概述
在2015年对国内某国家重要关键信息基础设施的Solaris系统取证中,盘古实验室提取到了一份独立存活于Solaris平台看起来与Bvp47关系密切的样本,后经确认,样本文件内容与“影子经纪人”(The Shadow Brokers)揭露出的“饮茶”(Suctionchar_Agent)木马程序原文件一致。该木马程序搭配Bvp47中的Dewdrop、Incision等模块和控制程序tipoff,可以轻松窃取目标系统用户在执行ssh、passwd、sudo等命令时的账号密码,随即将其隐蔽保存在目标系统中。这些被加密隐藏的密码文件同样也需要RSA算法的私钥来解密。
基于特征的入侵分析取证发现,国内大量重要组织机构受到了这个美国国家安全局(NSA)来源的“饮茶”(Suctionchar_Agent)木马程序的侵袭,其中就包括了近期披露的被网络渗透的西北工业大学。有证据显示, NSA利用“饮茶”(Suctionchar_Agent)木马程序窃取了世界各国难以确切估量的账号密码,在美国各地建立了多个高度机密的账号密码海量数据存储中心,供NSA的行动部门TAO随时查询并“合法”进入受害者的信息系统。
追踪Bvp47的过程更像是在摸索一张迷雾下的拼图,在奇安盘古实验室与国家计算机病毒应急处理中心的通力合作下,这份报告将会通过对“饮茶”(Suctionchar_Agent)、Dewdrop、Bvp47_loader等程序和系统模块的技术分析来进一步理解Bvp47这个顶级后门平台的部分工作方式和执行逻辑。
“饮茶”嗅探木马(Suctionchar_Agent)攻击场景还原
攻击场景
经过全面而深入的技术模拟分析,盘古实验室还原了“饮茶”嗅探木马(Suctionchar_Agent)与Bvp47后门程序其他组件配合实施联合攻击的场景,具体执行过程如下图所示:
运行于内核层的sum会辅助“饮茶”嗅探木马(Suctionchar_Agent)窃取passwd、telnet、su等进程中的账号密码;
窃取到的账号密码会同步发送给运行于Ring3的“饮茶”嗅探木马(Suctionchar_Agent);
“饮茶”嗅探木马(Suctionchar_Agent)会将账号密码保存到名为“/var/tmp/.xxxxxxxx”的隐藏目录中;
美国国家安全局(NSA)的攻击实施者远程发送执行ish反弹的触发包到内核层的BPF过滤程序;
BPF过滤器捕获到特征包后传送给Ring3的Dewdrop程序模块;
Dewdrop进行数据包解密并收到ish反弹指令,随即转送给Incision程序;
Incision程序主动回联到callback地址,美国国家安全局(NSA)的攻击实施者利用ish接受窃取的密码文件;
美国国家安全局(NSA)的攻击实施者将被RSA公钥加密的密码文件进行私钥解密并还原密码文件;
场景复现
2. 具体功能列表如下:
类别 | 功能说明 |
触发协议支持 | 支持TCP、UDP、ICMP协议 |
非常规TCP标志支持 | syn、fin、ack、rst、push、urg |
防火墙穿透支持 | PIX或其它;默认支持防火墙穿透,ACL穿透; |
支持应用协议 | SMTP、SIP、DNS等应用层协议 |
后门功能1 | 支持远程启动文件进程 |
后门功能2 | 支持远程Shell查看 |
支持各协议的扩展定制 | 包括SMTP、DNS、TCP等协议的标记位自定义 |
3. 支持UDP包的远程shell获取
4.UDP报文如下
5. 在获取到的shell中可以看到被隐藏的进程和文件
6. “/var/tmp/”目录下被加密的文件如下:
7.使用suctionchar_decode对“/var/tmp/”目录下被加密的文件解密:
“饮茶”嗅探木马(Suctionchar_Agent)技术细节
文件信息
样本关联溯源发现,盘古实验室2015年提取到的样本为“影子经纪人”(The Shadow Brokers)泄漏的文件之一,即suctionchar_agent__v__3.3.7.9_sparc-sun-solaris2.9 ,文件相关信息如下:
样本信息概要说明 | |
文件名称 | 未知 |
文件哈希(MD5) | a633c1ce5a4730dafa8623a62927791f |
文件大小(字节) | 47,144 |
The Shadow Brokers具体包名称 | suctionchar_agents.tar.bz2 |
原始文件名称 | suctionchar_agent__v__3.3.7.9_sparc-sun-solaris2.9 |
功能目标 | 窃取SSH、TELNET、FTP、PASSWD、SU、RSH、LOGIN、CSH等程序中的账号密码信息。 |
CPU架构 | SPARC |
隐藏路径2 | /var/tmp/.xxxxxxxxxxxx |
