2 Equation 组织使用的组件
Equation 组织的被发现的武器库中至少有 6 件“装备”,它们是: EquationLaser 、 EquationDrug 、 DoubleFantasy 、 TripleFantasy 、 Fanny 和 GrayFish 。安天的工程师称其为 “ 组件 ” 。除了这 6 关于“技术分析” 个组件外,友商报告还提供了该组织有可能用到的其它恶意代码程序的哈希,这些哈希对应的程序包括:与 EquationDrug 相似的 EQUESTRE 、键盘记录器程序 GROK keylogger 、 DoubleFantasy 安装程序和 LNK 漏洞利用程序 _SD_IP_CF.dll ,以及需要重点关注的能够对硬盘重新编程的模块 nls_933w.dll 。
EquationLaser
Equation 组织早期使用的植入程序,大约在 2001 至 2004 年间被使用。兼容 Windows 95/98 系统。
EquationDrug
该组织使用的一个非常复杂的攻击组件,用于支持能够被攻击者动态上传和卸载的模块插件系统。怀疑是 EquationLaser 的升级版。
DoubleFantasy
一个验证式的木马,旨在确定目标为预期目标。如果目标被确认,那么已植入恶意代码会升级到一个更为复杂的平台,如 EQUATIONDRUG 或 GRAYFISH 。
TripleFantasy
全功能的后门程序,有时用于配合 GRAYFISH 使用。看起来像是 DOUBLEFANTASY 的升级版,可能是更新的验证式插件。
创建于 2008 年的利用 USB 设备进行传播的蠕虫,可攻击物理隔离网络并回传收集到的信息。 Fanny 被用于收集位于中东和亚洲的目标的信息。一些受害主机似乎已被升级到 DoubleFantasy ,然后又升级为 EQUATIONDRUG 。 Fanny 利用了两个后来被应用到 Stuxnet 关于“技术分析” 中的 0day 漏洞。
Equation 组织中最复杂的攻击组件,完全驻留在注册表中,依靠 bootkit 在操作系统启动时执行。
Equation 组织的 6 个组件的攻击示意图:
Equation 组织攻击时,选择 Fanny 或 DoubleFantasy 或 TripleFantasy 作为攻击前导,当确认被攻击端是攻击者的预期目标后,会使用更复杂的组件 EquationDrug 或 GrayFish 。
安天分析小组目前将重点放在攻击前导组件( DoubleFantasy )、更复杂的组件( EquationDrug 和 GrayFish )。同时对具有硬盘固件重新编程功能的 nls_933w.dll 进行分析。
3 组件 DoubleFantasy 分析
组件 DoubleFantasy 是用来确认被攻击目标的,如果被攻击的目标属于被 Equation 组织感兴趣或关注的领域,那么更加复杂的其他组件就会从远端注入到被攻击的机器中。
友商报告已经对组件 DoubleFantasy 进行了详细分析,安天分析小组原本计划对组件 DoubleFantasy 进行分析验证,但在验证的过程中,分析小组发现该组件是以往分析过的,并找到了其他的关联的恶意代码;同时,安天也发现了友商报告未见披露的信息。
3.关于“技术分析” 1 检测安全软件
组件 DoubleFantasy 枚举注册表键值,查找系统是否安装了安全软件,查询的安全软件列表存在资源节中,使用 0x79 异或加密。在友商报告中给出了其检测是否存在的安全软件列表,共计 10 种,而安天分析小组发现,实际上该组件一共检测 13 种安全软件的存在,除友商报告披露的 10 种产品外,还有 360 、 BitDefender 和 Avira 三家厂商的产品。
鉴于其中 360 安全卫士主要用户均在中国,这也进一步验证了中国也是 Equation 组织攻击的目标之一。
3.2 回传信息
000:MAC 地址 001:IP 地址 . 019: 当前时间
系统补丁信息( CSDVersion ,例如 sp1 )
CurrentBuildNumber (例如 2600 )
系统 CurrentVersion ( 关于“技术分析” 5.1 )
3.3 通讯协议
DoubleFantasy 的被控端返回包格式是第一字节不加密,后面的数据加密。举例 0x42 指令如下:
