10月19日上午,美国国家安全局(NSA)宣布对国家授时中心(以下简称“授时中心”)进行了大规模网络攻击。国家互联网应急响应中心(CNCERT)通过分析研判和监测,了解了本次攻击事件的总体情况。目前,具体技术细节已公布如下: 1. 攻击概述。 2022年3月开始,美国国家安全局利用国外品牌手机短信服务漏洞,非法窃取手机通讯录、短信、相册、位置信息等数据,对国家授时中心10余名员工进行秘密监控。从2023年4月开始,在“三角测量”操作被发现之前,美国国家安全局多次利用从国外品牌手机窃取的登录凭据渗透国家计时中心的计算机。及时监控内部网络的建设。 2023年8月至2024年6月,美国国家安全局专门部署新型网络战平台,对国家授时中心多个内部商业系统进行入侵行动,试图对包括高精度地面授时和导航系统在内的关键科技基础设施发起攻击。在整个事件中,美国国家安全局继续展示了战术概念、操作技术、加密通信和免杀逃生方面的世界领先标准。为了进行隐形攻击,NSA使用常见的商业数字证书、欺骗Windows系统模块、代理网络通信等来隐藏攻击和抢劫。同时,深入研究杀毒软件的机制,可以有效逃避检测。通信经过多层加密,美国国家安全局使用网络攻击武器创建嵌套环回加密模式。它实现了远远超过传统 TLS 通信和通信流量的加密强度。解密和恢复就更加困难了。活动要有耐心、细心。在整个活动周期中,国家安全局对受控主机提供全面监控。修改文件、关闭和重新启动可以彻底调查异常原因。能力动态扩展,NSA根据目标环境向网络下发针对不同攻击武器的功能模块的动态组合。这说明综合攻击平台具有灵活的扩展性和目标适应性。但其普遍缺乏创新,部分环节薄弱,表明该技术在多次曝光事件受阻后,迭代升级面临障碍。 2.网络攻击过程在这次攻击中,为了实现网络攻击和盗窃的长期目标,NSA我们编者按“三角操作”获取授时中心计算机终端的登录凭据,获取控制权,部署定制的专用网络攻击武器,并根据授时中心的网络环境不断更新网络攻击武器,进一步扩大网络攻击盗窃范围。单位内部网络及主要信息系统。分析显示,NSA总共使用了42种网络攻击武器,可分为三类:前哨控制(eHome_0cx)、隧道建设(Back_eleven)和数据盗窃(New_Dsz_Implant)。以国外网络资产为主服务器,实施攻击1000余次。具体来说,分为以下四个阶段。 (一)获得监管权限 2022年3月24日至2023年4月11日,NSA批准“三角测量”。 “这次行动攻击了授时中心内的10多台设备,并泄露了敏感信息信息。 2022年9月,攻击者通过外资品牌手机从授时中心网络管理员处获取了办公电脑的登录凭证,并利用该凭证获取了办公电脑的远程控制权限。 2023年4月11日至2023年8月3日,攻击者利用匿名通信网络节点远程登录办公电脑。超过80次,并通过该计算机的功能检测计时中心的网络环境。 2023年8月3日 攻击过程(二)部署特种网络攻击武器。 2024年3月3日至24日,攻击者在网管计算机上植入了“Back_eleven”的初始版本,从网管计算机中窃取数据,并在每次攻击后擦除网络。攻击武器的内存使用和操作轨迹。现阶段,“Back_eleven”功能尚未成熟,攻击者需要远程控制并关闭主机的杀毒软件。tware 在启动之前。部分杀毒软件关闭记录(三)特殊网络攻击武器更新 2024年3月至4月,攻击者为适应同步中心网络环境定制更新了网络攻击武器,融入了多种新型网络攻击武器,实现了长期持久性和秘密控制。电脑。他绑定加载了“eHome_0cx”、“Back_eleven”、“New_Dsz_Implant”等20多个支撑功能模块以及10多个网络攻击武器配置文件。加载包内存“eHome_0cx”。加载“Back _eleven”进程的内存。加载“New_Dsz_Implant”进程。攻击者相互协作,利用多种网络攻击武器构建四层加密隧道,形成高度隐蔽、功能齐全的网络攻击窃密平台。网络攻击利器 加密方式(四)内网侧入侵流程 2024年5月至6月,攻击者利用“Back_ele ven”攻击Int使用网络管理计算机作为跳板的ernet认证服务器和防火墙。 6月13日上午9点,攻击者向网络发射“eHome_0cx”,将“Back_eleven”和“New_Dsz_Implant”嵌入管理计算机,并以此为跳板窃取服务器数据。