朋友,既然来了,加入我们的大家庭呗~
您需要 登录 才可以下载或查看,没有账号?立即注册
×
10月19日上午,国家安全构造披露了美国国家安全局(以下简称NSA)对国家授时中央(以下简称“授时中央”)实行庞大网络攻击运动。国家互联网应急中央(CNCERT)通太过析研判和追踪溯源得出此次攻击变乱的团体环境,现将详细技能细节公布如下:4 A3 V' {9 _0 T% e# l
一、攻击变乱概貌
5 x6 d5 {( h. J8 `. J6 L6 p5 l" o2022年3月起,NSA使用某国外品牌手机短佩服务毛病,机密监控10余名国家授时中央工作职员,非法盗取手机通讯录、短信、相册、位置信息等数据。2023年4月起,NSA在“三角丈量”举措曝光前,多次于北京时间破晓,使用在某国外品牌手机中盗取的登录凭据入侵国家授时中央盘算机,密查内部网络建立环境。2023年8月至2024年6月,NSA针对性摆设新型网络作战平台,对国家授时中央多个内部业务体系实行渗出运动,并计划向高精度地基授时导航体系等庞大科技底子办法发动攻击。! U% c% w9 j# S' s7 ?
纵观此次变乱,NSA在战术理念、操纵伎俩、加密通讯、免杀逃逸等方面依然体现出天下领先水准。隐匿实行攻击,NSA通过利用正常业务数字证书、伪装Windows体系模块、署理网络通讯等方式潜伏其攻击窃密举动,同时对杀毒软件机制的深入研究,可使其有用制止检测;通讯多层加密,NSA利用网攻武器构建回环嵌套加密模式,加密强度远超通例TLS通讯,通讯流量更加难以解密还原;运动耐烦审慎,在整个运动周期,NSA会对受控主机举行全面监控,文件变更、关机重启都会导致其全面排查非常缘故原由;功能动态扩展,NSA会根据目的情况,动态组合差别网攻武器功能模块举行下发,表明其同一攻击平台具备机动的可扩展性和目的适配本领。但其团体创新性缺失和部门环节乏力,表现出在被各类曝光变乱围追堵截后,技能迭代升级面对瓶颈逆境。5 \) \0 t" [0 p. [
二、网络攻击过程
2 r- @- Y& U( [ \3 b* X此次攻击变乱中,NSA使用“三角丈量举措”获取授时中央盘算机终端的登录凭据,进而获取控制权限,摆设定制化特种网攻武器,并针对授时中央网络情况不停升级网攻武器,进一步扩大网攻窃密范围,以到达对该单元内部网络及关键信息体系恒久渗出窃密的目标。梳剃头现,NSA利用的网攻武器共计42款,可分为三类:前哨控守(“eHome_0cx”)、隧道搭建(“Back_eleven”)和数据盗取(“New_Dsz_Implant”),以境外网络资产作为主控端控礼服务器实行攻击运动共计千余次。详细分为以下四个阶段:
' C9 D0 o! l" u: i0 n# k(一)获取控制权限 W/ c4 ?8 R1 F# G
2022年3月24日至2023年4月11日,NSA通过“三角丈量”举措对授时中央10余部装备举行攻击窃密。2022年9月,攻击者通过授时中央网络管理员某国外品牌手机,获取了办公盘算机的登录凭据,并使用该凭据得到了办公盘算机的长途控制权限。
0 Q) Q! W8 L% N' M) I! Q2023年4月11日至8月3日,攻击者使用匿名通讯网络节点长途登录办公盘算机共80余次,并以该盘算机为据点探测授时中央网络情况。0 @& S! l- _6 L4 A
; [2 M4 C% j' \" o# Y
2023年8月3日攻击过程% `6 r# o, I! E- k
(二)植入特种网攻武器
* S5 `9 m7 A* y# ?2023年8月3日至2024年3月24日,攻击者向网管盘算机植入了早期版本的“Back_eleven”,盗取网管盘算机数据,并在每次攻击竣事后扫除网络攻击武器内存占用和操纵陈迹。该阶段“Back_eleven”功能尚未成熟,攻击者每次启动前需长途控制关闭主机杀毒软件。
! ?9 k, W+ Z! \% l4 ~3 d4 l8 |3 o3 @. \ H* |$ X: i& P
部门杀毒软件关闭记载
6 y% }) @+ X% p) }4 D9 e) y4 K(三)升级特种网攻武器
* P. W! V9 y9 k7 q0 z2024年3月至4月,攻击者针对授时中央网络情况,定制化升级网络攻击武器,植入多款新型网络攻击武器,实现对盘算机的恒久驻留和潜伏控制。攻击者加载“eHome_0cx”“Back_eleven”“New_Dsz_Implant”,配套利用的20余款功能模块,以及10余个网络攻击武器设置文件。1 R4 @8 ~4 e$ B2 D
0 R; n: ]$ f3 A% ]
加载“eHome_0cx”数据包
" l& m C, ?7 b' s) a2 J- d$ ^: r$ r% _2 U( C) R% R7 E$ i1 m
内存加载“Back_eleven”过程; g( R/ F5 x! _6 u- _" }; A
$ Y* }3 q) \' }8 x% m X内存加载“New_Dsz_Implant”过程6 ?9 e' s) O S/ u
攻击者使用多款网络攻击武器相互共同,搭建起4层加密隧道,形成潜伏性极强且功能美满的网攻窃密平台。' a8 W# W; i; s; z) h7 I1 k+ A
g1 u% N9 x& l2 E8 D网攻武器加密模式
# l( h6 I) W! n(四)内网横向渗出过程" @& l9 L9 t! Y
2024年5月至6月,攻击者使用“Back_eleven”以网管盘算机为跳板,攻击上网认证服务器和防火墙。
; h! S9 [- I% A6月13日9时,攻击者激活网管盘算机上的“eHome_0cx”,植入“Back_eleven”“New_Dsz_Implant”,并以此为跳板盗取认证服务器数据。
