近日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心對(duì)美國(guó)家安全局（NSA）“酸狐貍”漏洞攻擊武器平臺(tái)（FoxAcid）進(jìn)行了技術(shù)分析。該漏洞攻擊武器平臺(tái)是美國(guó)國(guó)家安全局（NSA）特定入侵行動(dòng)辦公室（TAO，也被稱為“接入技術(shù)行動(dòng)處”）對(duì)他國(guó)開(kāi)展網(wǎng)絡(luò)間諜行動(dòng)的重要陣地基礎(chǔ)設(shè)施，并成為計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)（CNE）的主力裝備。該漏洞攻擊武器平臺(tái)曾被用于多起臭名昭著的網(wǎng)絡(luò)攻擊事件。近期，中國(guó)多家科研機(jī)構(gòu)先后發(fā)現(xiàn)了一款名為“驗(yàn)證器”（Validator）木馬的活動(dòng)痕跡，該惡意程序據(jù)信是NSA“酸狐貍”漏洞攻擊武器平臺(tái)默認(rèn)使用的標(biāo)配后門惡意程序。這種情況突出表明，上述單位曾經(jīng)遭受過(guò)美國(guó)NSA“酸狐貍”漏洞攻擊武器平臺(tái)的網(wǎng)絡(luò)攻擊。

一、基本情況

“酸狐貍”漏洞攻擊武器平臺(tái)（FoxAcid）（以下簡(jiǎn)稱“酸狐貍平臺(tái)”）是特定入侵行動(dòng)辦公室（TAO）打造的一款中間人劫持漏洞攻擊平臺(tái)，能夠在具備會(huì)話劫持等中間人攻擊能力的前提下，精準(zhǔn)識(shí)別被攻擊目標(biāo)的版本信息，自動(dòng)化開(kāi)展遠(yuǎn)程漏洞攻擊滲透，向目標(biāo)主機(jī)植入木馬、后門。特定入侵行動(dòng)辦公室（TAO）主要使用該武器平臺(tái)對(duì)受害單位辦公內(nèi)網(wǎng)實(shí)施中間人攻擊，突破控制其辦公網(wǎng)主機(jī)。該武器平臺(tái)主要被特定入侵行動(dòng)辦公室（TAO）用于突破控制位于受害單位辦公內(nèi)網(wǎng)的主機(jī)系統(tǒng)，并向其植入各類木馬、后門等以實(shí)現(xiàn)持久化控制。酸狐貍平臺(tái)采用分布式架構(gòu)，由多臺(tái)服務(wù)器組成，按照任務(wù)類型進(jìn)行分類，包括：垃圾釣魚(yú)郵件、中間人攻擊、后滲透維持等。其中特定入侵行動(dòng)辦公室還針對(duì)中國(guó)和俄羅斯目標(biāo)設(shè)置了專用的酸狐貍平臺(tái)服務(wù)器。

二、具體功能

酸狐貍平臺(tái)一般結(jié)合“QUANTUM（量子）”和“SECONDDATE（二次約會(huì)）”等中間人攻擊武器使用，對(duì)攻擊目標(biāo)實(shí)施網(wǎng)絡(luò)流量劫持并插入惡意XSS腳本，根據(jù)任務(wù)類型和實(shí)際需求，XSS腳本的漏洞利用代碼可能來(lái)自一個(gè)或多個(gè)酸狐貍平臺(tái)服務(wù)器。該漏洞攻擊武器平臺(tái)集成了各種主流瀏覽器的零日（0day）漏洞，可智能化配置漏洞載荷針對(duì)IE、火狐、蘋(píng)果Safari、安卓Webkit等多平臺(tái)上的主流瀏覽器開(kāi)展遠(yuǎn)程漏洞溢出攻擊。攻擊過(guò)程中該平臺(tái)結(jié)合各類信息泄露漏洞對(duì)目標(biāo)系統(tǒng)實(shí)施環(huán)境探測(cè)，并依據(jù)探測(cè)結(jié)果對(duì)漏洞載荷進(jìn)行匹配篩選，選擇合適的漏洞開(kāi)展攻擊。如果目標(biāo)價(jià)值很高，且目標(biāo)系統(tǒng)版本較新、補(bǔ)丁較全，該平臺(tái)會(huì)選擇利用高價(jià)值零日漏洞實(shí)施攻擊；相反，如果目標(biāo)價(jià)值較低且系統(tǒng)版本老舊，該平臺(tái)會(huì)選擇較低價(jià)值的漏洞甚至已公開(kāi)漏洞實(shí)施攻擊。一旦漏洞被觸發(fā)并符合入侵條件，就會(huì)向目標(biāo)植入間諜軟件，獲取目標(biāo)系統(tǒng)的控制權(quán)，從而實(shí)現(xiàn)對(duì)目標(biāo)的長(zhǎng)期監(jiān)視、控制和竊密。

