10月19日上午，美国国家安全局（NSA）宣布对国家授时中心（以下简称“授时中心”）进行了大规模网络攻击。国家互联网应急响应中心（CNCERT）通过分析判断和监测，了解了本次攻击事件的全部情况。具体技术细节公布如下。 1. 攻击事件概述 2022年3月开始，美国国家安全局利用国外品牌手机短信服务漏洞，秘密监控国家授时中心10多名员工，非法窃取手机通讯录、短信、相册、位置信息等数据。从2023年4月开始，在“三角测量”操作被发现之前，美国国家安全局多次利用北京时间凌晨从国外品牌手机窃取的登录凭据渗透Ce电脑。内部网络建设。 2023年8月至2024年6月，美国国家安全局专门部署新型网络战平台，对国家授时中心多个内部商业系统进行入侵行动，试图对包括高精度地面授时和导航系统在内的关键科技基础设施发起攻击。 在整个事件中，美国国家安全局继续展示了战术概念、操作技术、加密通信和免杀逃生方面的世界领先标准。为了进行隐形攻击，NSA利用常见的商业数字证书、欺骗Windows系统模块、代理网络通信等来隐藏攻击和抢劫。同时，深入研究杀毒软件的机制，可以有效逃避检测。通信经过多层加密，美国国家安全局使用网络攻击武器来创建嵌套环回加密模式。它达到了远远超过传统TLS通信和通信流量的加密强度。解密和恢复就更加困难了。活动要有耐心、细心。在整个活动周期中，国家安全局对受控主机提供全面监控。修改文件、关闭并重新启动可以彻底调查故障原因。功能动态扩展，NSA根据目标环境针对不同的网络攻击武器发布功能模块的动态组合。这说明综合攻击平台具有灵活的扩展性和目标适应性。但其缺乏创新性、部分环节薄弱，表明该技术在多次曝光事件受阻后，迭代升级面临障碍。 2. 网络攻击流程 在本次攻击中，达到长期渗透窃取部队内部网络及关键信息的目的据了解，美国国家安全局利用“三角测量行动”获取授时中心计算机终端的登录凭据和控制权，部署定制的专用网络攻击武器，并通过不断升级武器进一步扩大网络攻击和盗窃的范围。根据授时中心网络环境进行网络攻击。系统。分析显示，NSA总共使用了42种网络攻击武器，可分为三类：前哨控制（eHome_0cx）、隧道建设（Back_eleven）和数据盗窃（New_Dsz_Implant）。以国外网络资产为主服务器，实施攻击1000余次。具体来说，分为以下四个阶段。 （一）获得监管权限 2022年3月24日—2023年4月11日，美国国家安全局利用“三角测量”行动攻击了一个计时中心的10多台计算机并窃取机密。 2022年9月，攻击者获得了办公室计算机r通过外资品牌手机从授时中心网络管理员那里获取登录凭证，并使用这些凭证获得对办公室计算机的远程控制权限。 2023年4月11日至2023年8月3日，攻击者利用匿名通信网络节点远程登录办公室电脑80余次，并以该电脑为基地检测办公室的网络环境和计时。 2023年8月3日表攻击流程 （二）特种网络攻击武器的实施 2023年8月3日至2024年3月至2月24日，攻击者在网管计算机上嵌入“Back_eleven”初始版本，窃取网管计算机数据，每次攻击都会擦除网络攻击武器的内存使用情况和操作痕迹。现阶段，“Back_eleven”功能尚未成熟，攻击者需要远程控制并关闭主机的防病毒软件才能启动。 选项卡一些杀毒软件的关闭日志文件 （三）强化网络攻击特种武器 2024年3月至2024年4月，攻击者定制和更新了网络攻击武器，以适应授时中心的网络环境，部署了多种新型网络攻击武器，并成功对驻地计算机进行了扩展情报和隐蔽控制。攻击者上传“eHome_0cx”、“Back_eleven”、“New_Dsz_Implant”等20多个支撑功能模块以及10多个网络攻击武器配置文件。 图 加载数据包“eHome_0cx” 图“Back_eleven”内存加载流程 图“New_Dsz_Implant”内存加载流程 攻击者利用多种网络攻击武器，相互协作构建四层加密隧道，形成高度隐蔽、功能齐全的网络攻击窃密平台。 图 网络攻击武器加密方式 (4)内网横向渗透流程 攻击者使用“Back_2024年5月至2024年6月期间，“11”攻击以网络管理计算机为跳板，攻击互联网认证服务器和防火墙。 6月13日上午9点，攻击者在计算机网络管理程序中启动“eHome_0cx”，嵌入“Back_eleven”和“New_Dsz_Implant”，并以此为跳板窃取认证服务器数据。 