近日，國家計算機病毒應急處理中心對美國家安全局（NSA）“酸狐貍”漏洞攻擊武器平臺（FoxAcid）進(jìn)行了技術(shù)分析。該漏洞攻擊武器平臺是美國國家安全局（NSA）特定入侵行動(dòng)辦公室（TAO，也被稱(chēng)為“接入技術(shù)行動(dòng)處”）對他國開(kāi)展網(wǎng)絡(luò )間諜行動(dòng)的重要陣地基礎設施，并成為計算機網(wǎng)絡(luò )入侵行動(dòng)隊（CNE）的主力裝備。該漏洞攻擊武器平臺曾被用于多起臭名昭著(zhù)的網(wǎng)絡(luò )攻擊事件。近期，中國多家科研機構先后發(fā)現了一款名為“驗證器”（Validator）木馬的活動(dòng)痕跡，該惡意程序據信是NSA“酸狐貍”漏洞攻擊武器平臺默認使用的標配后門(mén)惡意程序。這種情況突出表明，上述單位曾經(jīng)遭受過(guò)美國NSA“酸狐貍”漏洞攻擊武器平臺的網(wǎng)絡(luò )攻擊。

一、基本情況

“酸狐貍”漏洞攻擊武器平臺（FoxAcid）（以下簡(jiǎn)稱(chēng)“酸狐貍平臺”）是特定入侵行動(dòng)辦公室（TAO）打造的一款中間人劫持漏洞攻擊平臺，能夠在具備會(huì )話(huà)劫持等中間人攻擊能力的前提下，精準識別被攻擊目標的版本信息，自動(dòng)化開(kāi)展遠程漏洞攻擊滲透，向目標主機植入木馬、后門(mén)。特定入侵行動(dòng)辦公室（TAO）主要使用該武器平臺對受害單位辦公內網(wǎng)實(shí)施中間人攻擊，突破控制其辦公網(wǎng)主機。該武器平臺主要被特定入侵行動(dòng)辦公室（TAO）用于突破控制位于受害單位辦公內網(wǎng)的主機系統，并向其植入各類(lèi)木馬、后門(mén)等以實(shí)現持久化控制。酸狐貍平臺采用分布式架構，由多臺服務(wù)器組成，按照任務(wù)類(lèi)型進(jìn)行分類(lèi)，包括：垃圾釣魚(yú)郵件、中間人攻擊、后滲透維持等。其中特定入侵行動(dòng)辦公室還針對中國和俄羅斯目標設置了專(zhuān)用的酸狐貍平臺服務(wù)器。

二、具體功能

酸狐貍平臺一般結合“QUANTUM（量子）”和“SECONDDATE（二次約會(huì )）”等中間人攻擊武器使用，對攻擊目標實(shí)施網(wǎng)絡(luò )流量劫持并插入惡意XSS腳本，根據任務(wù)類(lèi)型和實(shí)際需求，XSS腳本的漏洞利用代碼可能來(lái)自一個(gè)或多個(gè)酸狐貍平臺服務(wù)器。該漏洞攻擊武器平臺集成了各種主流瀏覽器的零日（0day）漏洞，可智能化配置漏洞載荷針對IE、火狐、蘋(píng)果Safari、安卓Webkit等多平臺上的主流瀏覽器開(kāi)展遠程漏洞溢出攻擊。攻擊過(guò)程中該平臺結合各類(lèi)信息泄露漏洞對目標系統實(shí)施環(huán)境探測，并依據探測結果對漏洞載荷進(jìn)行匹配篩選，選擇合適的漏洞開(kāi)展攻擊。如果目標價(jià)值很高，且目標系統版本較新、補丁較全，該平臺會(huì )選擇利用高價(jià)值零日漏洞實(shí)施攻擊；相反，如果目標價(jià)值較低且系統版本老舊，該平臺會(huì )選擇較低價(jià)值的漏洞甚至已公開(kāi)漏洞實(shí)施攻擊。一旦漏洞被觸發(fā)并符合入侵條件，就會(huì )向目標植入間諜軟件，獲取目標系統的控制權，從而實(shí)現對目標的長(cháng)期監視、控制和竊密。