三、技術(shù)分析

（一）技術(shù)架構(gòu)

酸狐貍平臺(tái)服務(wù)器采用微軟公司的Windows 2003 Server和IIS作為基礎(chǔ)操作系統(tǒng)和Web應(yīng)用服務(wù)器。通常部署于具有獨(dú)立IP地址的專用服務(wù)器上，對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊篩選以及漏洞載荷分發(fā)，完成對(duì)目標(biāo)的攻擊過(guò)程，其攻擊范圍包括Windows、Linux、Solaris、Macintosh各類桌面系統(tǒng)及Windows phone、蘋(píng)果、安卓等移動(dòng)終端。

酸狐貍平臺(tái)服務(wù)器之間采用美國(guó)國(guó)家安全局（NSA）的CDR加密數(shù)據(jù)傳輸規(guī)則，并采用分布式架構(gòu)，底層服務(wù)器將截獲的數(shù)據(jù)加密后向頂層匯聚，頂層服務(wù)器解密后按照一定的文件結(jié)構(gòu)存放，以便采用Foxsearch等情報(bào)檢索工具進(jìn)行檢索。完整的酸狐貍平臺(tái)服務(wù)器由三部分組成，即：基礎(chǔ)服務(wù)軟件（基于Perl腳本開(kāi)發(fā)）、插件和惡意程序載荷（Payload）。

酸狐貍平臺(tái)主要以中間人攻擊方式投遞漏洞載荷。該武器平臺(tái)根據(jù)目標(biāo)設(shè)備信息進(jìn)行自動(dòng)化的無(wú)感植入，具體步驟如下：

1.目標(biāo)網(wǎng)絡(luò)會(huì)話被重定向劫持之后，該武器平臺(tái)的信息搜集模塊首先利用信息泄露手段獲取目標(biāo)設(shè)備信息；

2.根據(jù)獲取的信息匹配篩選符合攻擊條件的漏洞載荷，并將載荷嵌入到請(qǐng)求響應(yīng)頁(yè)面中實(shí)現(xiàn)自動(dòng)化投遞；

3.判斷漏洞攻擊的結(jié)果是否成功，并根據(jù)返回信息向目標(biāo)系統(tǒng)上傳指定類型的持久化載荷。

為實(shí)施上述攻擊過(guò)程，酸狐貍平臺(tái)提供了自定義邏輯接口，特定入侵行動(dòng)辦公室的計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)成員可以在服務(wù)器上配置一系列過(guò)濾器規(guī)則，對(duì)來(lái)自受害者的網(wǎng)絡(luò)請(qǐng)求進(jìn)行處理，具體包括：

1.復(fù)寫(xiě)器（Modrewrite），替換請(qǐng)求中的指定資源；

2.前置過(guò)濾器（PreFilter），根據(jù)受害者請(qǐng)求特征判斷是否是攻擊對(duì)象，如果不是則反饋HTTP狀態(tài)碼404或200（并指向特定資源）；如果受害者屬于攻擊對(duì)象范圍，則傳遞給漏洞利用模塊，并由漏洞利用模塊自動(dòng)選擇相應(yīng)漏洞進(jìn)行攻擊；

