“從方程式到方程組” ——安天發布“方程式”第三篇分析報告
時間 : 2016年11月23日 來源: 安天
“方程式”組織(Equation Group),一個可能是目前世界上存在的最復雜的網絡攻擊組織,從2015年2月18日開始,安天就一直在持續關注和分析這個網絡攻擊組織。2015年2月25日,安天正式組建了跨部門聯合分析小組,于2015年3月4日發布第一篇相關報告——《修改硬盤固件的木馬——方程式探秘》。之后,在4月16日,又試對部分組件中的加密技巧進行了分析梳理,形成第二篇報告——《方程式(EQUATION)部分組件中的加密技巧分析》。這兩篇報告分析了其針對Windows平臺的惡意代碼組件構成、對硬盤的持久化能力和對加密算法的使用。安天這樣比喻分析工作的難度:我們需要破解的已經并不只是一個“方程式”,而是更為復雜的多元多次的“方程組”。
如今,方程式組織又在一系列“爆料”事件中浮出水面,。在2016年8月所外泄的方程式組織針對多種防火墻和網絡設備的攻擊代碼中,公眾第一次把方程式組織和名為“ANT”的攻擊裝備體系聯系起來,并以此看到其針對Cisco、Juniper、Fortinet等防火墻產品達成注入和持久化的能力。
傳說中的“惡靈”真實存在,上周五,安天再次發布一篇有關“方程式”的報告——《從“方程式”到“方程組”——EQUATION攻擊組織高級惡意代碼的全平臺能力解析》。在報告中,首次公布了對該組織針對Solaris平臺和Linux平臺的部分樣本分析,這是業內首次正式證實這些攻擊武器真實存在的公開分析。這些載荷不是常見腳本木馬,是組件化、具備Rootkit能力、具有超強加密抗分析能力、嚴格進行加密通訊的二進制組件。
通過安天、卡巴斯基的分析報告,以及代號“影子經紀人”的爆料,相互印證,一個關于這個超級攻擊組織的幾乎無死角的、全平臺化攻擊能力已經日趨清晰。
“方程式”組織采用了工業水準的制式化攻擊武器庫,安天在此前報告中已經對其6件惡意代碼組件“裝備”進行了分析,目前已經發現并證實其中2個組件具有多平臺特性,其中一個組件可以推測存在多平臺特性。
通過相關信息匯總可以肯定方程式的攻擊組件至少覆蓋Windows、Linux、Solaris、Oracle-owned Unix、FreeBSD和Mac OS平臺,也由此證明,那些關于超級攻擊組織全平臺覆蓋能力的種種爆料,并非傳說,而且是一種真實的威脅,是一種既定的事實。
這些攻擊武器在過去十余年中,陸續出現在針對中國互聯網節點的攻擊當中。“暴露在互聯網上的節點,乃至能夠訪問互聯網的內網中,并不存放高價值的信息”,這并非是這個信息大量產生、高速流動時代的真實情況。在大數據時代,高價值信息的定義和范圍也在不斷變化著。更多的信息資產已經不可避免地分布在公共網絡體系中。而對這些資產的窺視和攻擊也在持續增加著。而超級攻擊組織則是類似攻擊的始作俑者和長期實踐者。
針對DNS服務器的入侵,可以輔助對其他網絡目標實現惡意代碼注入和信息劫持;針對郵件服務器的植入可以將用戶所有的郵件通聯一網打盡,針對運營商骨干節點的持久化,可以用來獲取全方位的信息。
“物理隔離”的安全神話也已經到了應該破滅的時候,習近平總書記在4.19講話中已經提醒國內用戶和網絡安全工作者:“‘物理隔離’防線可被跨網入侵,電力調配指令可被惡意篡改,金融交易信息可被竊取,這些都是重大風險隱患。”
相關超級攻擊組織擁有“成建制的網絡攻擊團隊、龐大的支撐工程體系與制式化的攻擊裝備庫、強大的漏洞采集和分析挖掘能力和關聯資源儲備以及系統化的作業規程和手冊,具有裝備體系覆蓋全場景、漏洞利用工具和惡意代碼載荷覆蓋全平臺、持久化能力覆蓋全環節的特點。面對這種體系化、既具備工業級水準又具有高度定向性的攻擊,永動機注定停擺,銀彈注定啞火。想要達成防御效果,實現追蹤溯源,唯有以清晰的戰略、充分的成本投入,以體系化的防守對決體系化的攻擊,通過長期艱苦、扎實的工作和能力建設,才能逐漸取得主動。
超級攻擊組織的能力強大到了只能猜測和想象的程度時,不可能不引發恐慌,從而導致對超級大國產生“濫用供應鏈和信息流優勢”的嚴重質疑。而近期的方程式攻擊代碼泄露事件以及此前“ANT”裝備體系的曝光,則又使我們看到了相關的Exploit儲備和攻擊思路流入到網絡犯罪組織、甚至恐怖主義組織的可能性。鑒于網絡攻擊技術存在極低的復制成本的特點,當前已經存在嚴峻的網絡軍備擴散風險。
安天安全研究人員表示,類似于之前曾發布的關于“震網”、“毒曲”、“火焰”、“APT-TOCS(海蓮花)”、“白象”、“烏克蘭停電”、“方程式”等高級攻擊行動或攻擊組織的分析,都無一例外的依托于高級威脅檢測產品的能力,而產品能力的提高,又需要依托扎實有效的分析過程來不斷改進。
對超級攻擊組織的強大能力、堅定意志和難以想象的攻擊成本,任何廠商的單打獨斗,都難以有效地達成使命,因此安天一直與同業一起,倡導能力型安全廠商間的積極協作和能力互認。安天和360企業安全在此前“白象”(安天命名)/ “摩訶草”(360命名)攻擊行動的分析中進行了有效地信息互通和成果的引用互認。我們相信類似的能力型安全廠商間的協作,包括有效的產品對接和解決方案合作,將會越來越多。
關于“方程式”相關分析報告匯總:
