NOPEN远程木马分析报告

admin 2022年9月16日14:56:50评论91 views字数 2109阅读7分1秒阅读模式

近日,国家计算机病毒应急处理中心对名为“NOPEN”的木马工具进行了攻击场景复现和技术分析。该木马工具针对 Unix/Linux平台, 可实现对目标的远程控制。根据“影子经纪人”泄露的 NSA 内部文件,该木马工具为美国国家安全局开发的网络武器“NOPEN"木马工具是 一款功能强大的综合型木马工具,也是美国国家安全局接入技术行动处 (TAO) 对外攻击窃密所使用的主战网络武器之一。

一、基本情况

        “NOPEN”木马工具为针对Unix/Linux系统的远程控制工具,主要用于文件窃取、系统提权、网络通信重定向以及查看目标设备信息等,是TAO远程控制受害单位内部网络节点的主要工具。通过技术分析,我单位认为“NOPEN” 木马工具编码技术复杂、功能全面、隐蔽性强、适配多种处理器架构和操作系统,并且采用了插件式结构,可以与其他网络武器或攻击工具进行交互和协作,是典型的用于网络间谍活动的武器工具。

二、具体功能

       “NOPEN”木马工具包含客户端“noclient”和“noserver”服务端两部分, 客户端会采取发送激活包的方式与服务端建立连接,使用RSA算法进行秘钥协商,使用RC6算法加密通信流量。

       该木马工具设计复杂,支持功能众多,主要包括以下功能:内网端口扫描、端口复用、建立隧道、文件处理(上传、下载、删除、重命名、计算校验值)、目录遍历、邮件获取、环境变量设置、进程获取、自毁消痕等。

三、技术分析

       经技术分析与研判,该木马工具针对Unix/Linux平台, 可在主控端和受控端之间建立隐蔽加密信道,攻击者可通过向目标发送远程指令,实现远程获取目标主机环境信息、上传/下载/创建/修改/删除文件、远程执行命令、网络流量代理转发、内网扫描、窃取电子邮件信息、自毁等恶意功能。该木马工具包含主控端(Client)和受控端(Server)两个部分,具体分析结果如下:

(一)主控端功能分析

NOPEN远程木马分析报告

NOPEN远程木马分析报告

      主控端的主要功能是连接受控端和向受控端发送指令并接收受控端回传的信息:

1、连接目标受控端

      主控端通过以下命令行连接目标受控端:

NOPEN远程木马分析报告

       连接成功后会组合采用RC6+RSA加密算法,在主控端与受控端之问建立加密信道。并回显主控端与被控端基本信息,包括:IP地址和端口号、软件版本、当前工作目录、进程号(PID)、操作系统版本和内核版本、日期时间等 。同时主控端建立监听端口(默认为1025 ),接受受控端的反向连接。

      主控端连接目标受控端 ,如图1所示:

NOPEN远程木马分析报告

2、 命令控制

       主控端与被控端成功建立连接后,攻击者可通过主控端控制台向受控端发送指令,该木马工具提供的指令非常丰富。开发者还给出了详细的指令帮助说明 , 如图 2 所示:

NOPEN远程木马分析报告

        其中远程控制指令如表2所示:

NOPEN远程木马分析报告

NOPEN远程木马分析报告

       全局操作指令如图3所示:

NOPEN远程木马分析报告

       网络操作指令如图4所示:

NOPEN远程木马分析报告

    文件操作指令如图5所示

                                                                 NOPEN远程木马分析报告

      另外,还有一些隐藏指令并没有被在控制台帮助中列出,如’’-hammy’’、’’-trigger’’、’’-triggerold’’和’’-sniff’’等,如图6所示。经研判可能是与其他网络武器或攻击工具之间的功能调用接口。

(二)受控端功能分析

NOPEN远程木马分析报告

      受控端被加载运行后会默认监听32754端口, 如图7所示:

NOPEN远程木马分析报告

      受控端默认监听端口如图8所示:

NOPEN远程木马分析报告

      受控端程序为了干扰和对抗分析,进行了去符号操作,结合代码功能,分析受控端程序的主要功能如表4所示:

NOPEN远程木马分析报告

NOPEN远程木马分析报告

  受控端根据主控端指令组合调用相应模块值实现相关恶意操作,如图9所示:

NOPEN远程木马分析报告

四、使用环境

      " NOPEN"木马工具支持在Linux 、 FreeBSD、SunOS、Solaris、JUNOS 和HP-UX 等各类操作系统上运行,同时兼容i386 、i486 、i586 、i686、i86pc 、i86、SPARC 、Alpha 、x86 _ 64 、PPC、MIPS、ARM 以及 AMD64 等多种体系架构, 适用范围较广。根据监控情况,该木马工具主要用于在受害单位内网中执行各类攻击指令,结合其他取情、嗅探工具,级联窃取核心数据。

五、植入方式

      " NOPEN" 木马工具支持 多种植入运行方式 , 包括手动植入、工具植入、自动化植入等,其中最常见的植入方式是 结合远程涌洞攻击自动化植入至目标系统中,以便规避各种 安全防护机制。此外 ,TAO 还研发了一 款名为 Packra t 的工具, 可用于辅助植入 “ NOPEN"  木马工具, 其主要功能为对" NOPEN"  木马工具进行压缩 、编码、 上传和启动。

六、使用控制方式

      " NOPEN" 木马工具主要包括 8 个功能模块,每个模块支持多个命令操作 , TAO 主要使用该武器对受害机构网络内部的核心业务服务器和关键网络设备实施持久化控制。其主要使用方式为 :攻击者首先向安装有 “ NOPEN"  木马工具的网内主机或设备发送特殊定制的激活包,“ NOPEN"  木马工具被激活后回连至控制端,加密连接建立后,控制端发送各类指令操作 “NOPEN"  木马工具实施网内渗透 、 数据窃取、其他武器上传等后续攻击窃密行为。


原文始发于微信公众号(CTS纵横安全实验室):“NOPEN”远程木马分析报告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月16日14:56:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   NOPEN远程木马分析报告http://cn-sec.com/archives/1297043.html

发表评论

匿名网友 填写信息