作者:rupyerlua、Muqq、Zebork
北京时间2016年8月13日下午5时许,一个自称为“The Shadow Brokers” (影子经纪人)的黑客组织在GitHub上发布声明称附录一:通过对Equation Group(方程式黑客组织)的长期跟踪,现已成功入侵方程式黑客组织并窃取其所使用的工具集。同时,“The Shadow Brokers”将工具集中的60%进行免费公开,剩余40%则进行天价拍卖。
一、事件背景
方程式黑客组织经验丰富,技术高超,卡巴斯基安全实验室公布的分析报告显示该组织创立至今已有20余年历史。该组织擅长APT(Advanced Persistent Threat)攻击,过硬的0DAY漏洞挖掘能力和利用工具编程能力为APT攻击提供了强力支撑,图1为卡巴斯基发现的该组织所使用的工具集时间线。其攻击目标多为国家级网络空间关键设施,通常以破坏工业生产、制造社会混乱以及打击军事设施为目的。卡巴斯基等多方观点猜测该组织可能与Regin攻击、震网病毒(Stuxnet)攻击以及Flame恶意软件攻击有关,并推测该组织隶属美国国家安全局(National Security Agency,NSA)。
图1.卡巴斯基公布的方程式组织所使用的工具集时间线
1. 100万比特币天价拍卖
遭泄露的文件包括:
a )免费版文件eqgrp-free-file.tar.xz.gpg(182M) ,sha-256:
af1dabd8eceec79409742cc9d9a20b9651058bbb8d2ce60a0edcfa568d91dbea
b )拍卖版文件eqgrp-auction-file.tar.xz.gpg(128M),sha256:
b5961eee7cb3eca209b92436ed7bdd74e025bf615b90c408829156d128c7a169
其中,免费版工具集能够通过所提供的密码(theequationgroup)进行解密,拍卖版未提供解密密码。
“The Shadow Brokers”以100万比特币(约5.68亿美元)的价格拍卖所有工具和数据。目前GitHub内容已经删除,有观点猜测可能是GitHub遭到政府施压而删除,也可能是拍卖已经成交。但根据GitHub公司政策规定:在GitHub代码托管平台上不允许进行任何形式的拍卖活动,而且也不允许出售被盗数据。所以,因违反GitHub规定而被删除的可能性较大。
2. 遭泄露工具集来源推测
由于之前卡巴斯基等猜测方程式黑客组织与NSA存在一定关系,因此此次事件引发多方关于NSA是否被黑客入侵的讨论。
前NSA工作人员戴夫·艾特尔(Dave Aitel)称,NSA的网络攻击团队不会将他们使用的工具放在网上,因为那有可能被窃。更有可能的情况是:NSA的一名内部工作人员将数据下载到一个U盘上带出来。
目前尚未知晓是否的确是NSA遭到网络攻击,NSA官方并未也不会就此次事件发表声明,因为一旦声明便承认了与方程式黑客组织的关系。
斯诺登表示, NSA在监视外国政府的电脑系统的同时,其他国家也会用同样的方法收集美国攻击的证据,且有不少国家已经找到了切实的证据。毕竟NSA要求其精英黑客团队执行“任务”后抹掉访问记录,时间一长,精英也会有疏忽的时候,因此会留下一些把柄。一般而言,其他国家会将NSA的黑客记录视作国家机密,而此次不同的是这个神秘组织表示将帮助他们寻找美国发起黑客攻击的证据。
二、泄露内容分析
“The Shadow Brokers”泄露的文件中免费文件解压后的数据主要为与防火墙相关的攻击工具,包含文件内容如图2所示:
图2.免费文件解压后目录
1. 文件目录结构
(1)BANANAGLEE
该目录为一个持续控制后门攻击框架,可针对Cisco的ASA5505型号(如图4所示)防火墙系统文件进行篡改,实现入侵后的持续控制,进一步发起包括流量嗅探、重定向等攻击。
图3. 斯诺登2013年曝光文件中披露的BANANAGLEE相关细节
图4.针对Cisco ASA5505防火墙的攻击文件
(2)BARGLEE
针对Juniper NetScreen-ISG 2000 型号防火墙进行攻击,可实现多种流量过滤、重定向以及隧道攻击功能(如图5所示)。
图5.流量监听脚本配置参数
(3)BLATSTING