3.后置過(guò)濾器（PostFilter），漏洞攻擊成功后，根據(jù)偵查到的目標(biāo)主機(jī)信息（包括：軟硬件環(huán)境信息、進(jìn)程信息等）判斷是否符合下一步進(jìn)行植入操作的條件，對(duì)于符合植入條件的目標(biāo)，可指定向目標(biāo)植入的惡意程序載荷（Payload）。

（二）主要功能組件

1.項(xiàng)目跟蹤器（Project Tracker）

計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)使用項(xiàng)目跟蹤器管理所有使用酸狐貍平臺(tái)的行動(dòng)任務(wù)，采用PHP+Javascript編寫(xiě)，提供非常簡(jiǎn)潔的Web管理界面，行動(dòng)隊(duì)成員通過(guò)背景色了解自己的權(quán)限，背景色為紅色代表只有只讀權(quán)限，綠色代表具有修改權(quán)限，黑色為管理員權(quán)限。行動(dòng)隊(duì)成員通過(guò)項(xiàng)目跟蹤器可以完成的功能包括：管理現(xiàn)有行動(dòng)任務(wù)、添加過(guò)濾器、增加新任務(wù)、增加新服務(wù)器、增加服務(wù)器IP地址、查看近三日內(nèi)即將啟動(dòng)或完成的任務(wù)等。

2.標(biāo)簽編輯器（Tag Maker）

計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)可使用標(biāo)簽編輯器為指定任務(wù)下的服務(wù)器添加標(biāo)簽（Tag），每個(gè)標(biāo)簽對(duì)應(yīng)一套攻擊技戰(zhàn)術(shù)，使用者可配置標(biāo)簽的TLN、HMAC、MSGID等唯一性標(biāo)識(shí)，其中MSGID與特定的攻擊工具相關(guān)，如：針對(duì)路由器、防火墻等植入的間諜軟件SECONDDATE對(duì)應(yīng)的MSGID為“ace02468bdf13579”。此外，標(biāo)簽還可以指定植入方式，不同的惡意負(fù)載根據(jù)其特性應(yīng)對(duì)應(yīng)選擇不同的植入方式，如：SECONDDATE或MAGICBEAN應(yīng)采用“WEB”植入方式，YATCHSHOP應(yīng)采用“SPAM”方式，QUANTUMINSERT則應(yīng)采用“QI”方式。

3.SECONDDATE任務(wù)自動(dòng)化腳本工具“FABULOUSFABLE”

SECONDDATE是CNE行動(dòng)隊(duì)通過(guò)酸狐貍平臺(tái)進(jìn)行分發(fā)的主要惡意植入體之一，因此酸狐貍平臺(tái)提供了專門為SECONDDATE設(shè)計(jì)的自動(dòng)化任務(wù)腳本工具“FABULOUSFABLE”（簡(jiǎn)稱“FABFAB”）。FABFAB可以代替行動(dòng)隊(duì)人員與SECONDDATE植入體交互，并按照事先設(shè)定好的邏輯，自動(dòng)化分發(fā)規(guī)則，并收集規(guī)則執(zhí)行日志和相關(guān)回傳數(shù)據(jù)。

4.標(biāo)簽替換器（MODREWRITES）

標(biāo)簽替換器是酸狐貍平臺(tái)的核心組件之一，通過(guò)標(biāo)簽替換器，計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)可以任意替換被其劫持的網(wǎng)絡(luò)流量中的資源，標(biāo)簽替換器的規(guī)則采用XML格式編寫(xiě)，與過(guò)濾器相同。如圖1所示，一旦流量中的資源路徑與規(guī)則特征相匹配，則會(huì)被替換。

實(shí)際上，標(biāo)簽替換器規(guī)則還支持對(duì)路徑或資源中的部分字符串進(jìn)行替換，具有較好的適應(yīng)性和可擴(kuò)展性。

