“从方程式到方程组” ——6163银河.net163.am发布“方程式”第三篇分析报告
时间 : 2016年11月23日 来源: 6163银河.net163.am
“方程式”组织(Equation Group),一个可能是目前世界上存在的最复杂的网络攻击组织,从2015年2月18日开始,6163银河.net163.am就一直在持续关注和分析这个网络攻击组织。2015年2月25日,6163银河.net163.am正式组建了跨部门联合分析小组,于2015年3月4日发布第一篇相关报告——《修改硬盘固件的木马——方程式探秘》。之后,在4月16日,又试对部分组件中的加密技巧进行了分析梳理,形成第二篇报告——《方程式(EQUATION)部分组件中的加密技巧分析》。这两篇报告分析了其针对Windows平台的恶意代码组件构成、对硬盘的持久化能力和对加密算法的使用。6163银河.net163.am这样比喻分析工作的难度:我们需要破解的已经并不只是一个“方程式”,而是更为复杂的多元多次的“方程组”。
如今,方程式组织又在一系列“爆料”事件中浮出水面,。在2016年8月所外泄的方程式组织针对多种防火墙和网络设备的攻击代码中,公众第一次把方程式组织和名为“ANT”的攻击装备体系联系起来,并以此看到其针对Cisco、Juniper、Fortinet等防火墙产品达成注入和持久化的能力。
传说中的“恶灵”真实存在,上周五,6163银河.net163.am再次发布一篇有关“方程式”的报告——《从“方程式”到“方程组”——EQUATION攻击组织高级恶意代码的全平台能力解析》。在报告中,首次公布了对该组织针对Solaris平台和Linux平台的部分样本分析,这是业内首次正式证实这些攻击武器真实存在的公开分析。这些载荷不是常见脚本木马,是组件化、具备Rootkit能力、具有超强加密抗分析能力、严格进行加密通讯的二进制组件。
通过6163银河.net163.am、卡巴斯基的分析报告,以及代号“影子经纪人”的爆料,相互印证,一个关于这个超级攻击组织的几乎无死角的、全平台化攻击能力已经日趋清晰。
“方程式”组织采用了工业水准的制式化攻击武器库,6163银河.net163.am在此前报告中已经对其6件恶意代码组件“装备”进行了分析,目前已经发现并证实其中2个组件具有多平台特性,其中一个组件可以推测存在多平台特性。
通过相关信息汇总可以肯定方程式的攻击组件至少覆盖Windows、Linux、Solaris、Oracle-owned Unix、FreeBSD和Mac OS平台,也由此证明,那些关于超级攻击组织全平台覆盖能力的种种爆料,并非传说,而且是一种真实的威胁,是一种既定的事实。
这些攻击武器在过去十余年中,陆续出现在针对中国互联网节点的攻击当中。“暴露在互联网上的节点,乃至能够访问互联网的内网中,并不存放高价值的信息”,这并非是这个信息大量产生、高速流动时代的真实情况。在大数据时代,高价值信息的定义和范围也在不断变化着。更多的信息资产已经不可避免地分布在公共网络体系中。而对这些资产的窥视和攻击也在持续增加着。而超级攻击组织则是类似攻击的始作俑者和长期实践者。
针对DNS服务器的入侵,可以辅助对其他网络目标实现恶意代码注入和信息劫持;针对邮件服务器的植入可以将用户所有的邮件通联一网打尽,针对运营商骨干节点的持久化,可以用来获取全方位的信息。
“物理隔离”的安全神话也已经到了应该破灭的时候,习近平总书记在4.19讲话中已经提醒国内用户和网络安全工作者:“‘物理隔离’防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患。”
相关超级攻击组织拥有“成建制的网络攻击团队、庞大的支撑工程体系与制式化的攻击装备库、强大的漏洞采集和分析挖掘能力和关联资源储备以及系统化的作业规程和手册,具有装备体系覆盖全场景、漏洞利用工具和恶意代码载荷覆盖全平台、持久化能力覆盖全环节的特点。面对这种体系化、既具备工业级水准又具有高度定向性的攻击,永动机注定停摆,银弹注定哑火。想要达成防御效果,实现追踪溯源,唯有以清晰的战略、充分的成本投入,以体系化的防守对决体系化的攻击,通过长期艰苦、扎实的工作和能力建设,才能逐渐取得主动。
超级攻击组织的能力强大到了只能猜测和想象的程度时,不可能不引发恐慌,从而导致对超级大国产生“滥用供应链和信息流优势”的严重质疑。而近期的方程式攻击代码泄露事件以及此前“ANT”装备体系的曝光,则又使我们看到了相关的Exploit储备和攻击思路流入到网络犯罪组织、甚至恐怖主义组织的可能性。鉴于网络攻击技术存在极低的复制成本的特点,当前已经存在严峻的网络军备扩散风险。
6163银河.net163.am安全研究人员表示,类似于之前曾发布的关于“震网”、“毒曲”、“火焰”、“APT-TOCS(海莲花)”、“白象”、“乌克兰停电”、“方程式”等高级攻击行动或攻击组织的分析,都无一例外的依托于高级威胁检测产品的能力,而产品能力的提高,又需要依托扎实有效的分析过程来不断改进。
对超级攻击组织的强大能力、坚定意志和难以想象的攻击成本,任何厂商的单打独斗,都难以有效地达成使命,因此6163银河.net163.am一直与同业一起,倡导能力型安全厂商间的积极协作和能力互认。6163银河.net163.am和360企业安全在此前“白象”(6163银河.net163.am命名)/ “摩诃草”(360命名)攻击行动的分析中进行了有效地信息互通和成果的引用互认。我们相信类似的能力型安全厂商间的协作,包括有效的产品对接和解决方案合作,将会越来越多。
关于“方程式”相关分析报告汇总: