第77篇:美国APT入侵西北工业大学使用的5款远控后门揭秘

b3647d9091034c4ab7e88c9c2c237fad.png

 Part1 前言 

大家好,我是ABC_123。在几个月前,我反复研读国家计算机病毒应急处理中心的多篇报告及360安全公司发布的各种关于该事件的报道,再结合国外对于美国APT研究报告,花了半个多月的时间复盘了美国APT入侵中国西北工业大学的整个流程,详见《第58篇:美国安全局NSA入侵西北工业大学流程图梳理和分析(正式篇)》。随着对美国APT组织和武器库的进一步了解,ABC_123最近又有新的领悟和研究成果,本着“未知攻、焉知防”的道理,今天给大家讲一讲美国APT在入侵西工大过程中,所用到的5款远控后门。

建议大家把公众号“希潭实验室”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。

58998ab118174f8ff53f5d770ab759c1.png

 Part2 技术研究过程 

根据官方发布的多篇报告,美国APT在入侵西工大过程中,一共使用了以下5款远控:

 1   针对边界设备及linux系统的"NOPEN"远控木马。

 2   针对Windows主机的“怒火喷射”图形界面远控。

 3   针对边界设备的“二次约会”中间人劫持远控。

 4   用于持久化控制的长期潜伏的“狡诈异端犯”后门。

 5   与"NOPEN"后门配合使用的实现各种隐藏功能的“坚忍外科医生”rootkit后门。

  • NOPEN远控木马

在之前的文章中介绍过,美国NSA通过SunOS系统远程溢出漏洞或者其它网络设备漏洞向边界设备植入后门,这种后门通常就是NOPEN木马。它由美国国家安全局NSA研发,主要用于控制受害单位的网络设备节点,主要针对unix/linux系统,包括FreeBSD、SunOS、HP-UX、Solaris、Linux等。

6aabf2dd54809bbbba6ee725df06905b.png

ABC_123对以往美国APT的报告解读来看,美国NSA曾利用防火墙等边界设备的多个远程权限获取漏洞,对很多公司的边界设备植入了大量的NOPEN后门。NOPEN后门的植入方式主要有以下几种:

 1   攻击者手工植入。

 2   通过"酸狐狸"浏览器0day攻击平台配套的"验证器"后门加载植入。

 3   通过"狡诈异端犯"持久型潜伏后门植入。

 4   防火墙等边界网络设备0day漏洞利用工具自动化植入等。

 5   Linux系统远程溢出漏洞植入。

NOPEN木马包括服务端noserver和客户端noclient两部分,客户端会采取发送激活包的方式与服务端建立连接,使用RSA算法进行密钥协商,使用RC6算法加密通信流量。NOPEN后门的默认监听端口是32754,如果32754端口被占用,那么会递增一个端口号,监听在32755上,以此类推。

如下图所示,这是NOPEN木马的客户端的使用过程:

noclient [参数1:目标主机IP地址]:[端口号(默认为32754)]

9f3368413285e6b050a54e5bd90b48a3.png

如下图所示,它连接服务端会有一个密钥协商过程,之后返回一个命令行格式的控制台。

ac944b40f3a9545a62af834d3a199371.png

输入help命令会显示当前NOPEN可以进行的操作,而且提供了使用帮助。

5ca314739fa9071a704987ec83656759.png

输入shell命令,会返回一个交互型的shell,可以执行任意Linux操作系统命令。

7f49f233b8f0356c0b9be6d154e9b1ef.png

使用wireshark进行抓包,发现通信过程中流量是完全加密的。

ff33aa224b5cd1e1920c8edcc5009614.png

  • 二次约会中间人劫持后门

“二次约会”中间人劫持后门是美国NSA的最重要的网络攻击武器之一,一般与"酸狐狸"浏览器0day打击平台Foxacid配合使用。这款攻击武器一般会长期驻留在网关服务器、边界路由器、防火墙设备中,针对海量数据流量进行精准过滤与自动化劫持,可以用于网络流量监听、中间人劫持攻击、在流量包中插入恶意链接或者恶意代码,同时它还可以结合BADDECISION无线攻击武器对无线网络上的用户发起“中间人”攻击,在用户不知情的情况下访问NSA服务器的恶意载荷,导致个人电脑被控。

