偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

解密方程式組織的Unix后門NOPEN

作者:Alpha_h4ck
安全 黑客攻防
在ShadowBrokers所泄漏的黑客工具中,有一款名為“NOPEN”的工具。NOPEN”實(shí)際上是一款針對Unix操作系統(tǒng)的遠(yuǎn)程管理工具(RAT)?!癛AT”這個詞通常形容的是那些針對Windows系統(tǒng)和Android設(shè)備的惡意軟件,攻擊者可以利用這些惡意軟件來與受感染的目標(biāo)主機(jī)進(jìn)行網(wǎng)絡(luò)通信。

[[171681]]

前言

不久之前,黑客組織ShadowBrokers(影子經(jīng)紀(jì)人)曾聲稱他們從EquationGroup(方程式組織)那里竊取來了大量的黑客工具,并且他們還將部分工具放在網(wǎng)上進(jìn)行拍賣。

近日,Vectra公司的安全研究專家NickBeauchesne對其中的一份泄漏文件進(jìn)行了分析,并且發(fā)現(xiàn)了一個名叫“NOPEN”的Unix遠(yuǎn)程管理工具(RAT)。

Nick Beauchesne說到:

“當(dāng)我在對方程式組織泄漏的文件以及黑客工具進(jìn)行分析時,我發(fā)現(xiàn)了一些非常有意思的東西,而這些東西似乎沒有得到它們應(yīng)得的關(guān)注。雖然很多安全研究專家將他們的注意力全部放在了那些潛在的0day漏洞上,但是我認(rèn)為我們應(yīng)該還可以從這些泄漏文件中了解到方程式組織的攻擊手法和操作模式,畢竟這是全世界最危險的黑客組織之一。”

NOPEN-針對Unix系統(tǒng)的遠(yuǎn)程管理工具(RAT)

根據(jù)NickBeauchesne的描述,在ShadowBrokers所泄漏的黑客工具中,有一款名為“NOPEN”的工具。在此之前,安全研究人員普遍認(rèn)為這款工具是一種“Post-ExploitationShell”,方程式組織可以用它來感染一臺被入侵的設(shè)備,而這款工具將允許攻擊者與被入侵的設(shè)備進(jìn)行持續(xù)性地通信。

但是通過深入分析之后Beauchesne發(fā)現(xiàn),“NOPEN”實(shí)際上是一款針對Unix操作系統(tǒng)的遠(yuǎn)程管理工具(RAT)。各位應(yīng)該知道,“RAT”這個詞通常形容的是那些針對Windows系統(tǒng)和Android設(shè)備的惡意軟件,攻擊者可以利用這些惡意軟件來與受感染的目標(biāo)主機(jī)進(jìn)行網(wǎng)絡(luò)通信。

根據(jù)Beauchesne的分析結(jié)果,NOPEN毫無疑問是屬于RAT工具這一類的。Beauchesne還表示,這是一款非常復(fù)雜的惡意軟件,而且該工具似乎是方程式組織的一款非常重要的黑客工具,因?yàn)樵谛孤┪募?script/ops/doc)中曾多次提到了“NOPEN”的名字。之所以說它非常重要,是因?yàn)樗瓤梢宰鳛橐粋€網(wǎng)絡(luò)后門來感染目標(biāo)系統(tǒng),而且攻擊者還可以用它來監(jiān)聽數(shù)據(jù)。

[[171682]]

首先,方程式組織的黑客需要成功入侵目標(biāo)系統(tǒng),然后在系統(tǒng)中安裝NOPEN。安裝成功之后,攻擊者就可以在自己的計(jì)算機(jī)與被入侵的設(shè)備之間建立一條通信鏈接,并開始監(jiān)聽目標(biāo)主機(jī)中的各種數(shù)據(jù)。當(dāng)他們發(fā)現(xiàn)并獲取到了他們所要尋找的數(shù)據(jù)之后,黑客可以立刻刪除NOPEN。NOPEN的主要功能就是在被感染主機(jī)與方程式組織的服務(wù)器之間建立一條通信隧道,并運(yùn)行反向shell(命令行接口)。攻擊者運(yùn)行的是NOPEN的客戶端,而NOPEN的服務(wù)器端則安裝在被感染的設(shè)備上。

