360 验证器 Validator 美国国家安全局NSA APT—C—40 的木马尖兵在线下载,免费下载

“验证器”（Validator）— 美国国家安全局 NSA（APT—C—40）的木马尖兵 2022-06-29 背景在 360 前期发布的“量子”（Quantum）攻击行动报告《Quantum（量子）攻击系统–美国国家安全局“APT-C-40”黑客组织高端网络攻击武器技术分析报告（一）》中，我们利用 360 安全大脑，对具有美国官方背景的黑客组织“APT-C-40”的量子注入攻击实例进行技术分析，揭示了美国情治部门利用先进网络武器，对中国和世界各国的政府机构、重要组织和信息基础设施实施复杂、精密、持续性 APT 攻击行动的事实。根据可考的美国国家安全局（NSA）机密文档显示，NSA 的实战化网络攻击武器体系极其复杂，可以根据不同的攻击任务配置多种攻击武器和攻击方式组织，攻击的不同阶段会针对特定目标植入不同类型的木马程序。其中，一款名为 “验证器 ”（ Validator）的木马程序是 NSA 在网络攻击活动中最先植入目标的轻量级后门，主要功能是对攻击目标的网络系统环境进行探查，被认为是 NSA 专门开展的 “木马尖兵 ”。 “验证器 ”木马具备对攻击目标开展系统环境信息收集的能力，同时也为更为复杂的木马程序的安装（植入）提供条件。该款木马可以通过网络远程和物理接触两种方式进行安装，具有 7X24 小时在线运行能力，使 NSA 的系统操控者和数据窃密者可以上传下载文件、远程运行程序、获取系统信息、伪造 ID，并在特定情况下紧急自毁。简介根据斯诺登曝光文档描述，“验证器”（Validator）是与美国国家安全局（NSA）接入技术行动处（TAO）“酸狐狸”（FOXACID）攻击武器平台相配套的专用木马程序，它基于基本 C/S 架构，为 NSA 向敏感目标发动更为复杂的网络攻击提供轻便易用的潜伏工具。一份网上流传的“绝密”文件对 “验证器”进行了如下描述。图片内容译文：第 1 页共 14 页 VALIDATOR 是 FOXACID 项目下的后门访问系统的一部分。 VALIDATOR 基于客户端/服务器提供对国家利益目标(包括但不限于恐怖分子)的个人电脑进行后门访问。 VALIDATOR 是一种小型木马植入，用作针对各种 Windows 系统的后门，它可以远程部署，也可以手动部署在任何 Windows 系统上，从 Windows 98 到 Windows Server 2003 都适配。监听站 LP 是 24/7 在线的，所有任务都需要“排队”，即任务需要按顺序等待目标的调用，然后被依次发送（每次一个）到目标侧进行执行。命令包括投置文件、获取文件、投置并执行文件、获取系统信息、更改 VALIDATOR ID 和自删除。将 VALIDATOR 部署到目标系统，并与它们的监听站(LP)进行通信(每个 VALIDATOR 都会绑定一个唯一 ID 和特定的 IP 地址，以呼叫它在基地的 LP); SEPI 的分析师会验证目标的身份和位置(USSIS -18 检查)，然后向 Olympus 的操作人员发送部署列表来加载更复杂的木马植入 ( 目前是 Olympus，后来是 UNITEDRAKE)。然后，Olympus 操作人员根据 SEPI 提供的 Validator ID 将相应命令加入任务队列。此过程循环往复。一旦更复杂的植入成功与目标设备连接， VALIDATOR 的操作就会停止。有时候，操作人员会根据 SEPI 或 SWO 的指示，让 VAIDATOR 进行自删除。在另外两份关于美国国家安全局（NSA）“酸狐狸”（FOXACID）攻击武器平台的“绝密级”描述文档中，也提到了“验证器”（Validator）木马程序，三分文件在对“验证器”的功能描述上基本一致。图片内容译文：第 2 页共 14 页绝密//通信情报//非海外 Validator（验证器） •Validator 是一个可以通过多种方式安装在目标电脑上的程序。 •它主要是作为下载 Olympus 安装程序的代理，也可以作为植入与过滤程序使用。 •这些功能包括从目标侧上传/下载文件，获取限制性系统信息，找到进出目标设备的路径(拨号或直接连接)。 •Validator 也可以通过命令或内置的计时器来进行自删除。图片来源：《FOXACID-OVERALL-BRIEFING-Third-Revision-Redacted.pdf》（文件名称直译：FOXACID 整体介绍 – 第三版修订）图片内容译文： 3.6（绝密//信号情报）载荷载荷是在漏洞利用成功后投递的后门程序，使用不同的载荷对漏洞利用没有帮助。请求使用非默认的其他载荷时，必须谨慎。每个针对默认载荷的修改都会更改配置文件。配置文件中的每一处改动都会导致 FOXACID 服务器重新进行检查操作。每个检查都会拖延漏洞利用过程。变慢的漏洞利用过程对于你和其他分析师都是不利的。