比ShadowBrokers抢先一步？间谍组织Buckeye在美国国安局黑客工具泄露之前就率先使用

概述

2017年，一个自称为Shadow Brokers（影子经纪人）的神秘组织，泄露了著名的Equation组织的一系列黑客工具，该事件也随即成为近年来最重要的网络安全事件之一。Equation组织（方程式组织，美国国家安全局NSA下属组织）被认为是世界范围内技术 最成熟 的间谍组织之一，其 工具 的泄露，显然对安全领域产生了重大影响，许多攻击者纷纷利用泄露的工具实现恶意软件的制作和实际攻击。其中一个更为著名的工具，即EternalBlue（永恒之蓝）漏洞利用工具，被广泛用于2017年5月爆发的 WannaCry勒索软件 之中，并对世界范围内的用户产生了破坏性影响。

然而，Symantec已经发现有证据表明，Buckeye网络间谍组织（又名APT3、Gothic Panda）在Shadow Brokers泄露Equation组织工具包前至少一年，就开始使用Equation的工具。

从2016年3月开始，Buckeye开始试用DoublePulsar（ Backdoor.Doublepulsar ）工具的变种，该利用工具在2017年才由Shadow Brokers公开发布。DoublePulsar（双脉冲星SMB后门）专门使用自定义的漏洞利用工具（Trojan.Bemstour）实现对受害者的感染。

Bemstour利用两个Windows漏洞，在目标计算机上实现远程内核代码执行。其中，一个漏洞是Symantec发现的Windows 0-day漏洞（ CVE-2019-0703 ），另一个漏洞（ CVE-2017-0143 ）在2017年3月发现被EternalRomance和EternalSynergy这两个漏洞利用工具利用后即被修补，而后者提到的两个漏洞利用工具，也是Shadow Brokers泄露的NSA工具包中的一部分。

其中的第一个0-day漏洞，将导致信息泄露，并且一旦与其他漏洞共同利用，将获得远程内核代码执行。Symantec在2018年9月向Microsoft报告这一问题，Microsoft在2019年3月12日进行了 漏洞修复 。

Buckeye间谍组织是从什么途径，能够在Shadow Brokers泄露Equation组织工具包的至少一年前获得这些工具？这个问题的答案我们仍然未知。

Buckeye组织在2017年年中消失在人们的视线范围之中，该组织的3名成员在2017年11月在美国被起诉。然而，尽管涉及已知Buckeye工具的恶意活动在2017年年中停止，但Beckestour漏洞利用工具和Buckeye使用的DoublePulsar变种仍然在2018年9月被用于与不同的恶意软件共同使用。

核心发现

1. Buckeye攻击组织在Shadow Brokers泄露Equation组织工具包的至少一年前，就使用这些工具获取对目标组织的持久访问。

2. Buckeye所使用的Equation组织工具的变种，似乎与Shadow Brokers发布的工具不同，这可能表明二者的来源不同。

3. Buckeye使用的Equation组织工具，还涉及到利用了以前未知的Windows 0-day漏洞。Symantec在2018年9月向Microsoft报告了这一漏洞，Microsoft在2019年3月进行了修复。

4. 尽管Buckeye似乎在2017年年中停止运营，但他们使用的Equation组织工具，被持续用于攻击，直至2018年年底。我们暂不清楚是谁使用了这些工具，但推测这些工具可能已经被传播到其他的恶意组织，或者Buckeye仍然在持续运营中。

0-day漏洞利用历史

Buckeye攻击组织至少在2009年就开始活跃，当时该组织发起一系列间谍攻击活动，主要针对美国的组织。

在历史上，该组织曾经利用过0-day漏洞。在2010年，他们使用过 CVE-2010-3962 的0-day漏洞进行攻击，在2014年，他们使用过 CVE-2014-1776 漏洞进行攻击。此外，还有疑似该组织使用的一些其他0-day漏洞攻击记录，但我们尚未对其可靠性进行确认。目前我们已知，或者怀疑该组织开展的所有0-day攻击，都是针对Internet Explorer和Flash中的漏洞。

攻击时间表

从2016年8月开始，一个自称为Shadow Brokers（影子经纪人）的组织开始发布声称来源于Equation（方程式）组织的工具。最初，他们发布了他们拥有的信息样本，并为出价最高者提供了全套工具。在接下来的几个月中，他们逐步发布了更多的工具，直到2017年4月，发布了最后的大量工具，其中包括DoublePulsar后门、FuzzBunch框架、EternalBlue漏洞利用工具、EternalSynergy漏洞利用工具和EternalRomance漏洞利用工具。

然而，Buckeye至少在一年前就已经使用过这些被Shadow Brokers在一年之后泄露的工具。Buckeye最早使用Equation工具的时间是2016年3月31日，用于攻击位于香港的目标。在此次攻击中，Bemstour漏洞利用工具通过已知的Buckeye恶意软件（ Backdoor.Pirpi ）被传递给受害者。在一小时后，Bemstour漏洞利用工具被用于攻击位于比利时的一家教育机构。