7月13日上午9点，攻击者在网管计算机上启动“eHome_0cx”，发出“Back_eleven”和“New_Dsz_Implant”，窃取数据。 图：2024年6月13日网络攻击窃取敏感数据包 3.网络攻击武器分析 在这次网络攻击中，攻击者总共使用了42种不同的网络攻击武器、功能模块和恶意文件。主要网络攻击武器按功能分为前哨防御/控制武器、隧道建设武器和数据窃取武器。 (1) 哨所压制武器 攻击者利用掩体进行进攻该类网络攻击武器具有驻留和心跳重连能力，达到长期控制和防御的目的。攻击目标计算机终端，加载后续网络攻击武器。按照该主要武器类型的资源加载路径并将其命名为“eHome_0cx”。 “eHome_0cx”由四个网络攻击模块组成。它通过DLL文件劫持正常的系统服务（如资源管理器和事件日志服务）来实现其自动启动。启动后，它会清除内存中可执行文件的头数据，隐藏网络攻击武器的痕迹。 “eHome_0cx”网络攻击模块信息表 “eHome_0cx”使用受控主机的GUID唯一标识符作为解密武器资源的密钥。每个网络攻击模块通过LPC端口进行通信，并以命令号的形式调用各种武器功能。 “eHome_0cx”表函数 “eHome_0cx”完成通讯加密使用RSA算法和TLS协议。 “eHome_0cx”包含用于与主机通信的uAn RSA公钥（见下图）。每次通信都会随机生成一个会话密钥，使用RSA算法完成与主机的密钥交换过程，并使用TLS协议发送使用会话密钥加密的数据。 RSA 公钥数字 (2)隧道施工武器。 攻击者利用此类网络攻击武器构建数据传输和网络通信隧道，实现对其他类型网络攻击武器的远程控制和窃取数据的加密传输。它还具有信息获取和命令执行功能。在第一连接阶段，它向名为“Back_Eleven”的主控终端发送编号为“11”的标识号。 “Back_Eleven”加载并运行“eHome_0cx”，并具有严格的运行环境检测机制。 fun自清除功能在运行环境正常时起作用系统版本异常或调试器启用时。该武器还设计有反调试功能，以防止逆向分析。 图“Back_Eleven”检测运行环境 “Back_Eleven”有两种操作模式：主动重连和被动监听模式。在主动重连模式下，Back_Eleven解密集成主控服务器的IP地址，并使用集成RSA加密算法的公钥完成密钥交换。然后使用 AES 算法对在线信息进行加密，然后使用 TLS 协议加密发送到主机系统。控制端子。在被动监听模式下，“Back_Eleven”监听Windows系统的网卡流量，过滤主控端发送过来的某些条件数据包，实现主控端的命令执行。 “Back_Eleven”图向主机传输数据 图“Back_Eleven”接收来自h的命令ost 并解密它 “Back_Eleven”以命令号的形式调用各种武器功能。 “Back_Eleven”命令功能表（三）数据窃取利器 攻击者使用这些类型的网络攻击武器来窃取数据。执行时，该武器会启动模块化网络攻击武器框架并加载各种附加模块，以实现特定的秘密盗窃功能。由于该武器与 NSA 网络攻击武器“DanderSpritz”（愤怒喷雾）相似，因此被命名为“New-Dsz-Implant”。 “New-Dsz-Implant”由“eHome_0cx”加载并执行，由“Back_Eleven”构建，用于连同数据传输链路进行攻击操作。不可能窃取特殊秘密。为了实现各种窃密功能，需要根据主控终端的指令加载功能模块。在这次网络攻击中，攻击者使用“New-Dsz-Implant”上传了25个功能模块。各模块功能如下所示ng 表。 “New-Dsz-Implant”模块的功能表 “New-Dsz-Implant”图加载模块代码 module0 图 module0 加载另一个模块代码 “New-Dsz-Implant”与主机通信时，首先使用AES和TLS1.2进行两层数据加密，然后使用“Back_Eleven”进行另外两层本地环回数据加密，最后实现四层嵌套加密。 图 嵌套加密模式 图 创建本地环回通信 图 本地环回通信报文 显示环回通信数据解码为过程信息的图表 四、背景研究与分析 (一)技术功能细节 “New-Dsz-Implant”是一个网络攻击武器框架，通过加载多个模块来实现特定功能。