5.白名單規(guī)則（CASTLECREEK Whitelist）

白名單規(guī)則基于后置過(guò)濾器，可以對(duì)指定IP地址的主機(jī)植入指定的惡意負(fù)載，規(guī)則樣例如圖2所示。

6.封裝器（Wrappers）

封裝器主要用于輔助后續(xù)植入的惡意負(fù)載實(shí)現(xiàn)持久化駐留。其中一種封裝器名為DireScallop，專門針對(duì)名為DeepFreeze的系統(tǒng)還原工具，該工具多用于網(wǎng)吧中并實(shí)現(xiàn)計(jì)算機(jī)重啟后對(duì)系統(tǒng)進(jìn)行自動(dòng)還原，DireScallop可以在不重啟的條件下中止DeepFreeze運(yùn)行，植入惡意負(fù)載后再重新啟用DeepFreeze，使惡意負(fù)載被記錄在還原鏡像中，以實(shí)現(xiàn)目標(biāo)主機(jī)重啟后仍可保持惡意負(fù)載的可用性。

（三）植入的主要惡意負(fù)載

1.SECONDDATE（二次約會(huì)）

針對(duì)路由器和防火墻的間諜惡意程序，可在網(wǎng)絡(luò)設(shè)備中潛伏并根據(jù)酸狐貍平臺(tái)組件分發(fā)的規(guī)則對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行竊密、劫持、替換等惡意操作。

2.Validator

Validator是酸狐貍平臺(tái)默認(rèn)使用的后門惡意程序，可實(shí)現(xiàn)對(duì)目標(biāo)的長(zhǎng)期控制。

3.MistyVeal

MistyVeal是Validator后門的增強(qiáng)版，并且可以配置為按細(xì)粒度遞增時(shí)間間隔進(jìn)行回聯(lián)，以逃避特征檢測(cè)。并且會(huì)利用IE瀏覽器作為回聯(lián)的渠道，并可復(fù)用IE瀏覽器的代理服務(wù)器設(shè)置，且僅對(duì)IE瀏覽器有效。

4.Ferret Cannon

Ferret Cannon是可執(zhí)行程序投送器，借助Ferret Cannon，酸狐貍平臺(tái)可以目標(biāo)投送多種間諜軟件工具，如：United Rake，Peddle Cheap，PktWench和Beach Head等，可執(zhí)行程序可以是.dll或.exe文件。

四、運(yùn)作方式

基于美國(guó)國(guó)家安全局（NSA）前雇員斯諾登公開(kāi)的資料，我們可以部分分析出酸狐貍平臺(tái)的運(yùn)作方式如下：

（一）人員編制

特定入侵行動(dòng)辦公室的計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)中會(huì)設(shè)置一名或多名酸狐貍項(xiàng)目教官，這些教官可以領(lǐng)導(dǎo)一個(gè)或多個(gè)酸狐貍行動(dòng)組，行動(dòng)組中包括多名計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)隊(duì)員，分別負(fù)責(zé)直接支援特定的網(wǎng)絡(luò)入侵行動(dòng)、維護(hù)酸狐貍服務(wù)器、軟件等基礎(chǔ)設(shè)施以及根據(jù)任務(wù)需要開(kāi)發(fā)和測(cè)試新的插件、漏洞利用代碼、輔助入侵工具和木馬后門等惡意負(fù)載。

（二）陣地基礎(chǔ)設(shè)施建設(shè)

如圖3所示，特定入侵行動(dòng)辦公室在全球范圍內(nèi)部署酸狐貍平臺(tái)服務(wù)器，其中編號(hào)前綴為XS的服務(wù)器是統(tǒng)籌多項(xiàng)任務(wù)的主服務(wù)器，值得注意的是編號(hào)為XS11的服務(wù)器明確被分配給英國(guó)情報(bào)機(jī)構(gòu)“英國(guó)政府通信總部”（GCHQ）開(kāi)展中間人攻擊行動(dòng)；編號(hào)為FOX00-60XX系列的酸狐貍平臺(tái)服務(wù)器用于支援垃圾釣魚(yú)郵件行動(dòng)，服務(wù)器按照目標(biāo)所在區(qū)域進(jìn)行了分布式部署，包括中東地區(qū)、亞洲地區(qū)、歐洲地區(qū)、俄羅斯和其他特定區(qū)域；編號(hào)為FOX00-61XX系列的服務(wù)器則用于支援中間人攻擊行動(dòng)，服務(wù)器分布與FOX00-60XX系列相同；值得注意的是，編號(hào)為FOX00-64XX系列的服務(wù)器用于支援計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)漏洞攻擊行動(dòng)，其中編號(hào)為FOX00-6401的服務(wù)器專門針對(duì)中國(guó)，F(xiàn)OX00-6402號(hào)服務(wù)器針對(duì)俄羅斯，F(xiàn)OX00-6403號(hào)服務(wù)器則針對(duì)其他目標(biāo)。另外，F(xiàn)OX00-6300號(hào)服務(wù)器可能被用于代號(hào)為“ENCHANTED”的攻擊行動(dòng)。

