“方程式组织”攻击 SWIFT 服务提供商 EastNets 事件复盘分析报告 安天安全研究与应急处理中心（Antiy CERT） 初稿完成时间：2018 年 09 月 05 日 首次发布时间：2019 年 06 月 01 日 扫二维码获取最新版报告 目 录 1 事件背景 ...................................................................................................................................................................... 1 2 被攻击目标资产情况 .................................................................................................................................................. 2 3 4 2.1 SWIFT 介绍 ........................................................................................................................................................ 2 2.2 被攻击的 SWIFT 服务提供商介绍 .................................................................................................................... 3 2.3 被攻击目标资产简况.......................................................................................................................................... 4 事件中所使用的攻击装备情况 ................................................................................................................................ 11 3.1 漏洞利用工具和攻击平台................................................................................................................................ 11 3.2 持久化/植入攻击装备 ...................................................................................................................................... 13 3.3 控制/后门类恶意代码...................................................................................................................................... 15 攻击过程复盘 ............................................................................................................................................................ 18 4.1 总体攻击过程 ................................................................................................................................................... 19 4.2 可视化复现 ....................................................................................................................................................... 21 5 网空威胁框架与本次事件的映射分析 .................................................................................................................... 22 6 事件总结 .................................................................................................................................................................... 25 参考链接 ............................................................................................................................................................................ 29 附表一：安天对网空威胁行为体的能力分级 ................................................................................................................. 31 附表二：NSA 漏洞利用攻击装备表 ................................................................................................................................ 32 附件：超高能力网空威胁行为体相关报告 ..................................................................................................................... 34 附录：关于安天 ................................................................................................................................................................ 35 “方程式组织”攻击 SWIFT 服务提供商 EastNets 事件复盘分析报告 1 事件背景 网空威胁行为体是网络空间攻击活动的来源，它们有不同的目的和动机，其能力也存在明显的层级差 异。根据作业动机、攻击能力、掌控资源等角度，安天将网空威胁行为体划分为七个层级，分别是业余黑客、 黑产组织、网络犯罪团伙或黑客组织、网络恐怖组织、一般能力国家/地区行为体、高级能力国家/地区行为 体、超高能力国家/地区行为体（参见附表一：安天对网空威胁行为体的能力分级） 。其中，超高能力国家/地 区行为体，或称为超高能力网空威胁行为体，拥有严密的规模建制，庞大的支撑工程体系，掌控体系化的攻 击装备和攻击资源，可以进行最为隐蔽和致命的网络攻击。安天曾将这种网络攻击称之为 A2PT（即高级的 高级可持续性威胁） 。 “方程式组织” （Equation Group）正是这样一种典型的超高能力网空威胁行为体。2015 年 2 月，由卡 巴斯基实验室首次公开披露。卡巴斯基称其已活跃近 20 年，可能是当前最复杂的 APT 攻击组织之一[1]。安 天多年来持续追踪“方程式组织”的威胁行为，从 2015 年 3 月至今，先后发布了四篇分析报告： 《修改硬盘 固件的木马——探索方程式组织的攻击组件》[2]，分析了其部分木马模块组件和基于硬盘固件持久化的机理； 《方程式部分组件中的加密技巧分析》[3]，揭示了其资源的加密方法；《从“方程式”到“方程组”—— EQUATION 攻击组织高级恶意代码的全平台能力解析》[4]，揭示了其木马载荷的全操作系统平台覆盖能力， 并独家曝光了其针对 Solaris 和 Linux 的样本； 《方程式组织 Equation DRUG 平台解析》[5]，则形成了对其原 子化作业木马的积木拼图。在这些工作中，我们最大的遗憾，莫过于这些分析依然停留在恶意代码分析的视 角，我们只能对在已达成攻击目标的现场的有限提取结果，结合基于威胁情报扩线关联到的样本，来展开分 析工作。从业内已发表的分析成果来看，无论对于方程式组织的活动，还是对于同样来自超高能力网空威胁 行为体的“震网”[6]、 “火焰”[7]、 “毒曲”[8]等攻击活动，都基本建立在对所使用漏洞的原理分析、对样本 的逆向分析，以及对样本作用机理的复盘之上。尽管这些工作同样是复杂和艰难的，但并不能掩盖防御者对 超高能力网空威胁行为体在战术和过程认知上的不足。这是因为，以“方程式组织”为代表的超高能力网空 威胁行为体有一套完整、严密的作业框架与方法体系；拥有大规模支撑工程体系、制式化装备组合，进行严 密的组织作业，高度追求作业过程的隐蔽性、反溯源性，使其攻击看似“弹道无痕”，其突破、存在、影响、 持续直至安全撤出网络环境或系统的轨迹很难被察觉，导致防护者对其网空行动中实际的攻击技术、战术和 过程（TTP）以及相应轨迹知之甚少，包括对于其从研究分析、信息采集、环境塑造、前期侦察，到入口突 破、横向移动、持久化、隐蔽对抗、信息获取、长期控制等活动，无法在整个威胁框架视角进行全面的信息 掌握和解读。 ©安天 版权所有，欢迎无损转载 第1页 “方程式组织”攻击 SWIFT 服务提供商 EastNets 事件