鉴于盘古实验室提取的样本本身为SPARC架构,比较少见,为方便读者理解并采取有效措施进行防范,我们选择基于x86架构、功能相同的木马程序样本进行分析,具体x86架构的文件信息如下:
样本信息概要说明 | |
文件名称 | suctionchar_agent__v__2.0.28.2_x86-linux-centos-5.1 |
文件哈希(MD5) | 4a5b7a9c5d41dbe61c669ed4cf2975e5 |
文件大小(字节) | 31,649 |
The Shadow Brokers具体包名称 | suctionchar_agents.tar.bz2 |
原始文件名称 | suctionchar_agent__v__2.0.28.2_x86-linux-centos-5.1 |
功能目标 | 窃取SSH、TELNET、FTP、PASSWD、SU、RSH、LOGIN、CSH等程序中的账号密码信息。 |
CPU架构 | X86 |
Bvp47对应分片 | 0x0E |
隐藏路径2 | /var/tmp/.xxxxxxxxxxxx |
样本关联
根据盘古实验室提取的“饮茶”嗅探木马样本(Suctionchar_Agent),研究人员从“影子经纪人”(The Shadow Brokers)揭露出的文件中找到了对应的原始文件为“linux/bin/suctionchar_agents.tar.bz2/suctionchar_agent__v__3.3.7.9_sparc-sun-solaris2.9”,二者完全一致。相关压缩包中还包含了适合多个平台和版本的“suctionchar”木马程序,文件最早可追溯到2007年:
技术分析
字符串解密
如下图所见,字符串加密也就是“Bvp47”研究报告中所描述的0x47函数加密:
功能模块设计
文件“Linux\etc\opscript.txt”中对Suctionchar_Agent的功能作了相关说明,即驻留窃取SSH、TELNET、FTP、PASSWD、SU、RSH、LOGIN、CSH等程序中的账号密码信息。“饮茶”(Suctionchar_Agent)程序是这个木马程序的应用层代理,它与相关联的内核模块通信,接收所需信息并加密写入文件。内核模块sum文件(The Shadow Brokers Leaks未包含该文件)可由modload程序加载,成功加载内核模块后会清空落地的文件,防止内容被恢复:
“饮茶”(Suctionchar_Agent文件本身既可以使用默认配置,也可以从外部读取配置文件,文件格式主要包括3.x以上版本的xml格式和早期的conf格式。
3.x以上版本的xml格式(“Linux\bin\suctionchar_configure.xml”):
“Linux\doc\old\etc\suctionchar.sample.filter.conf” :
“饮茶”(suctionchar_configure)将生成“dc9cb44a723d0e75201d933159834173“文件,该文件供Suctionchar_Agent使用:
密码获取线程
在“饮茶”(Suctionchar_Agent)中存在一个独立的线程,与内核模块sum保持通信,接收账号密码并写入到/var/tmp/文件夹中,即sub_8049EF0函数内部:
回调函数sub_8049A00:
密码保存文件的路径生成算法
在函数get_hidden_path_0804BDF0中描述了隐藏文件” /var/tmp/.e33ff11cb8e3b4ff/a0b973925e397d9acd80e85e2eaa6e60/d5373a146ff9f200a2376054dde25677”的生成算法:
还原的代码大致如下:
“饮茶”木马(suctionchar_decode)程序中的私钥
正如攻击场景一章中所描述的那样,文件“/var/tmp/.e33ff11cb8e3b4ff/a0b973925e397d9acd80e85e2eaa6e60/d5373a146ff9f200a2376054dde25677”可以被“linux\bin\suctionchar_decode”程序所解密,加密算法需要用RSA私钥解密RC6对称密钥后才能解密出文件,同Dewdrop模块中的私钥一样,这个RSA私钥也可以佐证该后门与“影子经纪人”(The Shadow Brokers)泄露数据包的关联关系。
Dewdrop version 3.x 技术细节
BPF隐蔽通信初始化过程
1. BPF隐蔽后门的初始化是从函数_554a7941开始的;
2. 其中sec_bpf_init返回了bpf_program的结构体
3. stru_8008300结构具体值如下:
4. bpf_program和bpf_insn结构分别如下:
5. 经过bpf反汇编过后的代码如下:
6. 实际运行时的bpf伪代码如下,即满足该规则的payload数据会被捕获进入到下一个处理流程;
BPF隐蔽通信数据处理过程
