克日，，，，，“美国安局网络特工又一主力装备曝光”的话题冲勺嫦妊，，，，，国家盘算机病毒应急处置惩罚中心宣布了美国国家清静局专用“NOPEN”远程木马手艺剖析报告（以下简称“报告”）。。。。。。

报告指出“NOPEN”木马工具为针对Unix/Linux系统的远程控制工具，，，，，主要用于文件窃取、系统提权、网络通讯重定向以及审查目的装备信息等，，，，，是美国国家清静局接入手艺行动处（TAO）远程控制受害单位内部网络节点的主要工具。。。。。。

3377体育网官网入口自顺应清静防御系统、EDR等均可准确检测并查杀该木马，，，，，同时3377体育网官网入口下一代防火墙可对该木马监控端口和传输端口举行阻断，，，，，有用阻止事务伸张。。。。。。

病毒事务剖析报告

一、概述

本次剖析的木马为3.0.5.3版本，，，，，其基本信息如下表：

二、程序逆向

Noclient主控端

Noclient作为主控端程序需要特定的库情形才华运行。。。。。。其字符串并未加密，，，，，反编译后的代码逻辑清晰。。。。。。从工具最先显示的基本信息来看属于3.0.5.3版本，，，，，主控端程序主要的作用是向受控端noserver发送指令并吸收返回来的信息与效果；；；；；；；；

程序通过-q参数指定服务器的ip地点和端口，，，，，以监听受控端noserver的上线；；；；；；；；

从指令资助说明中我们可以大致推断出参数选项与远控指令功效的对应关系如下；；；；；；；；

noserver受控端

noserver受控端为了对抗剖析检测举行了去符号操作，，，，，接纳变换要领隐藏所需要的字符串、通过系统挪用来使用要害通讯函数等，，，，，这给逆向剖析带来了一定阻碍；；；；；；；；

如下图所示，，，，，noserver的运行逻辑中会严酷检查参数的设置是否准确，，，，，所需要的字符串均通过动态解密出来后举行使用。。。。。。如下图为解密出getopt函数的第三个参数字符串“dc:l:suiIS:C:T:P:r:o”，，，，，该字符串代表了noserver的下令行参数名堂要求；；；；；；；；

noserver用到的字符串解密要领是单字节乘以0x1Dh并舍弃效果的高位字节；；；；；；；；

除此之外，，，，，noserver直接通过int 80h系统挪用使用要害通讯函数。。。。。。包括sys_accept、sys_bind、sys_connect、sys_getpeername、sys_getsockname、sys_listen、sys_recvfrom、sys_sendt、sys_sendto、sys_setsockopt、sys_socket函数。。。。。。一些敏感操作函数也使用此种要领，，，，，包括sys_execve、sys_exit、sys_fork、sys_nanosleep、sys_alarm、sys_wait4、sys_newuname函数；；；；；；；；

在Linux操作系统中，，，，，uname下令的现实底层实现是sys_newuname函数。。。。。。noserver直接挪用sys_newuname函数即可获取操作系统的版本、处置惩罚器信息、硬件架构信息；；；；；；；；

在吸收主控端的-ifconfig下令指令后，，，，，会获取网络详细设置信息；；；；；；；；

noserver还具备吸收并执行新的shell剧本的能力；；；；；；；；

最终将网络的信息和下令返回的效果使用RC6算法加密后发送到主控端；；；；；；；；

如下为noserver受控端的部分模浚浚浚？？楣π蚊玻唬唬唬唬；；；

三、附录

样本IOC列表：

别的，，，，，该木马被证实对目今多种主流的盘算机情形仍然有用，，，，，在网络上很可能仍然保存大宗没有被发明的受害者，，，，，这些受害者面临恒久而严重的网络清静危害。。。。。。

报告显示，，，，，“NOPEN”远程木马既可以由攻击者手动植入，，，，，也可以由美国国家清静局的网络攻击武器平台自动植入受害者的互联网装备，，，，，因而可通过以下几种方法增强防御：

实时修复系统及应用误差，，，，，降低被“NOPEN”远程木马通过误差入侵的危害；；；；；；；；

增强会见控制，，，，，关闭不须要的端口，，，，，禁用不须要的毗连，，，，，降低资产危害袒露面；；；；；；；；

更改系统及应用使用的默认密码，，，，，设置高强度密码认证，，，，，并按期更新密码，，，，，避免弱口令攻击；；；；；；；；

可装置3377体育网官网入口自顺应清静防御系统或者3377体育网官网入口EDR举行自动防御，，，，，可有用预防和查杀该木马病毒。。。。。。

3377体育网官网入口界线+终端立体响应计划

面临目今的严肃形势，，，，，3377体育网官网入口重拳出击推出界线终端团结防护的立体化计划，，，，，以下一代防火墙在网络界线阻断木马主控端和受控端毗连，，，，，通过自顺应清静防御系统以及EDR从终端侧实时监测主无邪态，，，，，发明木马快速响应，，，，，实现威胁闭环防御。。。。。。

3377体育网官网入口自顺应清静防御系统

1、以微隔离战略增强会见控制，，，，，降低横向熏染危害；；；；；；；；

2、通过危害发明功效扫描系统是否保存相关误差和弱口令，，，，，降低危害、镌汰资产袒露；；；；；；；；

3、开启病毒实时监测功效，，，，，可有用预防和查杀该木马。。。。。。

3377体育网官网入口EDR

1、以微隔离战略增强会见控制，，，，，降低横向熏染危害；；；；；；；；

2、建设周期扫描使命，，，，，准时对主机举行周全整理，，，，，消除清静隐患；；；；；；；；

3、开启病毒实时监测功效，，，，，可有用预防和查杀该木马。。。。。。

3377体育网官网入口下一代防火墙

1、通过会见控制战略对”1025“和”32754“端口举行控制，，，，，阻断”NOPEN“远程木马主控端和受控端毗连，，，，，降低内网终端被远程控制的危害；；；；；；；；

2、通过会见控制战略限制网络中ping和traceroute行为，，，，，降低内网被探测危害，，，，，镌汰资产袒露和横向熏染危害。。。。。。

从棱镜门曝光美国绝密电子监听妄想，，，，，到污名昭著的网络武器永恒之蓝，，，，，从针对系列行业龙头企业长达十余年时间的攻击运动APT-C-40（NSA），，，，，到本次美国国家清静局接入手艺行动处（TAO）对外攻击窃密所使用的主战网络武器“NOPEN”远控木马，，，，，这一系列清静事务直接敲响警钟，，，，，网络清静形势岌岌可危！

国家之间的网络对抗不但仅是窃取情报，，，，，还会对要害基础设施造成破损，，，，，引发灾难性效果，，，，，没有网络清静就没有国家清静，，，，，增强网络清静势在必行。。。。。。3377体育网官网入口始终以捍卫国家网络清静为己任，，，，，立异逾越，，，，，一连构建越发完善的网络清静防御能力，，，，，为守卫国家网络空间清静孝顺一份坚定力量。。。。。。