从“方程式”到“方程组”—EQUATION 攻击组织高级恶意代码的全平台能力解析 从“方程式”到“方程组” EQUATION 攻击组织高级恶意代码的全平台能力解析 安天安全研究与应急处理中心（Antiy CERT） 初稿完成时间：2014 年 1 月 15 日 16 时 43 分 首次发布时间：2016 年 11 月 4 日 10 时 00 分 本版更新时间：2016 年 11 月 5 日 15 时 30 分 目 录 1 背景 .......................................................................................................................................................... 1 2 方程式组织的多平台作业能力.................................................................................................................. 2 3 X86 Linux 部分载荷分析 ............................................................................................................................ 3 3.1 4 5 侦查、探测的前导模块——DoubleFantasy .............................................................................................. 3 SPARC 架构 Solaris 场景能力 ....................................................................................................................11 4.1 Solaris 系统及 SPARC 架构 ....................................................................................................................... 11 4.2 Rootkit 隐藏模块 ...................................................................................................................................... 11 4.3 DoubleFantasy 的 Sparc 架构模块 ........................................................................................................... 17 总结 .........................................................................................................................................................24 5.1 以真实威胁驱动我国信息防御能力的改进 ........................................................................................... 24 5.2 我们的努力和对能力型厂商深入协作的期待 ....................................................................................... 25 5.3 期待一个更安全的网络世界 ................................................................................................................... 26 附录一：参考资料...........................................................................................................................................27 附录二：关于安天...........................................................................................................................................28 从“方程式”到“方程组”—EQUATION 攻击组织高级恶意代码的全平台能力解析 1 背景 安天从 2015 年 2 月起，陆续公布了两篇针对方程式攻击组织的分析报告[1][2]，分析了其针对 Windows 平台的恶意代码组件构成、对硬盘的持久化能力和对加密算法的使用。本报告则将首次公布安天对方程式 攻击组织针对 Solaris 平台和 Linux 平台的部分样本分析，我们也可以自豪地说，这是业内首次正式证实这 些“恶灵”真实存在的公开分析。事实上，安天的相关工作完成于数年前。安天的分析工程师们从 2012 年起，已经关注到超级攻击组织力图将其载荷能力覆盖一切可以达成入侵和持久化的场景。在这些场景 中，各种服务器操作系统，如 Linux、Solaris、FreeBSD 等更是其高度关心的目标。这些载荷不是寻常的脚 本木马，而是组件化、具备 Rootkit 能力、具有超强加密抗分析能力、严格进行加密通讯的二进制组件。 在安天工程师一直将类似超级攻击组织发起的攻击称为 A2PT，并把恶意代码载荷的全平台覆盖能力作为 A2PT 组织的重要标志。安天在 2016 年 5 月的中国网络安全年会[3]和 7 月的阿里安全峰会[4]上所做的同名 报告《熊猫的伤痕-中国遭遇的 APT 攻击》[5]中，对方程式组织的多平台载荷能力进行了初步披露。 安天将长期跟踪分析高级威胁和高级恶意代码的经验转化为产品能力，通过探海威胁检测系统协助用 户在网络中捕获载荷投放与横向移动，利用智甲终端防御系统为传统 Windows 主机和国产操作系统提供全 面保护，使用追影安全分析平台协助用户进行多种平台的恶意代码分析。通过这些产品的部署也使安天能 够在用户支持下获取更多的威胁线索。同时安天也积极关注开源情报和公开信息，关注涉及相关组织的信 息与动向。 在去年年初卡巴斯基和安天先后对方程式组织使用的恶意代码进行分析曝光后，方程式组织又在一系 列“爆料”事件中浮出水面。在 2016 年 8 月所外泄的方程式组织针对多种防火墙和网络设备的攻击代码 中[6]，公众第一次把方程式组织和名为“ANT”的攻击装备体系联系起来，并以此看到其针对 Cisco、 Juniper、Fortinet 等防火墙产品达成注入和持久化的能力。而在 2016 年 10 月 31 日，The Hacker News 发布文章“Shadow Brokers reveals list of Servers Hacked by the NSA” ，文章披露了“影子经纪人”公开 [7] 的更多文件，其中包括部分方程式组织入侵的外国服务器列表。相关文件声称，大部分被感染的服务器运 行的是 Solaris，Oracle-owned Unix 等版本的操作系统，有些运行的是 FreeBSD 或 Linux 系统。而随着 这些信息与安天的捕获分析工作相互印证，一个关于这个超级攻击组织的几乎无死角的、全平台化攻击能 力已经日趋清晰。 我们的分析工作不断验证着这些信息，在过去数年，这种分析如此漫长、复杂和艰难，超出了我们之 前对“震网” 、“火焰”的分析和复现中所面临的挑战。这种高度复杂、隐蔽的全能高级恶意代码，无论是 对受害者，还是分析者来说，都是一个巨大的挑战。特别是当其打击范围几乎覆盖所有体系结构与操作系 ©安天版权所有，欢迎无损转载 第1页 从“方程式”到“方程组”—EQUATION 攻击组织高级恶意代码的全平台能力解析 统的时候，相对更擅长 Windows、Linux 和 Android 等主流操作系统平台下恶意代码分析的传统安全分析 团队感受到了巨大的压力和挑战。如果用这个组织的名称“方程式”做一个关于分析难度的比喻的话，我 们需要破解的已经并不只是一个“方程式”，而是更为复杂的多元多次的“方程组”。 2 方程式组织的多平台作业能力 方程式组织采用了工业水准的制式化攻击武器库，安天在此前报告中已经对其 6 件恶意代码组件“装 备”进行了分析，他们分别是：EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny 和 GrayFish，其中 EquationDrug、DoubleFantasy 安天均已发现其他平台的样本。方程式武器库信息见下表： 组件名称 多平台特性 组件说明 使用时间 EquationLaser 尚未发现 方程式组织早期使用的植入程序，大约在 2001 至 2003 年 2001-2003 间被使用。兼容 Windows 95/98 系统。 EquationDrug 部分插件已 该组织使用的一个非常复杂的攻击组件，用于支持能够被 经发现 攻击者动态上传和卸载的模块插件系统。怀疑是 2003-2013 EquationLaser 的升级版。 DoubleFantasy 已经证实 一个验证式的木马，旨在确定目标为预期目标。如果目标 2004-2012 被确认，那么已植入恶意代码会升级到一个更为复杂的平 台，如 EquationDrug 或 GrayFish。 TripleFantasy 推测存在 全功能的后门程序，有时用于配合 GrayFish 使用。看起来 2012-至今 像是 DoubleFantasy 的升级版，可能是更新的验证式插件。 Fanny 尚未发现 创建于 2008 年的利用 USB 设