在美国入侵西工大案例中,美国NSA的TAO(特定入侵行动办公室)在西北工业大学边界设备上安置该武器,劫持流经该设备的流量引导至“酸狐狸”平台实施浏览器溢出漏洞攻击。

4b23f42f96cf5fe0fb35c7303e7cc42d.png

这款后门支持分布式部署,由服务端和客户端构成。攻击者可指定源IP地址、源端口、目的IP地址、目的端口、协议类型、TCP标志等对网络流量进行过滤,并且可以指定匹配正则表达式文件以获取特定内容的流量,并且能够在流量中插入包含特定内容的返回包。接下来看这款工具的部分功能,以下是客户端程序:

21ae07090485858fc919a611764ce3c1.png

以下是"二次约会"工具的server端程序:

c73a7f6d089aebc358eee86de3e11302.png

  • 怒火喷射图形界面远控

"怒火喷射"远控是一款基于各种版本Windows系统的远控木马,并且带有图形界面,它可以生成20多种payload,本身具备极强的抗分析、反调试功能。在内网横向过程中,"怒火喷射"远控可以结合方程式工具包的"永恒之蓝"、"永恒浪漫"、"双脉冲星"等Windows远程溢出漏洞实施攻击。在美国APT对西工大攻击的案例中,TAO机构主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内网的个人电脑实施持久化控制。

bc9ede1716203aa7b86a3bd22de42702.png

如下图所示一旦木马上线,它会自动化进行一系列的信息收集。

8075601413e38629347c0a6ae94f32b6.png

这款远控提供了很多后渗透功能,提供了各种插件,包括执行命令、文件浏览、日志查看、脚本定制、提升权限、网络查看、进程查看等。

b52bc1b32be3a1bf0c7485da7eac1b9b.png

为了适应各种网络环境,它支持正向连接、反向连接,支持TCP协议、HTTP协议及ICMP协议。

d32fe60dbe37d24ffdb44c85b9e96725.png

同样带有对windows系统的截屏功能。

63bc83b3c0d4a5222e0b26b95b9c091a.png

  • 狡诈异端犯

"狡诈异端犯"是一款轻量级的后门植入工具,运行后即删除自身,具备权限提升能力,可长久潜伏于目标设备并可随系统自启动。TAO主要使用该武器实现持久化,以便在合适时机建立加密管道上传NOPEN木马,保障对西北工业大学信息网络的长期控制。

5fb90665dba0381c907f003316c01fc3.png

根据美国NSA的公开资料显示,"狡诈异端犯"分为持久化版本和一次性版本,持久化版本在Linux系统重启后仍能存活。这款后门在进程注入之前会检查系统的进程,检查是否有适合注入的进程,如果返回00,则代表后门安装成功,如果返回09错误,代表没有找到合适的能注入的进程,后门安装失败。"狡诈异端犯"可以通过触发(Trigger)来激活,并上传前面我们介绍的"NOPEN"后门

此外,这款后门美国NSA提供了专门的卸载工具,运行后卸载工具会删除自身,木马随之被清空,不留痕迹。美国NSA的官方文档指出该工具不能与TripWire(文件系统完整性检查)同时使用,说明该类安全防护软件还是有一定效果的。

  • 坚忍外科医生rootkit后门

"坚忍外科医生"是一款高级rootkit后门,在对西北工业大学的网络攻击中,美国NSA使用了多个版本。它可以和Dewdrop模块搭配使用,此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门,该武器可持久化运行于目标设备上,根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程,避免其被监控发现。

美国NSA的TAO机构将“精准外科医生”后门与远程控制木马NOPEN配合使用,实现进程、文件和操作行为的全面“隐身”,长期隐蔽控制西北工业大学的运维管理服务器,同时采取替换3个原系统文件和3类系统日志的方式,清楚痕迹,隐藏自身。官方报告指出,先前的美国NSA的"Incision"后门可以直接升级到"坚忍外科医生"后门。

 Part3 总结 

1.  美国NSA针对不同的操作系统、在不同的APT攻击阶段,会定制和使用不同的远控后门,这点与其它APT组织不同,其它APT组织更习惯把各种功能都集中到一两款远控上。

