方程式组织 EQUATION DRUG 平台解析 ——方程式组织系列分析报告之四 安天安全研究与应急处理中心（Antiy CERT） 报告初稿完成时间：2017 年 1 月 13 日 16 时 00 分 首次发布时间：2017 年 1 月 16 日 10 时 00 分 本版本更新时间：2017 年 1 月 25 日 14 时 30 分 目 录 1 本版本更新小语 ................................................................................................................................................... 1 2 背景...................................................................................................................................................................... 1 3 方程式线索曝光和分析成果时间链梳理 ............................................................................................................. 2 4 DANDERSPRITZ 攻击平台 ..................................................................................................................................... 4 5 部分组件与插件分析（继续完善中）................................................................................................................11 6 5.1 PROCESSINFO 插件遍历进程模块 ........................................................................................................................ 13 5.2 KILL_IMPLANT 插件杀进程模块 ........................................................................................................................... 16 5.3 GROK 键盘与剪贴版记录器驱动 ..................................................................................................................... 16 小结.....................................................................................................................................................................20 附录一：参考资料 ......................................................................................................................................................22 附录二：关于安天 ......................................................................................................................................................24 方程式组织 EQUATION DRUG 平台解析 1 本版本更新小语 安天在此前发布的报告版本的基础上，增加了一个方程式组织主机作业的模块积木图。这个积木图初 步展示了一个将主机情报作业按照“原子化”拆分的模块组合的拼装，在本版本中安天 CERT 也细化了对 部分模块的分析，尽管目前的分析只覆盖这些模块的一少部分。 在数天前，安天 CERT 把这份暂时称为“提纲”的未完成分析结果发布出来，这并非因为我们期望“速 战速决”，而草率地发布一点粗浅的进展，而是我们需要获得更多的建议和批判。所幸的是，在上一版本发 布后，获得了业内专家中肯而尖锐的批评，让安天认识到，在面对这组 2007~2008 年的攻击模块集合时， 分析小组再次出现了和当年分析“火焰”时一样的迷茫（尽管安天曾经一度以为自己比那时更清晰） 。这些 庞杂的模块展开了一组拼图碎片，每一张图上都是有意义的图案，但如果逐一跟进进去，这些图案就会组 成一个巨大的迷宫。迷宫之所以让人迷惑，不在于其处处是死路，而在于其看起来处处有出口，但所有的 砖块都不能给进入者以足够的提示。此时，最大的期待，不只是有一只笔，可以在走过的地方做出标记， 而是插上双翼凌空飞起，俯瞰迷宫的全貌。当然这是一种提升分析方法论的自我期待，我辈当下虽身无双 翼，但或可练就一点灵犀。 目前安天的积木还原工作还刚刚起步，对于能够在中国的传统节日春节前，发布出分析报告的新版本， 安天还是有些许欣慰的。网络安全注定是一个需要永远保持警惕和勤奋的行业，我们的分析工作会持续进 行下去，即使是在焰火升腾，鞭炮响起的时刻，依然需要有紧盯反汇编代码和威胁态势的眼睛。 感谢业内专家同仁对安天的关注和支持，感谢安天客户对安天产品与服务的信任，祝大家新春快乐！ 2 背景 对于方程式组织，在过去的两年中，安天已经连续发布了三篇分析报告：在《修改硬盘固件的木马— —探索方程式（EQUATION）组织的攻击组件》[1]中，安天对多个模块进行了分析，并对其写入硬盘固件的 机理进行了分析验证；在《方程式（EQUATION）部分组件中的加密技巧分析》[2]报告中，对攻击组件中使 用的加密方式实现了破解；在《从“方程式”到“方程组”——EQUATION 攻击组织高级恶意代码的全平 台能力解析》[3]报告中，安天独家提供了方程式在 Linux 和 Solaris 系统的样本分析，这也是业内首次正式 证实这些“恶灵”真实存在的公开分析。 APT 的分析成果，与研发反 APT 产品一样，都要基于充分的基础积累，而不可能“一夜之间建成罗马”。 对于方程式这样大至无形的超级攻击组织来说，安天过去所做的具体的分析工作都是盲人摸象的过程，一 旦飘忽的线索落入安天已经摸索过的范围之内，就可以迅速发布储备成果，而如果面对的是一个未曾充分 ©安天版权所有，欢迎无损转载 第1页 方程式组织 EQUATION DRUG 平台解析 探查的区域，则需要更长的时间展开分析工作，因此与安天此前已经发布的三篇方程式的长篇报告相比， 本篇报告目前的版本依然是比较仓促的，因此安天会坚持称之为“提纲”，旨在能抛砖引玉，邀请更多兄弟 团队共同加入分析工作，以便进一步呈现出其全貌。 本篇展现的分析工作是围绕 2017 年 1 月 12 日“影子经纪人”放出 Equation Group 组件中的 61 个文件 [4] 而展开的。经分析，在本次放出的 61 个文件中，其中含有 Equation Group 组件和 DanderSpritZ（RAT）工 具中的一些插件。DanderSpritZ 是 NSA（NationalSecurityAgency）的间谍工具之一，在 1 月 7 号“影子经纪 人”放出的 Windows 攻击工具[5]中也包含了大量 DanderSpritZ 的插件名称。 组件 EquationDrug 是一个很复杂的模块，其存活时间有近 10 年，后来被 GrayFish 升级替代。从 EquationDrug 到 GrayFish 是攻击平台级别的恶意代码体系，具有安装与卸载插件功能。在本次“影子经纪 人”放出的文件中，安天 CERT 看到了更多的 EquationDrug 组件中的插件。通过分析比对发现，这些插件 比之前安天分析过的插件版本低，但其中包含了一些此前未曾被业内捕获到的模块。 3 方程式线索曝光和分析成果时间链梳理 从 2013 年起，安天从样本分析中，逐步发现存在一个拥有全平台载荷攻击能力的攻击组织，并逐步关 联分析了其多个平台的样本。在这个过程中，安天感到一个大至无形的超级攻击组织的存在，但并未找到 其攻击背景。 2015 年 2 月，卡巴斯基实验室曝光了一个名为方程式（Equation Group）[6]的攻击组织，引发了全球关 注，卡巴斯基认为该组织已活跃近 20 年，可能是目前世界上存在的最复杂的 APT 攻击组织之一，并认为该 组织是震网（Stuxnet）和火焰（Flame）病毒幕后的操纵者。经过线索比对，安天发现这正是此前一直跟踪 的超级攻击组织，决定通过报告公开其针对硬盘固件作业的原理[1]和已破解的其部分加密算法[2]，形成了安 天对于方程式系列分析的前两篇报告。 2015 年 3 月，卡巴斯基实验室发布了基于 Equation Drug 组件或平台的剖析[7]，Equation Drug 是方程式 组织所用的主要间谍组件或平台之一，最早可追溯到 2001 年，并且一直沿用至今。该组件或平台的架构类 似于一个具有内核模式和用户模式的微型操作系统，通过自定义接口进行交互。该组件或平台包括驱动程 序、平台内核（协调器）和若干插件，其中一些插件配备独特的 ID 和版本号，用于定义相关功能等。 2016 年 8 月，一个自称“影子经纪人” （The Shadow Brokers）的个人（或组织）声称入侵了网络间谍 组织方程式（Equation）[8]，并以 100 万比特币（当时约价值为 5.6 亿美元）的价格，公开“拍卖”所掌握 的方程式组织的攻击工具，方程式组织被认为与 NSA 存在联系。为证明成功入侵的真实性， “影子经纪人” 第2页 ©安天 版权所有，欢迎无损转载 方程式组织 EQUATION DRUG 平台解