（三）攻擊實(shí)例

1.案例1

如圖4所展示的酸狐貍平臺(tái)服務(wù)器上的過(guò)濾器規(guī)則片段，可以判斷該服務(wù)器主要針對(duì)中國(guó)的主機(jī)目標(biāo)進(jìn)行攻擊，過(guò)濾器中重點(diǎn)針對(duì)目標(biāo)環(huán)境中的卡巴斯基殺毒軟件、瑞星殺毒軟件、江民殺毒軟件等中國(guó)地區(qū)流行的殺毒軟件進(jìn)程進(jìn)行了匹配并進(jìn)行了可植入條件判斷。

2.案例2

如圖5所展示的服務(wù)器上的過(guò)濾器規(guī)則片段，可以判斷該FA服務(wù)器被用于攻擊IP地址“203.99.164[.]199”的目標(biāo)，并將向目標(biāo)植入前文中提到的FerrentCannon惡意負(fù)載，從而進(jìn)一步向目標(biāo)投送其他間諜軟件。經(jīng)查，IP地址“203.99.164[.]199”歸屬于巴基斯坦電信公司。

五、總結(jié)

上述技術(shù)分析表明，美國(guó)NSA“酸狐貍”漏洞攻擊武器平臺(tái)仍是目前美國(guó)政府的主戰(zhàn)網(wǎng)絡(luò)武器之一，有三點(diǎn)結(jié)論值得國(guó)際社會(huì)嚴(yán)密關(guān)注：一是該漏洞利用平臺(tái)是美國(guó)國(guó)家安全局NSA特定入侵行動(dòng)辦公室（TAO）下屬計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)的主戰(zhàn)裝備，在計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)單獨(dú)或配合進(jìn)行的網(wǎng)絡(luò)入侵行動(dòng)中得到廣泛應(yīng)用，攻擊范圍覆蓋全球，其中中國(guó)和俄羅斯是重點(diǎn)目標(biāo)。二是該武器平臺(tái)采用了高度模塊化結(jié)構(gòu)，具有較高的可擴(kuò)展性，同時(shí)可以與特定入侵行動(dòng)辦公室的項(xiàng)目管理工具高度集成，實(shí)現(xiàn)高效跨行動(dòng)支援。三是支持跨平臺(tái)攻擊，與特定入侵行動(dòng)辦公室（TAO）的其他網(wǎng)絡(luò)武器進(jìn)行集成后，其幾乎可以攻擊所有具有網(wǎng)絡(luò)連接功能的設(shè)備，是名副其實(shí)的網(wǎng)絡(luò)“黑洞”。

中國(guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心對(duì)全球互聯(lián)網(wǎng)用戶發(fā)出預(yù)警，中國(guó)的科研機(jī)構(gòu)絕不是受到NSA網(wǎng)絡(luò)攻擊的唯一目標(biāo)，全球范圍內(nèi)的政府機(jī)構(gòu)、科研機(jī)構(gòu)和商業(yè)企業(yè)，都可能正在被酸狐貍平臺(tái)遠(yuǎn)程控制，平時(shí)遠(yuǎn)程竅取重要數(shù)據(jù)，戰(zhàn)時(shí)癱瘓重要信息基礎(chǔ)設(shè)施，為美國(guó)式的“顏色革命”鋪平道路。

                    來(lái)源：國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心