0x42 指令分支详细功能
控制端发包格式 :第一字节为指令 代码 0x42 ,第二字节为指令分支,分别有 3 种: 00 立即重新上线, 01 初始化通讯密钥, Sleep 60 秒后重新上线, 02 删除自身,清除感染痕迹。
3.4 新的版本、 C&C 、密钥
友商报告给出了相关组件的版本、 C&C 列表和密钥,经安天进一步分析,获得了更多相关信息。下文中绿色为友商报告中信息,红色(加粗)为安天分析出的新的信息。
版本列表:
8.1.0.4 (关于“技术分析” MSREGSTR.EXE)
008.002.000.006
008.002.001.001
008.002.001.004
008.002.001.04A (subversion "IMIL3.4.0-IMB1.8.0")
008.002.002.000
008.002.003.000
008.002.004.000
008.002.005.000
008.关于“技术分析” 002.005.001
008.002.006.000
011.000.001.001
012.001.000.000
012.001.001.000
012.002.000.001
012.003.001.000
012.003.004.000
012.003.004.001
013.000.000.000
C&C 如下:
advancing-technology[.]com
avidnewssource[.]com
businessdealsblog[.]com
businessedgeadvance[.]com
charging-technology[.]com
computertechanalysis[.]com 关于“技术分析”
config.getmyip[.]com - SINKHOLED 关于“技术分析” BY KASPERSKY LAB
globalnetworkanalys[.]com
melding-technology[.]com
myhousetechnews[.]com - 关于“技术分析” SINKHOLED BY KASPERSKY LAB
newsterminalvelocity[.]com 关于“技术分析” - SINKHOLED BY KASPERSKY LAB
selective-business[.]com
slayinglance[.]com
successful-marketing-now[.]com - SINKHOLED BY KASPERSKY 关于“技术分析” LAB
taking-technology[.]com
techasiamusicsvr[.]com 关于“技术分析” - SINKHOLED BY KASPERSKY LAB
technicaldigitalreporting[.]com
timelywebsitehostesses[.]com
www.dt1blog[.]com
www.forboringbusinesses[.]com
Ign***list.com
Dat***cemgmt.net 关于“技术分析”
Imp***today.com
Bud***nessnews.关于“技术分析” com
37 08 EF 89 29 A7 4B 6B AB 3E 5D 03 F6 B0 B5 B3
66 39 71 3C 0F 85 99 81 20 19 35 43 FE 9A 84 11
8B 4C 25 04 56 85 C9 75 06 33 C0 5E C2 08 31 F6
32 EC 89 D8 0A 78 47 22 BD 58 2B A9 7F 12 AB 0C
组件 DoubleFantasy 通常是受害者被 Equation 组织感染的第一步,通过与后门的通信以及对不同系统参数的检查来确认受害者的信息。受害者一旦被确认, Equation 组织将使用更复杂的组件 EquationDrug 或 Grayfish 。
4 组件 EquationDrug 分析
组件 EquationDrug 是一个很复杂的模块。其存活时间有近 10 年,后来被 GrayFish 升级给代替了。安天在分析中发现两个模块中的一些文件名称有相同处,从混淆加密等方面来看也有多处手法相同。它们都是从资源解密、解压缩和释放文件。分析中发现在资源里有一个 SYS 和一个 VXD 文件。 VXD 是 Windows 9x 下的驱动机制,所在可以认定这个模块也有感染 Windows 9x 下的能力。其 EquationDrug 是一个插件平台,它具有安装与卸载插件功能。