针对天融信和Fortinet设备进行攻击,推测可对隧道加密通信进行破解和监听。
(4)BUZZDIRECTION
针对Fortinet的持久化植入和控制工具集合,植入目标防火墙后可根据流量特征进行监听,同时可实现DNS响应伪造和iframe恶意代码注入(如图6所示)。
图6.BUZZDIRECTION模块中攻击脚本
(5)EXPLOITS
防火墙设备溢出工具集合,可攻击Cisco、天融信、Fortinet、Juniper等防火墙设备并获取控制权限,包含自动化记录、漏洞利用和命令控制三大功能,具体各子模块功能描述见图7。
图7.各攻击子模块功能描述
(6)OPS
自动化攻击工具集合(如图8所示),可实现自动化驻留、HTTP服务器自动配置等功能。
图8.OPS自动化脚本(工具)一览
(7)SCRIPTS
攻击者在对Cisco、Juniper、天融信防火墙进行攻击时记录的笔记以及工具使用说明。其中,该目录下Bookishmute.txt 文件为某次针对天融信防火墙的攻击记录。该记录中出现的IP地址159.226.209.125为中国科学院的IP(如图9所示),此外,该记录还包含对2007年9月21日服务器日志进行清除的记录(如图10所示)。
图9.记录文档中包含中科院IP
图10.记录文档中包含对2007年9月21日日志记录的清除操作
(10)TOOLS
攻击过程中所用到的相关工具,包括IP和MAC地址转换、编码转换、远控、后门、防火墙扫描等工具。
(11)TURBO
二进制文件,功能暂时未知。
(12)padding
推测是Cisco IOS平台的OS文件。
2. 文件真实性
(1)加密算法及编码模式
卡巴斯基安全研究团队分析后确认称,遭泄露的工具集样本与2015年2月分析过的方程式组织恶意软件样本极为相似:在过去一年所研究的恶意软件中,只有方程式组织所使用的恶意软件中存在RC5、RC6加密算法,而此次泄露数据内则存在347种不同恶意软件样本使用这两种算法。
他们指出:在方程式组织的恶意软件当中,加密库利用常量0x61C88647进行减法运算,如图11所示。在大多数已经公布的RC5、RC6代码当中,这一常量通常为0x9E3779B9,即相当于-0x61C88647。由于在特定硬件之上加法的运算速度高于减法,因此将此常量以负值形式保存从而将减法转换为加法具有实际意义。
图11.编码方式比对
(2)斯诺登透露信息比对
被曝光的工具集文件名包含有“JETPLOW”、“BANANALEE”等文件名和文件夹关键字信息, 与之前斯诺登所曝光的NSA网络攻击内部资料的防火墙章节内容相符,如图12、图13所示:
图12.斯诺登2013年公布的文件中“JETPLOW”字样
图13.斯诺登2013年公布的文件中“BANANALEE”字样
8月19日,斯诺登通过The Intercept网站再次公布了一批NSA文件,其中一份文件中的关键字符(如图14所示)与遭泄露攻击程序中的关键字符(如图15所示)一致,证实了遭泄露的工具集的真实性。
图14.斯诺登文件中关键字符
图15.遭泄露文件中关键字符
3. 攻击工具有效性
已有多个国内外安全研究团队对泄露的工具集进行实验验证。确认该工具集的确具有对多个防火墙进行攻击的能力,其攻击验证过程详见附录三。
三、事件影响
1. 影响多家防火墙设备厂商
公开的工具集中免费部分全部针对防火墙设备,涉及的品牌包括:Cisco、Juniper、Fortinet、WatchGuard、天融信、华为。
根据2015年的统计数据(如图16所示),此次事件涉及到的防火墙品牌在中国占比超过了60%,在世界范围内更甚。换言之,全中国60%的公司及部门内网可以被工具拥有者直接访问。而这只是文件中60%公开给大众的工具,还有40%的核心机密工具正在以高价拍卖。
图16.2015年防火墙品牌关注比例
此次事件引起了各防火墙设备厂商的高度重视,并陆续展开对工具集中免费部分内容的分析工作,在确认漏洞利用方式后,紧急发布了漏洞声明并提出相应的解决方案,详见附录二。
2. 工具集曝光后的攻击行为
截止8月23日,暂未发现利用该工具集进行大规模攻击的相关报道,但根据360全网扫描监测系统的统计,自工具集发布至23日,已发现针对天融信防火墙设备(端口号:4000)的多个扫描行为(如图17所示),且部分扫描行为来自国外网络空间设备搜索引擎“Shodan”(如图18所示)。
