安天分析美方网空攻击活动成果摘编之一丨样本分析篇

一、概述

恶意代码是网络攻击的主要武器弹药，A²PT攻击活动中始终伴随着复杂的高级恶意代码的运用。有效捕获恶意代码并展开分析，是分析研判A²PT攻击活动，进行追踪溯源的基础。以下是安天面向A²PT的高级恶意代码分析的部分已公开的报告清单。（本文第二章节附有报告全文阅读链接）

2010年

《对Stuxnet蠕虫攻击工业控制系统事件的综合分析报告》

2012年

《Flame蠕虫样本集分析报告》

2015年

、

2016年

2017年

2022年

二、恶意代码分析部分工作和成果索引

1.《对Stuxnet蠕虫攻击工业控制系统事件的综合分析报告》

【首次发布时间】2010年9月27日

【安天主要分析工作】对Stuxnet蠕虫的主要功能、恶意行为、传播机理和攻击行为进行分析，给出解决方案与安全建议，分析和警示工业控制系统安全面临的严峻挑战。

【取得关键成果】国内系统对“震网”病毒首批分析报告，被多种书籍、媒体转载。

扫码或点击报告封面阅读报告全文

2.《Flame蠕虫样本集分析报告》

【首次发布时间】2012年5月31日

【安天主要分析工作】针对Flame蠕虫进行了为期数月的马拉松式分析，将20多个不同Hash值的样本，聚类为6个模块变种，发现了其他衍生文件。经过两个月的分析，安天发布近100页的《Flame蠕虫样本集分析报告》，并将相关事件进行总结。

【取得关键成果】在漏洞攻击模块中发现了曾被“震网”（Stuxnet）使用过的USB攻击模块，验证了两者的同源关系。

扫码或点击报告封面阅读报告全文

3.《修改硬盘固件的木马 探索方程式（EQUATION）组织的攻击组件》

【首次发布时间】2015年3月4日

【安天主要分析工作】安天基于信息比对发现国际友商2015年曝光的“方程式”组织和安天2013年开始跟踪分析的匿名攻击组织为同一组织，可以合并线索分析。安天分析了该组织的攻击组件结构和硬盘固件写入模块，对可能的持久化节点进行了固件提取比对分析。

【取得关键成果】分析硬盘固件修改技术、指令控制结构。

扫码或点击报告封面阅读报告全文

4.《方程式（EQUATION）部分组件中的加密技巧分析》

【首次发布时间】2015年4月16日

【安天主要分析工作】剖析其代码结构和指令控制模块，分析了“方程式”组织内置的数据加密和网络通信加密算法，分析出解密秘钥并推导出解密算法。

【取得关键成果】破解公布“方程式”组织数据加密、通讯加密方式和算法。

扫码或点击报告封面阅读报告全文

5.《从方程式到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析》

【首次发布时间】2016年11月4日

【安天主要分析工作】针对该组织针对特殊架构的Solaris系统以及Linux平台的攻击样本，分析了样本的主要功能、通信模式和指令特点，揭示了A²PT攻击组织的全平台恶意代码开发和运用能力。

【取得关键成果】全球首次独家曝光美方Sorlaris、Linux两个平台的样本，与卡巴等厂商报告叠加，构成了A²PT攻击组织的全平台恶意代码能力图谱。相关分析成果在海外引起一定反响。

扫码或点击报告封面阅读报告全文

6.《方程式组织EQUATION DRUG平台解析》

【首次发布时间】2017年1月16日

【安天主要分析工作】将历史分析成果与“影子经纪人”泄露的美方攻击平台样本文件进行了联合分析梳理，深度揭示了其恶意代码高度积木化的作业风格。

【取得关键成果】首次完成美方积木化木马面向杀伤链的映射图谱，相关分析成果在海外引起一定反响。

扫码或点击报告封面阅读报告全文

7.《从“NOPEN”远控木马浮出水面看美方网络攻击装备体系》

【首次发布时间】2022年3月15日

【安天主要分析工作】“NOPEN”木马是美方制式化网络攻击装备中的一员，本篇报告将已经公布的分析报告要点进行梳理，结合部分未公开成果，在本篇报告进行呈现。

【取得关键成果】通过逆向分析、搭建复现攻防环境确定“NOPEN”木马是具有重定向功能的后门工具，还原了美方流量重定向攻击技术和多层链路横向渗透攻击的模式。

扫码或点击报告封面阅读报告全文

其他相关报告可在安天官网、公众号平台以及安天技术文章汇编APT卷中查阅。下期将推出《安天分析美方网空攻击活动成果摘编之二丨组织体系和能力分析篇》。