大家好,我是紫队安全研究。近期我将连载美国APT针对全球的历史安全事件,希望能帮助到大家。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击"紫队安全研究"进入公众号首页,然后点击右上角的【...】,然后点击【设为星标】即可。
2015年初,卡巴斯基通过样本实证披露了美国情报机构NSA“方程式组织”的网络攻击行动,并猜测该组织可能具有攻击所有主流操作系统平台的能力。随后,经过接力式的曝光,NSA针对各种系统平台编写的病毒样本陆续被曝光在阳光之下。
事件回顾
2015年,卡巴斯基披露了NSA“方程式组织”,发布了系列分析报告。其中提到,收集到的“方程式组织”恶意代码样本都是针对Windows系统的,但有迹象表明非Windows恶意代码确实存在。
在2016年8月,“影子经纪人”外泄了“方程式组织”针对多种防火墙和网络设备的攻击代码[1],公众首次将“方程式组织”与名为“ANT”的攻击装备体系联系起来,并发现其针对Cisco、Juniper、Fortinet等防火墙产品实现注入和持久化的能力。同年10月31日,“黑客新闻”(The Hacker News)发布文章披露了更多的“影子经纪人”公开文件[2],其中包括部分“方程式组织”入侵的其他国家服务器列表。这些文件显示,大部分被感染的服务器运行的是Solaris等版本的操作系统,有些则运行着FreeBSD或Linux系统。
研究分析曝光经过
2015年2月,卡巴斯基在关于“方程式组织”的问答中提到,“方程式组织”可能具有多平台攻击能力。虽然收集到的样本都是针对Windows系统的,但有迹象表明“方程式组织”使用的非Windows恶意代码确实存在。已有实例证明,“方程式组织”恶意软件DOUBLEFANTASY存在Mac OS X版本。
2016年11月3日,安天发布了“从‘方程式’到‘方程组’——EQUATION攻击组织的全平台载荷能力解析”报告[4],分析了“方程式组织”针对多种架构和系统的攻击样本。这是全球首个通过真实样本曝光“方程式组织”针对Solaris(SPARC架构)、Linux系统攻击能力的报告。安天的报告揭开了NSA全平台攻击覆盖能力的面纱,并总结了各方曝光的全平台攻击能力信息。
2017年1月25日,基于“影子经纪人”泄露的“方程式组织”样本分析,安天发布了“方程式组织EQUATION DRUG平台解析”报告[5],绘制了“方程式组织”作业模块积木图,揭示了美国通过精细化模块实现前后场控制、按需投递恶意代码的作业方式。
可以看到,美国的作业模式往往是由一个内存装载器(loader)搭载大量小型动态链接库(Dynamic Link Library, DLL)作为原子化攻击模块,通过加密信道传输至前场,由装载器进行加载,从而保证隐蔽性和可复用性。
小结
网络安全研究人员发现,超级攻击组织力图将其载荷能力扩展到一切可以达成入侵和持久化的场景。在这些场景中,各种服务器操作系统,如Linux、Solaris、FreeBSD等,更是其高度关注的目标。基于这样的研判,对于“方程式组织”这一超级APT攻击组织,网络安全厂商展开了细致深入的跟踪研究。“影子经纪人”的相关曝光文件印证了这一研判。安全厂商披露了“方程式组织”针对Solaris平台和Linux平台的部分样本分析,解析了“方程式组织”覆盖全平台的攻击能力,进一步增进了对美国“大到无形”的网络空间作业能力的认识与了解。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...