: N* |1 x6 s; D8 {$ O7 u7月13日9时,攻击者激活网管盘算机上的“eHome_0cx”,下发“Back_eleven”和“New_Dsz_Implant”盗取数据。" d" b, w& o6 Q! ]- F# G
9 d' @. ?8 s9 p9 w6 x! d( c
2024年6月13日网攻窃密数据包9 p1 u; v- B- N( F. r7 Y* | j7 J
三、网攻武器库分析
2 Q E1 ?; m1 i- r4 [( |% l攻击者在此次网络攻击变乱中利用的网攻武器、功能模块、恶意文件等总计42个,重要网攻武器按照功能可分为前哨控守类武器、隧道搭建类武器、数据盗取类武器。# Z8 ^ l. b8 l) y Y* M- X
(一)前哨控守类武器# n+ P- c% i3 P0 P* A
攻击者使用该范例网络攻击武器的潜伏驻留和心跳回连功能,实现了恒久控守目的盘算机终端和加载后续网络攻击武器的目标。根据该范例主武器的资源加载路径,将其定名为“eHome_0cx”。3 \9 M3 ?2 e- b/ A) ]
“eHome_0cx”由4个网攻模块构成,通过DLL挟制体系正常服务(如资源管理器和变乱日记服务)实现自启动,在启动后抹除内存中可实行文件头数据,以隐蔽网攻武器运行陈迹。% A- S' |3 C& a9 r3 m$ f
3 p; }& L( _3 v; _4 F/ G“eHome_0cx”各网攻模块信息表( u- q2 ?) R! B* y/ L+ ]# e: r
(二)隧道搭建类武器
) O4 q1 X/ K. g5 {. Z攻击者使用该范例网络攻击武器搭建网络通讯和数据传输隧道,实现了对其他范例网络攻击武器的长途控制和窃密数据的加密传输,同时还具备信息获取和下令实行功能,在初始毗连阶段向主控端发送带有数字“11”标识,定名为“Back_Eleven”。( o& L7 ~( F" U/ t
; A. U. c Z2 v) D! i: @5 K“Back_Eleven”检测运行情况0 b9 z$ ~8 k! v
(三)数据盗取类武器
/ E5 F1 W( i7 V* N; n, i2 E攻击者使用此类网络攻击武器举行数据窃密。该武器运行时,通过启动模块化网攻武器框架,加载各种插件模块来实现详细的窃密功能。该武器与NSA网攻武器 “DanderSpritz”(肝火喷射)具有高度同源性,将其定名为“New-Dsz-Implant”。
. A; a: s* E4 Y: h$ @# M+ C/ k“New-Dsz-Implant”由“eHome_0cx”加载运行,在攻击运动中共同“Back_Eleven”所搭建的数据传输链路利用。其自身无详细窃密功能,需通过吸收主控端指令加载功能模块,实现各项窃密功能。本次网攻变乱中,攻击者利用“New-Dsz-Implant”加载了25个功能模块,各模块功能环境如下表所示。( i* s. ^. h2 b3 W, S: f+ h1 e0 |8 E
6 ?' D- ]7 v0 p. x$ ]9 }“New-Dsz-Implant”各模块功能
F9 ?& Z! Z* G; J( z四、配景研判分析
) e6 V* n- p7 |$ K0 M/ V- {1 o(一)技能功能细节
% q( r X5 x( J$ {0 T“New-Dsz-Implant”是一个网攻武器框架,通过加载差别的模块实现详细功能,此种功能实现方式与NSA武器库中“DanderSpritz”网攻平台同等,且在代码细节上具有高度同源性,并举行了部门功能升级:一是加密了部门函数名称和字符串;二是利用体系的通例模块名称伪装功能模块;三是功能模块编译时间从2012至2013年更新至2016至2018年,各功能模块增长了模仿用户操纵函数,伪装用户点击、登录等正常举动以疑惑杀毒软件的检测。" U- s# q: ~- }
, q! G1 i6 b" Q+ k
“New-Dsz-Implant”和“DanderSpritz”所加载功能模块对比# N+ u q0 ~9 n T
(二)样本驻留方式5 c0 c" f9 a5 q1 s( [4 z
“eHome_0cx”的部门驻留文件通过修改注册表InprocServer32键值的方式,挟制了体系正常服务,在体系正常步伐启动前加载实现自启动。注册表修改位置与NSA“方程式构造”所利用网攻武器雷同,均位于HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID下随机ID项的InProcServer32子项。
3 k( ]/ R8 ^8 ~/ N( s: z
: F; `; [2 i3 o" [% |& _(三)数据加密模式
( R( l; `" s3 v9 u8 B4 | B( l v. ?, \攻击者利用的3款网攻武器均接纳2层加密方式,外层利用TLS协议加密,内层利用RSA+AES方式举行密钥协商和加密,在窃密数据传输、功能模块下发等关键阶段,各武器的相互共同实现了4层嵌套加密。此种多层嵌套数据加密模式与相比于“NOPEN”利用的RSA+RC6加密模式有了显着升级。
* @( i2 j' h! [* n+ ?* i+ s五、码址披露- \" G9 f% k3 @# N. @4 F) r
2023年8月至2024年5月,美方用于下令控制的部门服务器IP,如下表:* ^7 H/ H1 [) e6 d) ?
( b' O, p z$ x5 e/ B. M, _6 B, ^$ M$ T! X9 E
(泉源:国家互联网应急中央CNCERT) |
发表于 2025-10-19 23:05:02
置顶卡
变色卡
千斤顶