美国安局专用木马曝光，天融信边界 终端立体响应构筑防御壁垒-wepoker官网

近日，“美国安局网络间谍又一主力装备曝光”的话题冲上热搜，国家计算机病毒应急处理中心发布了美国国家安全局专用“nopen”远程木马技术分析报告（以下简称“报告”）。

报告指出“nopen”木马工具为针对unix/linux系统的远程控制工具，主要用于文件窃取、系统提权、网络通信重定向以及查看目标设备信息等，是美国国家安全局接入技术行动处（tao）远程控制受害单位内部网络节点的主要工具。

天融信自适应安全防御系统、edr等均可精确检测并查杀该木马，同时天融信下一代防火墙可对该木马监控端口和传输端口进行阻断，有效阻止事件蔓延。

病毒事件分析报告

一、概述

本次分析的木马为3.0.5.3版本，其基本信息如下表：

二、程序逆向

noclient主控端

noclient作为主控端程序需要特定的库环境才能运行。其字符串并未加密，反编译后的代码逻辑清晰。从工具开始显示的基本信息来看属于3.0.5.3版本，主控端程序主要的作用是向受控端noserver发送指令并接收返回来的信息与结果；

程序通过-q参数指定服务器的ip地址和端口，以监听受控端noserver的上线；

从指令帮助说明中我们可以大致推断出参数选项与远控指令功能的对应关系如下；

noserver受控端

noserver受控端为了对抗分析检测进行了去符号操作，采用变换方法隐藏所需要的字符串、通过系统调用来使用关键通信函数等，这给逆向分析带来了一定阻碍；

如下图所示，noserver的运行逻辑中会严格检查参数的配置是否正确，所需要的字符串均通过动态解密出来后进行使用。如下图为解密出getopt函数的第三个参数字符串“dc:l:suiis:c:t:p:r:o”，该字符串代表了noserver的命令行参数格式要求；

noserver用到的字符串解密方法是单字节乘以0x1dh并舍弃结果的高位字节；

除此之外，noserver直接通过int 80h系统调用使用关键通信函数。包括sys_accept、sys_bind、sys_connect、sys_getpeername、sys_getsockname、sys_listen、sys_recvfrom、sys_sendt、sys_sendto、sys_setsockopt、sys_socket函数。一些敏感操作函数也使用此种方法，包括sys_execve、sys_exit、sys_fork、sys_nanosleep、sys_alarm、sys_wait4、sys_newuname函数；

在linux操作系统中，uname命令的实际底层实现是sys_newuname函数。noserver直接调用sys_newuname函数即可获取操作系统的版本、处理器信息、硬件架构信息；

在接收主控端的-ifconfig命令指令后，会获取网络详细配置信息；

noserver还具备接收并执行新的shell脚本的能力；

最终将收集的信息和命令返回的结果使用rc6算法加密后发送到主控端；

如下为noserver受控端的部分模块功能描述；

三、附录

样本ioc列表：

此外，该木马被证实对当前多种主流的计算机环境仍然有效，在网络上很可能仍然存在大量没有被发现的受害者，这些受害者面临长期而严重的网络安全风险。

报告显示，“nopen”远程木马既可以由攻击者手动植入，也可以由美国国家安全局的网络攻击武器平台自动植入受害者的互联网设备，因而可通过以下几种方式加强防御：

及时修复系统及应用漏洞，降低被“nopen”远程木马通过漏洞入侵的风险；

加强访问控制，关闭不必要的端口，禁用不必要的连接，降低资产风险暴露面；

更改系统及应用使用的默认密码，配置高强度密码认证，并定期更新密码，防止弱口令攻击；

可安装天融信自适应安全防御系统或者天融信edr进行主动防御，可有效预防和查杀该木马病毒。

天融信边界 终端立体响应方案

面对当前的严峻形势，天融信重拳出击推出边界终端联合防护的立体化方案，以下一代防火墙在网络边界阻断木马主控端和受控端连接，通过自适应安全防御系统以及edr从终端侧实时监测主机动态，发现木马快速响应，实现威胁闭环防御。

天融信自适应安全防御系统

1、以微隔离策略加强访问控制，降低横向感染风险；

2、通过风险发现功能扫描系统是否存在相关漏洞和弱口令，降低风险、减少资产暴露；

3、开启病毒实时监测功能，可有效预防和查杀该木马。

天融信edr

1、以微隔离策略加强访问控制，降低横向感染风险；

2、创建周期扫描任务，定时对主机进行全面清理，消除安全隐患；

3、开启病毒实时监测功能，可有效预防和查杀该木马。

天融信下一代防火墙

1、通过访问控制策略对”1025“和”32754“端口进行控制，阻断”nopen“远程木马主控端和受控端连接，降低内网终端被远程控制的风险；

2、通过访问控制策略限制网络中ping和traceroute行为，降低内网被探测风险，减少资产暴露和横向感染风险。

从棱镜门曝光美国绝密电子监听计划，到臭名昭著的网络武器永恒之蓝，从针对系列行业龙头企业长达十余年时间的攻击活动apt-c-40（nsa），到本次美国国家安全局接入技术行动处（tao）对外攻击窃密所使用的主战网络武器“nopen”远控木马，这一系列安全事件直接敲响警钟，网络安全形势岌岌可危！

国家之间的网络对抗不仅仅是窃取情报，还会对关键基础设施造成破坏，引发灾难性后果，没有网络安全就没有国家安全，加强网络安全势在必行。天融信始终以捍卫国家网络安全为己任，创新超越，持续构建更加完善的网络安全防御能力，为守卫国家网络空间安全贡献一份坚定力量。