美國國家安全局(NSA)“酸狐貍”漏洞攻擊武器平臺技術分析報告
作者:國家計算機病毒應急處理中心
近日,國家計算機病毒應急處理中心對美國家安全局(NSA)“酸狐貍”漏洞攻擊武器平臺(FoxAcid)進行了技術分析。該漏洞攻擊武器平臺是美國國家安全局(NSA)特定入侵行動辦公室(TAO,也被稱為“接入技術行動處”)對他國開展網絡間諜行動的重要陣地基礎設施,并成為計算機網絡入侵行動隊(CNE)的主力裝備。該漏洞攻擊武器平臺曾被用于多起臭名昭著的網絡攻擊事件。近期,中國多家科研機構先后發現了一款名為“驗證器”(Validator)木馬的活動痕跡,該惡意程序據信是NSA“酸狐貍”漏洞攻擊武器平臺默認使用的標配后門惡意程序。這種情況突出表明,上述單位曾經遭受過美國NSA“酸狐貍”漏洞攻擊武器平臺的網絡攻擊。
一、基本情況
“酸狐貍”漏洞攻擊武器平臺(FoxAcid)(以下簡稱“酸狐貍平臺”)是特定入侵行動辦公室(TAO)打造的一款中間人劫持漏洞攻擊平臺,能夠在具備會話劫持等中間人攻擊能力的前提下,精準識別被攻擊目標的版本信息,自動化開展遠程漏洞攻擊滲透,向目標主機植入木馬、后門。特定入侵行動辦公室(TAO)主要使用該武器平臺對受害單位辦公內網實施中間人攻擊,突破控制其辦公網主機。該武器平臺主要被特定入侵行動辦公室(TAO)用于突破控制位于受害單位辦公內網的主機系統,并向其植入各類木馬、后門等以實現持久化控制。酸狐貍平臺采用分布式架構,由多臺服務器組成,按照任務類型進行分類,包括:垃圾釣魚郵件、中間人攻擊、后滲透維持等。其中特定入侵行動辦公室還針對中國和俄羅斯目標設置了專用的酸狐貍平臺服務器。
二、具體功能
酸狐貍平臺一般結合“QUANTUM(量子)”和“SECONDDATE(二次約會)”等中間人攻擊武器使用,對攻擊目標實施網絡流量劫持并插入惡意XSS腳本,根據任務類型和實際需求,XSS腳本的漏洞利用代碼可能來自一個或多個酸狐貍平臺服務器。該漏洞攻擊武器平臺集成了各種主流瀏覽器的零日(0day)漏洞,可智能化配置漏洞載荷針對IE、火狐、蘋果Safari、安卓Webkit等多平臺上的主流瀏覽器開展遠程漏洞溢出攻擊。攻擊過程中該平臺結合各類信息泄露漏洞對目標系統實施環境探測,并依據探測結果對漏洞載荷進行匹配篩選,選擇合適的漏洞開展攻擊。如果目標價值很高,且目標系統版本較新、補丁較全,該平臺會選擇利用高價值零日漏洞實施攻擊;相反,如果目標價值較低且系統版本老舊,該平臺會選擇較低價值的漏洞甚至已公開漏洞實施攻擊。一旦漏洞被觸發并符合入侵條件,就會向目標植入間諜軟件,獲取目標系統的控制權,從而實現對目標的長期監視、控制和竊密。
三、技術分析
(一)技術架構
酸狐貍平臺服務器采用微軟公司的Windows 2003 Server和IIS作為基礎操作系統和Web應用服務器。通常部署于具有獨立IP地址的專用服務器上,對目標系統進行攻擊篩選以及漏洞載荷分發,完成對目標的攻擊過程,其攻擊范圍包括Windows、Linux、Solaris、Macintosh各類桌面系統及Windows phone、蘋果、安卓等移動終端。
酸狐貍平臺服務器之間采用美國國家安全局(NSA)的CDR加密數據傳輸規則,并采用分布式架構,底層服務器將截獲的數據加密后向頂層匯聚,頂層服務器解密后按照一定的文件結構存放,以便采用Foxsearch等情報檢索工具進行檢索。完整的酸狐貍平臺服務器由三部分組成,即:基礎服務軟件(基于Perl腳本開發)、插件和惡意程序載荷(Payload)。
酸狐貍平臺主要以中間人攻擊方式投遞漏洞載荷。該武器平臺根據目標設備信息進行自動化的無感植入,具體步驟如下:
1.目標網絡會話被重定向劫持之后,該武器平臺的信息搜集模塊首先利用信息泄露手段獲取目標設備信息;
2.根據獲取的信息匹配篩選符合攻擊條件的漏洞載荷,并將載荷嵌入到請求響應頁面中實現自動化投遞;
3.判斷漏洞攻擊的結果是否成功,并根據返回信息向目標系統上傳指定類型的持久化載荷。
