分析：针对物理隔离网络的NSA级USB摆渡木马

前言

在网络安全领域，物理隔离网络一直被认为是最安全的防护手段。然而，本文将为您揭示一个专门针对物理隔离网络的高级持续性威胁（APT）攻击样本——一个被泄露到普通环境的USB摆渡木马。

这个样本展现了极高的代码质量和精密的攻击设计，采用三层载荷架构，通过USB设备在隔离网络中实现数据窃取和横向传播。让我们一起深入了解这个技术精湛的攻击工具。

样本哈希：42b2c3e2e7752de78879a8ce4ecf5eb1

本次分析大量使用AI辅助分析，采用的项目：986K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6E0K9i4g2F1j5i4y4#2i4K6u0r3d9f1c8m8i4K6u0V1f1$3E0A6L8r3H3`. a71K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6E0K9i4g2F1j5i4y4#2i4K6u0r3f1%4m8G2M7X3f1`. be2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6E0K9i4g2F1j5i4y4#2i4K6u0r3f1V1g2m8d9g2)9#2k6V1W2p5b7b7`.`.

一、攻击概览

核心特征

本样本是一个专门针对物理隔离网络的USB摆渡木马，采用三层载荷架构。

四大攻击特点

1. 无网络回传

• 不通过网络发送窃取数据
• 完全适应物理隔离环境

2. 双向数据同步

• 通过U盘在不同被感染机器间同步窃取数据
• 实现数据的自动汇聚

3. 离线远控能力

• 可通过U盘上的配置文件下发命令
• 无需网络连接即可控制目标

4. 广泛传播

• 通过U盘自动感染实现蠕虫式传播
• 快速覆盖隔离网络内的所有机器

二、攻击流程解析

攻击方式为攻击者携带USB进入隔离网络或被其他方式带入环境，木马自动在内网开始传播和感染。

攻击效果：

1. 攻击者插入USB到一台机器或木马被钓鱼执行，该机器被感染
2. 蠕虫木马通过正常USB使用在内网相互感染
3. 最终每台被感染的机器上都具有所有窃取的完整数据
4. 攻击者回到隔离网络，插入USB，同步窃取所有数据

三、技术实现深度剖析

三层载荷架构

第一阶段：伪装与反检测

伪装手段：

• 伪装成文件夹图标，诱导用户点击
• 在未开启扩展名显示的系统上真假难辨

反检测机制：

• 检测杀毒软件，特别针对卡巴斯基
• 如果检测到卡巴斯基，进行特殊处理以规避检测
• 通过系统快照遍历进程，识别安全软件

检测的安全软件列表：

检测特征分析：

• 覆盖中国、俄罗斯、韩国、欧美等多地区主流杀软
• 特别针对卡巴斯基进行规避处理
• 中国杀软占比较高（瑞星、360）
• 体现全球化攻击能力，非单一地区针对性

载荷注入：

• 从资源段提取二段载荷
• 采用反射注入+傀儡进程方式运行
• 创建自身进程作为傀儡，注入恶意代码

第二阶段：隐藏与持久化

隐藏机制：

1. 隐藏扩展名

   • 修改注册表，隐藏可执行文件扩展名
   • 增加恶意文件的隐蔽性

2. 显示钓鱼文档

   • 运行 C:\Windows\explorer.exe 打开同名无扩展名文件
   • 样本初次运行时会显示钓鱼文档或其他文件迷惑用户
   • 用户看到正常文档，不会察觉恶意代码已在后台运行

3. 隐藏系统文件

   • 取消显示受保护的操作系统文件
   • 防止用户发现恶意样本

持久化操作：

• 复制样本到 C:\ProgramData\Application Data\wmimgmt.exe
• 或 C:\Documents and Settings\All Users\wmimgmt.exe
• 更新文件修改时间为当前时间
• 运行持久化目录中的样本

