安天對“超高能力網空威脅行為體”系列分析回顧

時間： 2021年07月22日來源：安天CERT

安天自2010年以來，不斷跟蹤分析全球APT組織活動，特別是持續跟進分析研究以美NSA下屬方程式等超高能力網空威脅行為的攻擊活動、攻擊裝備、支撐工程體系，提出A2PT等術語用以標定相關攻擊組織活動。發布過多篇高質量研究報告。2020年3月4日，為方便研究者和讀者，我們曾發布名為《安天對“超高能力網空威脅行為體”系列分析回顧》的內容索引。近日外方又掀起抹黑所謂“中國發動網絡攻擊”的高潮，安天公眾號重發此文，以便讀者了解我國面臨的網絡安全風險。

1. 背景概述

網空威脅行為體是網絡空間攻擊活動的來源，它們有不同的目的和動機，其能力也存在明顯的層級差異。國家/地區行為體所發動的網絡攻擊，通常被稱為APT（高級可持續性威脅）攻擊。而其中以美情報機構NSA等為代表的超高能力國家/地區行為體，或稱為超高能力網空威脅行為體，擁有嚴密的規模建制，龐大的支撐工程體系，掌控體系化的攻擊裝備和攻擊資源，可以進行最為隱蔽和致命的網絡攻擊。安天將此類威脅行為體發動的網絡攻擊（如震網、方程式等）特別命名為A2PT（即高級的高級可持續性威脅），在過去近十年（自2010年7月起）的時間里，對此進行了持續的關注和深入的逆向分析工作。其中部分工作成果已在安天官網或微信公眾號公開，或刊載于技術媒體、安天技術文章匯編。為便于研究者深入了解A2PT攻擊，本篇文獻按照公開時間順序將安天的分析成果形成如下索引摘要，便于網絡安全工作者集中閱讀參考。

2. 2010~2012以樣本分析視角啟動APT分析

2.1 跟進震網——APT分析的起點

完整報告請參考：
https://www.antiy.com/response/stuxnet/Report_on_the_Worm_Stuxnet_Attack.html

2010年7月震網事件曝光，伊朗鈾離心設施遭遇長時間網絡攻擊，導致嚴重后果，引起全球關注。7月15日，安天啟動分析工作，經過兩個月的分析。2010年9月27日，安天發布《對Stuxnet蠕蟲攻擊工業控制系統事件的綜合報告》[1]。報告中對Stuxnet蠕蟲的攻擊過程、傳播方式、攻擊意圖、文件衍生關系進行分析，分析其利用的多個零日漏洞，總結該蠕蟲的攻擊特點，并給出解決方案，最后做出評價和思考。該報告是國內較早的通過逆向工程系統分析震網的全面報告，成為國內公眾了解Stuxnet蠕蟲攻擊真相和細節的重要參考資料，報告內容也被多本書籍文獻引用。

圖2.1-2 Stuxnet蠕蟲突破物理隔離環境的傳播方式

2.2 補充分析——解密USB擺渡傳播的判定邏輯

分析報告發布后，安天獲得了多方反饋，其中集中反應的問題是，震網的USB擺渡行為無法再現。2010年10月11日，安天發布了補充分析報告，指出震網通過U盤的傳播是由包括時間戳和限制條件等七組配置數據來決定，比如它嘗試連接因特網來判斷自己是否在內部網絡中，然后決定是否通過U盤傳播。補充報告還分析了震網通過開啟RPC服務、共享服務和遠程訪問WinCC系統數據庫，來實現在局域網中的傳播與更新，以及通過劫持DLL來攻擊西門子系統的PLC（可編程邏輯控制器）的行為，并確定震網注入的PLC代碼只有在某種具體的硬件設備中才能正常發揮作用，這進一步表明它的針對性極強。

圖2.2-1 Stuxnet蠕蟲通過七組配置數據判斷是否感染U盤

2.3 推演震網干擾離心機的作用機理

2012年1月17日，安天微電子與嵌入式安全研發中心發布報告《WinCC之后發生了什么》[1]，推測震網可能的攻擊場景機理：假設離心機轉速采用PID算法實現自動控制，震網蠕蟲攻擊WinCC，修改數據庫中的PID算法相關參數，則離心機轉速就會發生變化，甚至導致離心機轉速自動控制失靈，輕則導致離心機分離功率和分離系數下降，分離核燃料級或者武器級鈾235失敗（鈾235濃度不足）。