三、技術(shù)分析

（一）技術(shù)架構

酸狐貍平臺服務(wù)器采用微軟公司的Windows 2003 Server和IIS作為基礎操作系統和Web應用服務(wù)器。通常部署于具有獨立IP地址的專(zhuān)用服務(wù)器上，對目標系統進(jìn)行攻擊篩選以及漏洞載荷分發(fā)，完成對目標的攻擊過(guò)程，其攻擊范圍包括Windows、Linux、Solaris、Macintosh各類(lèi)桌面系統及Windows phone、蘋(píng)果、安卓等移動(dòng)終端。

酸狐貍平臺服務(wù)器之間采用美國國家安全局（NSA）的CDR加密數據傳輸規則，并采用分布式架構，底層服務(wù)器將截獲的數據加密后向頂層匯聚，頂層服務(wù)器解密后按照一定的文件結構存放，以便采用Foxsearch等情報檢索工具進(jìn)行檢索。完整的酸狐貍平臺服務(wù)器由三部分組成，即：基礎服務(wù)軟件（基于Perl腳本開(kāi)發(fā)）、插件和惡意程序載荷（Payload）。

酸狐貍平臺主要以中間人攻擊方式投遞漏洞載荷。該武器平臺根據目標設備信息進(jìn)行自動(dòng)化的無(wú)感植入，具體步驟如下：

1.目標網(wǎng)絡(luò )會(huì )話(huà)被重定向劫持之后，該武器平臺的信息搜集模塊首先利用信息泄露手段獲取目標設備信息；

2.根據獲取的信息匹配篩選符合攻擊條件的漏洞載荷，并將載荷嵌入到請求響應頁(yè)面中實(shí)現自動(dòng)化投遞；

3.判斷漏洞攻擊的結果是否成功，并根據返回信息向目標系統上傳指定類(lèi)型的持久化載荷。

為實(shí)施上述攻擊過(guò)程，酸狐貍平臺提供了自定義邏輯接口，特定入侵行動(dòng)辦公室的計算機網(wǎng)絡(luò )入侵行動(dòng)隊成員可以在服務(wù)器上配置一系列過(guò)濾器規則，對來(lái)自受害者的網(wǎng)絡(luò )請求進(jìn)行處理，具體包括：

1.復寫(xiě)器（Modrewrite），替換請求中的指定資源；

2.前置過(guò)濾器（PreFilter），根據受害者請求特征判斷是否是攻擊對象，如果不是則反饋HTTP狀態(tài)碼404或200（并指向特定資源）；如果受害者屬于攻擊對象范圍，則傳遞給漏洞利用模塊，并由漏洞利用模塊自動(dòng)選擇相應漏洞進(jìn)行攻擊；

3.后置過(guò)濾器（PostFilter），漏洞攻擊成功后，根據偵查到的目標主機信息（包括：軟硬件環(huán)境信息、進(jìn)程信息等）判斷是否符合下一步進(jìn)行植入操作的條件，對于符合植入條件的目標，可指定向目標植入的惡意程序載荷（Payload）。

（二）主要功能組件

1.項目跟蹤器（Project Tracker）

計算機網(wǎng)絡(luò )入侵行動(dòng)隊使用項目跟蹤器管理所有使用酸狐貍平臺的行動(dòng)任務(wù)，采用PHP+Javascript編寫(xiě)，提供非常簡(jiǎn)潔的Web管理界面，行動(dòng)隊成員通過(guò)背景色了解自己的權限，背景色為紅色代表只有只讀權限，綠色代表具有修改權限，黑色為管理員權限。行動(dòng)隊成員通過(guò)項目跟蹤器可以完成的功能包括：管理現有行動(dòng)任務(wù)、添加過(guò)濾器、增加新任務(wù)、增加新服務(wù)器、增加服務(wù)器IP地址、查看近三日內即將啟動(dòng)或完成的任務(wù)等。

2.標簽編輯器（Tag Maker）

計算機網(wǎng)絡(luò )入侵行動(dòng)隊可使用標簽編輯器為指定任務(wù)下的服務(wù)器添加標簽（Tag），每個(gè)標簽對應一套攻擊技戰術(shù)，使用者可配置標簽的TLN、HMAC、MSGID等唯一性標識，其中MSGID與特定的攻擊工具相關(guān)，如：針對路由器、防火墻等植入的間諜軟件SECONDDATE對應的MSGID為“ace02468bdf13579”。此外，標簽還可以指定植入方式，不同的惡意負載根據其特性應對應選擇不同的植入方式，如：SECONDDATE或MAGICBEAN應采用“WEB”植入方式，YATCHSHOP應采用“SPAM”方式，QUANTUMINSERT則應采用“QI”方式。

