FoxAcid:NSA的绝密武器

nsa-data-transferring

近日德国明镜周刊爆料NSA的黑客部队TAO在华为、思科等重要技术厂商的产品中秘密植入间谍后门,并与运营商合作监控互联网海底电缆。人们不禁好奇,NSA的黑客部队为何有如此强大的攻击力,连IT业最顶尖的技术厂商都无法幸免?本文我们将深入探究NSA的网络攻击军武库,为大家揭示网络世界大战中NSA的真实“火力”。

与传统的武器一样, 网络武器例如DDoS工具, 间谍软件, 恶意软件正在成为政府武器库里的重要部分。 而在政府的网络攻击武器库中, 最基本的装备就是针对0Day漏洞的知识库了,而FoxAcid,则是NSA设计的一个威力巨大的0Day漏洞攻击平台,可以对攻击的主要步骤实施自动化, 甚至让没有什么网络攻击经验的运营商也参与进来,成为一件威力巨大的”大规模入侵工具”。

NSA FoxAcid平台

Bruce Scheier是一位安全领域的著名专家, 他最先向外界揭示了NSA拥有一个0Day漏洞库, 用以进行网络窃听和网络攻击。 其实在安全圈里, 这并非是什么耸人听闻的消息, 圈里人都知道美国政府在网络攻击和防御方面下了很大功夫。 各个情报机构内部都成立里专门进行网络攻击和网络窃听的黑客部队。 几乎所有的政府都在致力与提高他们的网络能力, 很多情况下, 他们也在网络网络作战武器。

最近, 一份由FireEye公司发布的名为“World War C网络世界大战”的研究报告

将网络称为新的”战场“, 它提供的证据显示了由政府支持的网络攻击。 从90年代前苏联对美国实施的Moonlight Maze, 到2000年左右发现的来自中国的名为“Titan Rain”的系列APT攻击, 到最近在伊朗和格鲁吉亚的网络攻击, 都显示了网络战的来临。

“网络正在成为一个全新的战场, 各国政府在这个看不见的舞台上大显身手。 曾经仅仅是犯罪工具的网络攻击, 变成了政府的战争工具。“FireEye的报告这样写道。

与传统的武器一样, 网络武器例如DDoS工具, 间谍软件, 恶意软件正在成为政府武器库里的重要部分。 而在政府的网络攻击武器库中, 最基本的就是针对0Day漏洞的知识库了。

根据斯诺登最新解密的文件, CIA搞了一个名为“FoxAcid”的服务器平台用来针对目标计算机的漏洞进行攻击的项目。 Bruce Scheier介绍说:“FoxAcid是这样运行的, NSA首先诱导对方访问这些服务器, 在此之前, NSA已经对目标的身份, 可能获取的数据有所了解。 基于这些信息, 服务器就可以根据对目标采取攻击所带来的风险和收益来自动地判定使用哪些漏洞可以用来针对这一目标。”

 

作为前情报咨询顾问, Scheier的文件显示了美国的情报机构可以依靠大量的漏洞来进行攻击。 他们有一个平台来对目标的状态, 目标受攻击后的反应等等进行判断。 从而选择最有效的漏洞进行攻击。 “验证者(Validator)”是默认的攻击工具, 而FoxAcid服务器还有一大批攻击工具, 如Radon, Dewsweeper, United Rake, Peddle Cheap, Packet Wrench以及Beach Head.

 

为了诱使目标访问FoxAcid服务器, NSA依靠与美国电信公司的秘密合作, NSA把代号为“量子”的服务器放在Internet骨干网, 这样就保证了“量子”服务器的反应速度要快于实际网站服务器的反应速度。 利用这个速度差, “量子”服务器就可以在实际网站反应之前, 模仿这个网站, 诱使目标机器的浏览器来访问FoxAcid服务器。

NSA datacenter

NSA的数据中心

NSA设计的这个平台可以对攻击的主要步骤实施自动化, 从而可以让没有什么网络攻击经验的运营商也能够参与进来。 NSA的黑客们可以利用对目标机器搜集的大量信息, 通过实时地从目标机器的防护系统得到的信息, 可以选择最佳的攻击方式。 根据泄露出来的信息, FoxAcid服务器可以提供一个多选的菜单列有各种攻击方式, 而攻击者只需要选择合适的攻击方式进行攻击就可以了。

“如果目标机器价值很高, FoxAcid可能会利用一个少见的0Day漏洞进行攻击, 这个漏洞可能是NSA自己发现的, 也可能是买来的。 如果目标机器的攻击技术上复杂度高, FoxAcid可能会判断攻击被发现的可能性很大, 它会选择不进行攻击, 从而保持这个0Day漏洞的秘密。 如果目标机器的价值不高, FoxAcid可能会利用一个较低价值的漏洞, 如果目标机器价值很低而攻击的技术复杂度很高的话,FoxAcid甚至可能会利用一个公开的漏洞进行尝试。”Bruce Schneier写道。