在满足BPF的捕获规则后,数据包会进入下一个流程来进行处理。
1. 在函数sec_f_9b510b03中可以看到Dewdrop使用select模型来处理对应的数据包
2. sec_f_6a42f4c9_allinone执行伪代码如下:
3. 在 sec_decode_packet 中就开始了payload数据包的解密工作,内部涉及到一处作了变形处理的RSA解密算法。
BPF隐蔽通信数据格式与加密算法
1. Dewrop模块v3系列的载荷(payload)数据包格式如下:
2. tipoff中对Dewdrop模块的载荷(payload)数据包流程如下:
3. payload数据包中的RSA数据加密
Bvp47_loader技术细节
字符加密函数
在样本分析过程中,首先需要处理应对的是一系列的字符串加密函数,共8处。
1. 异或0x47函数类型1:
2. 异或0x47函数类型2:
3. 变序加密函数:
4. 异或0x47函数类型3:
5. 异或0x47类型4:
6. 异或0x47
7. 加密函数
8. 异或0x47函数类型5
载荷(payload)相关的加密方式
载荷(payload)在被装载过程中主要有5种解密方式。
方式一:
方式二:
方式三:
方式四:
方式五:
载荷(payload)解密流程
如前面所见到的main函数主体流程,载荷(payload) 解析过程是一个相对复杂的循环体流程,且伴随了诸多加密对抗。
映射和加载:
解析流程:
涉及到的解压缩流程:
linux_gzip函数:
linux_gzip_inflate_fixed函数:
linux_gzip_inflate_dynamic函数:
linux_gzip_inflate_codes函数:
linux_gzip_fill_buf函数:
linux_gzip_huft_build函数:
整体抽象出来的大致C语言代码如下(未能完全覆盖):
已知的payload文件格式如下:
在实际样本运行过程中,在上述Decode回调调用过程中也会直接开始尝试加载so类型的文件:
在试图加载后也会去尝试补丁elf文件格式的plt:
Bvp引擎初始化与内核模块加载
内核模块的解密与加载也会在main流程里执行,会经历如下的几个步骤:
具体如下:
1. 尝试解密ko的payaload;
2. Bvp整体处理函数;
对应的伪代码:
3. Bvp引擎的初始化serial_bvp函数
对应的伪代码:
4. serial_bvp流程
5. 加载第一个模块qmr
6. 校验发行版:
7. 该发行版对应了TSB中的版本:
8.校验2:
9. 内核模块加载时的参数验证1:
10. 内核模块2加载时的参数验证2:
11. 最终开始装载内核模块:
自删除的一种绕过手段
在main函数中有2处unlink函数的调用,实际调试过程中可以暴力修改流程绕过unlink所出现的自删除:
基于Hash的API函数调用
在Bvp47的运行过程会有制作一张类似作基于Hash值的API函数查找的查找表。
1. 面对如下的一张Hash表;
2. 在sub_804C2E0函数中尝试初始化
3. 在serial_bind_0x7bbf2c88_函数中进一步初始化
伪C语言代码:
部分shellcode
在loader模块中还有部分是部分不太完整的加密ELF文件,经过解密后是几个shellcode形式的代码。
1. 对应的ELF头部格式定义如下:
2. 中间的几段shellcode会互相跳转
3. 共6段 shellcode
结论
通过现有证据可以断定,遍布国际互联网的无数服务器和网络终端,以及交换机、路由器、网关、防火墙等设备,正在被美国国家安全局(NSA)的 “饮茶”嗅探木马(Suctionchar_Agent)类似程序实时监测,数以亿计的账号密码被窃取并存储到美国国家安全局(NSA)的数据库中,变成你工作生活中的重大安全隐患。
参考
https://www.pangulab.cn/post/the_bvp47_a_top-tier_backdoor_of_us_nsa_equation_group/
2. The Shadow Brokers: x0rz-EQGRP
https://github.com/x0rz/EQGRP/blob/master/Linux/up/suctionchar_agents.tar.bz2
4. jtcriswell/bpfa
https://github.com/jtcriswell/bpfa
5. bpf-asm-explained
https://github.com/Igalia/pflua/blob/master/doc/technical/bpf-asm-explained.md
6. cloudflare/bpftools
https://github.com/cloudflare/bpftools
点击阅读原文至ALPHA 5.0
即刻助力威胁研判
如有侵权请联系:admin#unsafe.sh