首页 > 其他分享 >“NOPEN”远控木马分析报告

“NOPEN”远控木马分析报告

时间:2022-12-22 21:12:20浏览次数:46  
标签:受控 NOPEN 远控 主控 木马 工具 远程

“NOPEN”远控木马分析报告

发布日期:2022年09月02日     点击:44

近日,国家计算机病毒应急处理中心对名为“NOPEN”的木马工具进行了攻击场景复现和技术分析。该木马工具针对Unix/Linux平台,可实现对目标的远程控制。根据“影子经纪人”泄露的NSA内部文件,该木马工具为美国国家安全局开发的网络武器。“NOPEN”木马工具是一款功能强大的综合型木马工具,也是美国国家安全局接入技术行动处(TAO)对外攻击窃密所使用的主战网络武器之一。

一、基本情况

“NOPEN”木马工具为针对Unix/Linux系统的远程控制工具,主要用于文件窃取、系统提权、网络通信重定向以及查看目标设备信息等,是TAO远程控制受害单位内部网络节点的主要工具。通过技术分析,我单位认为,“NOPEN”木马工具编码技术复杂、功能全面、隐蔽性强、适配多种处理器架构和操作系统,并且采用了插件式结构,可以与其他网络武器或攻击工具进行交互和协作,是典型的用于网络间谍活动的武器工具。

二、具体功能

“NOPEN”木马工具包含客户端“noclient”和服务端“noserver”两部分,客户端会采取发送激活包的方式与服务端建立连接,使用RSA算法进行秘钥协商,使用RC6算法加密通信流量。

该木马工具设计复杂,支持功能众多,主要包括以下功能:内网端口扫描、端口复用、建立隧道、文件处理(上传、下载、删除、重命名、计算校验值)、目录遍历、邮件获取、环境变量设置、进程获取、自毁消痕等。

三、技术分析

经技术分析与研判,该木马工具针对Unix/Linux平台,可在主控端和受控端之间建立隐蔽加密信道,攻击者可通过向目标发送远程指令,实现远程获取目标主机环境信息、上传/下载/创建/修改/删除文件、远程执行命令、网络流量代理转发、内网扫描、窃取电子邮件信息、自毁等恶意功能。该木马工具包含主控端(Client)和受控端(Server)两个部分,具体分析结果如下:

(一)主控端功能分析

文件名:Noclient

MD5:188974cea8f1f4bb75e53d490954c569

SHA-1:a84ac3ea04f28ff1a2027ee0097f69511af0ed9d

SHA-256:ed2c2d475977c78de800857d3dddc739

57d219f9bb09a9e8390435c0b6da21ac

文件大小:241.2KB(241192 字节)

文件类型:ELF32

文件最后修改时间:2011-12-8 19:07:48

支持处理器架构:i386, i486, i586, i686, sparc, alpha, x86_64, amd64

支持操作系统:FreeBSD、SunOS、HP-UX、Solaris、Linux

主控端的主要功能是连接受控端和向受控端发送指令并接收受控端回传的信息:

1、连接目标受控端

主控端通过以下命令行连接目标受控端:

noclient [参数1:目标主机IP地址]:[端口号(默认为32754)]

连接成功后会组合采用RC6+RSA加密算法,在主控端与受控端之间建立加密信道。并回显主控端与被控端基本信息,包括:IP地址和端口号、软件版本、当前工作目录、进程号(PID)、操作系统版本和内核版本、日期时间等。同时主控端建立监听端口(默认为1025),接受受控端的反向连接。

2、命令控制

主控端与被控端成功建立连接后,攻击者可通过主控端控制台向受控端发送指令,该木马工具提供的指令非常丰富。开发者还给出了详细的指令帮助说明。

其中远程控制指令如下所示:

-elevate:提升权限

-getenv:获取环境变量

-gs:未知

-setenv:设置环境变量

-shell:返回命令行接口

-status:查看当前连接状态、本地与远程主机环境信息

-time:查看本地与远程主机的日期、时间和时区信息

-burn:终止控制并关闭远程进程

-call ip port:设置回连IP地址和端口号

-listen port:设置监听端口号

-pid:查看远程受控端进程ID

-icmptimetarget_ip [source_ip]:远程Ping目标地址,查看时延

-ifconfig:查看远程主机的IP地址设置和MAC地址

-nslookup:远程对指定域名进行解析

-ping:远程Ping目标地址,用于内网探测

-trace:远程traceroute

-fixudp port:指定UDP传输端口

另外,还有一些隐藏指令并没有被在控制台帮助中列出,如“-hammy”、“-trigger”、“-triggerold”和“-sniff”等。经研判可能是与其他网络武器或攻击工具之间的功能调用接口。

(二)受控端功能分析

文件名:noserver_linux

MD5:9081d61fabeb9919e4e3fa84227999db

SHA-1:0274bd33c2785d4e497b6ba49f5485caa52a0855

SHA-256:4acc94c6be340fb8ef4133912843aa0e

4ece01d8d371209a01ccd824f519a9ca

文件大小:357KB(356996 字节)