3.SECONDDATE任務(wù)自動(dòng)化腳本工具“FABULOUSFABLE”

SECONDDATE是CNE行動(dòng)隊通過(guò)酸狐貍平臺進(jìn)行分發(fā)的主要惡意植入體之一，因此酸狐貍平臺提供了專(zhuān)門(mén)為SECONDDATE設計的自動(dòng)化任務(wù)腳本工具“FABULOUSFABLE”（簡(jiǎn)稱(chēng)“FABFAB”）。FABFAB可以代替行動(dòng)隊人員與SECONDDATE植入體交互，并按照事先設定好的邏輯，自動(dòng)化分發(fā)規則，并收集規則執行日志和相關(guān)回傳數據。

4.標簽替換器（MODREWRITES）

標簽替換器是酸狐貍平臺的核心組件之一，通過(guò)標簽替換器，計算機網(wǎng)絡(luò )入侵行動(dòng)隊可以任意替換被其劫持的網(wǎng)絡(luò )流量中的資源，標簽替換器的規則采用XML格式編寫(xiě)，與過(guò)濾器相同。如圖1所示，一旦流量中的資源路徑與規則特征相匹配，則會(huì )被替換。

實(shí)際上，標簽替換器規則還支持對路徑或資源中的部分字符串進(jìn)行替換，具有較好的適應性和可擴展性。

5.白名單規則（CASTLECREEK Whitelist）

白名單規則基于后置過(guò)濾器，可以對指定IP地址的主機植入指定的惡意負載，規則樣例如圖2所示。

6.封裝器（Wrappers）

封裝器主要用于輔助后續植入的惡意負載實(shí)現持久化駐留。其中一種封裝器名為DireScallop，專(zhuān)門(mén)針對名為DeepFreeze的系統還原工具，該工具多用于網(wǎng)吧中并實(shí)現計算機重啟后對系統進(jìn)行自動(dòng)還原，DireScallop可以在不重啟的條件下中止DeepFreeze運行，植入惡意負載后再重新啟用DeepFreeze，使惡意負載被記錄在還原鏡像中，以實(shí)現目標主機重啟后仍可保持惡意負載的可用性。

（三）植入的主要惡意負載

1.SECONDDATE（二次約會(huì )）

針對路由器和防火墻的間諜惡意程序，可在網(wǎng)絡(luò )設備中潛伏并根據酸狐貍平臺組件分發(fā)的規則對網(wǎng)絡(luò )流量數據進(jìn)行竊密、劫持、替換等惡意操作。

2.Validator

Validator是酸狐貍平臺默認使用的后門(mén)惡意程序，可實(shí)現對目標的長(cháng)期控制。

3.MistyVeal

MistyVeal是Validator后門(mén)的增強版，并且可以配置為按細粒度遞增時(shí)間間隔進(jìn)行回聯(lián)，以逃避特征檢測。并且會(huì )利用IE瀏覽器作為回聯(lián)的渠道，并可復用IE瀏覽器的代理服務(wù)器設置，且僅對IE瀏覽器有效。

4.Ferret Cannon

Ferret Cannon是可執行程序投送器，借助Ferret Cannon，酸狐貍平臺可以目標投送多種間諜軟件工具，如：United Rake，Peddle Cheap，PktWench和Beach Head等，可執行程序可以是.dll或.exe文件。

四、運作方式

基于美國國家安全局（NSA）前雇員斯諾登公開(kāi)的資料，我們可以部分分析出酸狐貍平臺的運作方式如下：

（一）人員編制

特定入侵行動(dòng)辦公室的計算機網(wǎng)絡(luò )入侵行動(dòng)隊中會(huì )設置一名或多名酸狐貍項目教官，這些教官可以領(lǐng)導一個(gè)或多個(gè)酸狐貍行動(dòng)組，行動(dòng)組中包括多名計算機網(wǎng)絡(luò )入侵行動(dòng)隊隊員，分別負責直接支援特定的網(wǎng)絡(luò )入侵行動(dòng)、維護酸狐貍服務(wù)器、軟件等基礎設施以及根據任務(wù)需要開(kāi)發(fā)和測試新的插件、漏洞利用代碼、輔助入侵工具和木馬后門(mén)等惡意負載。