Beauchesne在分析報告中寫到:

“這款工具不僅可以允許攻擊者運(yùn)行功能強(qiáng)大的shell腳本,而且還為他們提供了通信隧道的支持。需要注意的是,所有的操作信息和通信數(shù)據(jù)都采用了RC6加密算法來進(jìn)行保護(hù)。但好消息是,盡管NOPEN采用了RC6加密算法來保護(hù)其網(wǎng)絡(luò)通信數(shù)據(jù),但是目前的很多安全解決方案也許能夠在網(wǎng)絡(luò)中檢測到NOPEN的存在。”

Linux、FreeBSD、SunOS、Solaris和HP-UX等操作系統(tǒng)也難逃厄運(yùn)

根據(jù)Beauchesne的分析,NOPEN可以在i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、以及AMD64等架構(gòu)的計(jì)算機(jī)上正常運(yùn)行。除此之外,安全專家表示,NOPEN還可以在Linux、FreeBSD、SunOS、Solaris和HP-UX等操作系統(tǒng)上運(yùn)行。

深入分析NOPEN

簡單而言,NOPEN就是一款靜態(tài)編譯的后門。這款UnixRAT會對其所有的控制命令和通信隧道數(shù)據(jù)進(jìn)行加密保護(hù),并且還允許攻擊者在目標(biāo)主機(jī)中實(shí)現(xiàn)提權(quán)。接下來,我們會對NOPEN進(jìn)行深入分析,并且找出可以檢測到NOPEN的安全策略。

[[171683]]

NOPEN的歡迎界面

再簡單的命令行工具也得有一個歡迎界面才對,NOPEN也不例外,而且NOPEN的歡迎界面還非常的友好。

  1. NOPEN!                             v3.0.5.3    
  2. sh: 1: scanner: not found  
  3. sh: 1: ourtn: not found  
  4. sh: 1: scripme: not found  
  5. Wed Aug 31 18:07:05 GMT 2016  
  6. NHOME: environment variable not set, assuming"NHOME=/root/Firewall/TOOLS/NOPEN/.." 
  7. NHOME=/root/Firewall/TOOLS/NOPEN/.. 
  8. Reading resource file"/root/Firewall/TOOLS/NOPEN/../etc/norc".../root/Firewall/TOOLS/NOPEN/../etc/norc: No such file or directory  
  9. TERM=xterm-256color 
  10. Entering connect mode  
  11. Attempting connection to 127.0.0.1:32754(127.0.0.1:32754)... ok  
  12. Initiating RSA key exchange  
  13.   Generating randomnumber... ok 
  14.   Initializing RC6...ok 
  15.   Sending randomnumber... ok 
  16.   Receiving randomnumber... ok  
  17.   Generating sessionkey... 0x0DE6200E48AB016831720B109B8B2874 
  18.   Sending first verifystring... ok 
  19.   Receiving secondverify string... ok 
  20.   Checking secondverify string... ok 
  21. RSA key exchange complete 
  22. NOPEN server version... 3.0.5.3 
  23. Connection 
  24.   Bytes In / Out     201/94 (213%C) / 63/4 (1575%C) 
  25.   Local Host:Port    localhost:41847 (127.0.0.1:41847) 
  26.   RemoteHost:Port   127.0.0.1:32754(127.0.0.1:32754) 
  27.   RemoteHost:Port   kali:32754 (127.0.0.1:32754) 
  28. Local 
  29.   NOPEN client       3.0.5.3 
  30.   Date/Time          Wed Aug 31 18:07:05 UTC 2016 
  31.   History              
  32.   Command Out          
  33.   CWD                /root/Firewall/TOOLS/NOPEN 
  34.   NHOME              /root/Firewall/TOOLS/NOPEN/.. 
  35.   PID (PPID)         6904 (6896) 
  36. Remote 
  37.   NOPEN server       3.0.5.3 
  38.   WDIR               NOT SET 
  39.   OS                 Linux 4.6.0-kali1-amd64 #1 SMPDebian 4.6.4-1kali1 (2016-07-21) x86_64 
  40.   CWD                  
  41.   PID (PPID)         6908 (6889) 
  42. Reading resource file"/root/Firewall/TOOLS/NOPEN/../etc/norc.linux".../root/Firewall/TOOLS/NOPEN/../etc/norc.linux: No such file or directory 
  43. History loaded from"/root/Firewall/TOOLS/NOPEN/../down/history/kali.127.0.0.1"... ok 
  44. Creating command output file"/root/Firewall/TOOLS/NOPEN/../down/cmdout/kali.127.0.0.1-2016-08-31-18:07:05"...ok 
  45. Lonely?  Bored?  Need advice? Maybe "-help" will show you the way.  
  46. We are starting up our virtual autoport 

