信息來源：安全內(nèi)參

“NOPEN”遠控木馬分析報告

近日，國家計算機病毒應急處理中心對名為“NOPEN”的木馬工具進行了攻擊場景復現(xiàn)和技術分析。該木馬工具針對Unix/Linux平臺，可實現(xiàn)對目標的遠程控制。根據(jù)“影子經(jīng)紀人”泄露的NSA內(nèi)部文件，該木馬工具為美國國家安全局開發(fā)的網(wǎng)絡武器?！癗OPEN”木馬工具是一款功能強大的綜合型木馬工具，也是美國國家安全局接入技術行動處（TAO）對外攻擊竊密所使用的主戰(zhàn)網(wǎng)絡武器之一。

一、基本情況

“NOPEN”木馬工具為針對Unix/Linux系統(tǒng)的遠程控制工具，主要用于文件竊取、系統(tǒng)提權、網(wǎng)絡通信重定向以及查看目標設備信息等，是TAO遠程控制受害單位內(nèi)部網(wǎng)絡節(jié)點的主要工具。通過技術分析，我單位認為，“NOPEN”木馬工具編碼技術復雜、功能全面、隱蔽性強、適配多種處理器架構和操作系統(tǒng)，并且采用了插件式結構，可以與其他網(wǎng)絡武器或攻擊工具進行交互和協(xié)作，是典型的用于網(wǎng)絡間諜活動的武器工具。

二、具體功能

“NOPEN”木馬工具包含客戶端“noclient”和服務端“noserver”兩部分，客戶端會采取發(fā)送激活包的方式與服務端建立連接，使用RSA算法進行秘鑰協(xié)商，使用RC6算法加密通信流量。

該木馬工具設計復雜，支持功能眾多，主要包括以下功能：內(nèi)網(wǎng)端口掃描、端口復用、建立隧道、文件處理（上傳、下載、刪除、重命名、計算校驗值）、目錄遍歷、郵件獲取、環(huán)境變量設置、進程獲取、自毀消痕等。

三、技術分析

經(jīng)技術分析與研判，該木馬工具針對Unix/Linux平臺，可在主控端和受控端之間建立隱蔽加密信道，攻擊者可通過向目標發(fā)送遠程指令，實現(xiàn)遠程獲取目標主機環(huán)境信息、上傳/下載/創(chuàng)建/修改/刪除文件、遠程執(zhí)行命令、網(wǎng)絡流量代理轉發(fā)、內(nèi)網(wǎng)掃描、竊取電子郵件信息、自毀等惡意功能。該木馬工具包含主控端（Client）和受控端（Server）兩個部分，具體分析結果如下：

（一）主控端功能分析

文件名：Noclient

MD5：188974cea8f1f4bb75e53d490954c569

SHA-1：a84ac3ea04f28ff1a2027ee0097f69511af0ed9d

SHA-256：ed2c2d475977c78de800857d3dddc739

57d219f9bb09a9e8390435c0b6da21ac

文件大小：241.2KB（241192 字節(jié)）

文件類型：ELF32

文件最后修改時間：2011-12-8 19:07:48

支持處理器架構：i386, i486, i586, i686, sparc, alpha, x86_64, amd64

支持操作系統(tǒng)：FreeBSD、SunOS、HP-UX、Solaris、Linux

主控端的主要功能是連接受控端和向受控端發(fā)送指令并接收受控端回傳的信息：

1、連接目標受控端

主控端通過以下命令行連接目標受控端：

noclient [參數(shù)1：目標主機IP地址]:[端口號（默認為32754）]

連接成功后會組合采用RC6+RSA加密算法，在主控端與受控端之間建立加密信道。并回顯主控端與被控端基本信息，包括：IP地址和端口號、軟件版本、當前工作目錄、進程號（PID）、操作系統(tǒng)版本和內(nèi)核版本、日期時間等。同時主控端建立監(jiān)聽端口（默認為1025），接受受控端的反向連接。