版本控制：

• 样本版本日期：2012-05-04
• 通过互斥量 ProgramLQBMutex 保证单实例运行
• 使用信号量进行版本检测和切换

第三阶段：数据窃取与传播

进入持久化目录后，样本启动三个关键子线程：

1. 版本控制开关子线程

• 持续监控版本更新信号量
• 检测到新版本时，旧版本自动退出
• 确保始终运行最新版本

2. 系统信息窃取子线程

这个线程执行一个功能强大的批处理脚本，收集以下信息：

本机基础信息：

• 操作系统版本、补丁级别
• 主机名、域或工作组
• 物理内存、BIOS、处理器信息
• 环境变量、系统代码页

账户与权限：

• 所有用户账户
• 管理员组成员

进程与服务：

• 当前运行的所有进程
• 正在运行的服务

网络信息：

• 网卡与IP配置
• 当前网络连接
• ARP缓存、路由表
• NetBIOS信息
• 已连接网络共享
• 本机共享目录

域环境枚举：

• 枚举所有域或工作组
• 枚举每个域中的所有主机
• 列出域控制器

横向扫描：

• 对域内每台主机列出共享资源
• 递归列出共享目录所有文件
• 尝试匿名连接测试
• 进行网络连通性测试

文件系统枚举：

• 枚举所有驱动器
• 获取本机所有文件（包括隐藏文件）
• 记录文件时间和大小

数据处理：

• 使用LZ77霍夫曼算法压缩
• 使用自定义位重排算法加密
• 归档到 C:\ProgramData\Documents\Media

3. 文件系统窃取子线程

反沙箱机制：

• 消耗CPU时间，对抗动态分析

文件筛选策略：

策略一：特定目录文件

• 文件路径父目录必须包含6位数字
• 目录名称必须在白名单中（通过算法校验）
• 文件大小为40960字节
• 文件必须可读

白名单目录（通过校验和算法验证）：

策略二：通配符匹配

• 文件可读且大小不为0
• 文件最后修改时间 + 8天 >= 当前日期
• 支持最多20条通配符规则

通配符规则示例：

*.DOC, *.RTF, *.txt, *.xls

每条规则包含：

• 通配符模式（32字节）
• 日期标志位（4字节）
• 最小文件大小（4字节）
• 最大文件大小（4字节）

加密算法：

采用自定义的位重排算法加密文件路径：

输入字节 = [b7 b6 b5 b4 b3 b2 b1 b0]
输出字节 = [b7 b3 b2 b1 b6 b5 b4 b0]

这是一个可逆操作，对加密数据再次应用相同算法即可解密。

数据同步：

• 如果有可用USB驱动器且网络不可达
• 将收集的信息同步到USB中

四、传播机制详解

USB自动运行

autorun.inf 文件：

• 利用Windows自动运行机制
• 通过大小写混淆、空格填充、垃圾注释等手段对抗分析
• 伪造系统配置段增加迷惑性

关键配置：

[autorun]
shEllEXEcuTe = RECYCLER\wmimgmt.com
sheLL\oPeN\coMManD = RECYCLER\wmimgmt.com
shELl\ExpLore\ComMand = RECYCLER\wmimgmt.com
Action = Open folder to view files

目录伪装

RECYCLER目录：

• 伪装为回收站
• 使用 desktop.ini 设置回收站图标
• CLSID: {645FF040-5081-101B-9F08-00AA002F954E}

desktop.ini 结构：

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
CLVER=20120504

感染流程

感染目标：

1. 可移动驱动器（U盘、移动硬盘，排除A盘软驱）
2. USB总线类型的固定驱动器
3. 网络驱动器（网络共享盘，排除A盘）

感染步骤：

1. 禁用已有autorun.inf

   • 检测目标设备中的autorun.inf
   • 设置everyone账户完全访问权限
   • 在扩展名前插入空格字符禁用原有autorun

2. 创建伪装目录

   • 创建 drive:\RECYCLER\desktop.ini
   • 设置为隐藏属性

3. 版本检测与更新

   • 比较当前版本和USB中的蠕虫版本
   • 如果USB版本更新，则更新系统版本
   • 如果系统版本更新，则更新USB版本

4. 重建autorun.inf

   • 创建混淆的autorun.inf文件
   • 指向 RECYCLER\wmimgmt.com

5. 复制载荷

   • 复制自身到 drive:\RECYCLER\wmimgmt.com

6. 目录感染

   • 遍历驱动器所有目录
   • 排除特殊目录（., .., Recycled, RECYCLER, System Volume Information）
   • 复制exe到各目录，命名为"目录名.exe"
   • 设置为系统保护的隐藏文件

时间炸弹

样本会在2088年以后停止感染（默认值，攻击者应该未设定）。

五、版本控制架构

版本管理机制

该样本实现了完善的版本管理与切换机制，通过互斥量、信号量以及配置文件配合完成更新控制。

二阶段版本检测：

1. 创建互斥量 ProgramLQBMutex，保证单实例运行
2. 检测到已有实例时，检查版本信号量 LDVERSION_SEMAPHORE
3. 当前版本较新时，将 LDNEEDUPDATE_SEMAPHORE 加一，标记需要更新