為實施上述攻擊過程,酸狐貍平臺提供了自定義邏輯接口,特定入侵行動辦公室的計算機網絡入侵行動隊成員可以在服務器上配置一系列過濾器規則,對來自受害者的網絡請求進行處理,具體包括:
1.復寫器(Modrewrite),替換請求中的指定資源;
2.前置過濾器(PreFilter),根據受害者請求特征判斷是否是攻擊對象,如果不是則反饋HTTP狀態碼404或200(并指向特定資源);如果受害者屬于攻擊對象范圍,則傳遞給漏洞利用模塊,并由漏洞利用模塊自動選擇相應漏洞進行攻擊;
3.后置過濾器(PostFilter),漏洞攻擊成功后,根據偵查到的目標主機信息(包括:軟硬件環境信息、進程信息等)判斷是否符合下一步進行植入操作的條件,對于符合植入條件的目標,可指定向目標植入的惡意程序載荷(Payload)。
(二)主要功能組件
1.項目跟蹤器(Project Tracker)
計算機網絡入侵行動隊使用項目跟蹤器管理所有使用酸狐貍平臺的行動任務,采用PHP+Javascript編寫,提供非常簡潔的Web管理界面,行動隊成員通過背景色了解自己的權限,背景色為紅色代表只有只讀權限,綠色代表具有修改權限,黑色為管理員權限。行動隊成員通過項目跟蹤器可以完成的功能包括:管理現有行動任務、添加過濾器、增加新任務、增加新服務器、增加服務器IP地址、查看近三日內即將啟動或完成的任務等。
2.標簽編輯器(Tag Maker)
計算機網絡入侵行動隊可使用標簽編輯器為指定任務下的服務器添加標簽(Tag),每個標簽對應一套攻擊技戰術,使用者可配置標簽的TLN、HMAC、MSGID等唯一性標識,其中MSGID與特定的攻擊工具相關,如:針對路由器、防火墻等植入的間諜軟件SECONDDATE對應的MSGID為“ace02468bdf13579”。此外,標簽還可以指定植入方式,不同的惡意負載根據其特性應對應選擇不同的植入方式,如:SECONDDATE或MAGICBEAN應采用“WEB”植入方式,YATCHSHOP應采用“SPAM”方式,QUANTUMINSERT則應采用“QI”方式。
3.SECONDDATE任務自動化腳本工具“FABULOUSFABLE”
SECONDDATE是CNE行動隊通過酸狐貍平臺進行分發的主要惡意植入體之一,因此酸狐貍平臺提供了專門為SECONDDATE設計的自動化任務腳本工具“FABULOUSFABLE”(簡稱“FABFAB”)。FABFAB可以代替行動隊人員與SECONDDATE植入體交互,并按照事先設定好的邏輯,自動化分發規則,并收集規則執行日志和相關回傳數據。
4.標簽替換器(MODREWRITES)
標簽替換器是酸狐貍平臺的核心組件之一,通過標簽替換器,計算機網絡入侵行動隊可以任意替換被其劫持的網絡流量中的資源,標簽替換器的規則采用XML格式編寫,與過濾器相同。如圖1所示,一旦流量中的資源路徑與規則特征相匹配,則會被替換。
實際上,標簽替換器規則還支持對路徑或資源中的部分字符串進行替換,具有較好的適應性和可擴展性。
5.白名單規則(CASTLECREEK Whitelist)
白名單規則基于后置過濾器,可以對指定IP地址的主機植入指定的惡意負載,規則樣例如圖2所示。
6.封裝器(Wrappers)
封裝器主要用于輔助后續植入的惡意負載實現持久化駐留。其中一種封裝器名為DireScallop,專門針對名為DeepFreeze的系統還原工具,該工具多用于網吧中并實現計算機重啟后對系統進行自動還原,DireScallop可以在不重啟的條件下中止DeepFreeze運行,植入惡意負載后再重新啟用DeepFreeze,使惡意負載被記錄在還原鏡像中,以實現目標主機重啟后仍可保持惡意負載的可用性。
(三)植入的主要惡意負載
1.SECONDDATE(二次約會)
針對路由器和防火墻的間諜惡意程序,可在網絡設備中潛伏并根據酸狐貍平臺組件分發的規則對網絡流量數據進行竊密、劫持、替換等惡意操作。