圖2.3-1 對轉速干擾機理的分析推測

2.4 確定震網和毒曲病毒的同源性

完整報告請參考：
https://antiy.cn/research/notice&report/research_report/261.html

另一個高度復雜的Duqu病毒浮出水面后，安天工程師提出了Duqu和Stuxnet可能存在同源性的猜測。2011年9月，安天發布了《Duqu和Stuxnet同源性分析報告》^[1]，其中對毒曲（Duqu）病毒的模塊結構、編譯器架構、關鍵功能進行分析，發現Duqu與Stuxnet相應結構和功能具有一定的相似性，同時在分析Duqu的解密密鑰、反跟蹤手段、程序BUG時，發現病毒作者編碼心理特點與Stuxnet的邏輯相似。通過在Duqu與Stuxnet樣本中發現的相同邏輯判斷錯誤，由編碼心理學的方法判斷兩者具有同源性，發布了關于Duqu與Stuxnet同源性的分析報告，并在《程序員》雜志發表了相關文章。

表2.4-1 Duqu、Stuxnet同源關鍵代碼基因對比

比較項目	Duqu木馬	Stuxnet蠕蟲
功能模塊化	是
Ring0注入方式	PsSetLoadImageNotifyRoutine
Ring3注入方式	Hook ntdll.dll
注入系統進程	是
資源嵌入DLL模塊	一個	多個
利用微軟漏洞	是
使用數字簽名	是
包括RPC通訊模塊	是
配置文件解密密鑰	0xae240682	0x01ae0000
注冊表解密密鑰	0xae240682
Magic number	0x90,0x05,0x79,0xae
運行模式判斷代碼存在Bug	是
注冊表操作代碼存在Bug	是
攻擊工業控制系統	否	是
驅動程序編譯環境	Microsoft Visual C++ 6.0	Microsoft Visual C++ 7.0

2.5 對火焰蠕蟲的馬拉松接力分析

完整報告請參考：
https://www.antiy.com/response/flame/Analysis_on_the_Flame.html

火焰病毒是一個模塊比震網更多的復雜組件化木馬，且可能與震網存在關聯。2012年5月28日，安天成立了針對火焰（Flame）病毒的分析小組，開始了為期數月的馬拉松式分析，歸納了火焰的六次版本更新，發現了潛在的衍生文件。同時在漏洞攻擊模塊中發現了Stuxnet使用過的USB攻擊模塊，確立了兩者的同源關系。經過2個月分析，安天發布了近100頁的《Flame蠕蟲樣本集分析報告》^[2]，但此事分析工作僅覆蓋了不足5%的火焰病毒的模塊，同時此事也觸發了安天CERT對這種逐個模塊堆砌式分析的反思。

圖2.5-1 火焰主模塊啟動加載順序

2.6 安天對震網、毒曲、火焰系列分析工作的自我反思

2012年6月15日，“網絡空間新階段安全威脅”高峰論壇在北京舉行，業內部分專家和企業界工程師參加了本次論壇，并深入探討了國內APT攻擊的研究現狀和發展。安天在此次會議上做了題為《管中窺豹—Stuxnet、Duqu和Flame的分析碎片與反思》^[3]的報告。報告對安天在相關APT攻擊樣本的分析種的經驗教訓做了歸納總結，從人力投入結果、分析成果產出周期等和卡巴斯基等國際友商的進展做了對比。對這種完全以逆向樣本模塊分析視角展開的分析工作思路做了反思和自我批判，提出了要以工程體系對抗思維來看待APT分析工作。該報告錄音整理稿刊登于當年的《信息安全與通信保密》雜志。

3. 2013~2017走向高級惡意代碼體系分析

3.1 分析組件結構和持久化方法

完整報告請參考：
https://www.antiy.com/response/EQUATION_ANTIY_REPORT.html

2013年開始，安天逐步從單純的樣本模塊分析走向攻擊裝備的整體分析，并深度跟進A2PT組織的新的惡意代碼。2015年初，卡巴斯基曝光了美國情報機構NSA下屬方程式組織所使用的能夠對硬盤固件進行持久化的木馬。這也給安天公開發布分析成果創造了契機。2015年3月，安天中英文雙語發布第一篇關于方程式組織的分析報告《修改硬盤固件的木馬——探索方程式（EQUATION）組織的攻擊組件》^[4]。報告對方程式組織相關組件：EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny和GrayFish的關聯做了獨家分析，并基于卡巴報告的指引，對硬盤固件重新編程機理和攻擊模塊nls_933w.dll做了強化分析，驗證了超高網空行為體可在一切可持久化場景種實現持久化的能力。

圖3.1-1 SF-2200系列硬盤固件升級流程圖

3.2 解密方程式組件的加密方式

完整報告請參考：
https://www.antiy.com/response/Equation_part_of_the_component_analysis_of_cryptographic_techniques.html

2015年4月19日，安天中英文雙語發布第二篇關于方程式組織的分析報告《方程式（EQUATION）部分組件中的加密技巧分析》^[5]。在報告中安天對部分組件中的加密技術進行了分析，特別對該組織的本地注冊表數據和遠程通訊數據算法進行分析，指出該組織使用修改后的RC對稱算法，并給出完整的解密算法和密鑰結構和二級密碼表。該成果是對方程式組織加密機制的最早分析曝光。

