“NOPEN”遠控木馬分析報告

　　近日，國家計算機病毒應急處理中心對名為“NOPEN”的木馬工具進行了攻擊場景復現和技術分析。該木馬工具針對Unix/Linux平臺，可實現對目標的遠程控制。根據“影子經紀人”泄露的NSA內部文件，該木馬工具為美國國家安全局開發的網絡武器。“NOPEN”木馬工具是一款功能強大的綜合型木馬工具，也是美國國家安全局接入技術行動處（TAO）對外攻擊竊密所使用的主戰網絡武器之一。

　　一、基本情況

　　“NOPEN”木馬工具為針對Unix/Linux系統的遠程控制工具，主要用于文件竊取、系統提權、網絡通信重定向以及查看目標設備信息等，是TAO遠程控制受害單位內部網絡節點的主要工具。通過技術分析，我單位認為，“NOPEN”木馬工具編碼技術復雜、功能全面、隱蔽性強、適配多種處理器架構和操作系統，并且采用了插件式結構，可以與其他網絡武器或攻擊工具進行交互和協作，是典型的用于網絡間諜活動的武器工具。

　　二、具體功能

　　“NOPEN”木馬工具包含客戶端“noclient”和服務端“noserver”兩部分，客戶端會采取發送激活包的方式與服務端建立連接，使用RSA算法進行秘鑰協商，使用RC6算法加密通信流量。

　　該木馬工具設計復雜，支持功能眾多，主要包括以下功能：內網端口掃描、端口復用、建立隧道、文件處理（上傳、下載、刪除、重命名、計算校驗值）、目錄遍歷、郵件獲取、環境變量設置、進程獲取、自毀消痕等。

　　三、技術分析

　　經技術分析與研判，該木馬工具針對Unix/Linux平臺，可在主控端和受控端之間建立隱蔽加密信道，攻擊者可通過向目標發送遠程指令，實現遠程獲取目標主機環境信息、上傳/下載/創建/修改/刪除文件、遠程執行命令、網絡流量代理轉發、內網掃描、竊取電子郵件信息、自毀等惡意功能。該木馬工具包含主控端（Client）和受控端（Server）兩個部分，具體分析結果如下：

　　（一）主控端功能分析

　　文件名：Noclient

　　MD5：188974cea8f1f4bb75e53d490954c569

　　SHA-1：a84ac3ea04f28ff1a2027ee0097f69511af0ed9d

　　SHA-256：ed2c2d475977c78de800857d3dddc739

　　57d219f9bb09a9e8390435c0b6da21ac

　　文件大小：241.2KB（241192 字節）

　　文件類型：ELF32

　　文件最后修改時間：2011-12-8 19:07:48

　　支持處理器架構：i386, i486, i586, i686, sparc, alpha, x86_64, amd64

　　支持操作系統：FreeBSD、SunOS、HP-UX、Solaris、Linux

　　主控端的主要功能是連接受控端和向受控端發送指令并接收受控端回傳的信息：

　　1、連接目標受控端

　　主控端通過以下命令行連接目標受控端：

　　noclient [參數1：目標主機IP地址]:[端口號（默認為32754）]

　　連接成功后會組合采用RC6+RSA加密算法，在主控端與受控端之間建立加密信道。并回顯主控端與被控端基本信息，包括：IP地址和端口號、軟件版本、當前工作目錄、進程號（PID）、操作系統版本和內核版本、日期時間等。同時主控端建立監聽端口（默認為1025），接受受控端的反向連接。

　　2、命令控制

　　主控端與被控端成功建立連接后，攻擊者可通過主控端控制臺向受控端發送指令，該木馬工具提供的指令非常豐富。開發者還給出了詳細的指令幫助說明。

　　其中遠程控制指令如下所示：

　　-elevate：提升權限

　　-getenv：獲取環境變量

　　-gs：未知

　　-setenv：設置環境變量

　　-shell：返回命令行接口

　　-status：查看當前連接狀態、本地與遠程主機環境信息

　　-time：查看本地與遠程主機的日期、時間和時區信息

　　-burn：終止控制并關閉遠程進程

　　-call ip port：設置回連IP地址和端口號

　　-listen port：設置監聽端口號

　　-pid：查看遠程受控端進程ID

　　-icmptimetarget_ip [source_ip]：遠程Ping目標地址，查看時延

　　-ifconfig：查看遠程主機的IP地址設置和MAC地址

　　-nslookup：遠程對指定域名進行解析

　　-ping：遠程Ping目標地址，用于內網探測

　　-trace：遠程traceroute

　　-fixudp port：指定UDP傳輸端口

　　另外，還有一些隱藏指令并沒有被在控制臺幫助中列出，如“-hammy”、“-trigger”、“-triggerold”和“-sniff”等。經研判可能是與其他網絡武器或攻擊工具之間的功能調用接口。

　　（二）受控端功能分析

　　文件名：noserver_linux

　　MD5：9081d61fabeb9919e4e3fa84227999db

　　SHA-1：0274bd33c2785d4e497b6ba49f5485caa52a0855

　　SHA-256：4acc94c6be340fb8ef4133912843aa0e

　　4ece01d8d371209a01ccd824f519a9ca

　　文件大小：357KB（356996 字節）

　　文件類型：ELF32

　　文件最后修改時間：2011-12-8 19:07:48

　　受控端被加載運行后會默認監聽32754端口。

　　受控端程序為了干擾和對抗分析，進行了去符號操作，結合代碼功能，分析受控端程序的主要功能如下所示：

　　1.KillProc、kill：終止指定進程

　　2.Chmod：為指定對象賦權限

　　3.GetCWD：獲得當前工作目錄

　　4.GetPid：獲得當前進程ID

　　5.DeleteFile_Dir：刪除指定文件或目錄

　　6.GetFileMD5：獲得指定文件MD5摘要

　　7.GetPCInfo：獲得所在主機環境信息

　　8.Recv：上傳、下載數據

　　9.Connect：建立socket連接

　　受控端根據主控端指令組合調用相應模塊執實現相關惡意操作。

　　四、使用環境

　　“NOPEN”木馬工具支持在Linux、FreeBSD、SunOS、Solaris、JUNOS和HP-UX等各類操作系統上運行，同時兼容i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、PPC、MIPS、ARM以及AMD64等多種體系架構，適用范圍較廣。根據監控情況，該木馬工具主要用于在受害單位內網中執行各類攻擊指令，結合其他取情、嗅探工具，級聯竊取核心數據。

　　五、植入方式

　　“NOPEN”木馬工具支持多種植入運行方式，包括手動植入、工具植入、自動化植入等，其中最常見的植入方式是結合遠程漏洞攻擊自動化植入至目標系統中，以便規避各種安全防護機制。此外，TAO還研發了一款名為Packrat的工具，可用于輔助植入“NOPEN”木馬工具，其主要功能為對“NOPEN”木馬工具進行壓縮、編碼、上傳和啟動。

　　六、使用控制方式

　　“NOPEN”木馬工具主要包括8個功能模塊，每個模塊支持多個命令操作，TAO主要使用該武器對受害機構網絡內部的核心業務服務器和關鍵網絡設備實施持久化控制。其主要使用方式為：攻擊者首先向安裝有“NOPEN”木馬工具的網內主機或設備發送特殊定制的激活包，“NOPEN”木馬工具被激活后回連至控制端，加密連接建立后，控制端發送各類指令操作“NOPEN”木馬工具實施網內滲透、數據竊取、其他武器上傳等后續攻擊竊密行為。