三阶段版本切换：

1. 创建持续运行的版本控制子线程
2. 持续监控 LDNEEDUPDATE_SEMAPHORE 信号量状态
3. 检测到更新标记后，旧版本进程自动退出

desktop.ini 版本信息

功能：

1. 版本标识

   • 存储8位数字版本号
   • 格式：CLVER=XXXXXXXX
   • 对应程序内部版本日期（例如：20120504）

2. 版本混淆

   • 当版本号中某些字符ASCII值大于57时
   • 执行 XOR 0x40 混淆处理

3. 伪装机制

   • 使用回收站CLSID伪装目录

版本更新流程

1. 检查 drive:\RECYCLER\desktop.ini，读取USB上的版本信息
2. 与系统当前版本进行比对
3. 如果USB版本更新，执行更新流程：
   • 复制 drive:\RECYCLER\wmimgmt.com 到临时文件
   • 设置为隐藏属性
   • 执行临时文件
   • 新版本启动后自动删除临时文件

双向同步机制

1. USB插入时自动检测版本差异
2. 系统版本较新 → 更新USB上的文件
3. USB版本较新 → 触发系统更新流程
4. 通过时间戳与版本号比较，确保各节点运行最新版本

该设计允许通过移动介质在隔离环境中实现版本传播与同步。

六、命令执行与远程控制

INFO1 配置文件

文件位置：

• 硬编码路径或 C:\ProgramData\Documents\Media

文件结构：

• 头部：INFO1 + 0x0（0x20字节）
• 配置块：0x100字节 × n
• 总大小：0x100 × n + 0x20
• 加密：自定义位重排算法

配置块详解

偏移0-3：魔数

• RUNF（0x464E5552）- 命令执行
• CPYF（0x46595043）- 文件拷贝窃取

偏移4-7：执行次数计数器

• 剩余执行次数

偏移8-23：目标计算机名

• 以空字符结尾
• 空目标名表示所有机器

偏移24-55：命令/程序路径

• 要执行的命令或程序

偏移56-255：命令行参数

• 传递给程序的参数

命令执行逻辑

1. 寻找第一个满足条件的配置块：

   • 魔数为 RUNF
   • 适用于当前计算机（空目标名或计算机名匹配）
   • 还有剩余执行次数（计数器>0）

2. 执行配置块中的cmd命令

3. 执行后递减计数器

APT特征：

• 可以设定目标计算机名称
• 精确控制特定目标
• 明显的APT攻击特征

七、持续运营机制

定时器回调

根据定时器定期触发以下操作：

USB设备监控：

• 如果存在插入的USB驱动器
• 每4次触发进行一次文件信息收集
• 更新 desktop.ini、autorun.inf、wmimgmt.com

注册表持久化

持久化修改：

• 持续修改注册表，防止被修改为用户可见
• 设置开机自启

策略选择：

1. Windows Vista之前（版本号<6）：

   • 尝试写入 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
   • 键名：wmi32
   • 失败则尝试 Software\Microsoft\Windows\CurrentVersion\Run

2. Windows Vista及更高版本：

   • 直接写入 Software\Microsoft\Windows\CurrentVersion\Run

隐藏技巧：

• 修改注册表键名尾字符（ABC/IBM 改为 Run）
• 使用宽字符转换和路径空格处理增强兼容性

网络状态监控

持续验证网络是否可达，根据网络状态调整数据同步策略。

设备监控

持续监控USB驱动器活动：

• 检测新USB设备插入
• 立即进行感染操作
• 同步数据

八、数据同步策略

同步方向控制

通过 net_connect_flag 和 sys_to_drive_syn_no_connect_flag 共同决定数据同步机制：

设计思路：

• 默认情况下，有网时优先从USB获取数据，无网时优先向USB写入窃取的数据
• 攻击者可通过配置标志改变同步方向，实现灵活的数据流控制
• 这种双向可配置机制确保了在各种网络环境下都能完成数据传输任务

