美丽国的“漂亮”行为揭秘

平生

斯诺登刚刚扛着“棱镜”淡出我们的视线没多久，盘古大仙就为我们敞开了一片天地，美国国安局（NSA）的顶流黑客组织“方程式”为全球网络打造了一面扎实的“电幕”才“终见天日”。来来我们一起见识见识Bvp47怎么完成国安老爹的任务的。

混淆视听

Bvp47 的 payload 中的部分代码分片模块中的导出函数普遍使用“数字名称”的形式对外提供接口服务，这样的混淆对于追踪者在分析导出接口的功能分析形成了不小的障碍。好像有点复杂，小编来个简单的例子。2003年2月5日，当过参谋长联席会议主席的四星上将科林·鲍威尔扛着时任国务卿的名号在安理会上拿了一瓶装有白色粉末的试管说这就是伊拉克搞大规模杀伤性化学武器的证据。就有了后来的伊拉克战争，就有了至今仍在动荡的国家伊拉克和渴求和平的伊拉克人民。啥意思呢，就是漂亮国的军政大佬靠忽悠世界挥动军事大棒，他的网络机构就靠黑客工具祸害全球网络。

行事诡秘

Bvp47大量对字符串、区块基于异或方式的变幻加密。同时，Bvp47 直接利用伯克利包过滤器（Berkeley Packet Filter，BPF）隐蔽信道环节，从而避免直接的内核网络协议栈 hook 被追踪者检测出来。所以从当初2015年的特殊网络入侵告警到今天的“电幕”亮相，经历了漫漫十数载。期间，2013年斯诺登揭开的“棱镜门”事件，2016、2017年黑客组织“影子经纪人”(The Shadow Broker)爆料的“方程式组织” ，2022年盘古实验室起底的Bvp47同源样本事件，一路走来虽甚是艰辛，终究实锤了幕后黑手——美国国安局。

无差攻击

Bvp47的后门程序的可攻击对象基本覆盖了Linux发行版、JunOS、FreeBSD、Solaris等主流操作系统，它就是为攻击诞生的，遍及全球45个国家287个目标都成了它入侵的对象。在网络攻击窃密方面，美国真正做到了“民主”，从亲密盟友、合作伙伴到竞争对手，从手机短信和电话内容，到互联网搜索内容、聊天信息等都成了美国国安局行动对象。中国、伊朗、俄罗斯、上手没商量，北约核心国家法国、德国的政要希拉克、萨科齐、奥朗德、默克尔、施泰因迈尔、施泰因布吕克等等纷纷中招。亚洲重要盟友日本不但被黑，甚至沦为了美国发动攻击的跳板，境遇实在是不堪。“普网之下，莫非我手。用网之人，莫非我偶”的单极野心暴露无遗。

深渊之途

二战时的美国为全世界反法西斯事业做出了不可磨灭的贡献。之后的他演变成了什么样，有目共睹。这似乎正印证了德国哲学家尼采在《善恶的彼岸》里的那句名言：“与怪兽搏斗的时候要谨防自己也变成怪兽。当你凝视深渊的时候，深渊也在凝视你。”