Bemstour是专门设计用于提供DoublePulsar后门的变种。随后，利用DoublePulsar注入第二阶段Payload，该Payload仅在内存中运行。即使是在删除DoublePulsar之后，第二阶段Payload也能够允许攻击者访问受影响的计算机。值得注意的是，在该工具的早期版本中，没有卸载DoublePulsar植入工具的任何方法。卸载功能已经在更高版本中被添加。

Bemstour漏洞利用工具的一个显著改进版本是在2016年9月推出，当时新推出版本的恶意软件被用于针对香港的教育机构发动攻击。尽管原始版本仅支持32位操作系统，但新推出的版本同时支持32位和64位系统，也增加了对较新版本Windows系统的支持。第二种变种中，Payload增加了另一个新的功能，允许攻击者在受感染的计算机上执行任意 Shell 命令。该自定义Payload还可以复制目标计算机的任意文件，以及在目标计算机上执行任意进程。当目标是32位操作系统时，Bemstour仍然会提供相同的DoublePulsar后门。但是，针对64位目标，它仅提供自定义Payload。攻击者经常使用该工具来执行创建新用户帐户的Shell命令。

Bemstour在2017年6月被再次用于攻击卢森堡的一个组织。与Bemstour使用Buckeye的Pirpi后门交付的早期攻击不同，在此次攻击中，Bemstour被另一个后门木马（ Backdoor.Filensfer ）交付给受害者。2017年6月至9月期间，Bemstour还被用于攻击菲律宾和越南的目标。

攻击者对于Bemstour的开发过程一直持续到2019年。根据Symantec的监测，我们发现的最新Bemstour样本是在2019年3月23日编译的，即Microsoft修复0-day漏洞后的第11天。

上述所有攻击的目的，都是为了在受害者的网络上获得持久性，这意味着攻击者最有可能的目的是窃取特定信息。

与恶意软件Filensfer的关联

Filensfer是一系列恶意软件，自2013年以来，这一系列恶意软件一直被攻击者使用，用于针对特定目标的攻击。Symantec发现了该系列多个版本恶意软件，包括C++版本、编译的 Python 版本（使用py2exe）和PowerShell版本。

在过去的三年中，Filensfer已经被攻击者部署到位于卢森堡、瑞典、意大利、英国和美国的目标组织中，其中涉及电信、媒体和制造业。尽管我们从未观察到Filensfer与任何已知的Buckeye工具一起使用，但其他厂商已经发现了一些证据，证明Filensfer与已知的Buckeye恶意软件（Backdoor.Pirpi）一起使用。

Bemstour漏洞利用工具

Bemstour利用两个Windows漏洞，在目标计算机上实现远程内核代码执行。

该漏洞是由于Windows SMB服务器处理某些请求的方式存在问题，我们发现并报告了这个0-day漏洞（CVE-2019-0703），该漏洞允许泄露特定信息。

第二个漏洞（CVE-2017-0143）是一种消息类型混淆漏洞。当两个漏洞一起被利用时，攻击者可以以内核模式代码执行的方法获得完全访问权限，从而向目标计算机传递恶意软件。

当Bemstour在2016年首次使用此工具时，两个漏洞都是0-day，此后CVE-2017-0143在2017年3月被Microsoft修复（MS17-010安全通告）。CVE-2017-0143还被其他两个漏洞利用工具——EternalRomance和EternalSynergy所使用，这些漏洞利用工具在2017年4月作为Shadow Brokers泄露的工具包中的一部分被公开发布。

Buckeye的漏洞利用工具EternalRomance和EternalSynergy可以利用CVE-2017-0143消息类型混淆漏洞，在未安装补丁的计算机上实现内存损坏。为了获得远程代码执行，这三种漏洞利用工具除了利用上述消息类型混淆漏洞之外，还需要收集有关受攻击系统的内存结构信息。每个工具都以不同的方式来实现这一目的，并且依赖不同的漏洞。在Buckeye漏洞利用工具中，使用的是他们自己发现的0-day漏洞（CVE-2019-0703）。

DoublePulsar开发

在Buckeye开展的第一次攻击中，他们所使用的DoublePulsar变种与Shadow Brokers泄露的不同。该变种似乎包含针对较新版本Windows（Windows 8.1和Windows Server 2012 R2）的代码，表明这是较新版本的恶意软件。此外，它还包含一层额外的混淆。根据其技术特征和编译时间判断，这种混淆可能是由DoublePulsar的原始作者创建的。

