安天分析美方网空攻击活动成果摘编之一丨样本分析篇
时间 : 2022年09月15日
编者说明:
2022年9月5日,国家计算机病毒应急处理中心和网络安全厂商发布相关分析报告,曝光源自美国国家安全局(NSA)“特定入侵行动办公室”(TAO)针对西北工业大学的网络攻击活动。
安天从2010年起持续分析美方情报机构相关攻击活动,并在攻击组织能力评价标准中将其划定为超高能力网空威胁行为体,提出用A2PT(即“高级的”高级持续性威胁)攻击来界定称其攻击活动。过去12年来,安天针对A2PT攻击活动的持续跟踪、捕获、关联、分析工作,累计发布了数十篇分析报告、论文和其他研究文献。
为了让公众更全面的了解A2PT攻击活动能力,我们对部分历史分析成果进行了聚合梳理,将其整合摘编为样本分析篇,组织体系和能力分析篇,核心机理分析、关联溯源和全过程复盘篇,敌情想定与防御猎杀篇。
本日我们带来样本分析篇。本次西工大事件中的相关木马程序样本,可以参考本专题中的《从方程式到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析》报告进行了解。该报告由安天在2016发布,是业内首次曝光美方Linux和 Solaris平台样本的分析成果。
一、概述
恶意代码是网络攻击的主要武器弹药,A2PT攻击活动中始终伴随着复杂的高级恶意代码的运用。有效捕获恶意代码并展开分析,是分析研判A2PT攻击活动,进行追踪溯源的基础。以下是安天面向A2PT的高级恶意代码分析的部分已公开的报告清单。(本文第二章节附有报告全文阅读链接)
• 2010年
《对Stuxnet蠕虫攻击工业控制系统事件的综合分析报告》
• 2012年
《Flame蠕虫样本集分析报告》
• 2015年
《修改硬盘固件的木马 探索方程式(EQUATION)组织的攻击组件》、《方程式(EQUATION)部分组件中的加密技巧分析》
• 2016年
《从方程式到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析》
• 2017年
• 2022年
二、恶意代码分析部分工作和成果索引
1.《对Stuxnet蠕虫攻击工业控制系统事件的综合分析报告》
【首次发布时间】 2010年9月27日
【安天主要分析工作】 对Stuxnet蠕虫的主要功能、恶意行为、传播机理和攻击行为进行分析,给出解决方案与安全建议,分析和警示工业控制系统安全面临的严峻挑战。
【取得关键成果】 国内系统对“震网”病毒首批分析报告,被多种书籍、媒体转载。
扫码或点击报告封面阅读报告全文
2.《Flame蠕虫样本集分析报告》
【首次发布时间】 2012年5月31日
【安天主要分析工作】 针对Flame蠕虫进行了为期数月的马拉松式分析,将20多个不同Hash值的样本,聚类为6个模块变种,发现了其他衍生文件。经过两个月的分析,安天发布近100页的《Flame蠕虫样本集分析报告》,并将相关事件进行总结。
【取得关键成果】 在漏洞攻击模块中发现了曾被“震网”(Stuxnet)使用过的USB攻击模块,验证了两者的同源关系。
扫码或点击报告封面阅读报告全文
3.《修改硬盘固件的木马 探索方程式(EQUATION)组织的攻击组件》
【首次发布时间】 2015年3月4日
【安天主要分析工作】 安天基于信息比对发现国际友商2015年曝光的“方程式”组织和安天2013年开始跟踪分析的匿名攻击组织为同一组织,可以合并线索分析。安天分析了该组织的攻击组件结构和硬盘固件写入模块,对可能的持久化节点进行了固件提取比对分析。
【取得关键成果】 分析硬盘固件修改技术、指令控制结构。
扫码或点击报告封面阅读报告全文
4.《方程式(EQUATION)部分组件中的加密技巧分析》
【首次发布时间】 2015年4月16日
【安天主要分析工作】 剖析其代码结构和指令控制模块,分析了“方程式”组织内置的数据加密和网络通信加密算法,分析出解密秘钥并推导出解密算法。
【取得关键成果】 破解公布“方程式”组织数据加密、通讯加密方式和算法。
扫码或点击报告封面阅读报告全文
5.《从方程式到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析》
【首次发布时间】 2016年11月4日
【安天主要分析工作】 针对该组织针对特殊架构的Solaris系统以及Linux平台的攻击样本,分析了样本的主要功能、通信模式和指令特点,揭示了A2PT攻击组织的全平台恶意代码开发和运用能力。
【取得关键成果】 全球首次独家曝光美方Sorlaris、Linux两个平台的样本,与卡巴等厂商报告叠加,构成了A2PT攻击组织的全平台恶意代码能力图谱。相关分析成果在海外引起一定反响。
扫码或点击报告封面阅读报告全文
6.《方程式组织EQUATION DRUG平台解析》
【首次发布时间】 2017年1月16日
【安天主要分析工作】 将历史分析成果与“影子经纪人”泄露的美方攻击平台样本文件进行了联合分析梳理,深度揭示了其恶意代码高度积木化的作业风格。
【取得关键成果】 首次完成美方积木化木马面向杀伤链的映射图谱,相关分析成果在海外引起一定反响。
扫码或点击报告封面阅读报告全文
7.《从“NOPEN”远控木马浮出水面看美方网络攻击装备体系》
【首次发布时间】 2022年3月15日
【安天主要分析工作】 “NOPEN”木马是美方制式化网络攻击装备中的一员,本篇报告将已经公布的分析报告要点进行梳理,结合部分未公开成果,在本篇报告进行呈现。
【取得关键成果】 通过逆向分析、搭建复现攻防环境确定“NOPEN”木马是具有重定向功能的后门工具,还原了美方流量重定向攻击技术和多层链路横向渗透攻击的模式。
扫码或点击报告封面阅读报告全文
其他相关报告可在安天官网、公众号平台以及安天技术文章汇编APT卷中查阅。下期将推出《安天分析美方网空攻击活动成果摘编之二丨组织体系和能力分析篇》。