文件类型:ELF32

文件最后修改时间:2011-12-8 19:07:48

受控端被加载运行后会默认监听32754端口。

受控端程序为了干扰和对抗分析,进行了去符号操作,结合代码功能,分析受控端程序的主要功能如下所示:

1.KillProc、kill:终止指定进程

2.Chmod:为指定对象赋权限

3.GetCWD:获得当前工作目录

4.GetPid:获得当前进程ID

5.DeleteFile_Dir:删除指定文件或目录

6.GetFileMD5:获得指定文件MD5摘要

7.GetPCInfo:获得所在主机环境信息

8.Recv:上传、下载数据

9.Connect:建立socket连接

受控端根据主控端指令组合调用相应模块执实现相关恶意操作。

四、使用环境

“NOPEN”木马工具支持在Linux、FreeBSD、SunOS、Solaris、JUNOS和HP-UX等各类操作系统上运行,同时兼容i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、PPC、MIPS、ARM以及AMD64等多种体系架构,适用范围较广。根据监控情况,该木马工具主要用于在受害单位内网中执行各类攻击指令,结合其他取情、嗅探工具,级联窃取核心数据。

五、植入方式

“NOPEN”木马工具支持多种植入运行方式,包括手动植入、工具植入、自动化植入等,其中最常见的植入方式是结合远程漏洞攻击自动化植入至目标系统中,以便规避各种安全防护机制。此外,TAO还研发了一款名为Packrat的工具,可用于辅助植入“NOPEN”木马工具,其主要功能为对“NOPEN”木马工具进行压缩、编码、上传和启动。

六、使用控制方式

“NOPEN”木马工具主要包括8个功能模块,每个模块支持多个命令操作,TAO主要使用该武器对受害机构网络内部的核心业务服务器和关键网络设备实施持久化控制。其主要使用方式为:攻击者首先向安装有“NOPEN”木马工具的网内主机或设备发送特殊定制的激活包,“NOPEN”木马工具被激活后回连至控制端,加密连接建立后,控制端发送各类指令操作“NOPEN”木马工具实施网内渗透、数据窃取、其他武器上传等后续攻击窃密行为。

标签:受控,NOPEN,远控,主控,木马,工具,远程
From: https://www.cnblogs.com/bonelee/p/16999571.html

相关文章

  • xor DDOS木马分析
    xorDDOS木马分析阅读量115797发布时间:2022-08-1010:30:57 1、样本功能“XOR.DDoS”木马一款经典的linuxdos木马,该木马能够感染32位和64位的Linux系统,通过安......
  • 一款隐藏嵌入式Rookit的DDoS木马分析
    一款隐藏嵌入式Rookit的DDoS木马分析发布于2018-02-0610:07:28阅读 7150 该款木马分析文章在2015年由@PETERKÁLNAI最先发表于AVAST的公开blog中,木马的架构......
  • GreenOpenPaint的实现(五)矩形框
    想显示一副图片相对来说比较容易。但是想在SDI中显示一个可以拖拽的矩形框,并且在滚动和缩放下都不变形,是很困难的。MFC应该说在这个方面提供了强大的支持,但是也有一些......
  • GreenOpenPaint的实现(六)图片的保存和打开
    如果只是直接的图片保存和打开,是没有很多内容的。但是我这里,将EXIF的信息融入其中,使得图像处理的结果能够保存下来。这样就非常有价值意义了。所有的操作都放在DOC中进行处......
  • GreenOpenPaint的实现(二)打开显示图片
    1、DOC中添加,核心图片文件保存在这里。之所以不用Mat,是因为CVVImage有更好的输入输出函数。我这里直接使用了public public:  CvvImagem_image;2、重载打开//将文......
  • GreenOpenPaint的实现(三)添加标尺
    标尺对于图像处理程序,特别是需要精确测量的程序来说意义很大。这里进行了专门的研究。基于现在已经引入的类和定义的变量,主要讲一讲如何调用。1、添加放大缩小voidCGreenOp......
  • RayLink 远控软件又推出 2 个重磅宝藏功能免费用
    你有没有在远程办公时,担心他人偷窥电脑?以致于保密性资料或私密信息,遭到泄露、创意被剽窃......又或是遇到过邻座同事屏幕前明明没人,鼠标箭头却自个浏览起网页的惊悚画面?如......
  • 一次web木马解剖
    木马解剖:这是一段JS木马,请一定谨慎,不要在浏览器中执行。但在本站本文中阅读是安全的,本文url如下http://www.path8.net/tn/archives/4235;但笔者不能保......
  • 利用木马钓鱼渗透浏览器漏洞靶机
    1准备环境win7虚拟机:192.168.225.140cn_windows_7_ultimate_x64_dvd_x15-66043.isokali2020.4:192.168.225.138kali-linux-2020.4-vmware-amd64.7z如果ssh连接不到kal......
  • BadUSB超详细制作, 实现CobaltStrike远控上线
    前言在2014年美国黑帽大会上,安全研究人员JakobLell和独立安全研究人员KarstenNohl展示了他们称为“BadUSB”的攻击方法,这种攻击方法让USB安全和几乎所有和USB相关的设备(......