关注 | “NOPEN”远控木马分析报告

近日，国家计算机病毒应急处理中心对名为“NOPEN”的木马工具进行了攻击场景复现和技术分析。该木马工具针对Unix/Linux平台，可实现对目标的远程控制。

“NOPEN”木马工具为针对Unix/Linux系统的远程控制工具，主要用于文件窃取、系统提权、网络通信重定向以及查看目标设备信息等。通过技术分析，国家计算机病毒应急处理中心认为，“NOPEN”木马工具编码技术复杂、功能全面、隐蔽性强、适配多种处理器架构和操作系统，并且采用了插件式结构，可以与其他网络武器或攻击工具进行交互和协作，是典型的用于网络间谍活动的武器工具。

“NOPEN”木马工具包含客户端“noclient”和服务端“noserver”两部分，客户端会采取发送激活包的方式与服务端建立连接，使用RSA算法进行秘钥协商，使用RC6算法加密通信流量。

该木马工具设计复杂，支持功能众多，主要包括以下功能：内网端口扫描、端口复用、建立隧道、文件处理（上传、下载、删除、重命名、计算校验值）、目录遍历、邮件获取、环境变量设置、进程获取、自毁消痕等。

经技术分析与研判，该木马工具针对Unix/Linux平台，可在主控端和受控端之间建立隐蔽加密信道，攻击者可通过向目标发送远程指令，实现远程获取目标主机环境信息、上传/下载/创建/修改/删除文件、远程执行命令、网络流量代理转发、内网扫描、窃取电子邮件信息、自毁等恶意功能。该木马工具包含主控端（Client）和受控端（Server）两个部分。主控端的主要功能是连接受控端和向受控端发送指令并接收受控端回传的信息，主控端与被控端成功建立连接后，攻击者可通过主控端控制台向受控端发送指令，受控端根据主控端指令组合调用相应模块实现相关恶意操作。

“NOPEN”木马工具支持在Linux、FreeBSD、SunOS、Solaris、JUNOS和HP-UX等各类操作系统上运行，同时兼容i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、PPC、MIPS、ARM以及AMD64等多种体系架构，适用范围较广。根据监控情况，该木马工具主要用于在受害单位内网中执行各类攻击指令，结合其他嗅探工具，窃取核心数据。

“NOPEN”木马工具支持多种植入运行方式，包括手动植入、工具植入、自动化植入等，其中最常见的植入方式是结合远程漏洞攻击自动化植入至目标系统中，以便规避各种安全防护机制。此外，还有一款名为Packrat的工具，可用于辅助植入“NOPEN”木马工具，其主要功能为对“NOPEN”木马工具进行压缩、编码、上传和启动。

“NOPEN”木马工具主要包括8个功能模块，每个模块支持多个命令操作，可实现对受害机构网络内部的核心业务服务器和关键网络设备实施持久化控制。其主要使用方式为：攻击者首先向安装有“NOPEN”木马工具的网内主机或设备发送特殊定制的激活包，“NOPEN”木马工具被激活后回连至控制端，加密连接建立后，控制端发送各类指令操作“NOPEN”木马工具实施网内渗透、数据窃取、其他武器上传等后续攻击窃密行为。