恶意文件名称:NOPEN
威胁类型:远控木马
简单描述:
“NOPEN”木马工具为针对 Unix/Linux 系统的远程控制工具,主要用于文件窃取、系统提权、网络通信重定向以及查看目标设备信息等,是 TAO 远程控制受害单位内部网络节点的主要工具。
恶意文件分析
1 恶意文件描述
近期,深信服终端安全团队对名为 “NOPEN” 的木马程序进行了技术分析,该病毒为美国国家安全局开发的网络武器,是一种功能强大的木马远控程序。NOPEN使用的编码技术复杂,隐蔽性强,能够获取宿主机控制权限、窃取文件、控制网络通信重定向、查看其他设备信息等。
2 恶意文件分析
本次分析的文件分为服务端和客户端。
服务端就是主控制端,攻击者可以利用服务端想客户端发送指令,控制客户端在受害主机上进行各种各样的攻击行为。
客户端也就是一种远控木马程序,具备一系列攻击功能。
1. 服务端程序拥有多种功能,开发者给出了详细的指令帮助说明,包括提升权限、获取环境变量、返回 Shell 接口、查看链接状态和主机信息、查看主机日期和时区信息、控制关闭远程进程、配置 C2 信息、查看远程客户端进程 ID、查看网络信息、内网探测、远程 traceroute 等功能。
2. 客户端和服务端不同,为了避免检测和分析,做了一些对抗处理,比如去符号处理。根据分析,其具有进程操作功能、文件操作功能、Socket 通讯功能。
3. 程序运行后,会监听预设的端口,与服务端建立连接后,会回传受害主机 IP 地址端口号、软件版本、当前工作目录、PID等系统信息。
解决方案
1 防护建议
1. 定期为设备和应用升级安全补丁。
2. 定期使用杀毒软件进行全盘扫描。
2 深信服解决方案
【深信服终端检测响应平台EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,并接入深信服安全云脑,及时查杀新威胁;
【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于 XDR 安全能力平台和 MSSP 安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供 7*24H 的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。
深信服千里目安全实验室
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
原文始发于微信公众号(深信服千里目安全实验室):【恶意文件通告】NOPEN 恶意文件分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论