我們可以通過“-help”命令來獲取幫助信息:

  1. We are bound and ready to go on port 1025 
  2. NO! kali:>-help 
  3. [08-31-16 18:07:17 GMT][localhost:41847 ->kali.127.0.0.1:32754] 
  4. [-help] 
  5. Remote General Commands: 
  6. Usage: -elevate   
  7. Usage: -getenv   
  8. Usage: -gs category|filename [options-if-any
  9. Usage: -setenv VAR=[val] 
  10. Usage: -shell   
  11. Usage: -status   
  12. Usage: -time   
  13. Remote Server Commands: 
  14. Usage: -burn   
  15. Usage: -call ip port 
  16. Usage: -listen port 
  17. Usage: -pid   
  18. Remote Network Commands: 
  19. Usage: -icmptime target_ip [source_ip]   
  20. Usage: -ifconfig   
  21. Usage: -nslookup name1 ... 
  22. Usage: -ping -r remote_target_ip [-l local_source_ip][-i|-u|-t] [-p dest_port] [-s src_port] 
  23.        -ping host 
  24.        -ping[-u|-t|-i] host 
  25. Usage: -trace -r remote_target_ip [-l local_source_ip][-i|-u|-t] [-p dest_port] [-s src_port] 
  26.        -trace host 
  27.        -trace[-u|-t|-i] host 
  28. Remote Redirection Commands: 
  29. Usage: -fixudp port 
  30. Usage: -irtun target_ip call_back_port [call_back_ip] [ourtnarguements] 
  31. Usage: -jackpop target_ip target_port source_ip source_port 
  32. Usage: -nrtun port [toip [toport]] 
  33. Usage: -nstun toip [toport [localport [srcport [command]]]]  
  34.        -nstuntoip:port 
  35. Usage: -rawsend tcp_port 
  36. Usage: -rtun port [toip [toport]] 
  37. Usage: -scan   
  38. Usage: -sentry target_address source_address (tcp|udp)dest_port src_port interface 
  39. Usage: -stun toip toport [localport [srcport]] 
  40. Usage: -sutun [-t ttl] toip toport [localport [srcport]] 
  41. Usage: -tunnel [command_listen_port [udp]] 
  42. Usage: -vscan  (shouldadd help) 
  43. Remote File Commands: 
  44. Usage: -cat remfile 
  45. Usage: -chili [-l] [-s lines] [-m max] MM-DD-YYYY remdirremfile [remfile ...] 
  46. Usage: -cksum remfile ... 
  47. Usage: -fget [MM-DD-YYYY] loclist 
  48. Usage: -get [-l] [-q] [-s minimumsize] [-m MM-DD-YYYY]remfile ... 
  49. Usage: -grep [-d] [-v] [-n] [-i] [-h] [-Cnumber_of_context_lines] pattern file1 [file2 ...]   
  50. Usage: -oget [-a] [-q] [-s begoff] [-b begoff] [-e endoff]remfile 
  51. Usage: -put locfile remfile [mode] 
  52. Usage: -strings remfile 
  53. Usage: -tail [+/-n] remfile, + to skip n lines of remfilebeginning 
  54. Usage: -touch [-t mtime:atime | refremfile] remfile 
  55. Usage: -rm remfile|remdir ... 
  56. Usage: -upload file port 
  57. Usage: -mailgrep [-l] [-m maxbytes] [-r "regexp"[-v]] [-f regexpfilename [-v]] [-a "regexp for attachments toeliminate"] [-b MM-DD-YYYY] [-e MM-DD-YYYY] [-d remotedumpfile] remotedirfile1 [file2 ...] 
  58.  ex: -mailgrep -a".doc" -r "^Fred" -b 2-28-2002 /var/spool/mail G*  
  59. Remote Directory Commands: 
  60. Usage: -find [-M | -m -mkfindsargs] [-x[m|a|c] MM-DD-YYYY]remdir [remdir...] 
  61. Usage: -ls [-1ihuRt] [-x[m|a|c] MM-DD-YYYY] [remfile|remdir...] 
  62. Usage: -cd [remdir] 
  63. Usage: -cdp   
  64. Local Client Commands: 
  65. Usage: -autopilot port [xml] 
  66. Usage: -cmdout [locfilename] 
  67. Usage: -exit   
  68. Usage: -help   
  69. Usage: -hist   
  70. Usage: -readrc [locfile] 
  71. Usage: -remark [comment] 
  72. Usage: -rem [comment] 
  73. Usage: # [comment] 
  74. Usage: -reset   
  75. Local Environment Commands: 
  76. Usage: -lcd locdir 
  77. Usage: -lgetenv   
  78. Usage: -lpwd   
  79. Usage: -lsetenv VAR=[val] 
  80. Usage: -lsh [[-q] command] 
  81. Aliases: 

