第一部分（Bvp47-美國NSA方程式組織的頂級后門?）：https://www.bilibili.com/read/cv15389045

https://www.pangulab.cn/post/the_bvp47_a_top-tier_backdoor_of_us_nsa_equation_group/

在報告“Bvp47-美國NSA方程式組織的頂級后門”（參考1）的描述中，Bvp47本身像是一個巨大的殼或壓縮包，共包含了18個分片，盤古實驗室展示了對于Bvp47后門程序的歸屬分析和部分技術細節(jié)的描述，比如BPF隱蔽隧道，但依然還有部分其他模塊值得深入探 究，這些模塊既可以作為Bvp47的一部分一起執(zhí)行任務，也可以被獨立使用。

在2015年對國內(nèi)某國家重要關鍵信息基礎設施的Solaris系統(tǒng)取證中，盤古實驗室提取到了一份獨立存活于Solaris平臺看起來與Bvp47關系密切的樣本，后經(jīng)確認，樣本文件內(nèi)容與“影子經(jīng)紀人”（The Shadow Brokers）揭露出的“飲茶”（Suctionchar_Agent）木馬程序原文件一致。該木馬程序搭配Bvp47中的Dewdrop、Incision等模塊和控制程序tipoff，可以輕松竊取目標系統(tǒng)用戶在執(zhí)行ssh、passwd、sudo等命令時的賬號密碼，隨即將其隱蔽保存在目標系統(tǒng)中。這些被加密隱藏的密碼文件同樣也需要RSA算法的私鑰來解密。

基于特征的入侵分析取證發(fā)現(xiàn)，國內(nèi)大量重要組織機構受到了這個美國國家安全局（NSA）來源的“飲茶”（Suctionchar_Agent）木馬程序的侵襲，其中就包括了近期披露的被網(wǎng)絡滲透的西北工業(yè)大學。有證據(jù)顯示， NSA利用“飲茶”（Suctionchar_Agent）木 馬程序竊取了世界各國難以確切估量的賬號密碼，在美國各地建立了多個高度機密的賬號密碼海量數(shù)據(jù)存儲中心，供NSA的行動部門TAO隨時查詢并“合法”進入受害者的信息系統(tǒng)。

追蹤Bvp47的過程更像是在摸索一張迷霧下的拼圖，在奇安盤古實驗室與國家計算機病毒應急處理中心的通力合作下，這份報告將會通過對“飲茶”（Suctionchar_Agent）、Dewdrop、Bvp47_loader等程序和系統(tǒng)模塊的技術分析來進一步理解Bvp47這個頂級后門平臺的部分工作方式和執(zhí)行邏輯。

報告完整下載地址：https://www.pangulab.cn/files/The_Bvp47_a_top-tier_backdoor_of_us_nsa_equation_group_ii.zh-cn.pdf

來自：北京奇安盤古實驗室