（二）陣地基礎設施建設

如圖3所示，特定入侵行動(dòng)辦公室在全球范圍內部署酸狐貍平臺服務(wù)器，其中編號前綴為XS的服務(wù)器是統籌多項任務(wù)的主服務(wù)器，值得注意的是編號為XS11的服務(wù)器明確被分配給英國情報機構“英國政府通信總部”（GCHQ）開(kāi)展中間人攻擊行動(dòng)；編號為FOX00-60XX系列的酸狐貍平臺服務(wù)器用于支援垃圾釣魚(yú)郵件行動(dòng)，服務(wù)器按照目標所在區域進(jìn)行了分布式部署，包括中東地區、亞洲地區、歐洲地區、俄羅斯和其他特定區域；編號為FOX00-61XX系列的服務(wù)器則用于支援中間人攻擊行動(dòng)，服務(wù)器分布與FOX00-60XX系列相同；值得注意的是，編號為FOX00-64XX系列的服務(wù)器用于支援計算機網(wǎng)絡(luò )入侵行動(dòng)隊漏洞攻擊行動(dòng)，其中編號為FOX00-6401的服務(wù)器專(zhuān)門(mén)針對中國，FOX00-6402號服務(wù)器針對俄羅斯，FOX00-6403號服務(wù)器則針對其他目標。另外，FOX00-6300號服務(wù)器可能被用于代號為“ENCHANTED”的攻擊行動(dòng)。

（三）攻擊實(shí)例

1.案例1

如圖4所展示的酸狐貍平臺服務(wù)器上的過(guò)濾器規則片段，可以判斷該服務(wù)器主要針對中國的主機目標進(jìn)行攻擊，過(guò)濾器中重點(diǎn)針對目標環(huán)境中的卡巴斯基殺毒軟件、瑞星殺毒軟件、江民殺毒軟件等中國地區流行的殺毒軟件進(jìn)程進(jìn)行了匹配并進(jìn)行了可植入條件判斷。

2.案例2

如圖5所展示的服務(wù)器上的過(guò)濾器規則片段，可以判斷該FA服務(wù)器被用于攻擊IP地址“203.99.164[.]199”的目標，并將向目標植入前文中提到的FerrentCannon惡意負載，從而進(jìn)一步向目標投送其他間諜軟件。經(jīng)查，IP地址“203.99.164[.]199”歸屬于巴基斯坦電信公司。

五、總結

上述技術(shù)分析表明，美國NSA“酸狐貍”漏洞攻擊武器平臺仍是目前美國政府的主戰網(wǎng)絡(luò )武器之一，有三點(diǎn)結論值得國際社會(huì )嚴密關(guān)注：一是該漏洞利用平臺是美國國家安全局NSA特定入侵行動(dòng)辦公室（TAO）下屬計算機網(wǎng)絡(luò )入侵行動(dòng)隊的主戰裝備，在計算機網(wǎng)絡(luò )入侵行動(dòng)隊單獨或配合進(jìn)行的網(wǎng)絡(luò )入侵行動(dòng)中得到廣泛應用，攻擊范圍覆蓋全球，其中中國和俄羅斯是重點(diǎn)目標。二是該武器平臺采用了高度模塊化結構，具有較高的可擴展性，同時(shí)可以與特定入侵行動(dòng)辦公室的項目管理工具高度集成，實(shí)現高效跨行動(dòng)支援。三是支持跨平臺攻擊，與特定入侵行動(dòng)辦公室（TAO）的其他網(wǎng)絡(luò )武器進(jìn)行集成后，其幾乎可以攻擊所有具有網(wǎng)絡(luò )連接功能的設備，是名副其實(shí)的網(wǎng)絡(luò )“黑洞”。

中國國家計算機病毒應急處理中心對全球互聯(lián)網(wǎng)用戶(hù)發(fā)出預警，中國的科研機構絕不是受到NSA網(wǎng)絡(luò )攻擊的唯一目標，全球范圍內的政府機構、科研機構和商業(yè)企業(yè)，都可能正在被酸狐貍平臺遠程控制，平時(shí)遠程竅取重要數據，戰時(shí)癱瘓重要信息基礎設施，為美國式的“顏色革命”鋪平道路。

                    來(lái)源：國家計算機病毒應急處理中心