解密 | 方程式组织如何控制“肉鸡”

刚刚过去的这个周末，影子经纪人（Shadow Brokers）和方程式（Equation Group）赚足了安全圈媒体的眼球。一个名为影子经纪人的组织或个人声称入侵了网络间谍组织方程式，并在社交媒体上公开了从方程式获取的大量网络攻击工具包。而根据各类媒体的报道，方程式组织与美国国家安全局（NSA）有着千丝万缕的联系，本次影子经纪人曝光的部分文件中也显示了NSA曾经入侵中东SWIFT（环球银行金融电信协会）银行系统的证据。

DanderSpritz框架是这次公开的攻击工具包中很有价值的一个。早在斯诺登的棱镜门事件中，就曾经曝光过DanderSpritz一词：该框架是NSA用于全球监控的网络武器，可被用于多种作业场景，如下图中FIREWALK工具用于网络流量采集和注入，其说明中就提到了DanderSpritz：

DanderSpritz不执行攻击或入侵功能，执行攻击和入侵功能主要是通过工具包中的另一个被称为NSA版Metasploit黑客工具包的Fuzzbunch框架实现的。DanderSpritz是成功入侵渗透后管理的平台，简单讲就是用来管理入侵成功后的受控机器，也就是俗称的“肉鸡”。

启动界面看起来很霸气：

DanderSpritz是一个Java外壳的框架，包含控制台和一些配置管理选项。在控制台输入help命令，可以看到能对肉鸡执行众多功能强大的管理命令：

其中eventlogclear、eventlogedit命令可以完全清除系统安全日志。根据安恒安全研究院在Windows Server 2008 R2版本上的测试，上述命令可以删除单条日志，这意味着系统管理员可能完全无法觉察系统已经被入侵。

最主要的是内置了25种Payload，用于生成跟肉鸡建立连接的后门和代理功能模块：

通过Fuzzbunch框架成功入侵目标后，可以利用安装在肉鸡上的远程命令执行工具Doublepulsar的RunDLL命令加载这些Payload，然后通过主动或反向监听等方式建立连接：

到此目标系统已被DanderSpritz完全接管，可以进行各种控制操作：

另外，Fuzzbunch在利用exploit攻击成功后使用RunDLL方式植入后门默认选择的是lsass.exe进程，也可以自定义选择其他的进程：

由于RunDLL只植入在内存中，目标系统是看不到这个模块文件的，不过可以通过线程查看工具看到加载状态：

总体来说，从这次公开的工具框架可以看出，方程式的渗透测试平台已经在多年前就集成化、模块化了。而且手握0day，植入后门并不需要考虑持久化，因为即使机器重启丢失后门连接，攻击者利用这些0day沿着之前入侵的套路重新控制肉鸡并非难事。根据安恒安全研究院的测试结果，本次曝光的大量0day漏洞利用工具利用方式简单且成功率高，可能会对使用 Windows操作系统的用户造成重大影响。

安恒信息再次提醒Windows操作系统用户，及时及时安装微软的补丁，将系统升级至最新版本。对于较早的已不在服务期内的版本（Windows 7之前版本，Windows Server 2008之前版本和Exchange 2010之前版本），请将系统升级到服务期内的版本并及时安装可用的补丁。

- END -