國家計(jì)算機(jī)病毒應(yīng)急處理中心對名為“NOPEN”的木馬工具進(jìn)行了攻擊場景復(fù)現(xiàn)和技術(shù)分析。該木馬工具針對Unix/Linux平臺(tái)，可實(shí)現(xiàn)對目標(biāo)的遠(yuǎn)程控制。根據(jù)“影子經(jīng)紀(jì)人”泄露的NSA內(nèi)部文件，該木馬工具為美國國家安全局開發(fā)的網(wǎng)絡(luò)武器。“NOPEN”木馬工具是一款功能強(qiáng)大的綜合型木馬工具，也是美國國家安全局接入技術(shù)行動(dòng)處（TAO）對外攻擊竊密所使用的主戰(zhàn)網(wǎng)絡(luò)武器之一。“NOPEN”木馬工具編碼技術(shù)復(fù)雜、功能全面、隱蔽性強(qiáng)、適配多種處理器架構(gòu)和操作系統(tǒng)，并且采用了插件式結(jié)構(gòu)，可以與其他網(wǎng)絡(luò)武器或攻擊工具進(jìn)行交互和協(xié)作，是典型的用于網(wǎng)絡(luò)間諜活動(dòng)的武器工具。

病毒危害：

“NOPEN”遠(yuǎn)程木馬主要用于文件竊取、系統(tǒng)提權(quán)、網(wǎng)絡(luò)通信重定向以及查看目標(biāo)設(shè)備信息等，一旦被植入受害者計(jì)算機(jī)，各種機(jī)密數(shù)據(jù)、敏感信息“一覽無余”，根據(jù)環(huán)球網(wǎng)報(bào)道，該款木馬已經(jīng)控制全球各地海量的互聯(lián)網(wǎng)設(shè)備，竊取了規(guī)模龐大的用戶隱私數(shù)據(jù)。

“NOPEN”木馬工具包含客戶端“noclient”和服務(wù)端“noserver”兩部分，客戶端會(huì)采取發(fā)送激活包的方式與服務(wù)端建立連接，使用RSA算法進(jìn)行秘鑰協(xié)商，使用RC6算法加密通信流量。

該木馬工具設(shè)計(jì)復(fù)雜，支持功能眾多，主要包括以下功能：內(nèi)網(wǎng)端口掃描、端口復(fù)用、建立隧道、文件處理（上傳、下載、刪除、重命名、計(jì)算校驗(yàn)值）、目錄遍歷、郵件獲取、環(huán)境變量設(shè)置、進(jìn)程獲取、自毀消痕等。

經(jīng)技術(shù)分析與研判，該木馬工具針對Unix/Linux平臺(tái)，可在主控端和受控端之間建立隱蔽加密信道，攻擊者可通過向目標(biāo)發(fā)送遠(yuǎn)程指令，實(shí)現(xiàn)遠(yuǎn)程獲取目標(biāo)主機(jī)環(huán)境信息、上傳/下載/創(chuàng)建/修改/刪除文件、遠(yuǎn)程執(zhí)行命令、網(wǎng)絡(luò)流量代理轉(zhuǎn)發(fā)、內(nèi)網(wǎng)掃描、竊取電子郵件信息、自毀等惡意功能。該木馬工具包含主控端（Client）和受控端（Server）兩個(gè)部分，具體分析結(jié)果詳見國家計(jì)算機(jī)病毒應(yīng)急處理中心分析報(bào)告：

https://www.cverc.org.cn/head/zhaiyao/news20220218-1.htm

“NOPEN”木馬工具支持在Linux、FreeBSD、SunOS、Solaris、JUNOS和HP-UX等各類操作系統(tǒng)上運(yùn)行，同時(shí)兼容i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、PPC、MIPS、ARM以及AMD64等多種體系架構(gòu)，適用范圍較廣。根據(jù)監(jiān)控情況，該木馬工具主要用于在受害單位內(nèi)網(wǎng)中執(zhí)行各類攻擊指令，結(jié)合其他取情、嗅探工具，級(jí)聯(lián)竊取核心數(shù)據(jù)。

“NOPEN”木馬工具支持多種植入運(yùn)行方式，包括手動(dòng)植入、工具植入、自動(dòng)化植入等，其中最常見的植入方式是結(jié)合遠(yuǎn)程漏洞攻擊自動(dòng)化植入至目標(biāo)系統(tǒng)中，以便規(guī)避各種安全防護(hù)機(jī)制。此外，TAO還研發(fā)了一款名為Packrat的工具，可用于輔助植入“NOPEN”木馬工具，其主要功能為對“NOPEN”木馬工具進(jìn)行壓縮、編碼、上傳和啟動(dòng)。

“NOPEN”木馬工具主要包括8個(gè)功能模塊，每個(gè)模塊支持多個(gè)命令操作，TAO主要使用該武器對受害機(jī)構(gòu)網(wǎng)絡(luò)內(nèi)部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò)設(shè)備實(shí)施持久化控制。其主要使用方式為：攻擊者首先向安裝有“NOPEN”木馬工具的網(wǎng)內(nèi)主機(jī)或設(shè)備發(fā)送特殊定制的激活包，“NOPEN”木馬工具被激活后回連至控制端，加密連接建立后，控制端發(fā)送各類指令。

這段時(shí)間的俄烏沖突，剛讓普羅大眾見識(shí)到了輿論戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)的重要性，美國立馬給全世界導(dǎo)演了一出現(xiàn)實(shí)版“黑客帝國”。2017年“永恒之藍(lán)”波及全球100多個(gè)國家的攻擊事件至今還讓人記憶猶新，也讓美國網(wǎng)絡(luò)NSA網(wǎng)絡(luò)武器庫廣為人知，而此次國家計(jì)算機(jī)病毒應(yīng)急處理中心披露的“NOPEN”木馬正是NSA武器庫中的主力裝備之一，值得警惕的是，在網(wǎng)絡(luò)上很可能仍然存在大量沒有被發(fā)現(xiàn)的受害者，這些網(wǎng)絡(luò)武器的泄露和擴(kuò)散正在嚴(yán)重危害國際互聯(lián)網(wǎng)的整體安全。