近日，“美國安局網(wǎng)絡間諜又一主力裝備曝光”的話題沖上熱搜，國家計算機病毒應急處理中心發(fā)布了美國國家安全局專用“NOPEN”遠程木馬技術分析報告（以下簡稱“報告”）。

報告指出“NOPEN”木馬工具為針對Unix/Linux系統(tǒng)的遠程控制工具，主要用于文件竊取、系統(tǒng)提權、網(wǎng)絡通信重定向以及查看目標設備信息等，是美國國家安全局接入技術行動處（TAO）遠程控制受害單位內部網(wǎng)絡節(jié)點的主要工具。

天融信自適應安全防御系統(tǒng)、EDR等均可精確檢測并查殺該木馬，同時天融信下一代防火墻可對該木馬監(jiān)控端口和傳輸端口進行阻斷，有效阻止事件蔓延。

病毒事件分析報告

一、概述

本次分析的木馬為3.0.5.3版本，其基本信息如下表：

二、程序逆向

Noclient主控端

Noclient作為主控端程序需要特定的庫環(huán)境才能運行。其字符串并未加密，反編譯后的代碼邏輯清晰。從工具開始顯示的基本信息來看屬于3.0.5.3版本，主控端程序主要的作用是向受控端noserver發(fā)送指令并接收返回來的信息與結果；

程序通過-q參數(shù)指定服務器的ip地址和端口，以監(jiān)聽受控端noserver的上線；

從指令幫助說明中我們可以大致推斷出參數(shù)選項與遠控指令功能的對應關系如下；

noserver受控端

noserver受控端為了對抗分析檢測進行了去符號操作，采用變換方法隱藏所需要的字符串、通過系統(tǒng)調用來使用關鍵通信函數(shù)等，這給逆向分析帶來了一定阻礙；

如下圖所示，noserver的運行邏輯中會嚴格檢查參數(shù)的配置是否正確，所需要的字符串均通過動態(tài)解密出來后進行使用。如下圖為解密出getopt函數(shù)的第三個參數(shù)字符串“dc:l:suiIS:C:T:P:r:o”，該字符串代表了noserver的命令行參數(shù)格式要求；

noserver用到的字符串解密方法是單字節(jié)乘以0x1Dh并舍棄結果的高位字節(jié)；

除此之外，noserver直接通過int 80h系統(tǒng)調用使用關鍵通信函數(shù)。包括sys_accept、sys_bind、sys_connect、sys_getpeername、sys_getsockname、sys_listen、sys_recvfrom、sys_sendt、sys_sendto、sys_setsockopt、sys_socket函數(shù)。一些敏感操作函數(shù)也使用此種方法，包括sys_execve、sys_exit、sys_fork、sys_nanosleep、sys_alarm、sys_wait4、sys_newuname函數(shù)；

在Linux操作系統(tǒng)中，uname命令的實際底層實現(xiàn)是sys_newuname函數(shù)。noserver直接調用sys_newuname函數(shù)即可獲取操作系統(tǒng)的版本、處理器信息、硬件架構信息；

在接收主控端的-ifconfig命令指令后，會獲取網(wǎng)絡詳細配置信息；

noserver還具備接收并執(zhí)行新的shell腳本的能力；

最終將收集的信息和命令返回的結果使用RC6算法加密后發(fā)送到主控端；

如下為noserver受控端的部分模塊功能描述；

三、附錄

樣本IOC列表：

此外，該木馬被證實對當前多種主流的計算機環(huán)境仍然有效，在網(wǎng)絡上很可能仍然存在大量沒有被發(fā)現(xiàn)的受害者，這些受害者面臨長期而嚴重的網(wǎng)絡安全風險。

報告顯示，“NOPEN”遠程木馬既可以由攻擊者手動植入，也可以由美國國家安全局的網(wǎng)絡攻擊武器平臺自動植入受害者的互聯(lián)網(wǎng)設備，因而可通過以下幾種方式加強防御：

及時修復系統(tǒng)及應用漏洞，降低被“NOPEN”遠程木馬通過漏洞入侵的風險；

加強訪問控制，關閉不必要的端口，禁用不必要的連接，降低資產(chǎn)風險暴露面；

更改系統(tǒng)及應用使用的默認密碼，配置高強度密碼認證，并定期更新密碼，防止弱口令攻擊；

可安裝天融信自適應安全防御系統(tǒng)或者天融信EDR進行主動防御，可有效預防和查殺該木馬病毒。

天融信邊界+終端立體響應方案

面對當前的嚴峻形勢，天融信重拳出擊推出邊界終端聯(lián)合防護的立體化方案，以下一代防火墻在網(wǎng)絡邊界阻斷木馬主控端和受控端連接，通過自適應安全防御系統(tǒng)以及EDR從終端側實時監(jiān)測主機動態(tài)，發(fā)現(xiàn)木馬快速響應，實現(xiàn)威脅閉環(huán)防御。

天融信自適應安全防御系統(tǒng)

1、以微隔離策略加強訪問控制，降低橫向感染風險；

2、通過風險發(fā)現(xiàn)功能掃描系統(tǒng)是否存在相關漏洞和弱口令，降低風險、減少資產(chǎn)暴露；

3、開啟病毒實時監(jiān)測功能，可有效預防和查殺該木馬。

天融信EDR

1、以微隔離策略加強訪問控制，降低橫向感染風險；

2、創(chuàng)建周期掃描任務，定時對主機進行全面清理，消除安全隱患；

3、開啟病毒實時監(jiān)測功能，可有效預防和查殺該木馬。

天融信下一代防火墻

1、通過訪問控制策略對”1025“和”32754“端口進行控制，阻斷”NOPEN“遠程木馬主控端和受控端連接，降低內網(wǎng)終端被遠程控制的風險；

2、通過訪問控制策略限制網(wǎng)絡中ping和traceroute行為，降低內網(wǎng)被探測風險，減少資產(chǎn)暴露和橫向感染風險。

從棱鏡門曝光美國絕密電子監(jiān)聽計劃，到臭名昭著的網(wǎng)絡武器永恒之藍，從針對系列行業(yè)龍頭企業(yè)長達十余年時間的攻擊活動APT-C-40（NSA），到本次美國國家安全局接入技術行動處（TAO）對外攻擊竊密所使用的主戰(zhàn)網(wǎng)絡武器“NOPEN”遠控木馬，這一系列安全事件直接敲響警鐘，網(wǎng)絡安全形勢岌岌可危！

國家之間的網(wǎng)絡對抗不僅僅是竊取情報，還會對關鍵基礎設施造成破壞，引發(fā)災難性后果，沒有網(wǎng)絡安全就沒有國家安全，加強網(wǎng)絡安全勢在必行。天融信始終以捍衛(wèi)國家網(wǎng)絡安全為己任，創(chuàng)新超越，持續(xù)構建更加完善的網(wǎng)絡安全防御能力，為守衛(wèi)國家網(wǎng)絡空間安全貢獻一份堅定力量。