NOPEN支持的體系架構(gòu)

反匯編之后,我們就可以看到NOPEN所支持的架構(gòu)了。NOPEN是Unix系統(tǒng)上的一款通用遠(yuǎn)程管理工具(RAT),我們在泄漏文件中獲取到的是其Linuxi386版本。但是我在對其客戶端和服務(wù)器端進(jìn)行了反匯編之后,結(jié)果顯示該版本的NOPEN所支持的架構(gòu)遠(yuǎn)不止i386一個。

  1. .rodata:0807B04D aI586           db 'i586',0             ; DATA XREF: _serverCpuInfo+1Do 
  2. .rodata:0807B04D                                         ;_serverCpuInfo+4Co 
  3. .rodata:0807B052 ; char aI686[] 
  4. .rodata:0807B052 aI686           db 'i686',0             ; DATA XREF: _serverCpuInfo+73o 
  5. .rodata:0807B057 ; char aI486[] 
  6. .rodata:0807B057 aI486           db 'i486',0             ; DATA XREF: _serverCpuInfo+8Do 
  7. .rodata:0807B05C ; char aI386[] 
  8. .rodata:0807B05C aI386           db 'i386',0             ; DATA XREF: _serverCpuInfo+A7o 
  9. .rodata:0807B061 ; char aSparc[] 
  10. .rodata:0807B061 aSparc          db 'sparc',0            ; DATA XREF: _serverCpuInfo+E0o 
  11. .rodata:0807B067 ; char aI86pc[] 
  12. .rodata:0807B067 aI86pc          db 'i86pc',0            ; DATA XREF: _serverCpuInfo+FBo 
  13. .rodata:0807B06D ; char aI_86[] 
  14. .rodata:0807B06D aI?86           db 'i?86',0             ; DATA XREF: _serverCpuInfo+119o 
  15. .rodata:0807B072 ; char aAlpha[] 
  16. .rodata:0807B072 aAlpha          db 'alpha',0            ; DATA XREF: _serverCpuInfo+137o 
  17. .rodata:0807B078 ; char aX86_64[] 
  18. .rodata:0807B078 aX86_64         db 'x86_64',0           ; DATA XREF: _serverCpuInfo+155o 
  19. .rodata:0807B07F ; char aAmd64[] 
  20. .rodata:0807B07F aAmd64          db 'amd64',0            ; DATA XREF: _serverCpuInfo+173o  

NOPEN所支持的操作系統(tǒng)