图17.关键时间节点扫描行为变化
图18.关键时间节点扫描源IP统计
根据图17可以看到,在统计时间段内,7月25日和8月13日两个时间节点前后发生了扫描行为的变化。其中,8月13日为“The Shadow Brokers”在GitHub公布信息的时间;而7月25日是遭泄露工具集中主要文件的创建时间(如图19所示),可以推测,在工具集文件被创建后立即发生过一段时间的扫描行为。
图19.遭泄露内容主要文件创建时间
四、总结与思考
此次事件是一起严重的攻击工具泄露事件,泄露的工具集中的多个攻击程序利用了0DAY漏洞。一方面,工具集所有者很可能已经进行了大面积针对各国网络关键设施的攻击行为;另外一方面,工具集公开后,随之而来的可能还会有来自各国源源不断的针对各种防火墙设备的攻击行为。为此,我们应该:
1. 全面排查所涉及的网络关键设备
根据泄露的内容分析可知,个别攻击程序中出现了中国科学院的IP地址(159.226.209.125),证明该工具集所有者确实曾经针对我国实施过攻击。此外,免费版本的攻击程序全部针对防火墙设备,不难猜测,拍卖版本中的攻击程序很可能是针对路由器、交换机等更加重要的关键设备,这些设备被攻击后带来的后果更加严重。因此应当全面排查我国所有网络关键设备,检查系统日志、发现可疑后门程序,并及时更新设备固件及系统版本,确保我国网络关键信息技术设施的安全性。
2. 针对未来的攻击行为做好取证准备
在以往关于网络攻击问题的国际舆论和外交博弈中,由于掌握的被攻击证据不足、外交层面的简单否定以及博弈素材多为斯诺登爆料,使我国一直处于“西方是网络攻击的唯一受害者、中国是网络安全公敌”的假象之下。此次事件后,应展开对被攻击设备的取证工作。主要可以从:一、分析工具集中攻击程序产生的流量特征,并在骨干节点进行筛查,第一时间溯源攻击源头、阻断攻击流量;二、搭建与受影响设备型号相同的蜜罐设备,以获取攻击记录、后门程序等信息;三、长远来看,应当分析每次攻击中的隐含特征,逐渐形成攻击者“行为肖像”,进而能够根据某种攻击方式判断攻击者。
五、参考
1.http://m.bobao.360.cn/learning/detail/2970.html?from=groupmessage&isappinstalled=0
2.http://mt.sohu.com/20160816/n464402315.shtml?qq-pf-to=pcqq.c2c
3. http://www.milw0rm.cn/news/Foreign-information/20160817/297.html
4.http://www.tuicool.com/articles/r2Yr2qR
5.http://news.k59k.cn/201608176843.html
6. http://mt.sohu.com/20160817/n464658260.shtml
7.http://www.qdaily.com/articles/31118.html
8. http://blog.csdn.net/sakaison/article/details/52248832
https://www.sdk.cn/news/4814
9. http://blog.csdn.net/sakaison/article/details/52248193
10.http://mp.weixin.qq.com/s?__biz=MzA3NDk2MTgwMg==&mid=2650718122&idx=1&sn=2d22472d342f4e27865f153f02cb8de2&scene=1&srcid=08202s5QmR6VByA3QGIqUa2q#rd
11.http://m.weibo.cn/3181671860/4010235448359177/weixin?sourceType=weixin&from=1068295010&wm=9006_2001
12.http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651061747&idx=1&sn=39791d6bd12392e66cdc39b397d8eae9&scene=1&srcid=0821yrY5VOR1WbVgNLyhCgjn#rd
六、附录