Drive 同步到系统

1. 在 drive:\RECYCLER\ 搜索db文件
2. 比较文件时间戳
3. 如果USB上的db文件更新，覆盖系统中的db文件

系统同步到 Drive

反向操作，将系统中更新的db文件同步到USB。

INFO1 同步

INFO1配置文件也会在系统和USB之间同步：

场景一：系统无INFO1，USB有INFO1

• 或两者都有但USB版本更新
• 复制USB中的INFO1到系统
• 如果是RUNF类型，执行命令
• 如果是CPYF类型，执行文件拷贝窃取操作

场景二：系统有INFO1，USB无INFO1

• 或两者都有但系统版本更新
• 复制系统的INFO1到USB

特殊情况：网络可达时的可选同步

• 默认情况下，有网时不进行系统到USB的数据同步（因为可以通过网络回传）
• 但攻击者可以设置标志，强制在有网时也进行数据同步
• 这为攻击者提供了更灵活的数据收集策略

九、样本关联与归因

VT关联分析

最终载荷特征字符串：

• Hi! Hawaiian!

VT搜索结果：

• 通过特征字符串关联到51个匹配样本

关键样本信息：

本样本（分析对象）：

• VT上传时间：2023-02-24 09:27:28 UTC

同家族关键样本：4b27f4ce2a55b0be3b7cd1c4edf7fd7e98347a0df8cbc19c082e8a1ae1782157

版本验证：

• 样本内部版本号：20120504
• 首次提交到VT：2013-02-05
• 时间线一致性验证了版本号确实为日期格式（YYYYMMDD）

归因分析

根据多方面证据，推断为NSA攻击，但是又存在许多疑点，因此该样本目前无法定性为NSA攻击，

正方观点-支持为NSA攻击

1. 攻击手法与工程化对比

分析者背景：

笔者曾完整分析过NSA顶级工具：

• BVP47 Solaris 10版本（高版本完整分析）
• 影子经纪人（Shadow Brokers）泄露的NSA工具包

在分析本样本过程中，笔者感受到强烈的NSA工程化既视感。

与NSA工具的相似性：

本样本的INFO1配置文件机制与影子经纪人泄露的 enemyrun 工具高度相似：

• 工程设计目的一致（离线配置与命令执行）
• 实现思路相似（通过配置文件传递指令）
• 目标机器名精确控制
• 执行次数计数管理

BVP47的工程化特征对比：

BVP47的核心价值在于：

• 在内核层构建了完善严密的控制平台
• 完整控制Unix内核，实现无痕迹运行
• 高度模块化的可插拔架构
• 动态模块加载能力
• 用户层的API解析引擎（bvp）仅是表层

本样本虽然是用户态工具，但同样体现了NSA的工程化思维：

• 完善的版本管理与更新机制
• 模块化的三层载荷架构
• 配置文件驱动的灵活控制
• 严格的数据管理与同步策略

攻击手法特征：

特点：

• 采取线人带USB到隔离环境
• NSA常用手法
• 类似震网（Stuxnet）攻击模式

2. 代码质量与工程化水平（极高）

版本管理体系：

• 完善的版本控制机制（互斥量+信号量+配置文件三重保障）
• 自动版本检测与平滑切换
• 通过desktop.ini实现版本号传播
• 版本号混淆处理（XOR 0x40）防止简单识别

数据管理架构：

• 双向数据同步机制，支持灵活配置
• 完整的数据归档系统（LZ77霍夫曼压缩+自定义加密）
• 时间戳验证确保数据一致性
• 文件去重与增量更新

代码工程化特征：

• 高度模块化设计（三层载荷架构清晰分离）
• 配置化而非硬编码（通配符规则、目标机器名、执行次数等均可配置）
• 通过文件实现配置与命令执行（INFO1配置文件支持RUNF命令执行、CPYF文件拷贝）
• 离线远程控制能力（无需网络连接，通过USB传递配置文件即可下发命令）
• 完善的错误处理与异常恢复
• 严格的校验机制（白名单目录校验和、文件大小验证等）

安全对抗能力：

• 反沙箱机制（CPU时间消耗）
• 杀软检测与规避（特别针对卡巴斯基）
• 多层加密与混淆（自定义位重排算法、autorun.inf混淆）
• 隐藏技术完善（注册表修改、文件属性设置）

代码质量指标：

• 几乎无明文字符串
• 体积小巧，冗余信息极少
• 兼容性极好（支持多Windows版本）
• 无明显bug，接口设计完善
• 清理机制完善（临时文件自动删除）

