美国安局专用木马曝光，天融信边界+终端立体响应构筑防御壁垒

病毒事件分析报告

一、概述

本次分析的木马为3.0.5.3版本，其基本信息如下表：

二、程序逆向

Noclient主控端

Noclient作为主控端程序需要特定的库环境才能运行。其字符串并未加密，反编译后的代码逻辑清晰。从工具开始显示的基本信息来看属于3.0.5.3版本，主控端程序主要的作用是向受控端noserver发送指令并接收返回来的信息与结果；

程序通过-q参数指定服务器的ip地址和端口，以监听受控端noserver的上线；

从指令帮助说明中我们可以大致推断出参数选项与远控指令功能的对应关系如下；

noserver受控端

noserver受控端为了对抗分析检测进行了去符号操作，采用变换方法隐藏所需要的字符串、通过系统调用来使用关键通信函数等，这给逆向分析带来了一定阻碍；

如下图所示，noserver的运行逻辑中会严格检查参数的配置是否正确，所需要的字符串均通过动态解密出来后进行使用。如下图为解密出getopt函数的第三个参数字符串“dc:l:suiIS:C:T:P:r:o”，该字符串代表了noserver的命令行参数格式要求；

noserver用到的字符串解密方法是单字节乘以0x1Dh并舍弃结果的高位字节；

除此之外，noserver直接通过int 80h系统调用使用关键通信函数。包括sys_accept、sys_bind、sys_connect、sys_getpeername、sys_getsockname、sys_listen、sys_recvfrom、sys_sendt、sys_sendto、sys_setsockopt、sys_socket函数。一些敏感操作函数也使用此种方法，包括sys_execve、sys_exit、sys_fork、sys_nanosleep、sys_alarm、sys_wait4、sys_newuname函数；

在Linux操作系统中，uname命令的实际底层实现是sys_newuname函数。noserver直接调用sys_newuname函数即可获取操作系统的版本、处理器信息、硬件架构信息；

在接收主控端的-ifconfig命令指令后，会获取网络详细配置信息；

noserver还具备接收并执行新的shell脚本的能力；

最终将收集的信息和命令返回的结果使用RC6算法加密后发送到主控端；

如下为noserver受控端的部分模块功能描述；

三、附录

样本IOC列表：

• 及时修复系统及应用漏洞，降低被“NOPEN”远程木马通过漏洞入侵的风险；

• 加强访问控制，关闭不必要的端口，禁用不必要的连接，降低资产风险暴露面；

• 更改系统及应用使用的默认密码，配置高强度密码认证，并定期更新密码，防止弱口令攻击；

• 可安装天融信自适应安全防御系统或者天融信EDR进行主动防御，可有效预防和查杀该木马病毒。

1、以微隔离策略加强访问控制，降低横向感染风险；

2、通过风险发现功能扫描系统是否存在相关漏洞和弱口令，降低风险、减少资产暴露；

3、开启病毒实时监测功能，可有效预防和查杀该木马。

1、以微隔离策略加强访问控制，降低横向感染风险；

2、创建周期扫描任务，定时对主机进行全面清理，消除安全隐患；

3、开启病毒实时监测功能，可有效预防和查杀该木马。

1、通过访问控制策略对”1025“和”32754“端口进行控制，阻断”NOPEN“远程木马主控端和受控端连接，降低内网终端被远程控制的风险；

2、通过访问控制策略限制网络中ping和traceroute行为，降低内网被探测风险，减少资产暴露和横向感染风险。

从棱镜门曝光美国绝密电子监听计划，到臭名昭著的网络武器永恒之蓝，从针对系列行业龙头企业长达十余年时间的攻击活动APT-C-40（NSA），到本次美国国家安全局接入技术行动处（TAO）对外攻击窃密所使用的主战网络武器“NOPEN”远控木马，这一系列安全事件直接敲响警钟，网络安全形势岌岌可危！

相关阅读