首页 ›资讯› 安全 › 查看内容

修改硬盘固件的木马探索方程式（EQUATION）组织的攻击组件

2017-1-17 18:22 1241 0

摘要: 1背景2015年2月18日，安天实验室根据紧急研判，对被友商称为“方程式（Equation）”的攻击组织所使用的攻击组件，开始了初步的分析验证。后于2月25日正式组建了跨部门联合分析小组，于3月4日形成本报告第一版本。事 ...

1 背景

2015年2月18日，安天实验室根据紧急研判，对被友商称为“方程式（Equation）”的攻击组织所使用的攻击组件，开始了初步的分析验证。后于2月25日正式组建了跨部门联合分析小组，于3月4日形成本报告第一版本。

事件相关背景为：卡巴斯基安全实验室在2月16日起发布系列报告（以下简称“友商报告”），披露了一个可能是目前世界上存在的最复杂的网络攻击组织>——“方程式”组织（Equation Group）[1]。据卡巴斯基实验室称，该组织使用的C&C早在1996年就被注册，这暗示了该组织可能已经活跃了20年之久。多年以来，他们因总能比其他组织早发现漏洞，从而具有绝对的优势。该组织拥有一套用于植入恶意代码的超级制式信息武器库（在友商报告中披露了其中6个），其中包括两个可以对数十种常见品牌的硬盘固件重编程的恶意模块，这可能是该组织掌握的最具特色的攻击武器，同时也是首个已知的能够感染硬盘固件的恶意代码。在2月17日和2月19日的友商报告中，先后发布了其中2个模块的详细分析结果，它们分别是Fanny[2]和DoubleFantasy[3]。卡巴斯基根据相关线索分析，认为被攻击目标包括俄罗斯、印度、中国等国家，而相关媒体根据卡巴斯基的报告，推断出该攻击组织可能与美国情报机构相关。

鉴于样本的复杂性，以及攻击硬盘固件的特殊特点，分析进展极为缓慢，目前将有限的分析工作对外分享，旨在推动更多的业内参与协作。同时对友商报告中已经充分论述的内容，本报告未作更多引用和重复。因此建议读者先阅读友商报告，再阅读本报告以给予批评指正。

2 Equation组织使用的组件

Equation组织的被发现的武器库中至少有6件“装备”，它们是：EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny和GrayFish。安天的工程师称其为“组件”。除了这6个组件外，友商报告还提供了该组织有可能用到的其它恶意代码程序的哈希，这些哈希对应的程序包括：与EquationDrug相似的EQUESTRE、键盘记录器程序GROK keylogger、DoubleFantasy安装程序和LNK漏洞利用程序_SD_IP_CF.dll，以及需要重点关注的能够对硬盘重新编程的模块nls_933w.dll。

组件名称	说明	时间
EquationLaser	Equation组织早期使用的植入程序，大约在2001至2004年间被使用。兼容Windows 95/98系统。		2001-2003
EquationDrug	该组织使用的一个非常复杂的攻击组件，用于支持能够被攻击者动态上传和卸载的模块插件系统。怀疑是EquationLaser的升级版。		2003-2013
DoubleFantasy	一个验证式的木马，旨在确定目标为预期目标。如果目标被确认，那么已植入恶意代码会升级到一个更为复杂的平台，如EQUATIONDRUG或GRAYFISH。		2004-2012
TripleFantasy	全功能的后门程序，有时用于配合GRAYFISH使用。看起来像是DOUBLEFANTASY的升级版，可能是更新的验证式插件。		2012-至今
Fanny	创建于2008年的利用USB设备进行传播的蠕虫，可攻击物理隔离网络并回传收集到的信息。Fanny被用于收集位于中东和亚洲的目标的信息。一些受害主机似乎已被升级到DoubleFantasy，然后又升级为EQUATIONDRUG。Fanny利用了两个后来被应用到Stuxnet中的0day漏洞。		2008-2011
GrayFish	Equation组织中最复杂的攻击组件，完全驻留在注册表中，依靠bootkit在操作系统启动时执行。		2008-至今

Equation组织的6个组件的攻击示意图：

图1 组件关系示意图

Equation组织攻击时，选择Fanny或DoubleFantasy或TripleFantasy作为攻击前导，当确认被攻击端是攻击者的预期目标后，会使用更复杂的组件EquationDrug或GrayFish。

安天分析小组目前将重点放在攻击前导组件（DoubleFantasy）、更复杂的组件（EquationDrug和GrayFish）。同时对具有硬盘固件重新编程功能的nls_933w.dll进行分析。

3 组件DoubleFantasy分析

组件DoubleFantasy是用来确认被攻击目标的，如果被攻击的目标属于被Equation组织感兴趣或关注的领域，那么更加复杂的其他组件就会从远端注入到被攻击的机器中。

友商报告已经对组件DoubleFantasy进行了详细分析，安天分析小组原本计划对组件DoubleFantasy进行分析验证，但在验证的过程中，分析小组发现该组件是以往分析过的，并找到了其他的关联的恶意代码；同时，安天也发现了友商报告未见披露的信息。

3.1 检测安全软件

组件DoubleFantasy枚举注册表键值，查找系统是否安装了安全软件，查询的安全软件列表存在资源节中，使用0x79异或加密。在友商报告中给出了其检测是否存在的安全软件列表，共计10种，而安天分析小组发现，实际上该组件一共检测13种安全软件的存在，除友商报告披露的10种产品外，还有360、BitDefender和Avira三家厂商的产品。

鉴于其中360安全卫士主要用户均在中国，这也进一步验证了中国也是Equation组织攻击的目标之一。

3.2 回传信息

DoubleFantasy收集系统信息，并回传给攻击者，回传格式为：

000:MAC地址001:IP地址......019:当前时间

回传的详细信息如下：

标号	说明	标号	说明	标号	说明
000	MAC地址	007	系统补丁信息（
声明：文章版权归原作者所有部分文章转自互联网如有侵权请联系 [邮箱地址] 删除