Schneier的解密文件专门介绍了对漏洞攻击的成本收益分析方法。 运营FoxAcid的运营商可以采取一种详细而复杂的流程图来涵盖一次攻击的所有步骤和结果, 比如遇到目标机器有个人安全软件, FoxAcid可能会停止攻击以避免被发现, 或者根据目标系统的反应, 采取其他攻击策略。

FoxAcid系统还可以用来追踪个人访问匿名的Tor网络的情况。 利用FoxAcid系统, NSA破解了一系列Tor网络里的服务器, NSA利用这些服务器来窃听用户在Tor网络的访问。 Schnerer认为, 对NSA来说, 掌握这样一个庞大的窃听网络的能力非常重要。 “在技术层面, NSA的风险收益分析具有超群的能力, 不过, 在政策层面, 这个分析似乎就差多了, 比如, NSA能够精确分析如果对目标进行情报收集时被发现后的风险, 它们显然没有估算到如果这种情报收集一旦成为报纸头条时所带来的后果。“

Radon和Dewsweeper

Radon和Dewsweeper都是硬件主机, 可以让攻击者隐蔽地连接到目标网络。 这两个攻击工具在法国世界报披露的代号为“20100910 Closed Access SIGADS 01”的文件中, 和其他NSA工具被一起提到, Dewsweeper和Rondon都可以用来对目标系统进行渗透攻击。 其中, Dewsweeper有一个射频子系统, 可以利用无线方式连接到目标系统, 而Radon则依赖于以太网技术, 通过注入以太网数据包进入目标系统。

这两个工具都是USB设备, 你可以想象一下它在类似于一些正常设备, 比如USB令牌,加上内置的射频接受启以及隐藏天线。 当设备插在PC和其他设备上时, 可以依靠USB口供电。

这样的设备, 最主要需要解决的问题就是如何隐藏自身, 这包括用户界面以及在USB令牌上加的那些硬件设备等。 这些需要被悄悄安装在目标机器上而不产生任何告警。 这样才能不引起设备管理员或者网管的注意。 为了做到这一点, NSA利用了一些重要的USB漏洞, 使得USB设备能够被授予目标机器的root权限。

Windows的USB漏洞

为了理解这两个NSA的USB工具是如何做到隐藏自身的, 我们可以具体分析一个USB漏洞, 以及他们如何使得闪存盘获得主机的root权限的。

2013年3约, 微软对Windows系统中的一个漏洞(MS13-027)做了一个补丁, 这个漏洞可以使得攻击者利用USB设备取得目标机器的完全控制权。 在补丁发布时, 微软的安全专家把这个补丁定位“重要”而不是“严重”, 因为利用这个漏洞需要对目标机器的物理访问。但是,我们设想一下, 在一个展会上, 把一些USB盘或者USB 充电器作为礼物发放, 用户可能完全没有意识到这些礼物的危险性。

事实上, 这样的攻击方式可以使得攻击者攻击那些与互联网物理隔离的网络。 这正是“震网”病毒传播的方式。 最近, 微软修补了一系列与USB相关的漏洞, 比如LNK文件漏洞就可以让“震网”病毒在插入U盘的机器上感染病毒。

微软把这一漏洞(MS12-027)定为“重要”。 它指出, 这一漏洞使得在内核模式下的驱动可能进行提权。 微软警告说通过把恶意格式化的USB盘插入目标机器可能攻击者利用这一漏洞进行攻击。 这个漏洞攻击其实很简单。 Windows的USD设备驱动通过枚举各个设备,通过解析特定的设备描述符, 攻击者可以使得系统在内核模式下执行恶意代码, 从而具有完全权限。


微软的专家Josh Carlson和William Peteroy在博客中表示, 这一漏洞发生在枚举设备的过程中, 因此不需要用户干预。 这样, 在漏洞攻击甚至可以在计算机被锁定或者无用户登录的状态下进行。

MS13-027漏洞影响所有版本的Windows,从Windows 8 到 Windows XP SP2, 也包括很多版本的Windows Server。 微软承认在其他一些通过底层USB设备枚举的软件, 也可能产生类似的攻击手段, 这样甚至不需要通过物理访问目标机器。

利用恶意的USB描述符进行攻击

这里是一个攻击者如何利用恶意的USB设备描述符进行漏洞攻击, 从而运行恶意代码的过程:

