10月19日上午，国家安全机关发表了美国国家安全局（以下简称NSA）对国家授时中心（以下简称“授时中心”）施行严重网络进犯活动。国家互联网应急中心（CNCERT）经过剖析研判和追寻溯源得出此次仓库出租平台进犯事情的全体状况，现将详细技能细节发布如下奥德彪学习网：

　　一、进犯事情概貌

　　2022年3月起，NSA运用某国外品牌美妆护肤手机短信服务缝隙，隐秘监控10余名国家授时中心工作人员，不合法盗取手机通讯录、短信、相册、方位信息等数据。2023年4月起，NSA在“三角测量”举动曝光前，多次于北京时刻清晨，运用在某国外品牌手机中盗取的登录凭据侵略国家授时中心核算机，探听内部网络建造状况。2023年8月至2024年6月，NSA针对性布置新式网络作战渠道，对国家授时中心多个内部事务体系施行浸透活动，并妄图向高精度地基授时导航体系等严重科技基础设施发起进犯。

　　纵观此次事情，NSA在战术理念、操作方法、加密通讯、免杀逃逸等方面仍然表现出世界领先水准。藏匿施行进犯，NSA经过运用正常事务数字证书、假装Windows体系模块、署理网络通讯等方法荫蔽其进犯保密行为，一起对杀毒软件机制的深入研究，可使其有用防止检测；通讯多层加密，NSA运用网攻兵器构建回环嵌套加密形式，加密强度远超惯例TLS通讯，通讯流量愈加难以解密复原；活动耐性慎重，在整个活动周期，NSA会对受控主机进行全面监控，文件变化、关机重启都会导致其全面排查反常原因；功用动态扩展，NSA会依据方针环境，动态组合不同网攻兵器功用模块进行下发，标明其共同进犯渠道具有灵敏的可扩展性和方针适配才能。但其全体立异性缺失和部分环节乏力，显示出在被各类曝光事情围追堵截后，技能迭代晋级面对瓶颈窘境。

　　二、网络进犯进程

　　此次进犯事情中，NSA运用“三角测量举动”获取授时中心核算机终端的登录凭据，从而获取操控权限，布置定制化特种网攻兵器，并针对授时中心网络环境不断晋级网攻兵器，进一步扩大网攻保密规模，以到达对该单位内部网络及要害信息体系长时刻浸透保密的意图。整理发现，NSA运用的网攻兵器合计42款，可分为三类：前哨控守（“eHome_0cx”）、地道建立（“Back_eleven”）和数据盗取（“New_Dsz_Implant”），以境外网络财物作为主控端操控服务器施行进犯活动合计千余次。详细分为以下四个阶段：

　　（一）获取操控权限

　　2022年3月24日至2023年4月11日，NSA经过“三角测量”举动对授时中心10余部设备进行进犯保密。2022年9月，进犯者经过授时中心网络管理员某国外品牌手机，获取了工作核算机的登录凭据，并运用该凭据获得了工作核算机的长途操控权限。

　　2023年4月11日至8月3日，进犯者运用匿名通讯网络节点长途登录工作核算机共80余次，并以该核算机为据点勘探授时中心网络环境。

2023年8月3日进犯进程

　　（二）植入特种网攻兵器

　　2023年8月3日至2024年3月24日，进犯者向网管核算机植入了前期版别的“Back_eleven”，盗取网管核算机数据，并在每次进犯完毕后铲除网络进犯兵器内存占用和操作痕迹。该阶段“Back_eleven”功用没有老练，进犯者每次发动前需长途操控封闭主机杀毒软件。

部分杀毒软件封闭记载

　　（三）晋级特种网攻兵器

　　2024年3月至4月，进犯者针对授时中心网络环境，定制化晋级网络进犯兵器，植入多款新式网络进犯兵器，完成对核算机的长时刻驻留和荫蔽操控。进犯者加载“eHome_0cx”“Back_eleven”“New_Dsz_Implant”，配套运用的20余款功用模块，以及10余个网络进犯兵器配置文件。