持续运营能力：

• 多线程架构保证功能独立运行
• 定时器机制实现持续监控
• 注册表持久化多策略兼容
• 设备监控实时响应USB插入

3. 各组攻击概率分析

1. 美国NSA/Equation Group（85%）

   • 技术特征最吻合
   • 有明确的历史案例
   • 代码质量符合标准
   • 攻击手法完全一致

2. 以色列Unit 8200（70%）

   • 技术能力足够
   • 有USB攻击经验
   • 但通常与NSA合作，难以单独归因

3. 英国GCHQ（65%）

   • 技术能力足够
   • 但通常与NSA合作，难以单独归因

4. 俄罗斯APT（60%）

   • 技术能力足够
   • 有USB攻击历史
   • 但攻击手法不太符合

5. 其他国家/组织（<30%）

4. 时间线分析

样本时间信息：

• 样本版本日期：2012-05-04
• VT首次发现：2012-04-10 02:08:50 UTC

2012年前后美方活跃攻击事件：

时间线特征：

• 本样本的版本日期（2012-05-04）正处于美国针对物理隔离网络的USB摆渡攻击高峰期
• 与Stuxnet、Flame等知名USB摆渡木马处于同一时期
• 技术手法和代码质量与该时期NSA工具高度一致

反方观点：质疑NSA归因的证据

疑点一：传播范围异常广泛

根据测绘和信息关联发现：

• 该样本目前依然在流行
• 传播范围较广，呈现非特定目标攻击特征
• 这不符合NSA针对性攻击的一贯作风

分析：

• NSA通常进行精确的定向攻击
• 广泛传播可能意味着蠕虫失控或样本外泄
• 但也可能是初期投放策略，后期通过配置文件精确控制目标

疑点二：缺乏自毁机制

问题：

• 样本不具备自毁功能
• 美方样本通常存在自毁机制，防止意外扩散
• 如果是攻击环境样本外泄导致蠕虫肆虐，NSA不应出现这样的疏忽

反驳：

• 2012年时期的工具可能尚未完善自毁机制
• USB摆渡木马的自毁机制实现较为复杂（需判断是否在目标环境）
• Stuxnet早期版本也曾出现过意外扩散

疑点三：杀软对抗策略不明确

观察：

• 最外层加载器：呈现国内外广泛杀软对抗，无明确地域针对性
• 内层2、3层：呈现高度指向性攻击特征
• 特别针对卡巴斯基，但不仅限于此

检测的安全软件覆盖范围：

分析：

• 外层广泛对抗可能是为了提高通用性，确保在多种环境下都能成功运行
• 内层精确控制体现真实攻击意图（通过INFO1配置文件指定目标机器名）
• 杀软检测覆盖全球主流产品，不限于特定国家或地区
• 中国杀软（瑞星、360）占比较高，但也包含欧美、俄罗斯、韩国等地区产品

疑点四：样本流入非关基单位

现象：

• 在一部分非关键基础设施单位发现
• 在普通民营公司中传播
• 不符合NSA精确打击的特征

可能解释：

• 蠕虫式传播的副作用
• 通过USB在不同环境间意外传播
• 或者是测试阶段的样本泄露

结语

这个USB摆渡木马展现了极高的技术水平和精密的设计思想。从三层载荷架构到完善的版本控制，从强大的信息收集到灵活的数据同步，每一个细节都体现了攻击者的专业性和经验。

关键特征：

• 专门针对物理隔离网络
• 无需网络连接即可完成攻击
• 通过USB实现数据窃取和命令控制
• 蠕虫式传播快速覆盖目标网络
• 完善的版本管理和更新机制

防护建议：

1. 严格控制USB设备使用
2. 禁用autorun自动运行功能
3. 定期检查系统隐藏文件
4. 监控注册表启动项
5. 使用专业的USB安全管理工具
6. 建立USB设备白名单制度
7. 定期进行安全审计

安全启示：物理隔离并非绝对安全，USB等移动介质成为攻击者突破隔离网络的重要途径。组织机构需要建立完善的移动介质管理制度，加强人员安全意识培训，才能有效防范此类攻击。

声明： 本文仅用于技术研究和安全防护目的，请勿用于非法用途。

相关阅读推荐：

• 震网（Stuxnet）病毒技术分析
• NSA网络武器库泄露事件
• BVP47后门深度分析
• 物理隔离网络安全防护指南

欢迎关注，获取更多网络安全技术分析！

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！