1)攻击者需要分析目标机器的操作系统以及如何与设备驱动进行通信的方式

2)攻击者确定USB设备的描述符的格式

3)通过定制的USB设备描述符, 攻击者分析它是如何通过USB设备传给USB驱动的, 从而试图找到存储数据的内存地址

4)攻击者构造一个恶意的设备描述符(比如说, 构造一个超长的描述符),然后观测操作系统如何处理。 攻击者可以计算内存溢出的位置从而用恶意引导代码覆盖原有指令。

5)攻击者把USB设备描述符替换为攻击者的恶意引导代码。

6)攻击者然后需要重新构造USB设备描述符, 确保在USB设备描述符代码执行时能够到达恶意引导代码指令的地址。

7)当USB设备描述符是为非正常长度时, 就会导致一个缓冲区溢出攻击, 而恶意引导代码就隐藏在USB设备描述符中

8)这个注入的恶意引导代码就如同操作系统内核的一部分一样在运行,

9)注入的恶意引导代码可以进一步载入加密的恶意代码, 而这些代码也通常会隐藏在USB设备里。

前面我们讨论了如何通过USB漏洞来隐藏恶意代码。 Randon和Dewsweeper也肯定是采用类似的技术来实现了。 可以想象的是, 这两个工具都已经有很多年的历史了。 在他们的演进过程中, 利用了不少0Day漏洞, 而这些漏洞也随后被打上了补丁。 而这两个攻击工具很可能在利用一些我们依然未知的USB漏洞。

如果你用Google搜索, 你会惊奇的发现, 一家叫做Netragard的公司, 表示在用自己开发的间谍工具来通过USB隐藏恶意代码, 这个工具就叫“Radon”. 通过网站可以了解到, Netragard是一家位于美国马萨诸塞州的一家安全公司, 提供包括渗透测试, 漏洞扫描, 网站安全检测等服务。 2012年, Netragard对美国政府和私人企业销售了超过50个安全漏洞。 价格从2万美金到25万美金不等。 公司创始人 Adriel Desautels说其中的一些漏洞可以用来制作“网络武器”。 也就是说, 美国政府购买这些漏洞可以用来进行网络攻击。

在Nettragard的网站上, 他们写道:

我们在对目标进行不可恢复的攻击是采用的方法是:

1)通过某一单点获取访问途径通过下述三种途径

2)安装特制的后门软件(我们自己研发的安全的, 隐蔽的工具Radon)

3) 甄别并入侵域名控制器(大多数情况下往往意想不到地容易)

4)获取并破解密码(我们有巨大的彩虹表并且采用GPU破解)

5)攻击网络上的其他主机。

在这里, 他们提到了Radon. 而且他们还描述了一个利用Radon进行社交工程攻击的场景。“在2012年, 我们接受委托对一家医疗机构进行渗透测试。 我们通过客户网站上的一个招聘信息, 发现客户在寻找一个懂的Web安全应用的开发者, 我们造了一份完美的简历, 使得我们得到了一个面试的机会。  当我到公司的时候, 我被我的联系人带到他的办公室进行面试, 我跟他要了一杯水, 趁他出去的大约两分钟的时间, 我们利用USB盘上的Radon工具感染了他的台式机。 等他倒水回来的时候, 我们继续面试, 最后我得到了这个工作, 但是拒绝了。”

尽管我们不能说这里的Radon就是法国世界报透露的NSA的攻击工具。 然而有很大的可能就是NSA从Netragard定制了类似Radon的工具。

0Day漏洞市场

对棱镜门的解密以及FoxAcid系统的存在, 使得0Day漏洞市场成为热门话题。0Day漏洞的丰富程度很大程度上决定了网络武器的成功与否。 政府的网络部队和犯罪组织都把0Day漏洞看作是不可或缺的资源。

Netragard的创始人 Adriel Desautels说他在漏洞销售市场已经摸爬滚打了10年了。 而去年, 这个市场有了爆炸性的增长。 他说, 现在有更多有钱的买主, 而且以前每月才有买主找来, 现在几乎每周都有。 几年前, 一个买主也就是要4到6个漏洞, 而现在他们平均购买12到14个。

NSA当然就是这些有钱的买主之一。 每年拥有超过100亿美元预算的NSA对漏洞的兴趣非常广泛。 按照泰唔士报的说法, NSA的情报活动, 不光是针对敌人, 也针对注入法国和德国这样的盟友以取得“外交优势”以及针对日本巴西这样的国家以取得“经济优势”。

而NSA的TAO部门的职责就是入侵全球的计算机系统获取数据, 并相机植入间谍软件。 TAO对于NSA来日益重要, 因为这样可以不必去破解截获的加密信息, 而直接可以得到未加密的文件。

Radon和Dewsweeper只是NSA武器库里的一部分, 我们可以管中窥豹地了解NSA是如何通过这些工具进行运作的。 而隐藏在水面下的冰山也许更加惊人。
本文由 安全牛网 授权转载

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

隐私已经死去,软件正在吃掉世界,数据即将爆炸