加载“eHome_0cx”数据包

内存加载“Back_eleven”进程

内存加载“New_Dsz_Implant”进程

　　进犯者运用多款网络进犯兵器相互合作，建立起4层加密地道，构成荫蔽性极强且功用完善的网攻保密渠道。

网攻兵器加密形式

　　（四）内网横向浸透进程

　　2024年5月至6月，进犯者运用“Back_eleven”以网管核算机为跳板，进犯上网认证服务器和防火墙。

　　6月13日9时，进犯者激活网管核算机上的“eHome_0cx”，植入“Back_eleven”“New_Dsz_Implant”，并以此为跳板盗取认证服务器数据。

　　7月13日9时，进犯者激活网管核算机上的“eHome_0cx”，下发“Back_eleven”和“New_Dsz_Implant”盗取数据。

2024年6月13日网攻保密数据包

　　三、网攻兵器库剖析

　　进犯者在此次网络进犯事情中运用的网攻兵器、功用模块、歹意文件等总计42个，首要网攻兵器依照功用可分为前哨控守类兵器、地道建立类兵器、数据盗取类兵器。

　　（一）前哨控守类兵器

　　进犯者运用该类型网络进犯兵器的荫蔽驻留和心跳回连功用，完成了长时刻控守方针核算机终端和加载后续网络进犯兵器的意图。依据该类型主兵器的资源加载途径，将其命名为“eHome_0cx”。

　　“eHome_0cx”由4个网攻模块组成，经过DLL绑架体系正常服务（如资源管理器和事情日志服务）完成自发动，在发动后抹除内存中可履行文件头数据，以躲藏网攻兵器运转痕迹。

“eHome_0cx”各网攻模块信息表

　　（二）地道建立类兵器

　　进犯者运用该类型网络进犯兵器建立网络通讯和数据传输地道，完成了对其他类型网络进犯兵器的长途操控和保密数据的加密传输，一起还具有信息获取和指令履行功用，在初始衔接阶段向主控端发送带有数字“11”标识，命名为“Back_Eleven”。

“Back_Eleven”检测运转环境

　　（三）数据盗取类兵器

　　进犯者运用此类网络进犯兵器进行数据保密。该兵器运转时，经过发动模块化网攻兵器结构，加载各种插件模块来完成详细的保密功用。该兵器与NSA网攻兵器 “DanderSpritz”（怒火喷发）具有高度同源性，将其命名为“New-Dsz-Implant”。

　　“New-Dsz-Implant”由“eHome_0cx”加载运转，在进犯活动中合作“Back_Eleven”所建立的数据传输链路运用。其本身无详细保密功用，需经过接纳主控端指令加载功用模块，完成各项保密功用。本次网攻事情中，进犯者运用“New-Dsz-Implant”加载了25个功用模块，各模块功用状况如下表所示。

“New-Dsz-Implant”各模块功用

　　四、布景研判剖析

　　（一）技能功用细节

　　“New-Dsz-Implant”是一个网攻兵器结构，经过加载不同的模块完成详细功用，此种功用完成方法与NSA兵器库中“DanderSpritz”网攻渠道共同，且在代码细节上具有高度同源性，并进行了部分功用晋级：一是加密了部分函数称号和字符串；二是运用体系的惯例模块称号假装功用模块；三是功用模块编译时刻从2012至2013年更新至2016至2018年，各功用模块增加了模仿用户操作函数，假装用户点击、登录等正常行为以利诱杀毒软件的检测。

“New-Dsz-Implant”和“DanderSpritz”所加载功用模块比照

　　（二）样本驻留方法

　　“eHome_0cx”的部分驻留文件经过修正注册表InprocServer32键值的方法，绑架了体系正常服务，在体系正常程序发动前加载完成自发动。注册表修正方位与NSA“方程式安排”所运用网攻兵器相同，均坐落HKEY_LOCAL_MACHINESOFTWAREClassesCLSID下随机ID项的InProcServer32子项。

　　（三）数据加密形式

　　进犯者运用的3款网攻兵器均选用2层加密方法，外层运用TLS协议加密，内层运用RSA+AES方法进行密钥洽谈和加密，在保密数据传输、功用模块下发等要害阶段，各兵器的相互合作完成了4层嵌套加密。此种多层嵌套数据加密形式与比较于“NOPEN”运用的RSA+RC6加密形式有了显着晋级。

　　五、码址发表

　　2023年8月至2024年5月，美方用于指令操控的部分服务器IP，如下表：

来源:版权归属原作者,部分文章推送时未能及时与原作者取得联系,若来源标注错误或侵犯到您的权益烦请告知，我们会及时删除。