值得注意的是，攻击者从未在其攻击过程中使用过FuzzBunch框架。FuzzBunch是一个旨在管理DoublePulsar和其他Equation组织工具的框架，并在2017年被Shadow Brokers泄露。这表明，Buckeye组织只能成功获取有限数量（或一定范围）的Equation工具。

Buckeye组织时间表

2016年3月

Buckeye开始在实际攻击中使用Equation组织的工具：DoublePulsar后门和Bemstour漏洞利用工具（其中包括Equation组织使用的CVE-2017-0143漏洞利用）。

2016年9月

Bemstour的升级版本投入使用。

2017年3月

在Shadow Brokers泄露工具包后，Microsoft发布了CVE-2017-0143补丁；

我们最后一次发现Buckeye的Pirpi恶意软件样本。

2017年4月

Shadow Brokers公开发布Equation组织工具包，其中包括DoublePulsar后门和EternalRomance和EternalSynergy漏洞利用工具，后面两个利用工具使用了CVE-2017-0143漏洞。

2017年6月

Bemstour和DoublePulsar在针对卢森堡的攻击中被使用，该工具与Filensfer后门结合使用；

Bemstour和DoublePulsar在针对菲律宾的攻击中被使用。

2017年8月

Bemstour和DoublePulsar在针对越南的攻击中被使用。

2017年11月

三名涉嫌与Buckeye组织有关联的成员在美国被起诉。

2018年9月

发现Bemstour漏洞利用工具使用了一个0-day漏洞（CVE-2019-0703）并将漏洞情况报告给Microsoft。

2019年3月

Microsoft发布CVE-2019-0703补丁；

最新的Bemstour样本完成编译并投入使用。

尚未解决的疑问

关于Buckeye如何在Shadow Brokers泄露工具包之前获取到Equation组织的工具，有多种可能性。我们根据攻击的时间、工具的特征以及工具的构建方式，推测其中的一种可能性是，Buckeye从捕获的网络流量中发现了这些工具，并自行设计了他们的工具版本，可能是观察来自Equation组织的攻击活动。鉴于目前已有的证据，Buckeye通过访问不安全的Equation组织服务器获取工具，或Equation组织成员将工具泄露给Buckeye的这两种可能性较低。

在Buckeye淡出人们视野之后，这些漏洞利用工具以及DoublePulsar还持续被使用，这可能表明Buckeye在2017年被曝光后进行了重新调整，放弃了我们发现与该组织相关的所有工具。然而，除了继续使用这些工具之外，我们还没有发现任何其他证据表明Buckeye已经重组。这也将我们导向了另外一种可能性——Buckeye将一些工具分享给了其他组织。

防护措施

用户可以使用本地反病毒防护产品或网络入侵检测产品，来避免受到此类攻击。

基于文件的保护如下：

·Trojan.Bemstour

· Backdoor.Doublepulsar

· Backdoor.Pirpi

· Backdoor.Filensfer

网络入侵检测/防护规则如下：

· 攻击：SMB Double Pulsar Ping

· 攻击：SMB Double Pulsar响应

· 攻击：SMB Double Pulsar V2活动

· 攻击：RDP Double Pulsar Ping

IoC

Pirpi（第一个变种）

· MD5：7020bcb347404654e17f6303848b7ec4      

· SHA256：cbe23daa9d2f8e1f5d59c8336dd5b7d7ba1d5cf3f0d45e66107668e80b073ac3  

Pirpi（第二个变种）

· MD5：aacfef51a4a242f52fbb838c1d063d9b  

· SHA256：53145f374299e673d82d108b133341dc7bee642530b560118e3cbcdb981ee92c     

用于在远程计算机上列出用户帐户的命令行实用程序

· MD5：c2f902f398783922a921df7d46590295  

· SHA256：01f53953db8ba580ee606043a482f790082460c8cdbd7ff151d84e03fdc87e42  

Filensfer（C/C++）

· MD5：6458806a5071a7c4fefae084791e8c67  

· SHA256：6b1f8b303956c04e24448b1eec8634bd3fb2784c8a2d12ecf8588424b36d3cbc  

Filensfer（PowerShell）

· MD5：0d2d0d8f4989679f7c26b5531096b8b2      

· SHA256：7bfad342ce88de19d090a4cb2ce332022650abd68f34e83fdc694f10a4090d65  

Filensfer（py2exe）

· MD5：a3932533efc04ac3fe89fb5b3d60128a  

· SHA256：3dbe8700ecd27b3dc39643b95b187ccfd44318fc88c5e6ee6acf3a07cdaf377e  

命令行SMB客户端

· MD5：58f784c7a292103251930360f9ca713e  

· SHA256：1c9f1c7056864b5fdd491d5daa49f920c3388cb8a8e462b2bc34181cef6c1f9c

HTran

· MD5：a469d48e25e524cf0dec64f01c182b25  

· SHA256：951f079031c996c85240831ea1b61507f91990282daae6da2841311322e8a6d7