圖3.2-1 加密算法密鑰結構

3.3 分析方程式組織全平臺作業能力，獨家曝光Linux和Solaris樣本

完整報告請參考：
https://www.antiy.com/response/EQUATIONS/EQUATIONS.html

2016年4月27日，首屆中俄網絡空間發展與安全論壇在莫斯科舉行，安天技術負責人在論壇上做了題為《熊貓的傷痕——中國遭遇的APT攻擊》的報告，報告以三組攻擊的可視化分析介紹了三個威脅行為體對中國的網絡攻擊。這是中國安全廠商首次在國際會議上介紹中國遭受的APT攻擊。在報告中，安天披露該組織樣本具有全操作系統平臺作業能力。

圖3.3-1 熊貓的傷痕——中國遭遇的APT攻擊

2016年11月4日，安天發布第三篇關于方程式組織的分析報告《從“方程式”到“方程組”——EQUATION攻擊組織高級惡意代碼的全平臺能力解析》^[6]中英文版，在報告中安天解密了該組織的幾乎無死角的、全平臺化攻擊能力，全球獨家解密了其Linux和Solaris平臺的樣本。在該報告中安天對此做了一個形象的比喻，我們需要破解的已經不只是一個“方程式”，而是更為復雜的的“方程組”。

圖3.3-2 方程式攻擊組織多平臺操作系統載荷的曝光過程

3.4 拼接主機攻擊作業積木魔方

完整報告請參考：
https://www.antiy.com/response/EQUATION_DRUG/EQUATION_DRUG.html

2017年1月25日，安天中英文雙語發布了對方程式組織的第四篇分析報告《方程式組織EQUATION DRUG平臺解析》^[7]，在該報告中，安天基于分析成果，根據有關專家建議，形成了一個方程式組織主機作業的模塊積木圖。這個積木圖初步展示了一個將主機情報作業按照“原子化”拆分的模塊組合的拼裝，揭示超高網空威脅行為體的模塊化作業模式。至此，基于安天4年的持續跟蹤與分析，發現了超高能力網空威脅行為體（方程式組織）的完整作業能力。

圖3.4-1 方程式組織主機作業模塊積木圖

4. 2018~至今引入威脅框架構筑態勢感知能力

4.1 “方程式組織”攻擊SWIFT服務提供商EastNets事件復盤分析報告

完整報告請參考：
https://www.antiy.com/response/20190601.html

2019年1月，在第六屆網絡安全冬訓營上，安天首次介紹了方程式組織對中東金融服務機構EastNets進行攻擊的過程。這是安天將針對方程式組織的歷史分析成果與 “影子經紀人”泄露資料相結合形成的新的分析成果。2019年6月1日，安天正式發布公開報告《“方程式組織”攻擊SWIFT服務提供商EastNets事件復盤分析報告》^[8]，報告精準還原了受到攻擊影響的IT資產全景和拓撲關系，完整再現了殺傷鏈的全過程，詳盡梳理了行動中使用的武器和作業流程，并以可視化方式予以復現。在報告中，安天在有關專家建議下，以“TCTF威脅框架”V2為參考，首次使用威脅框架對超高能力網空威脅行為體攻擊行動的各階段行為進行標準化描述和分類映射，協助分析這些行為體的意圖和行為，為相關防御工作的開展提供借鑒。2020年1月，在第七屆網絡安全冬訓營上，安天以態勢感知和防御體系建設視角，對此事件做了重新梳理和解讀。

圖4.1-1 “方程式組織”對EastNets網絡的總體攻擊過程復盤

圖4.1-2 安天態勢感知平臺可視化組件對攻擊行動的復現演示

詳細復現視頻請查看：
http://8rpec4.com/video/20190531/lup.mp4

4.2 震網事件的九年再復盤與思考

完整報告請參考：
https://www.antiy.com/response/20190930.html

2019年9月30日，安天發布長篇報告《震網事件的九年再復盤與思考》^[9]，在報告中，安天詳細比較了震網各版本特點和作用機理、分析了相關高級惡意代碼工程框架和震網、毒曲、火焰和后期方程式組織所使用惡意代碼間的關聯。梳理了震網事件完整時間軸、震網整體結構和運行邏輯、以及震網存在大量樣本的原因。反思了當前網絡安全中檢測引擎與威脅情報面臨APT的挑戰，并思考了如何建立起更可靠的基礎標識能力與響應機制、更有效的支撐TTP、更可靠的組織相關的情報、更完善的知識工程運營體系，以應對A2PT組織發起的高級網空威脅。