堅決反制|美國安全域性針對中國機構又有大動作

近日，江民赤豹安全實驗室發現了美國國家安全域性（NSA）所屬的又一款網路攻擊武器“酸狐狸”漏洞攻擊武器平臺。據國家計算機病毒應急處理中心的披露，該漏洞攻擊武器平臺是美國國家安全域性（NSA）特定入侵行動辦公室（TAO，也被稱為“接入技術行動處”）對他國開展網路間諜行動的重要陣地基礎設施，併成為計算機網路入侵行動隊（CNE）的主力裝備，分析報告發現該木馬程式的不同版本曾在中國上百個重要資訊系統中執行。

和之前的攻擊武器有所不同的是，此次“酸狐狸平臺”在進行漏洞利用前，會對目標主機的軟硬體環境進行探測，其伺服器上的過濾器還重點針對中國地區廣泛流行的殺軟（如江民防毒、卡巴斯基）等進行了植入預判，明確將我國和俄羅斯的計算機防毒軟體作為“技術對抗”目標。

這意味著美國官方已經對中國安全廠商的重視高度上升，江民科技作為中國本土安全廠商多年持續關注NSA的攻擊動態，第一時間作出響應，已從技術上展開研究反制，請廣大使用者放心。對於美帝“駭客帝國”的預謀，江民科技絕不讓步，堅決保衛使用者的網路安全不受侵害。         

以下是援引國家計算機病毒應急中心的技術報告：

1.基本情況

“酸狐狸”漏洞攻擊武器平臺（FoxAcid）（以下簡稱“酸狐狸平臺”）是特定入侵行動辦公室（TAO）打造的一款中間人劫持漏洞攻擊平臺，能夠在具備會話劫持等中間人攻擊能力的前提下，精準識別被攻擊目標的版本資訊，自動化開展遠端漏洞攻擊滲透，向目標主機植入木馬、後門。特定入侵行動辦公室（TAO）主要使用該武器平臺對受害單位辦公內網實施中間人攻擊，突破控制其辦公網主機。該武器平臺主要被特定入侵行動辦公室（TAO）用於突破控制位於受害單位辦公內網的主機系統，並向其植入各類木馬、後門等以實現持久化控制。酸狐狸平臺採用分散式架構，由多臺伺服器組成，按照任務型別進行分類，包括：垃圾釣魚郵件、中間人攻擊、後滲透維持等。其中特定入侵行動辦公室還針對中國和俄羅斯目標設定了專用的酸狐狸平臺伺服器

2.具體功能

酸狐狸平臺一般結合“QUANTUM（量子）”和“SECONDDATE（二次約會）”等中間人攻擊武器使用，對攻擊目標實施網路流量劫持並插入惡意XSS指令碼，根據任務型別和實際需求，XSS指令碼的漏洞利用程式碼可能來自一個或多個酸狐狸平臺伺服器。該漏洞攻擊武器平臺整合了各種主流瀏覽器的零日（0day）漏洞，可智慧化配置漏洞載荷針對IE、火狐、蘋果Safari、安卓Webkit等多平臺上的主流瀏覽器開展遠端漏洞溢位攻擊。攻擊過程中該平臺結合各類資訊洩露漏洞對目標系統實施環境探測，並依據探測結果對漏洞載荷進行匹配篩選，選擇合適的漏洞開展攻擊。如果目標價值很高，且目標系統版本較新、補丁較全，該平臺會選擇利用高價值零日漏洞實施攻擊；相反，如果目標價值較低且系統版本老舊，該平臺會選擇較低價值的漏洞甚至已公開漏洞實施攻擊。一旦漏洞被觸發並符合入侵條件，就會向目標植入間諜軟體，獲取目標系統的控制權，從而實現對目標的長期監視、控制和竊密。

3.技術分析

（一）技術架構

酸狐狸平臺伺服器採用微軟公司的Windows 2003 Server和IIS作為基礎作業系統和Web應用伺服器。通常部署於具有獨立IP地址的專用伺服器上，對目標系統進行攻擊篩選以及漏洞載荷分發，完成對目標的攻擊過程，其攻擊範圍包括Windows、Linux、Solaris、Macintosh各類桌面系統及Windows phone、蘋果、安卓等移動終端。

酸狐狸平臺伺服器之間採用美國國家安全域性（NSA）的CDR加密資料傳輸規則，並採用分散式架構，底層伺服器將截獲的資料加密後向頂層匯聚，頂層伺服器解密後按照一定的檔案結構存放，以便採用Foxsearch等情報檢索工具進行檢索。完整的酸狐狸平臺伺服器由三部分組成，即：基礎服務軟體（基於Perl指令碼開發）、外掛和惡意程式載荷（Payload）。

