NOPEN—方程式组织针对Unix系统的后门

E安全9月14日讯 Vectra Networks的安全专家仔细分析了“影子经纪人（the Shadow Brokers）”泄露的某个文件。之前，影子经纪人声称窃取了“方程式组织（Equation Group）”的黑客工具。

虽然大多数媒体和安全研究人员将研究重点集中在揭露潜在的零日漏洞上，但有一些工具仍处于未知状态。

NOPEN是Unix系统的RAT（远程控制工具）

Vectra Networks的安全专家Nick Beauchesne表示，其中一个工具就是NOPEN，安全专家之前将该工具描述为方程式组织安装在被劫持设备上的 “post-exploitation shell”，从而连接到被入侵的设备。

Beauchesne将NOPEN称之为Unix系统的RAT（远程控制工具）。RAT是常用来描述在Windows和Android设备发现的一类恶意软件，允许攻击者连接至被感染的系统。

据Beauchesne分析，NOPEN当之无愧属于RAT。他表示，该工具对方程式组织黑客工具的重要性非同寻常，因为在文档文件中提及的次数非常多。NOPEN非常复杂。

方程式组织操作人员应该会攻击系统，安装NOPEN，从被入侵的设备打开连接到自己的系统，并开始监听数据。一旦发现寻找的对象，操作人员应该会将该工具删除。

Beauchesne写到，“最终，该工具会为提供一个强大简单的shell和隧道功能，所有功能经RC6加密。”

NOPEN能在Linux、FreeBSD、SunOS、Solaris和HP-UX上运行

Beauchesne的分析表明，NOPEN在所有类型的架构上均能运作，比如i386、i486、 i586、 i686、 i86pc、 i86、SPARC、Alpha、x86_64和AMD64。专家表示，NOPEN能在Linux、FreeBSD、SunOS、Solaris、HP-UX等操作系统上运行。

该工具的主要用途是打开返回至方程式组织服务器的隧道，并运行反向shell（命令行接口）。操作人员运行NOPEN客户端，同时NOPEN服务器安装在被劫持设备上。

Beauchesne表示，好消息是，即使RC6加密能隐藏流量，一些现有安全解决方案也许能在一些网络中检测到NOPEN。

E安全注：本文系E安全编辑报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com