专家详细介绍了方程式组黑客使用的DanderSpritz框架测井仪

网络安全研究人员详细介绍了一个名为DoubleFeature的系统，该系统致力于记录因部署DanderSpritz而产生的攻击后的不同阶段。DanderSpritz是Equation Group使用的一个全功能恶意软件框架

DanderSpritz于2017年4月14日曝光，当时一个名为影子经纪人的黑客组织根据题为“迷失在翻译中”的快讯泄露了该漏洞工具泄密中还包括由美国国家安全局（NSA）开发的网络攻击工具“永恒蓝”（EternalBlue），它使威胁参与者能够对未打补丁的Windows计算机实施NotPetya勒索软件攻击

该工具是一个模块化的、隐蔽的、功能齐全的框架，依赖数十个插件在Windows和Linux主机上进行攻击后活动。Check Point的研究人员在周一发布的一份新报告中称，DoubleFeature就是其中之一，它可以作为“携带头皮屑的受害者机器的诊断工具”

“DoubleFeature可以用作一种罗塞塔石，以便更好地理解DanderSpritz模块及其危害的系统，”这家以色列网络安全公司补充道。“这是事故响应团队的白日梦。”

DoubleFeature是一个基于Python的仪表板，设计用于维护可部署在目标机器上的工具类型的日志，它还兼作报告实用程序，将日志信息从受感染的机器导出到攻击者控制的服务器。使用名为“DoubleFeatureReader.exe”的专用可执行文件解释输出

DoubleFeature监控的一些插件包括名为UnitedRake（又名EquationDrug）的远程访问工具和叫卖廉价（PeddleCheap），一个名为StraitBizarre的秘密数据外泄后门，一个名为KillSuit（又名GrayFish）的间谍平台，一个名为DiveBar的持久性工具集，一个名为Flewenue的隐蔽网络访问驱动程序，还有一个名为MistyVeal的验证器植入，用于验证受损系统是否确实是真正的受害者机器，而不是研究环境

“有时，高级APT工具的世界和普通恶意软件的世界似乎是两个平行的世界，”研究人员说。“民族国家行为体倾向于（维护）秘密的、庞大的代码库，展示了几十年来由于实际需要而培养出来的一系列功能。事实证明，我们也仍在慢慢地咀嚼4年前泄露给我们的DanderSpritz，并获得新的见解。”