问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
Bvp47——来自美国国安局方程式组织的顶级后门
2013年,盘古实验室研究员在针对某国内要害部门主机的调查过程中,提取了一个经过复杂加密的Linux平台后门,其使用的基于SYN包的高级隐蔽信道行为和自身的代码混淆、系统隐藏、自毁设计前所未见...
2013年,盘古实验室研究员在针对某国内要害部门主机的调查过程中,提取了一个经过复杂加密的Linux平台后门,其使用的基于SYN包的高级隐蔽信道行为和自身的代码混淆、系统隐藏、自毁设计前所未见。在不能完全解密的情况下,进一步发现这个后门程序需要与主机绑定的校验码才能正常运行,随后研究人员又破解了校验码,并成功运行了这个后门程序,从部分行为功能上断定这是一个顶级APT后门程序,但是进一步调查需要攻击者的非对称加密私钥才能激活远控功能,至此研究人员的调查受阻。基于样本中最常见的字符串“Bvp”和加密算法中使用数值0x47,命名为“Bvp47”。 2016年,知名黑客组织“影子经纪人”(The Shadow Brokers)宣称成功黑进了“方程式组织”,并于2016年和2017年先后公布了大量“方程式组织”的黑客工具和数据。盘古实验室成员从“影子经纪人”公布的文件中,发现了一组疑似包含私钥的文件,恰好正是唯一可以激活Bvp47顶级后门的非对称加密私钥,可直接远程激活并控制Bvp47顶级后门。可以断定,Bvp47是属于“方程式组织”的黑客工具。 研究人员通过进一步研究发现,“影子经纪人”公开的多个程序和攻击操作手册,与2013年前美国中情局分析师斯诺登在“棱镜门”事件中曝光的NSA网络攻击平台操作手册中所使用的唯一标识符完全吻合。 鉴于美国政府以“未经允许传播国家防务信息和有意传播机密情报”等三项罪名起诉斯诺登,可以认定“影子经纪人”公布的文件确属NSA无疑,这可以充分证明,方程式组织隶属于NSA,即Bvp47是NSA的顶级后门。 “影子经济人”的文档揭示受害范围超过45个国家287个目标,包括俄罗斯、日本、西班牙、德国、意大利等,持续十几年时间,某日本受害者被利用作为跳板对目标发起攻击。 盘古实验室为多起Bvp47同源样本事件起了一个代号“电幕行动”。电幕(Telescreen)是英国作家乔治·奥威尔在小说《1984》中想象的一个设备,可以用来远程监控部署了电幕的人或组织,“思想警察”可以任意监视任意电幕的信息和行为。 方程式组织是世界超一流的网络攻击组织,普遍认为隶属于美国国家安全局NSA。从所获取的包括Bvp47在内的相关攻击工具平台来看,方程式组织确实堪称技术一流,工具平台设计良好、功能强大、广泛适配,底层以0day漏洞体现的网络攻击能力在当时的互联网上可以说畅通无阻,获取被隐秘控制下的数据如探囊取物,在国家级的网空对抗中处于主导地位。 ![](https://shs3.b.qianxin.com/attack_forum/2022/02/attach-06eb4c7f27c823f0926bf961d2bd4923c6230596.png) **报告截图:** ![](https://shs3.b.qianxin.com/attack_forum/2022/02/attach-50d4e7ac4538aeda6322b8058290ed6f522b3be0.png) 进入链接获取完整Bvp47技术报告: [https://www.pangulab.cn/post/the\_bvp47\_a\_top-tier\_backdoor\_of\_us\_nsa\_equation\_group/](https://www.pangulab.cn/post/the_bvp47_a_top-tier_backdoor_of_us_nsa_equation_group/) 本文转载于:奇安盘古实验室公众号
发表于 2022-02-23 11:09:26
阅读 ( 6590 )
分类:
其他
1 推荐
收藏
1 条评论
firehack
2022-02-24 18:58
相比于对样本的分析,我更关注是如何投递到要害部门去的,保密手段全失效了吗?还是失误
请先
登录
后评论
请先
登录
后评论
26号院
12 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!