行動(dòng),服務(wù)器分布與FOX00-60XX系列相同;值得注意的是,編號(hào)為FOX00-64XX系列的服務(wù)器用于支援計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)漏洞攻擊行動(dòng),其中編號(hào)為FOX00-6401的服務(wù)器專門針對(duì)中國,F(xiàn)OX00-6402號(hào)服務(wù)器針對(duì)俄羅斯,F(xiàn)OX00-6403號(hào)服務(wù)器則針對(duì)其他目標(biāo)。另外,F(xiàn)OX00-6300號(hào)服務(wù)器可能被用于代號(hào)為“ENCHANTED”的攻擊行動(dòng)。
(三)攻擊實(shí)例
1.案例1
如圖4所展示的酸狐貍平臺(tái)服務(wù)器上的過濾器規(guī)則片段,可以判斷該服務(wù)器主要針對(duì)中國的主機(jī)目標(biāo)進(jìn)行攻擊,過濾器中重點(diǎn)針對(duì)目標(biāo)環(huán)境中的卡巴斯基殺毒軟件、瑞星殺毒軟件、江民殺毒軟件等中國地區(qū)流行的殺毒軟件進(jìn)程進(jìn)行了匹配并進(jìn)行了可植入條件判斷。
2.案例2
如圖5所展示的服務(wù)器上的過濾器規(guī)則片段,可以判斷該FA服務(wù)器被用于攻擊IP地址“203.99.164[.]199”的目標(biāo),并將向目標(biāo)植入前文中提到的FerrentCannon惡意負(fù)載,從而進(jìn)一步向目標(biāo)投送其他間諜軟件。經(jīng)查,IP地址“203.99.164[.]199”歸屬于巴基斯坦電信公司。
五、總結(jié)
上述技術(shù)分析表明,美國NSA“酸狐貍”漏洞攻擊武器平臺(tái)仍是目前美國政府的主戰(zhàn)網(wǎng)絡(luò)武器之一,有三點(diǎn)結(jié)論值得國際社會(huì)嚴(yán)密關(guān)注:一是該漏洞利用平臺(tái)是美國國家安全局NSA特定入侵行動(dòng)辦公室(TAO)下屬計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)的主戰(zhàn)裝備,在計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)單獨(dú)或配合進(jìn)行的網(wǎng)絡(luò)入侵行動(dòng)中得到廣泛應(yīng)用,攻擊范圍覆蓋全球,其中中國和俄羅斯是重點(diǎn)目標(biāo)。二是該武器平臺(tái)采用了高度模塊化結(jié)構(gòu),具有較高的可擴(kuò)展性,同時(shí)可以與特定入侵行動(dòng)辦公室的項(xiàng)目管理工具高度集成,實(shí)現(xiàn)高效跨行動(dòng)支援。三是支持跨平臺(tái)攻擊,與特定入侵行動(dòng)辦公室(TAO)的其他網(wǎng)絡(luò)武器進(jìn)行集成后,其幾乎可以攻擊所有具有網(wǎng)絡(luò)連接功能的設(shè)備,是名副其實(shí)的網(wǎng)絡(luò)“黑洞”。
中國國家計(jì)算機(jī)病毒應(yīng)急處理中心對(duì)全球互聯(lián)網(wǎng)用戶發(fā)出預(yù)警,中國的科研機(jī)構(gòu)絕不是受到NSA網(wǎng)絡(luò)攻擊的唯一目標(biāo),全球范圍內(nèi)的政府機(jī)構(gòu)、科研機(jī)構(gòu)和商業(yè)企業(yè),都可能正在被酸狐貍平臺(tái)遠(yuǎn)程控制,平時(shí)遠(yuǎn)程竅取重要數(shù)據(jù),戰(zhàn)時(shí)癱瘓重要信息基礎(chǔ)設(shè)施,為美國式的“顏色革命”鋪平道路。
來源:國家計(jì)算機(jī)病毒應(yīng)急處理中心