2.  对于"二次约会"中间人劫持工具、狡诈异端犯后门、坚忍外科医生后门,我目前还没弄明白怎么使用。公开的资料太少了,有的可能需要多个组件配合使用,如果有读者了解使用方法,烦请指点一下,在此谢过

3.  后续ABC_123会对美国NSA的后门做进一步分析,需要借助IDA Pro等反编译工具,我已经好多年没搞过这一块了。只能感叹,对于网络安全的各个技术方向,研究到最后都离不开系统底层

9e620eb9a9619c2f9b595070e47c5521.png

公众号专注于网络安全技术分享,包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,每周一篇,99%原创,敬请关注。

Contact me: 0day123abc#gmail.com(replace # with @)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/141219.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

红米note13 秒解锁BL 跳过168 秒解锁BL,红米Redmi Note 13 Pro+ 系列 无需等待168小时,刷入magisk教程 刷机包下载

最近入手了一台红米note13,发现需要等待168小时才能解锁BL,这让我感到非常困扰。不过,经过一番研究,我发现了一个秒解锁BL的方法,无需等待168小时,而且还可以刷入magisk,非常方便。 首先&#x…

[C++ 网络协议] I/O流分离所带来的半关闭问题

1.问题和解决方法 根据所学内容,I/O流分离现如今有如下2种方法: 1.调用进程fork函数,分离出子进程,主进程和子进程分别进行输入流的读和输出流的写。 2.用FILE指针按读模式和写模式将输入流和输出流进行区分。 第一种方法&#…

概率深度学习建模数据不确定性

https://zhuanlan.zhihu.com/p/568912284理解论文 What uncertainties do we need in Bayesian deep learning for computer vision? (NeurIPS 2017) [1]中的数据不确定性建模,并给出公式推导。论文[1]指出不确定性uncertainty分为随机不确定性(aleator…

华为云云耀云服务器L实例评测|华为云上安装etcd

文章目录 华为云云耀云服务器L实例评测|华为云上安装etcd一、什么是etcd官方硬件建议 二、华为云主机准备三、etcd安装1. 安装预构建的二进制文件2. 从源代码构建 四、etcd服务注册与发现1. 配置etcd2. 使用systemctl 管理启动etcd服务3. 注册服务4. 发现服务 五、其…

Spring Boot与Spring Security的跨域解决方案

目录 一、什么是跨域问题 二、Spring Boot和Spring Security介绍 三、如何解决Spring Boot与Spring Security的跨域问题 一、什么是跨域问题 跨域问题(Cross-Origin Resource Sharing,简称CORS)是指在Web开发中,浏览器出于安全…

【C++】C++11——构造、赋值使用条件和生成条件

移动构造和移动赋值生成条件移动构造和移动赋值调用逻辑强制生成默认函数的关键字default禁止生成默认函数的关键字delete 移动构造和移动赋值生成条件 C11中新增的移动构造函数和移动赋值函数的生成条件为: 移动构造函数的生成条件:没有自己实现的移动…

天洑软件再度收获两项国家发明专利授权

近日,南京天洑软件有限公司再度收获行业内两项国家发明专利授权,专利名称为:一种基于组合时序预测的NOx废气浓度预测方法(专利号:ZL 2022 1 0071697.6)、基于智能补点的船型代理模型构建方法及装置&#xf…

git rebase 修改中间的commit

0. 前言 今天在移植最新版本 kfence 功能的时候,一共需要移植大概40多个 patch,中间有很多patch 存在冲突,需要手动修改后才能合并。当所有的patch 都合并完成进行编译的时候,发现其中一个 patch 手动合并出了个错误。 假如共有…

SPA项目之主页面--Mock.js以及组件通信(总线)的运用

🥳🥳Welcome Huihuis Code World ! !🥳🥳 接下来看看由辉辉所写的关于VueElementUI的相关操作吧 目录 🥳🥳Welcome Huihuis Code World ! !🥳🥳 一.Mock.js是什么 二.为什么要使用…

