Navigation menu
10月19日上午,国家安全局披露,国家安全局(以下简称NSA)对国家授时中心(以下简称“授时中心”)进行了重大网络攻击。国家互联网应急响应中心(CNCERT)通过分析判断和监测,掌握了本次攻击的总体情况。今天公布的具体技术细节如下: 1. 攻击概述。从2022年3月开始,美国国家安全局利用某国外品牌手机短信服务漏洞,秘密监控10余名国家授时中心工作人员,非法窃取手机通讯录、短信、相册、位置信息等数据。截至2023年4月,在“三角”操作被曝光之前,美国国家安全局在早期就多次利用从国外移动品牌窃取的登录凭据攻击国家计时中心的计算机。北京时间上午对网络内部建设进行刺探。 2023年8月至2024年6月,美国国家安全局有针对性地部署新型网络作战平台,对国家授时中心多个内部业务系统进行渗透活动,企图对高精度授时、导航系统等关键科技基础设施发起攻击。在整个事件中,美国国家安全局在战术理念、操作技术、加密通信、不杀生逃生等方面仍然展现了世界领先水平。为了错误地实施攻击,NSA利用正常的商业数字证书、伪装Windows系统模块、代理网络通信等方式来隐藏攻击和窃取信息。通信采用多层加密,NSA利用网络攻击武器打造环回嵌套加密模式。加密强度远超传统TLS通讯及通讯离子流量。解密和恢复更加困难;活动要有耐心、细心。在整个活动周期中,NSA 可以全面监控受控主机。文件更改、关机重启将全面排查异常原因;功能动态扩展,NSA会根据目标环境动态组合各种攻击武器并下发,表明统一攻击平台具有灵活的扩展性和目标适应能力。但创新的普遍缺乏和部分环节的薄弱表明,在受到各种曝光事件的阻击后,技术的迭代升级正面临瓶颈。 2.网络攻击流程在这次攻击中,NSA利用“三角测量行动”获取授时中心计算机终端的登录凭据,进而获得控制权,部署定制的特种网络攻击武器,并继续根据授时中心网络环境,不断升级网络攻击武器,进一步扩大网络攻击窃取范围,以达到对部队内部网络和关键信息系统进行长期渗透和窃取的目的。分类后发现,NSA在网络上总共使用了42种攻击武器,可分为三类:前哨控制与防御(“ehome_0cx”)、隧道建设(“back_eleven”)和数据盗窃(“new_dsz_implant”)。利用国外网络资产作为主控服务器,实施了千余次攻击。具体分为以下四个阶段:(1)夺取控制权2022年3月24日至2023年4月11日期间,NSA通过“三角测量”行动对授时中心的10余台设备进行攻击并窃取机密。 2022年9月,攻击者通过国外网站获取了办公电脑的登录凭据以及网络服务管理员的手机。时间,并以2023年8月3日攻击时的计算机作为攻击进程(2)植入特殊网络攻击功能“Back_eleven”并隐蔽控制计算机武器相互配合,构建4层加密隧道,形成高度隐蔽、全网络攻击和窃密平台“Ehome_0cx”,在计算机管理计算机中植入“back_eleven”和 “new_dsz_implant”,并以此为跳板窃取服务器认证数据包盗窃的数据。 3.网络攻击武器攻击攻击共使用42个网络攻击武器、功能模块、恶意文件等,该类网络攻击武器的重连功能,以达到对目标计算机终端进行长期控制和防御的目的,并在network.x上加载后续攻击武器“。” Ehome_0cx”由4个网络攻击模块组成,通过hij实现thisg自启动通过 dll 确认正常的系统服务(例如资源管理器和事件日志服务)。启动后,删除内存中的可执行头攻击数据,隐藏其攻击的网络攻击行为,在“武器”的攻击中构建网络传输隧道,实现远程控制和窃取其他类型的网络攻击武器。该武器运行时,网络武器攻击模块启动并加载各种插件模块,实现特定的窃取功能。在攻击活动中使用“Back_eleven”开发的数据传输数据“New-DSZ-Implant”4。 背景研究与评估(一)技术功能细节“网络攻击的具体功能是通过加载不同的模块来实现特定的功能。函数名称和字符串被加密; 《加载的功能模块对比(二)驻留方式示例》 ehome_0cx "某些驻留文件通过改变注册表inprocserver32键值来劫持正常系统服务e、在正常程序的系统启动之前加载,实现自避。更改注册表位置HKEY_LOCAL_MACHINE\Software\CLASSES\CLSIDInProcServer32子键的ID键。 。外层采用TLS协议加密,内层采用RSA+AES进行密钥通信和加密。在窃取数据的传输、功能模块的发布等关键阶段,各个武器的配合都是通过4层嵌套加密来实现的。多层嵌套数据加密模式相比“nopen”使用的RSA+RC6加密模式有显着升级。 5、代码地址泄露2023年8月至2024年5月,美国用于指挥控制的部分服务器IP如下:
【责任编辑:刘洪庆】