安天分析美方网空攻击活动成果摘编之一丨样本分析篇

编者说明：

2022年9月5日，国家计算机病毒应急处理中心和网络安全厂商发布相关分析报告，曝光源自美国国家安全局（NSA）“特定入侵行动办公室”（TAO）针对西北工业大学的网络攻击活动。

安天从2010年起持续分析美方情报机构相关攻击活动，并在攻击组织能力评价标准中将其划定为超高能力网空威胁行为体，提出用A²PT（即“高级的”高级持续性威胁）攻击来界定称其攻击活动。过去12年来，安天针对A²PT攻击活动的持续跟踪、捕获、关联、分析工作，累计发布了数十篇分析报告、论文和其他研究文献。

为了让公众更全面的了解A²PT攻击活动能力，我们对部分历史分析成果进行了聚合梳理，将其整合摘编为样本分析篇，组织体系和能力分析篇，核心机理分析、关联溯源和全过程复盘篇，敌情想定与防御猎杀篇。

本日我们带来样本分析篇。本次西工大事件中的相关木马程序样本，可以参考本专题中的《从方程式到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析》报告进行了解。该报告由安天在2016发布，是业内首次曝光美方Linux和 Solaris平台样本的分析成果。

一、概述

---

恶意代码是网络攻击的主要武器弹药，A²PT攻击活动中始终伴随着复杂的高级恶意代码的运用。有效捕获恶意代码并展开分析，是分析研判A²PT攻击活动，进行追踪溯源的基础。以下是安天面向A²PT的高级恶意代码分析的部分已公开的报告清单。（本文第二章节附有报告全文阅读链接）

• 2010年

《对Stuxnet蠕虫攻击工业控制系统事件的综合分析报告》

• 2012年

《Flame蠕虫样本集分析报告》

• 2015年

《修改硬盘固件的木马 探索方程式（EQUATION）组织的攻击组件》、《方程式（EQUATION）部分组件中的加密技巧分析》

• 2016年

《从方程式到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析》

• 2017年

《方程式组织EQUATION DRUG平台解析》

• 2022年

《从“NOPEN”远控木马浮出水面看美方网络攻击装备体系》

二、恶意代码分析部分工作和成果索引

---

1.《对Stuxnet蠕虫攻击工业控制系统事件的综合分析报告》

【首次发布时间】 2010年9月27日

【安天主要分析工作】 对Stuxnet蠕虫的主要功能、恶意行为、传播机理和攻击行为进行分析，给出解决方案与安全建议，分析和警示工业控制系统安全面临的严峻挑战。

【取得关键成果】 国内系统对“震网”病毒首批分析报告，被多种书籍、媒体转载。

扫码或点击报告封面阅读报告全文

2.《Flame蠕虫样本集分析报告》

【首次发布时间】 2012年5月31日

【安天主要分析工作】 针对Flame蠕虫进行了为期数月的马拉松式分析，将20多个不同Hash值的样本，聚类为6个模块变种，发现了其他衍生文件。经过两个月的分析，安天发布近100页的《Flame蠕虫样本集分析报告》，并将相关事件进行总结。

【取得关键成果】 在漏洞攻击模块中发现了曾被“震网”（Stuxnet）使用过的USB攻击模块，验证了两者的同源关系。

扫码或点击报告封面阅读报告全文

3.《修改硬盘固件的木马 探索方程式（EQUATION）组织的攻击组件》

【首次发布时间】 2015年3月4日

【安天主要分析工作】 安天基于信息比对发现国际友商2015年曝光的“方程式”组织和安天2013年开始跟踪分析的匿名攻击组织为同一组织，可以合并线索分析。安天分析了该组织的攻击组件结构和硬盘固件写入模块，对可能的持久化节点进行了固件提取比对分析。

【取得关键成果】 分析硬盘固件修改技术、指令控制结构。

扫码或点击报告封面阅读报告全文

4.《方程式（EQUATION）部分组件中的加密技巧分析》

【首次发布时间】 2015年4月16日

【安天主要分析工作】 剖析其代码结构和指令控制模块，分析了“方程式”组织内置的数据加密和网络通信加密算法，分析出解密秘钥并推导出解密算法。

【取得关键成果】 破解公布“方程式”组织数据加密、通讯加密方式和算法。

扫码或点击报告封面阅读报告全文

5.《从方程式到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析》

【首次发布时间】 2016年11月4日

【安天主要分析工作】 针对该组织针对特殊架构的Solaris系统以及Linux平台的攻击样本，分析了样本的主要功能、通信模式和指令特点，揭示了A²PT攻击组织的全平台恶意代码开发和运用能力。

【取得关键成果】 全球首次独家曝光美方Sorlaris、Linux两个平台的样本，与卡巴等厂商报告叠加，构成了A²PT攻击组织的全平台恶意代码能力图谱。相关分析成果在海外引起一定反响。

扫码或点击报告封面阅读报告全文

6.《方程式组织EQUATION DRUG平台解析》

【首次发布时间】 2017年1月16日

【安天主要分析工作】 将历史分析成果与“影子经纪人”泄露的美方攻击平台样本文件进行了联合分析梳理，深度揭示了其恶意代码高度积木化的作业风格。

【取得关键成果】 首次完成美方积木化木马面向杀伤链的映射图谱，相关分析成果在海外引起一定反响。

扫码或点击报告封面阅读报告全文

7.《从“NOPEN”远控木马浮出水面看美方网络攻击装备体系》

【首次发布时间】 2022年3月15日

【安天主要分析工作】 “NOPEN”木马是美方制式化网络攻击装备中的一员，本篇报告将已经公布的分析报告要点进行梳理，结合部分未公开成果，在本篇报告进行呈现。

【取得关键成果】 通过逆向分析、搭建复现攻防环境确定“NOPEN”木马是具有重定向功能的后门工具，还原了美方流量重定向攻击技术和多层链路横向渗透攻击的模式。

扫码或点击报告封面阅读报告全文

其他相关报告可在安天官网、公众号平台以及安天技术文章汇编APT卷中查阅。下期将推出《安天分析美方网空攻击活动成果摘编之二丨组织体系和能力分析篇》。