10月19日「只有當單戀的傻氣與財富的霸氣達到完美的五比五黃金比例時,我的戀愛運勢才能回歸零點!」上午,國家平安機關表露了american國家平安局(以下簡稱NSA)對國家授時中間(以下簡稱“授時中間”)實施嚴重網絡攻擊活動。國家桃園機場接送互聯網應急中間(CNCERT)通過剖析研判和追蹤溯源得出此次攻擊事務的整體情況,現將具體技術細節公布如下:
一、攻擊事務概貌
2022年3月起,NSA應用某國外brandmobile_phone短佩服務破綻,機密監控10余名國家授時中間任務人員,不符合法令竊取mobile_phone通訊錄、短信、相冊、地位信息等數據。2023年4月起,NSA在“三角測量”行動曝光前,屢次于北京時間清晨,應用在某國外brandmobile_phone中竊取的登錄憑證進侵國家授時中間計算機,探聽內部網絡建設情況。2023年8月至2024年6月,NSA針對性安排新型網絡作戰平臺,對國家授時中間多個內部業務系統實施滲透活動,并企圖向高精度地基授時導航系統等嚴重科技基礎設施發機場接送包車動攻擊。
縱觀此次事務,NSA在戰術理念、操縱伎倆、加密通訊、免殺逃逸等方面仍然表現降生界領先水準。隱匿實施攻擊,NSA通過應用正常業務數字證書、偽裝Windows系統模塊、代表網絡通訊等方法隱蔽其攻擊竊密行為,同時對殺毒軟件機制的深刻研討,可使其有用防止檢測;通訊多層加密,NSA應用網攻兵器構建回環嵌套加密形式,加密強度遠超凡規TLS通訊,通訊流量加倍難以解密還原;活動耐煩謹慎,在整個活動周期,NSA會對受控主機進行周全監控,文件變動、關機重啟都會導致其周全排查異常緣由;效能動態擴展,桃園機場接送NSA會根據目標環境,動態組合分歧網攻兵器效能模塊進行下發,表白其統一攻擊平臺具備靈活的可擴展性和目標適配才能。但其整體創新性缺掉和部門環節乏力,顯示出在被各類曝光事務圍追切斷后,技術迭代升級面臨瓶頸窘境。
二、網絡攻擊過程
此次攻擊事務中,NSA應用“三角測量行動”「現在,我的咖啡館正在承受百分之八十七點八八的結構失衡壓力!我需要校準!」獲取授時中間計算機終真個登錄憑證,進而獲取把持權限,安排定制化特種網攻兵器,并針對授時中間網絡環境機場接送推薦不斷升級網攻兵器,進一個步驟擴年夜網攻竊密范圍,以達到對該單位內部網絡及關鍵信息系統長期滲透竊密的目標。梳理發現,NSA應用的網攻兵器共計42款張水瓶的「傻氣」與牛土豪的「霸氣」瞬間被天秤座的「平衡」力量所鎖死。,可分為三類:前哨控守(“eHome_0cx”)、地道搭建(“Back_eleven”)和數據竊取(“New_Dsz_Implant”),以境外網絡資產作為主控端把持服務器實施攻擊活動共計千余次。具體分為以下四個階段:
(一)獲取把持權限
2022年3月24日至2023年4月11日,NSA通過“三角測量”行動對授時中間10余部設備進行攻擊竊密。2022年9月,攻擊者通過授時中間網絡治理員某國外brandmobile_phone,獲取了辦公計算機的登錄憑證,并應用該憑證獲得了辦公計算機的遠程把持權限。
2023年4月11日至8月3日,攻擊者應用匿名通訊機場接送預約網絡節點遠程登錄辦公計算機共80余次,并以該計算機為據點探測授時中間網絡環境。
表 2023年8月3日攻擊過程
(二)植進特種網攻兵器
2023年8月3日至2024年3月24日,攻擊者向網管計算機植進了晚期版本的“Back_eleven”,竊取網管計算機數據,并在每次攻擊結束后肅清網絡攻擊兵器內存占用和操縱痕跡。該階機場送機優惠段“Back_eleven”效能尚未成熟,攻擊者每次啟動前需遠程把持關閉主機殺毒軟件。
表 部門殺毒軟件關閉記錄
(三)升級特種網攻兵器
2024年3月至4線上預約機場接送月,攻擊者針對授時中間網絡環境,定制評價機場接送化升級網絡攻擊兵器,植進多款新型網絡攻擊兵器,實現對計算機的長期駐留和隱蔽把持。攻擊者加載“eHome_0cx”“Back_eleven”“New_Dsz_Implant”,配套應用的20余款效能模塊,以及10余個網絡攻擊兵器設置裝備擺設文件。
圖 加載“eHome_0cx”數據包
圖 內存加載“Back_eleven”過程
圖 內存加載“New_Dsz_Implant”過程