2、命令控制

主控端與被控端成功建立連接后，攻擊者可通過主控端控制臺向受控端發(fā)送指令，該木馬工具提供的指令非常豐富。開發(fā)者還給出了詳細的指令幫助說明。

其中遠程控制指令如下所示：

-elevate：提升權限

-getenv：獲取環(huán)境變量

-gs：未知

-setenv：設置環(huán)境變量

-shell：返回命令行接口

-status：查看當前連接狀態(tài)、本地與遠程主機環(huán)境信息

-time：查看本地與遠程主機的日期、時間和時區(qū)信息

-burn：終止控制并關閉遠程進程

-call ip port：設置回連IP地址和端口號

-listen port：設置監(jiān)聽端口號

-pid：查看遠程受控端進程ID

-icmptimetarget_ip [source_ip]：遠程Ping目標地址，查看時延

-ifconfig：查看遠程主機的IP地址設置和MAC地址

-nslookup：遠程對指定域名進行解析

-ping：遠程Ping目標地址，用于內(nèi)網(wǎng)探測

-trace：遠程traceroute

-fixudp port：指定UDP傳輸端口

另外，還有一些隱藏指令并沒有被在控制臺幫助中列出，如“-hammy”、“-trigger”、“-triggerold”和“-sniff”等。經(jīng)研判可能是與其他網(wǎng)絡武器或攻擊工具之間的功能調用接口。

（二）受控端功能分析

文件名：noserver_linux

MD5：9081d61fabeb9919e4e3fa84227999db

SHA-1：0274bd33c2785d4e497b6ba49f5485caa52a0855

SHA-256：4acc94c6be340fb8ef4133912843aa0e

4ece01d8d371209a01ccd824f519a9ca

文件大?。?57KB（356996 字節(jié)）

文件類型：ELF32

文件最后修改時間：2011-12-8 19:07:48

受控端被加載運行后會默認監(jiān)聽32754端口。

受控端程序為了干擾和對抗分析，進行了去符號操作，結合代碼功能，分析受控端程序的主要功能如下所示：

1.KillProc、kill：終止指定進程

2.Chmod：為指定對象賦權限

3.GetCWD：獲得當前工作目錄

4.GetPid：獲得當前進程ID

5.DeleteFile_Dir：刪除指定文件或目錄

6.GetFileMD5：獲得指定文件MD5摘要

7.GetPCInfo：獲得所在主機環(huán)境信息

8.Recv：上傳、下載數(shù)據(jù)

9.Connect：建立socket連接

受控端根據(jù)主控端指令組合調用相應模塊執(zhí)實現(xiàn)相關惡意操作。

四、使用環(huán)境

“NOPEN”木馬工具支持在Linux、FreeBSD、SunOS、Solaris、JUNOS和HP-UX等各類操作系統(tǒng)上運行，同時兼容i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、PPC、MIPS、ARM以及AMD64等多種體系架構，適用范圍較廣。根據(jù)監(jiān)控情況，該木馬工具主要用于在受害單位內(nèi)網(wǎng)中執(zhí)行各類攻擊指令，結合其他取情、嗅探工具，級聯(lián)竊取核心數(shù)據(jù)。

五、植入方式

“NOPEN”木馬工具支持多種植入運行方式，包括手動植入、工具植入、自動化植入等，其中最常見的植入方式是結合遠程漏洞攻擊自動化植入至目標系統(tǒng)中，以便規(guī)避各種安全防護機制。此外，TAO還研發(fā)了一款名為Packrat的工具，可用于輔助植入“NOPEN”木馬工具，其主要功能為對“NOPEN”木馬工具進行壓縮、編碼、上傳和啟動。

六、使用控制方式

“NOPEN”木馬工具主要包括8個功能模塊，每個模塊支持多個命令操作，TAO主要使用該武器對受害機構網(wǎng)絡內(nèi)部的核心業(yè)務服務器和關鍵網(wǎng)絡設備實施持久化控制。其主要使用方式為：攻擊者首先向安裝有“NOPEN”木馬工具的網(wǎng)內(nèi)主機或設備發(fā)送特殊定制的激活包，“NOPEN”木馬工具被激活后回連至控制端，加密連接建立后，控制端發(fā)送各類指令操作“NOPEN”木馬工具實施網(wǎng)內(nèi)滲透、數(shù)據(jù)竊取、其他武器上傳等后續(xù)攻擊竊密行為。