#原文连接
https://www.pangulab.cn/files/The_Bvp47_a_top-tier_backdoor_of_us_nsa_equation_group.zh-cn.pdf
Bvp47 在重要动作执行流程
方面主要分为两个关键环节, “程序初始化运行”和“隐蔽信道通信”
环节。
在“程序初始化运行”时主要有如下几个关键点,
- 分 Linux 用户态和内核态操作,用户态进程会保持存活 ;
- 进行 Bvp 引擎初始化 ;
- 一系列的环境检测,环境信息不匹配样本就自动清除;
- 一系列的 payload 区块解密 ;
- 篡改内核 devmem 限制,允许用户态直接读写内核空间等内核技巧;
- 装载非标准的 lkm 模块文件 ;
- Hook 系统函数进行自身进程,文件,网络隐藏,自删除检测在“隐蔽信道通信”环节大致如下:
a) Bvp47 接收到服务端发过来的SYN包后,会进入BPF过滤规则(见下文)进行数据包格式匹配;
b) 只有满足操作 1 中的 BPF 规则后,会进行 RSA+RC-X 等加密算法的解密;
c) 根据解密后的指令进行对应命令操作;
Payload
Bvp47 的整个文件采用后门常用打包方式,即将后门功能模块进行压缩、拼装后置文件末尾,整
体以附加数据的形式存在。附加数据通过内置在程序内部的 loader 功能模块进行加载,主要完成以下
几个步骤
#bvp引擎成功劝退
Tips:
NSA ANT catalog中的FOXACID-Server-SOP-Redacted.pdf ,即”酸狐狸”计划—
服务器标准作业流程修订版,NSA漏洞攻击作业平台功能描述和使用手册
8. 参考资源
- The Shadow Brokers: don’t forget your base
https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1 - FOXACID-Server-SOP-Redacted.pdf
https://edwardsnowden.com/docs/doc/FOXACID-Server-SOP-Redacted.pdf - The Shadow Brokers: x0rz-EQGRP https://github.com/x0rz/EQGRP/
- NSA ANT catalog – Wikipedia https://en.wikipedia.org/wiki/NSA_ANT_catalog