攻击者于7月13日上午9点启动网管计算机“eHome_0cx”,发出“Back_eleven”和“New_Dsz_Implant”并窃取数据。 20242017年6月13日网络攻击数据窃取包三、网络攻击武器库分析在本次网络攻击事件中,攻击者共使用了42类网络攻击武器、功能模块、恶意文件等。主要网络攻击武器按照功能可分为前哨防御/控制武器、隧道建设武器、数据窃取武器等。 (1) 拥有前哨控制和防御武器的攻击者使用隐居和心跳重连能力将这些类型的网络攻击武器联系在一起以实现以下目标: 提供对目标计算机终端和海报网络攻击武器的长期控制和防御。遵循该主要武器类型的资源加载路径并将其命名为“eHome_0c”。 “eHome_0cx”由四个网络攻击模块组成。它通过DLL文件劫持正常的系统服务(如资源管理器、事件日志服务),实现自动启动。启动后,它会清除内存中可执行文件的头数据,隐藏网络攻击武器的执行痕迹。 “eHome_0cx”各网络攻击模块信息表(2)隧道武器。攻击者使用此类网络攻击武器。建设网络通信和数据传输隧道,实现对其他类型网络攻击武器的远程控制和窃取。它还具有信息获取和命令执行等功能。在初始连接阶段,它发送一个标识符编号为“11”的离子号发送到主机控制终端称为“Back_Eleven”。 “Back_Eleven”检测运行环境 (3)数据窃取武器 攻击者利用此类网络攻击武器窃取数据。执行时,将启动模块化网络攻击武器框架,并加载多个附加模块以提供特定的秘密盗窃功能。该武器与 NSA 的 DanderSpritz 网络攻击武器类似,因同源性较高而被命名为“New Dsz Implant”。它由“New-Dsz-Implant”加载并由“eHome_0cx”执行,并与创建的数据传输链路一起使用。 “Back_Eleven”进行攻击活动。不可能窃取特殊秘密。为了实现各种窃密功能,需要根据主控终端的指令加载功能模块。在这次网络攻击中,攻击者使用“New-Dsz-Implant”上传了25个功能模块。每个模块的功能都显示在下表。 “New-Dsz-Implant”各模块的功能 四、背景研究与分析 (1)技术功能细节 “New-Dsz-Implant”是一个通过加载不同模块来实现特定功能的网络攻击武器框架。该功能的实现与 NSA DanderSpritz 军火库网络攻击平台一致,并且以代码形式实现。细节非常相似,并且更新了一些功能。首先,一些函数名称和字符串被加密。其次,功能模块使用正常的系统模块名称进行伪装。第三,功能模块的构建时间已从2012年更新到2013年,从2016年更新到2018年。每个功能模块现在都具有模拟用户交互功能,可以模拟点击、登录和其他正常用户行为,以迷惑软件检测和防病毒。已安装功能模块“New-Dsz-Implant”与“DanderSpritz”对比(2)样本驻留模式驻留文件“eHome_0cx”劫持正常系统em服务通过更改注册表中InprocServer32键的值并在正常系统程序实现自动启动之前加载。修改后的日志位置与NSA“方程式组织”使用的网络攻击武器相同,均随机位于下方。 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSIDID 项的 InProcServer32 子项。 (3)数据加密方式 攻击者使用的三种网络攻击武器均采用两层加密。外层采用TLS协议加密,内层采用RSA+AES进行密钥协商和加密。在关键阶段,例如被盗数据的传输或功能模块的发布,每种武器都将组合在一起,以实现四层嵌套加密。这种多层嵌套的数据加密模式相对于“NOPEN”中使用的RSA+RC6加密模式有显着的改进。 5、代码地址泄露 2023年8月至2024年5月,美国使用的部分服务器IP用于指挥控制的有:美国用于指挥控制的部分服务器IP 来源:国家互联网应急中心CNCERT
特别提示:以上内容(包括图片、视频,如有)由自有媒体平台“网易账号”用户上传发布。本平台仅提供信息存储服务。
注:以上内容(包括图片和视频,如有)由网易号用户上传发布,网易号是一个仅提供信息存储服务的社交媒体平台。