该功能的实现方式与 NSA 武器库中的 DanderSpritz 网络攻击平台相同，代码细节高度同源ls 和一些功能更新。首先，我要补充一点，一些函数名称和字符串是加密的。其次，功能模块被伪装成正常的系统模块名称。第三，功能模块的构建时间从2012年更新到2013年，从2016年更新到2018年。每个功能模块现在都具有模拟用户交互功能，模仿正常的用户操作，例如点击和登录，以迷惑杀毒软件的检测。 “New-Dsz-Implant”和“DanderSpritz”中安装的功能模块对比表 图module0（左）和Dsz_Implant_Pc.dll（右）代码同源性对比。 图module1（左）与Cd_Target.dll（右）代码同源性对比 图 module2（左）与Time_Target.dll（右）代码同源性对比 图 module3代码（左）与NameServerLookup_Target.dll（右）同源对比 图module4（左）与RunAsChild_Target.dll（右）代码同源性对比 图同源性比较module5 代码的 n（左）和 Mcl_NtNtNativeApi_Win32.dll（右） 图module6（左）与RegistryQuery_Target.dll（右）代码同源性对比 图module7（左）与SidLookup_Target.dll（右）代码同源性对比 图module8（左）与Mcl_NtMemory_Std.dll（右）代码同源对比 图module9（左）与Papercut_Target.dll（右）代码同源性对比 图 module10（左）与UpTime_Target.dll（右）代码同源性对比 图 module11（左）与Activity_Target.dll（右）代码同源性对比 图 module12（左）与SystemVersion_Target.dll（右）代码同源性对比 图 module13（左）与Memory_Target.dll（右）代码同源性对比 图 module14（左）与Drives_Target.dll（右）代码同源性对比 图 module15（左）与DiskSpace_Target.dll（右）代码同源性对比 图 module16（左）与Processes_Targe的代码同源性对比t.dll（右） 图 module17（左）与Services_Target.dll（右）代码同源性对比 图module18（左）与Audit_Target_Vista.dll（右）代码同源性对比 cipherCode同源比较模块19（左）和EventLogQuery_Target.dll（右） 图module20（左da）与Route_Target.dll（右）代码同源性对比 图 module21（左）与Drivers_Target.dll（右）代码同源性对比 图 module22（左）与Environment_Target.dll（右）代码同源性对比 图 module23（左）与Packages_Target.dll（右）代码同源性对比 图 module24 代码（左）与 Scheduler_Target.dll（右）同源对比 (2) 样品保留方法 “eHome_0cx”的一些常驻文件通过修改注册表中InprocServer32键的值来劫持正常系统服务，并在正常系统程序启动之前加载以自动启动。在相同的网络攻击武器中发现了注册表更改由 NSA 方程式组织使用，位于 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 中随机 ID 条目的 InProcServer32 子项中。 (3)c模式数据加密 攻击者使用的三种网络攻击武器均采用两层加密方法。外层采用TLS协议加密，内层采用RSA+AES方式进行密钥协商和加密。在传输被盗数据或解锁功能模块等关键阶段，每种武器协同工作以实现四层嵌套加密。这种多层嵌套的数据加密模式相对于“NOPEN”中使用的RSA+RC6加密模式有显着的改进。 5. 代码地址泄露 2023年8月至2024年5月，美国用于指挥控制的部分服务器IP如下表所示。

Comments are closed.