方程式组织工具早在2016年就被用于网络攻击

早在2016年，Buckeye（网络渗透组织）就已经在使用方程式组织的工具。虽然Buckeye在2017年之后逐渐销声匿迹，但其工具一直都有人在使用。

关键发现

• Buckeye攻击小组至少在Shadow Brokers公布一年前就开始使用方程式组织的工具进行后门权限维持。
• Buckeye使用的工具似乎与Shadow Brokers公布的工具有所不同，这表明两者的工具来源不同。
• Buckeye使用方程式组织工具还涉及利用以前未知的Windows的0day漏洞。赛门铁克于2018年9月向微软报告了这一漏洞，直到2019年3月才得以修复。
• 虽然Buckeye似乎在2017年中期销声匿迹，但其使用的方程式组织工具一直到2018年末都有人在使用。这可能牵涉到另一黑客组织，又或者Buckeye还在偷偷活动。

2017年由Shadow Brokers公布的方程式组织的工具是近年来最重要的网络安全事件之一。方程式组织被认为是世界上技术最老练的间谍组织之一，其工具的公开对全世界的网络安全产生了重大影响。2017年的WannaCry勒索事件震惊全球。

但是，赛门铁克已有证据表明Buckeye网络间谍组织（又名APT3，Gothic Pand）在Shadow Brokers公布一年前就开始使用方程式组织的工具。

从2016年3月开始，Buckeye就开始使用DoublePulsar（Backdoor.Doublepulsar）的变种，相信经历过WannaCry事件的人都很熟悉这个工具。DoublePulsar通过专门设计的漏洞利用工具（Trojan.Bemstour）传输到受害者的机器上并进行安装。

Bemstour利用两个Windows漏洞，可在受害者的机器上实现远程内核代码执行。一个漏洞是Symantec发现的Windows零日漏洞（CVE-2019-0703）；另一个是在2017年就被修复的Windows漏洞（CVE-2017-0143），主要涉及两个方程式组织工具——EternalRomance和EternalSynergy。

第一个漏洞主要和信息泄露有关，赛门铁克于2018年9月向微软报告，并于2019年3月12日得到修复。

Buckeye如何在Shadow Brokers公布一年前就获得方程式组织的工具仍然是个未知。

Buckeye于2017年中期销声匿迹，该集团的三名成员于2017年11月在美国被起诉。不过，其组织的一系列攻击工具至少到2018年9月都和其他恶意软件一起出现并使用过。

攻击史

Buckeye自2009年以来就一直很活跃，它主要针对美国的组织发动攻击。

该组织使用过不少0day漏洞。包括在2010年攻击活动中的CVE-2010-3962，2014年攻击活动中的CVE-2014-1776。此外还有很多等待确认的漏洞使用记录，不过可以肯定的是，这些漏洞大部分都是针对Internet Explorer和Flash。

时间表

从2016年8月开始，一个自称为Shadow Brokers的团体开始声称拥有源自方程式组织的工具。它最初发布了一定的样本，并表明为最高出价者提供了全部工具。在接下来的几个月里，它逐步公开了更多工具，直到2017年4月，它发布了最重大的工具工具，包括DoublePulsar后门，FuzzBunch框架，以及EternalBlue，EternalSynergy和EternalRomance漏洞利用工具。

然而，Buckeye至少在一年前就已使用过这些工具。Buckeye最早使用工具的时间是在2016年3月31日攻击香港的目标时。在此次攻击中，Bemstour利用工具把Buckeye的恶意软件（Backdoor.Pirpi）传输给受害者。一小时后，Bemstour又被用来攻击比利时的一所教育机构。

Bemstour专门设计用于传输DoublePulsar后门的变种。然后再通过DoublePulsar注入其他payload，它仅在内存中运行。即使删除DoublePulsar，注入的payload也可让攻击者长期控制受害者的机器。