关于“技术分析”
扫码下载官方App
学习过该课程的人还学习过:
所属系列课程
比特币入门投资技术分析基础知识,A股潜伏者,朱九戒,本课程面向新手小白,手把手教会比特币投资(及其他主流币)的基础概念、基础操作、分析方法、各种投资理念,还讲授适合新手的稳健盈利策略。 学习目标:《从零开始学比特币》采用由浅入深的教学方式,用通俗易懂的语言给大家讲解币圈的基础知识,让任何一个对数字货币有兴趣的朋友,从入门到精通、掌握投资技能! 适用人群:零基础、无门槛,适合对比特币投资有兴趣,有志于赚取高额回报的朋友(无需大资金,但有少量闲钱或月收入)
传统技术指标有效性的量化分析
小壁虎的春天 于 2020-07-21 11:25:39 发布 1275 收藏 关于“技术分析” 2
投资要点
1/移动平均线(MA)的有效性分析及绩效检验
移动平均线(MA)介绍
移动平均线(MA)的有效性分析-基于事件分析法
可以看到短期-短期MA产生的卖点在T-50和T-20窗口期的平均收益率明显小于模拟卖点产生的平均收益上99%分位数,同样的短期-中期MA产生的卖点在T-50窗口期显著低于模拟的平均收益,这说明在这时候做空是无法获得超额收益的,反倒是显著低于平均收益,进而可以判断短期-短期MA在形成死亡交叉的前10天左右行情仍然是处于上升趋势。而中长期在T+0之前的各个窗口期均是显著高于平均收益的上99%分位数。这说明中长期MA在产生死亡交叉的时候,做空指数可以获的超额收益,也就是说中长期MA产生死亡交叉前50天之前,下行趋势已经形成。换而言之,我们可以得出如下结论,MA指标形成的死亡交叉是具有滞后性的,周期越长的MA所产生的滞后性越强。
移动平均线(MA)的策略绩效分析
所以总体来看,我们可以认为:中短期的MA策略优于中长期的MA策略。
可以发现的是,信号持续时间和交易收益率之间存在显著的正向相关关系,同时,我们可以发现在信号持续时间只有0~3天之时,此次交易大概率是亏损的。这一类情况就属于假突破,骗线,MA指标的周期越短,那么给出假突破的信号的可能性越强。
可以从上表发现,无论是从绝对数还是相对数而言,周期越长的MA策略的在信号持续区间内的最高点到给出卖出信号的整个时间长度是越来越长的,可以认为周期越长的MA策略滞后性越是强。
瑕不掩瑜,MA策略进阶
对于短周期和中周期的组合在年化收益率上略高于买入并且持有策略,同时更重要的是可以有效降低波动率,极大提高夏普比率。我们也要看到对于MA(3-6)组合策略即(MA(5)-MA(120)和MA(120)-MA(240)组合),策略效果不甚理想,说明组合策略的两个不同周期MA差距不可过大,不然会造成两个信号不能有效互补,反倒会互相干扰。
2/乖离率(BIAS)有效性分析
乖离率介绍
乖离率(BIAS)的有效性分析-基于事件分析法
乖离率(BIAS)策略的绩效分析
我们可以看到从净值来看,策略和买入持有策略似乎略低于买入并持有策略,但是此策略明显可以降低策略的波动率;相对来看,我们以95%分位数作为买卖点绩效最好。
3/成交量(VOL)有效性分析
成交量(VOL)领先滞后分析
据此我们对78个标的指数都进行如下操作:对指数的历史成交量和价格数据错开(-30到+30个交易日,共61个交易日),对每一个错开后的时间序列进行相关性检验,记录下依次的相关系数(corrT+j I 其中j=-30、-29…、30,i=1、2…、78)和P值(PT+j i其中j=-30、-29…、30,其中i=1、2…、78)。
经计算,我们发现成交量和指数价格的相关系数是显著为正的,同时P值都是显著小于1%。可以说明在显著性水平1%上成交量和指数价格显著正相关。同时可以从上图看到,除了两个指数外,指数和成交量的最大相关性都是在成交量领先的时候取得。可以说明成交量相对于指数价格是领先性指标。
成交量(VOL)策略绩效分析
我们可以看出相对来说依据成交量(VOL)构建的策略相对来说绩效可能不是很显著,详细数据如下表所示,可以发现年收益率均显著低于买入并持有策略,同时夏普比率相对于买入并持有策略也没有很大的提升。所以相对来说以VOL单个指标构建择时策略并不是十分有效。
LEGU账号
关注微信公众号 获取更多数据