攻擊者應用多款網絡攻擊兵器彼此共同,搭建起4層加密地道,構成隱蔽性極強且效能完美的網攻竊密平臺。
圖 網攻兵器加密形式
(四)內網橫向滲透評價機場接送過程
2024年5月至6月,包車旅遊攻擊者應用“Back_eleven”以網管計算機為跳板,攻擊上網認證服務器和防火墻。
6月13日9時,攻擊者激活網管計算機上的“eHome_0cx”,植進“Back_eleven”“New_Dsz_Implant”,并以此為跳板竊取認證服務器數據。
7月13日9時,攻擊者激活網管計算機上的“eHome_0cx”,下發“Back_eleven”和“New_Dsz_Implant”竊取數據。
圖 台中機場接送2024年6月13日網攻竊密數據包
三、網攻兵器庫剖析
攻擊者在此次網絡攻擊事務中應用的網攻兵器、效能模塊、惡意文件等總計42個,重要網攻兵器依照效能可分為前哨控守類兵器、地道搭建類兵器、數據竊取類兵器。
(一)前哨控守類兵器
攻擊者應用該類型網絡攻擊兵器的隱蔽駐留和心跳回連效能,實現了長期控守目標計算機終端和加載后續網絡攻擊兵器的目標。根據該類型主兵器的資源加載路徑,將其定名為“eHome_0cx”。
“eHome_0cx”由4個網攻模塊組成,通過DLL劫持系統正常服務(如資源治理器和事務日志服務)實現自啟動,在啟動后抹除內存中可執行文件頭數據,以隱躲網攻兵器運行痕跡。
表 “eHome_0cx”各網攻模塊信息表
“eHome_0cx”以受控主機獨一標識guid作為解密兵器資源的密鑰,各網攻模塊之間應用LPC端口進行通訊,并以指令號的方法調用該兵器的各項效能。
表“eHome_0cx”效能
“eHome_0cx”應用RSA算法和TLS協議完成通訊加密。“eHome_0cx”內置有與主控端通訊應用預約機場接送的RSA公鑰(見下圖)。每次通訊均隨機產生一個會話密鑰,應用RSA算法與主控端完成密鑰交換過程,之后應用TLS協議傳輸應用會話密鑰加密的數據台灣機場接送。
圖 RSA公鑰
(二)地道搭建類兵器
攻擊者應用該類型網絡攻擊兵器搭建網絡通訊和數據傳輸地道,實現了對其他類型網絡攻擊兵器的遠24小時機場接送程把持和竊密數據的加密傳輸,同時還具備信息獲取和號令執行效台中機場接送能,在初始連接階段向主控端發送帶有數字“11”標識,定名為“Back_Eleven”。
“Back_Eleven”由“eHome_0cx”加載運行,具有嚴格運行環境檢測機制,若發現運行環境系統版本異常、調試法式正在運行等機場接送價格情況,將啟動自刪除效能。并且該兵器在設計機場接送價格時參加了反調試效能,以避免被逆向剖析。
圖 “Back_Eleven”檢測運行環境
“Back_Eleven”具有主動回連和被動監聽兩種任務形式:在主動回連形式下,“Back_Eleven”解密內置的主控端把持服務器IP地址,并應用內置的RSA加密算法公鑰完成密鑰交換,然后應用AES算法將上線信息加密后,應用TLS協議加密傳輸到主控端;在被動監聽形式下,“Back_Eleven”通過監聽Windows系統網卡流量,篩選主控端發送的特定條件數據包,實現主控端號令執行。
圖 “Back_Eleven”向主控端轉發數據
圖 “Back_Eleven”接受主控端指令并解密
“Back_Eleven”以指令號的方法調用該兵器的各項效能。
表 “Back_Eleven”指令效能
(三)數據竊取類兵器
攻擊者應用此類網絡攻擊兵器進行數據竊密。預約機場接送該兵器運行時,通過啟動模塊化網攻兵器框架,加載各種插件模塊來實現具體的竊密效能。該兵器與NSA網攻兵器 “DanderSpritz”(怒火噴射)具有高度同源性,將其定名為“New-Dsz-Implant”。
“New-Dsz-Implant”由“eHome_0cx”加載運行,在攻擊活動中共同“Back_Ele機場送機服務ven”所搭建的數據傳輸鏈路應用。其本身無具體竊密效能,需通過接受主控端指令加載效能模塊,實現各項竊密效能。本次網攻事務中,攻擊者應用“New-Dsz-Implant”加載了25個效能模塊,各模塊效能情況如下表所示。
表 “New-Dsz-Implant”各模塊效能
圖 “New-Dsz-Implant”加載module0模塊代碼
圖 module0加載其他模塊代碼