全流量安全分析之服务器非法外连

服务器非法外连监控的重要性在于保护服务器的安全性和防止被黑客利用,以下是几个重要的理由: 1、发现恶意活动:通过监控服务器的外连流量,可以及时发现是否有未经授权或可疑的连接尝试。这可能包括入侵攻击、数据泄露、恶意软件传…

RobotFramework自动化测试框架系列学习----(三)Web自动化原理+实操

1.目的: 模拟一些基本的网页点击跳转、页面登陆退出等 2.需要安装扩展库: pip install robotframework-seleniumlibrary 或pip install robotframework-selenium2library3.元素定位 用xpath和css定位 4.原理 我们采用rf框架中的三层架构去做测试…

阿里云服务器怎么使用?网站上线全教程参考

阿里云服务器使用教程包括云服务器购买、云服务器配置选择、云服务器开通端口号、搭建网站所需Web环境、安装网站程序、域名解析到云服务器公网IP地址,最后网站上线全流程,阿小云分享阿里云服务器详细使用教程: 目录 阿里云服务器使用教程 …

SQL注入——预编译CASE注入

文章目录 预编译 CASE 注入1. SQL注入漏洞防御2. WEBGOAT SQL注入2.1 WebGoat 8.02.2 Order by 注入2.2.1 构造 when 的条件2.2.2 代码审计 预编译 CASE 注入 预编译 CASE(Prepared CASE)是一种数据库查询语言(如SQL)中的控制语句…

Windows10关闭小娜最好方法是什么?

Windows10关闭小娜最好方法是什么?Windows10系统内的小娜可以帮助大家实现各种操作和提供一系列的便捷功能。但是,有些用户并不需要小娜的帮助,所以想要关闭小娜功能,下面小编给大家介绍关闭Windows10系统内小娜的最好方法&#x…

【LeetCode-简单题】501. 二叉搜索树中的众数

文章目录 题目方法一&#xff1a;暴力哈希方法二&#xff1a;利用二叉搜索树的特性&#xff08;递归双指针&#xff09; 题目 方法一&#xff1a;暴力哈希 这是针对于普通二叉树的解法 统计number出现次数 然后将次数最大的众数集 取出来 Map<Integer , Integer > map …

体验亚马逊的 CodeWhisperer 感觉

CodeWhisperer 是亚马逊推出的辅助编程工具&#xff0c;在程序员写代码时&#xff0c;它能根据其内容生成多种代码建议。 CodeWhisperer 目前已支持近10几种语言&#xff0c;我是用 java 语言&#xff0c;用的开发工具是 idea&#xff0c;说一下我用的情况。 亚马逊云科技开发…

96.不同的二叉搜索树

​ 题目&#xff1a; 96. 不同的二叉搜索树 中等 2.4K 相关企业 给你一个整数 n &#xff0c;求恰由 n 个节点组成且节点值从 1 到 n 互不相同的 二叉搜索树 有多少种&#xff1f;返回满足题意的二叉搜索树的种数。 示例 1&#xff1a; 输入&#xff1a;n 3 输出&#xf…

数据结构-----树和二叉树必知必会知识

目录 前言 思维导图 一.树 树的定义 二.二叉树 1.二叉树的定义 2.二叉树的形态&#xff08;图&#xff09; 3.二叉树的性质 三.满二叉树 1.定义 2.特点和性质 四.完全二叉树 1.定义 2.特点和性质 前言 今天开始我们就学习新的数据结构类型啦&#xff01;没错它就是…

python安全工具开发笔记(四)——python网络编程

一、C/S架构 什么是C/S架构 C : Client S : Server。客户机和服务器结构。 Server 唯一的目的就是等待Client 的请求&#xff0c;Client 连上 Server 发送必要的数据&#xff0c;然后等待Server端完成请求的反馈。 C/S网络编程 Server端进行设置&#xff0c;首先创建一个通信…

【LeetCode75】第六十三题 不同路径

目录 题目&#xff1a; 示例&#xff1a; 分析&#xff1a; 代码&#xff1a; 题目&#xff1a; 示例&#xff1a; 分析&#xff1a; 题目给我们返回地图的长和宽。问我们从地图的左上走到右下有几种方法。我们只能往下走或是往右走。 这个算是简单的二维动态规划题了。 …