酸狐狸平臺主要以中間人攻擊方式投遞漏洞載荷。該武器平臺根據目標裝置資訊進行自動化的無感植入，具體步驟如下：

1.目標網路會話被重定向劫持之後，該武器平臺的資訊蒐集模組首先利用資訊洩露手段獲取目標裝置資訊；

2.根據獲取的資訊匹配篩選符合攻擊條件的漏洞載荷，並將載荷嵌入到請求響應頁面中實現自動化投遞；

3.判斷漏洞攻擊的結果是否成功，並根據返回資訊向目標系統上傳指定型別的持久化載荷。

為實施上述攻擊過程，酸狐狸平臺提供了自定義邏輯介面，特定入侵行動辦公室的計算機網路入侵行動隊成員可以在伺服器上配置一系列過濾器規則，對來自受害者的網路請求進行處理，具體包括：

1.複寫器（Modrewrite），替換請求中的指定資源；

2.前置過濾器（PreFilter），根據受害者請求特徵判斷是否是攻擊物件，如果不是則反饋HTTP狀態碼404或200（並指向特定資源）；如果受害者屬於攻擊物件範圍，則傳遞給漏洞利用模組，並由漏洞利用模組自動選擇相應漏洞進行攻擊；

3.後置過濾器（PostFilter），漏洞攻擊成功後，根據偵查到的目標主機資訊（包括：軟硬體環境資訊、程式資訊等）判斷是否符合下一步進行植入操作的條件，對於符合植入條件的目標，可指定向目標植入的惡意程式載荷（Payload）。

（二）主要功能元件

1.專案跟蹤器（Project Tracker）

計算機網路入侵行動隊使用專案跟蹤器管理所有使用酸狐狸平臺的行動任務，採用PHP+Javascript編寫，提供非常簡潔的Web管理介面，行動隊成員透過背景色瞭解自己的許可權，背景色為紅色代表只有只讀許可權，綠色代表具有修改許可權，黑色為管理員許可權。行動隊成員透過專案跟蹤器可以完成的功能包括：管理現有行動任務、新增過濾器、增加新任務、增加新伺服器、增加伺服器IP地址、檢視近三日內即將啟動或完成的任務等。

2.標籤編輯器（Tag Maker）

計算機網路入侵行動隊可使用標籤編輯器為指定任務下的伺服器新增標籤（Tag），每個標籤對應一套攻擊技戰術，使用者可配置標籤的TLN、HMAC、MSGID等唯一性標識，其中MSGID與特定的攻擊工具相關，如：針對路由器、防火牆等植入的間諜軟體SECONDDATE對應的MSGID為“ace02468bdf13579”。此外，標籤還可以指定植入方式，不同的惡意負載根據其特性應對應選擇不同的植入方式，如：SECONDDATE或MAGICBEAN應採用“WEB”植入方式，YATCHSHOP應採用“SPAM”方式，QUANTUMINSERT則應採用“QI”方式。

3.SECONDDATE任務自動化指令碼工具“FABULOUSFABLE”

SECONDDATE是CNE行動隊透過酸狐狸平臺進行分發的主要惡意植入體之一，因此酸狐狸平臺提供了專門為SECONDDATE設計的自動化任務指令碼工具“FABULOUSFABLE”（簡稱“FABFAB”）。FABFAB可以代替行動隊人員與SECONDDATE植入體互動，並按照事先設定好的邏輯，自動化分發規則，並收集規則執行日誌和相關回傳資料。

4.標籤替換器（MODREWRITES）

標籤替換器是酸狐狸平臺的核心元件之一，透過標籤替換器，計算機網路入侵行動隊可以任意替換被其劫持的網路流量中的資源，標籤替換器的規則採用XML格式編寫，與過濾器相同。如圖1所示，一旦流量中的資源路徑與規則特徵相匹配，則會被替換。

實際上，標籤替換器規則還支援對路徑或資源中的部分字串進行替換，具有較好的適應性和可擴充套件性。

5.白名單規則（CASTLECREEK Whitelist）

白名單規則基於後置過濾器，可以對指定IP地址的主機植入指定的惡意負載，規則樣例如圖2所示。

6.封裝器（Wrappers）

封裝器主要用於輔助後續植入的惡意負載實現持久化駐留。其中一種封裝器名為DireScallop，專門針對名為DeepFreeze的系統還原工具，該工具多用於網咖中並實現計算機重啟後對系統進行自動還原，DireScallop可以在不重啟的條件下中止DeepFreeze執行，植入惡意負載後再重新啟用DeepFreeze，使惡意負載被記錄在還原映象中，以實現目標主機重啟後仍可保持惡意負載的可用性。