Bemstour攻击工具的一个高级版本于2016年9月出现，当时被用于攻击香港的教育机构。原始版本仅能够攻击32位系统，新版本可以攻击32位和64位目标。而且注入的payload的可让攻击者在受害者的机器上执行任意shell命令以及运行其他可执行文件。不过当攻击64位的机器时，它并不能和DoublePulsar后门一起使用。

2017年6月，Bemstour再次被用于攻击卢森堡的一个组织。在这次攻击中，Bemstour和另一个后门木马（Backdoor.Filensfer）一起出现。在2017年6月至9月期间，Bemstour还被用于攻击菲律宾和越南的目标。

Bemstour的更新一直持续到2019年。赛门铁克观察到的最新的Bemstour样本时间戳是2019年3月23日，即赛门铁克上报漏洞被修复的11天后。

以上所有攻击的目的都是为了在受害者的机器上维持权限，这意味着可能有大量信息遭到泄露。

Filensfer

Filensfer是指某个同一系列的恶意软件，自2013年以来一直用于针对各种目标。赛门铁克发现了该软件的多个版本，包括C++版本，编译好的Python版本（使用py2exe）以及PowerShell版本。

在过去的三年中，Filensfer出现在卢森堡，瑞典，意大利，英国和美国的网络攻击中。涉及电信，媒体和制造业等多个组织。虽然赛门铁克从未观察到Filensfer与任何已知的Buckeye工具一起出现，但其他研究人员找到过Filensfer与Buckeye恶意软件（Backdoor.Pirpi）一起使用的证据。

Bemstour攻击工具

Bemstour利用两个Windows漏洞来在受害者机器上实现远程内核代码执行。

第一个漏洞（CVE-2019-0703）涉及到SMB服务，Symantec已上报该漏洞。该漏洞可导致信息泄露。

第二个漏洞（CVE-2017-0143）是一种消息类型混淆漏洞。当两个漏洞一起被利用时，攻击者可以进行远程内核代码执行，使他们能够向目标机器传递恶意软件。

当Bemstour在2016年首次被使用时，这两个漏洞都是0day，尽管CVE-2017-0143随后在2017年3月被微软修补（MS17-010）。CVE-2017-0143还被其他两个漏洞利用工具——EternalRomance和EternalSynergy使用——这些漏洞工具都是2017年4月Shadow Brokers公布工具的一部分。

Buckeye攻击工具，EternalRomance以及EternalSynergy都可以利用CVE-2017-0143在未打补丁的机器上损坏内存。而为了获得远程代码执行能力，还需要收集内存布局信息的其他三种攻击工具。每个工具都依赖于不同的漏洞。以Buckeye攻击工具为例，攻击者利用他们自己的0day漏洞（CVE-2019-0703）。

DoublePulsar

Buckeye执行的第一次攻击中使用的DoublePulsar变种与Shadow Brokers公布的似乎有所不同。它包含针对较新版本Windows（Windows 8.1和Windows Server 2012 R2）的代码，这表明它是一个较新版本的恶意软件。此外它还有额外一层混淆。基于技术特征和时间线，这种混淆可能是由DoublePulsar的原始作者编写的。

值得注意的是，攻击者从未在攻击中使用过FuzzBunch框架。FuzzBunch是一个管理DoublePulsar和其他方程式组织工具的框架，在2017年被Shadow Brokers公开。这说明Buckeye只拥有有限数量的方程式组织工具。

未解之谜

关于Buckeye如何获得方程式组织工具存在多种可能，一种可能性是Buckeye从捕获的网络流量中发现了工具的存在，从而设计了自己的版本。还有可能是从方程式组织的内部人员或有漏洞的服务器获得的。

在Buckeye消失之后，其攻击工具还在网络上流传。这表明Buckeye可能在2017年曝光后重新调整组织架构，以另一身份运作。不过，除了这些工具之外，赛门铁克还没有发现任何其他证据表明Buckeye已经重组。另一种可能性是Buckeye将一些工具转给了另一个攻击团队。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.symantec.com/blogs/threat-intelligence/buckeye-windows-zero-day-exploit