当前载荷 Validator 8.2.1.1 （默认）图片来源：《FOXACID-OVERALL-BRIEFING-Third-Revision-Redacted.pdf》（文件名称直译：FOXACID 服务器标准作业流程 – 修订版）如上述文档所述，“验证器”（Validator）是一款基于 C/S 架构的基础木马程序。在 360 近期提取的“验证器”木马样本中发现了相应的配置区，位于第 3 页共 14 页该木马程序中名为“BINRES”的资源下，可通过异或 0x79 进行解密（如下图所示）。 360 研究团队提取了“验证器”木马程序的负载标识（ClientID）、通信测试地址、C&C 地址和版本号等信息。在被感染的目标系统中，会存在如下的注册表路径： \Registry\Machine\SOFTWARE\Classes\CLSID\{77032DAA-B7F2-10 1B-A1F0-01C29183BCA1} 其中保存了“验证器”（Validator）木马程序的相关信息。通过对注册表项最后修改时间属性的分析，可以大致推断出相关用户被木马程序感染的时间。在“影子经纪人”（The Shadow Brokers）披露的美国国家安全局（NSA） “方程式”黑客组织网络攻击工具中，也存在着与“验证器”功能相似的木马脚本。其中，一款名为 check_va.py 的木马脚本中，存在着与“验证器”木马相对应的注册表信息，内容包含版本号、客户端标识（ClientID）[与“酸狐狸” 攻击武器平台负载标识（Payload ID）相对应]和程序自毁状态等信息。第 4 页共 14 页综上所述，“验证器”（Validator）木马程序是美国国家安全局（NSA）“量子”（Quamtum）攻击平台的重要组件。在本地网络服务器或上网终端中发现“验证器”样本，表明这些设备已经遭受美国国家安全局（NSA）的网络攻击，系统中的重要信息已被 NSA 窃取，并且目标系统内网中的其他节点均可能被 NSA 渗透远控。样本分析 3.1 功能简述该木马程序的主体为 DLL COM 劫持器，其核心功能位于 DllMain 中，对特定 DLL 进行劫持，接受 CC 控制，导出控制函数转发到正常 DLL 中以保持受控端主机功能正常运行。近期在中国科研机构提取的“验证器”木马程序样本会被微软 explorer.exe 或 avp.exe 加载启动。该样本的更高版本，也可被一些常见的服务进程加载启动，如：svchost.exe、wuauserv（Windows 更新服务）、 LanmanServer（Windows 共享服务）等。 3.2“验证器”木马程序功能指令现已发现的“验证器”木马程序指令汇总如下：第 5 页共 14 页 3.3 回传信息 “验证器”（Validator）木马程序在窃取目标系统信息后，会通过上述结构组包加密回传：第 6 页共 14 页每个代号之间内容用\r\n 进行分隔，例如: “000:xxxxx\r\n001:xxxxx\r\n”。 3.4 详细功能分析在“验证器”（Validator）木马加载到 DllMain 后，会首先创建线程，执行初始化动作，主要包含以下行为： 3.4.1 线程函数 1 使用异或运算动态加解密字符串，在使用时解密，使用完后加密回去，其使用的异或值有两种：0x3C 和 0x7F。第 7 页共 14 页获取受控目标系统当前版本，根据系统版本不同，后续劫持 DLL 的名称也会有所不同，主要针对 win9x、win2000、winxp、win7 等微软系列操作系统。判断本模块名是否为 ee.dll，若不是则执行清理动作后退出。若当前模块是 ee.dll，则继续执行，清除系统目录下指定 dll（上面表格中的劫持 DLL），比较本模块资源解密出的配置信息版本与写入注册表中的配置信息版本，若本模块版本较新，则安装新的 DLL 以替换旧版本，该替换的 DLL 即为本模块自身，其替换策略如下：第 8 页共 14 页其中，获取资源中的配置信息的操作如下，读取资源“BINRES”，并异或 0x79 进行解密。如果该样本运行在 Windows NT 平台，会为后续的注册表操作设置安全描述符： KEY_ALL_ACCESS，若该样本运行于 Windows 9.x 平台，则不会执行该操作。以上对注册表设置安全描述符，使得每个用户即便在低权限下也可读写该注册表项。上述操作完成后，将配置信息写回注册表项 HKLM\SOFTWARE\Classes\CLSID\{6AF33D21-9BC5-4f65-8654-B8059 B822D91}中，如下表所示：第 9 页共 14 页在生成 ClinetID 编号时，采用异或位移的方式，如下图所示：第 10 页共 14 页该后门程序第一次启动时，注册表中并不会存在上述表项，“验证器”会直接使用资源中的缺省数据，然后写入上述注册表项中。在上述操作过程中