（三）植入的主要惡意負載

1.SECONDDATE（二次約會）

針對路由器和防火牆的間諜惡意程式，可在網路裝置中潛伏並根據酸狐狸平臺元件分發的規則對網路流量資料進行竊密、劫持、替換等惡意操作。

2.Validator

Validator是酸狐狸平臺預設使用的後門惡意程式，可實現對目標的長期控制。

3.MistyVeal

MistyVeal是Validator後門的增強版，並且可以配置為按細粒度遞增時間間隔進行回聯，以逃避特徵檢測。並且會利用IE瀏覽器作為回聯的渠道，並可複用IE瀏覽器的代理伺服器設定，且僅對IE瀏覽器有效。

4.Ferret Cannon

Ferret Cannon是可執行程式投送器，藉助Ferret Cannon，酸狐狸平臺可以目標投送多種間諜軟體工具，如：United Rake，Peddle Cheap，PktWench和Beach Head等，可執行程式可以是.dll或.exe檔案。

4.運作方式

基於美國國家安全域性（NSA）前僱員斯諾登公開的資料，我們可以部分分析出酸狐狸平臺的運作方式如下：

（一）人員編制

特定入侵行動辦公室的計算機網路入侵行動隊中會設定一名或多名酸狐狸專案教官，這些教官可以領導一個或多個酸狐狸行動組，行動組中包括多名計算機網路入侵行動隊隊員，分別負責直接支援特定的網路入侵行動、維護酸狐狸伺服器、軟體等基礎設施以及根據任務需要開發和測試新的外掛、漏洞利用程式碼、輔助入侵工具和木馬後門等惡意負載。

（二）陣地基礎設施建設

如圖3所示，特定入侵行動辦公室在全球範圍內部署酸狐狸平臺伺服器，其中編號字首為XS的伺服器是統籌多項任務的主伺服器，值得注意的是編號為XS11的伺服器明確被分配給英國情報機構“英國政府通訊總部”（GCHQ）開展中間人攻擊行動；編號為FOX00-60XX系列的酸狐狸平臺伺服器用於支援垃圾釣魚郵件行動，伺服器按照目標所在區域進行了分散式部署，包括中東地區、亞洲地區、歐洲地區、俄羅斯和其他特定區域；編號為FOX00-61XX系列的伺服器則用於支援中間人攻擊行動，伺服器分佈與FOX00-60XX系列相同；值得注意的是，編號為FOX00-64XX系列的伺服器用於支援計算機網路入侵行動隊漏洞攻擊行動，其中編號為FOX00-6401的伺服器專門針對中國，FOX00-6402號伺服器針對俄羅斯，FOX00-6403號伺服器則針對其他目標。另外，FOX00-6300號伺服器可能被用於代號為“ENCHANTED”的攻擊行動。

（三）攻擊例項

1.案例1

如圖4所展示的酸狐狸平臺伺服器上的過濾器規則片段，可以判斷該伺服器主要針對中國的主機目標進行攻擊，過濾器中重點針對目標環境中的卡巴斯基防毒軟體、瑞星防毒軟體、江民防毒軟體等中國地區流行的防毒軟體程式進行了匹配並進行了可植入條件判斷。

2.案例2

如圖5所展示的伺服器上的過濾器規則片段，可以判斷該FA伺服器被用於攻擊IP地址“203.99.164[.]199”的目標，並將向目標植入前文中提到的FerrentCannon惡意負載，從而進一步向目標投送其他間諜軟體。經查，IP地址“203.99.164[.]199”歸屬於巴基斯坦電信公司。

5.總結

上述技術分析表明，美國NSA“酸狐狸”漏洞攻擊武器平臺仍是目前美國政府的主戰網路武器之一，有三點結論值得國際社會嚴密關注：一是該漏洞利用平臺是美國國家安全域性NSA特定入侵行動辦公室（TAO）下屬計算機網路入侵行動隊的主戰裝備，在計算機網路入侵行動隊單獨或配合進行的網路入侵行動中得到廣泛應用，攻擊範圍覆蓋全球，其中中國和俄羅斯是重點目標。二是該武器平臺採用了高度模組化結構，具有較高的可擴充套件性，同時可以與特定入侵行動辦公室的專案管理工具高度整合，實現高效跨行動支援。三是支援跨平臺攻擊，與特定入侵行動辦公室（TAO）的其他網路武器進行整合後，其幾乎可以攻擊所有具有網路連線功能的裝置，是名副其實的網路“黑洞”。

中國國家計算機病毒應急處理中心對全球網際網路使用者發出預警，中國的科研機構絕不是受到NSA網路攻擊的唯一目標，全球範圍內的政府機構、科研機構和商業企業，都可能正在被酸狐狸平臺遠端控制，平時遠端竅取重要資料，戰時癱瘓重要資訊基礎設施，為美國式的“顏色革命”鋪平道路。

詳細報告源自國家計算機病毒應急處理中心平臺