卡巴斯基详述 NSA 方程式组织的 ‘DarkPulsar’ 利用工具

翻译：360代码卫士团队

卡巴斯基实验室的研究人员分析了另外一款盗自和美国国安局相关的方程式组织的利用工具“DarkPulsar”。它是影子经纪人曾在2017年3月公布的方程式组织使用的利用工具 DanderSpritz 和 FuzzBunch 框架的一部分。

作为 FuzzBunch ImplantConfig 类别（包括利用后阶段的插件）中的一部分，DarkPulsar 旨在控制名为‘sipauth32.tsp’、提供被攻陷设备远程控制的被动后门。

DarkPulsar 模块包含对多种命令的支持如 Burn、RawShellcode、UpgradeImplant 和PingPong，这些命令的作用分别是删除植入、运行任意代码、更新植入并检查后门是否被安装在远程设备上。其它受支持的命令是 EDFStagedUpload、DisableSecurity 和 EnabeSecurity。

卡巴斯基实验室判断称，DarkPulsar 后门针对的是32位和64位系统，被用于位于俄罗斯、伊朗和埃及的50名受害者电脑上，而且它专门感染运行 Windows Server 2003/2008 的机器。受害者从事的是核能源、电信、IT、航空航天和研发行业。

研究人员认为这些受害者是更长期间谍活动的目标。该后门不仅包含一种高级的持久性机制，而且还包含绕过认证输入合法用户名和密码需求的功能。它还能将自己的流量封装至合法协议中。

虽然这次感染活动被指在利用工具遭公开后停止，但该后门很可能仍然存在于某些受攻陷机器中。然而，带恶意软件仅可遭真正的 DarkPulsar 管理员的使用，因为它要求 RSA 私钥和内嵌在后门中的公钥匹配。

卡巴斯基实验室表示，“我们找到了大约50名受害者，但我们认为在使用 Fuzzbunch 和 DanderSpritz框架时，数量要更多。我们这样认为的理由是 DanderSpritz 接口允许同时管理很多受害者。”

DarkPulsar 管理员接口功能遵循“一个命令——一次启动”的原则，而且是 FuzzBunch 框架的一个插件，旨在管理参数并协调不同的组件。

研究人员发现控制受感染机器的框架实际上是 DanderSpritz，它使用插件 PeedleCheap 配置植入并连接至受感染机器并启用利用后功能。通过 DarkPulsar，DanderSpritz 和FuzzBunch 之间出现了强大的关联性。该后门用于将更强大的 PeedleCheap 植入通过 PCDllLauncher部署到受害者机器上。

因此，研究人员认为 FuzzBunch 和DanderSpritz 不仅是为了更具灵活性，而且还扩展了功能以及和其它工具的兼容性。卡巴斯基实验室总结称，“每种工具都由旨在执行不同任务的一系列插件组成：FuzzBunch 插件负责侦察并攻击受害者，DanderSpritz 框架中的插件是为了管理已遭感染的受害者。”

原文链接

https://www.securityweek.com/nsa-linked-darkpulsar-exploit-tool-detailed

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。