2.Validator
Validator是酸狐貍平臺默認使用的后門惡意程序,可實現對目標的長期控制。
3.MistyVeal
MistyVeal是Validator后門的增強版,并且可以配置為按細粒度遞增時間間隔進行回聯,以逃避特征檢測。并且會利用IE瀏覽器作為回聯的渠道,并可復用IE瀏覽器的代理服務器設置,且僅對IE瀏覽器有效。
4.Ferret Cannon
Ferret Cannon是可執行程序投送器,借助Ferret Cannon,酸狐貍平臺可以目標投送多種間諜軟件工具,如:United Rake,Peddle Cheap,PktWench和Beach Head等,可執行程序可以是.dll或.exe文件。
四、運作方式
基于美國國家安全局(NSA)前雇員斯諾登公開的資料,我們可以部分分析出酸狐貍平臺的運作方式如下:
(一)人員編制
特定入侵行動辦公室的計算機網絡入侵行動隊中會設置一名或多名酸狐貍項目教官,這些教官可以領導一個或多個酸狐貍行動組,行動組中包括多名計算機網絡入侵行動隊隊員,分別負責直接支援特定的網絡入侵行動、維護酸狐貍服務器、軟件等基礎設施以及根據任務需要開發和測試新的插件、漏洞利用代碼、輔助入侵工具和木馬后門等惡意負載。
(二)陣地基礎設施建設
如圖3所示,特定入侵行動辦公室在全球范圍內部署酸狐貍平臺服務器,其中編號前綴為XS的服務器是統籌多項任務的主服務器,值得注意的是編號為XS11的服務器明確被分配給英國情報機構“英國政府通信總部”(GCHQ)開展中間人攻擊行動;編號為FOX00-60XX系列的酸狐貍平臺服務器用于支援垃圾釣魚郵件行動,服務器按照目標所在區域進行了分布式部署,包括中東地區、亞洲地區、歐洲地區、俄羅斯和其他特定區域;編號為FOX00-61XX系列的服務器則用于支援中間人攻擊行動,服務器分布與FOX00-60XX系列相同;值得注意的是,編號為FOX00-64XX系列的服務器用于支援計算機網絡入侵行動隊漏洞攻擊行動,其中編號為FOX00-6401的服務器專門針對中國,FOX00-6402號服務器針對俄羅斯,FOX00-6403號服務器則針對其他目標。另外,FOX00-6300號服務器可能被用于代號為“ENCHANTED”的攻擊行動。
(三)攻擊實例
1.案例1
如圖4所展示的酸狐貍平臺服務器上的過濾器規則片段,可以判斷該服務器主要針對中國的主機目標進行攻擊,過濾器中重點針對目標環境中的卡巴斯基殺毒軟件、瑞星殺毒軟件、江民殺毒軟件等中國地區流行的殺毒軟件進程進行了匹配并進行了可植入條件判斷。
2.案例2
如圖5所展示的服務器上的過濾器規則片段,可以判斷該FA服務器被用于攻擊IP地址“203.99.164[.]199”的目標,并將向目標植入前文中提到的FerrentCannon惡意負載,從而進一步向目標投送其他間諜軟件。經查,IP地址“203.99.164[.]199”歸屬于巴基斯坦電信公司。
五、總結
上述技術分析表明,美國NSA“酸狐貍”漏洞攻擊武器平臺仍是目前美國政府的主戰網絡武器之一,有三點結論值得國際社會嚴密關注:一是該漏洞利用平臺是美國國家安全局NSA特定入侵行動辦公室(TAO)下屬計算機網絡入侵行動隊的主戰裝備,在計算機網絡入侵行動隊單獨或配合進行的網絡入侵行動中得到廣泛應用,攻擊范圍覆蓋全球,其中中國和俄羅斯是重點目標。二是該武器平臺采用了高度模塊化結構,具有較高的可擴展性,同時可以與特定入侵行動辦公室的項目管理工具高度集成,實現高效跨行動支援。三是支持跨平臺攻擊,與特定入侵行動辦公室(TAO)的其他網絡武器進行集成后,其幾乎可以攻擊所有具有網絡連接功能的設備,是名副其實的網絡“黑洞”。
中國國家計算機病毒應急處理中心對全球互聯網用戶發出預警,中國的科研機構絕不是受到NSA網絡攻擊的唯一目標,全球范圍內的政府機構、科研機構和商業企業,都可能正在被酸狐貍平臺遠程控制,平時遠程竅取重要數據,戰時癱瘓重要信息基礎設施,為美國式的“顏色革命”鋪平道路。