反編譯之后,我們了解到了NOPEN所支持的操作系統(tǒng)類型。

  • FreeBSD
  • Linux
  • SunOS
  • HP-UX
  • Solaris

很多被隱藏的命令

我們發(fā)現(xiàn),命令行的“-help”命令并不能夠?qū)OPEN所有可用的指令全部顯示出來。

  1. .data:0808220C commandHelp     dd 0                    ; DATA XREF:sub_8059570+746r 
  2. "-head""[-n] remfile" 
  3. "-sget""hostname port file [file ...]" 
  4. "-srecv""port" 
  5. "-h" 
  6. "-burnBURN" 
  7. "-stat" 
  8. "-sq""remfile" 
  9. "-w" 
  10. "-lambda" 
  11. "-hammy""localport toip srcport[toport]" 
  12. "-at""[-B] time[m] command" 
  13. "-listen""port" 
  14. "-trigger""localport toip srcport[toport]" 
  15. "-triggerold""localport toip srcport[toport]" 
  16. "-sniff""localfile iface [exclusion filtersport"... 
  17. "-suc""[get|<filename>] | [-s]<pid> [<pid>..]"... 
  18. "-jscan""[-t timeout] scanType target[dstPort] "... 
  19. "-hstun""toip [toport [localport [srcport[comma"... 
  20. "-hrtun""port [toip [toport]]" 
  21. "-hutun""toip toport [localport[srcport]]" 
  22. "-lpid" 
  23. "-sha1sum""remfile ..."  

UberControl子菜單

這部分功能似乎與rootkit有關(guān),負(fù)責(zé)完成隱藏文件、任務(wù)處理、socket通信、以及持久化等操作。

Tunnel子菜單

具體命令如下所示:

  1. [t]imeout time 
  2.   [r]emote listenport[target [port]] 
  3.   [l]ocal  listenport target [port [source_port]]  
  4.   [L]ocal  listenport target [port [source_port]]; withone byte extra for socket state  
  5.   [u]dp    listenport target [port [source_port]] 
  6.   [U]dp    listenport [target [port]] 
  7.   [c]lose channel 
  8.   [s]tatus  - prints status messages for channels  
  9.   [q]uit - leaves thetunnel, please do not hit Cntl-C, it makes the tunnel unhappy 

NOPEN的檢測

正如我們之前所提到的那樣,第一眼看過去,NOPEN絕對是一款非常復(fù)雜的惡意軟件。但是如果我們一步一步地進(jìn)行深入分析,我就發(fā)現(xiàn)其實(shí)這款RAT并沒有我們想象中的那么復(fù)雜,因?yàn)榇饲拔覀冞€遇到過更加復(fù)雜的RAT。像PoisonIvy、blackshade、helium、以及其他的RAT,它們遠(yuǎn)比NOPEN要麻煩得多,但是這些RAT的功能和運(yùn)行機(jī)制其實(shí)都是大同小異的。實(shí)際上,就我們目前的經(jīng)驗(yàn)來看,大多數(shù)的RAT工具都擁有相似的行為模式。所以從這一點(diǎn)來看,NOPEN其實(shí)也沒有多少新穎之處。

沒錯,該工具背后的黑客組織是方程式組織,他們的確更加復(fù)雜,但是這類攻擊的本質(zhì)其實(shí)是一樣的。我們其實(shí)并不需要完全弄清楚任何一款RAT工具的行為模式,我們可以利用“機(jī)器學(xué)習(xí)”來構(gòu)建出新型的安全防御體系。通過機(jī)器學(xué)習(xí)來識別惡意工具的行為模式其檢測效率和準(zhǔn)確率都是非常高的。不僅如此,這樣可以迫使攻擊者不斷改變他們的攻擊方法,并且增加攻擊者繞過下一代安全產(chǎn)品的難度。

 

責(zé)任編輯:武曉燕 來源: FreeBuf
UnixNOPENRAT
相關(guān)推薦

2017-05-12 13:58:30

2011-09-21 17:26:54

2015-02-06 10:41:43

云許可軟件即服務(wù)IaaS

2022-02-24 11:00:12

安全美國中國

2019-03-18 10:35:15

人工智能機(jī)器學(xué)習(xí)前端

2024-04-29 13:05:00

AI自動駕駛

2015-01-16 10:07:18

云計(jì)算云存儲數(shù)據(jù)擴(kuò)展

2010-03-10 10:22:48

服務(wù)器芯片

2016-08-31 00:47:23

2015-11-12 09:19:19

O2O創(chuàng)業(yè)死亡

2019-07-25 09:05:30

編程語言PythonJava

2009-07-07 17:10:04

創(chuàng)建UNIX后門

2009-07-07 17:12:05

創(chuàng)建UNIX后門

2011-05-11 09:16:30

IIS后門

2013-12-24 09:56:45

2011-03-23 14:44:59

Unix系統(tǒng)root

2010-04-14 09:40:05

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號