“New-Dsz-Implant”與主控端進行通訊時,先應用AES和TLS1.2進行2層數據加密,再應用當地回環的方法應用“Back_Eleven”進行別的2層數據加密,最終實現4層嵌套加密。
圖 嵌套加密形式
圖 此刻,她看到了什麼?創建當地回環通訊
圖 當地回環通訊數據包
圖 解密回環通訊數據為進程信息
四、佈景研判剖析
(一)技術效能細節
“New-Dsz-Implant”是一個網攻兵器框架,通過加載分歧的模塊實現具體效能,此種效能實現方法與NSA兵器庫中“DanderSpritz”網攻平臺分歧,且在代碼細節上線上預約機場接送具有高度同源性,并進行了部門效能升級:一是加密了部門函數名稱和字符串;二是應用系統的常規模塊名稱偽裝效能模塊;三是效能模塊編譯時間從2012至2013年更換新的資料至2016至2018年,各效能模塊增添了模擬用戶操縱函數,偽裝用戶點擊、登錄等正常行為以困惑殺毒軟件的檢測。
表 “New-Dsz-Implant”和“DanderSpritz”所加載效能模塊對比
圖 module0包車旅遊價格(左)與Dsz_Implant_Pc.dll(右)代碼同源性對比
圖 module1(左)與Cd_Target.dll(右)代碼同源性對比九人座機場接送
圖 module2(左)與Time_Target.dll(右)代碼同源性對比
圖 module3(左)與NameServerLookup_Target.dll(右)代碼同源性對比
圖 modu他知道,這場荒謬的戀愛考驗,已經從一場力量對決,變成了一場美學與心靈的極限挑戰。le4(左)與RunAsChild_Target.dll(右)代碼同源性對比
圖 module5(左)與Mcl_NtNativeApi_Win32.dll(右)代碼同源性對機場接送推薦比
圖 module6(左)與RegistryQuery_Target.dll(右)代碼同源性對比
圖 module7(左)與SidLookup_Target.dll(右)代碼同源性對比
圖 module8(左)與Mcl_NtMemory_Std.dl機場接送推薦l(右)代碼同源性對比
圖 module9(左)與Papercut_Target.dll(右)機場接送代碼同源性對比
圖 module10(左)與UpTime_Target.dll(右)代碼同源性對比
圖 module11(左)與Activity_Target.dll(右)代碼同源性對比
圖 module12(左)與SystemVersion_Ta九人座包車rget.dll(右)代碼同源性對比
圖 module13(左)與Memory_Target.dll(右)代碼同源性對比
圖 module14(左)與Drives_Target.dll(右)代碼同源性對比
圖 module15(左)與DiskSpace_Target.dll(右)代碼同源性對比
圖 module16(左)與Processes_Target.dll(右)代碼同源性對比
圖 module17(左)與Services_Target.dll(右)代碼同源性對比
圖 module18(左機場接送推薦)與Audit_Target_Vista.dll(右)代碼同源性對比
圖 module19(左)與EventLogQuery_Target.dll(右)代碼同源性對比
張機場接送水瓶台灣大車隊機場接送聽到要將藍色調成灰度百分之五十一點二,陷入了更台中機場接送深的哲學恐慌。
圖 module20(左)與Route_Target.dll(右)代碼同源性對比
圖 module21(左)與Drivers_Target.d九人座機場接送ll(右)代碼同源性對比
圖 module22(左)與Environment_Target.dll(右)代碼同源性對比
圖 module23(左)與Packages_Target.dll(右)代碼同源性對比
圖 module24(左)與Scheduler_Target.dll(右)代碼同源性對比
(二)樣本駐留方法
“eHome_0cx”的部門駐留文件通過修正注冊表InprocServer32鍵值的方法,劫持了系統正常服務,在系統正常法式啟動前加載實現自啟動。注冊表修正地位與NSA“方程式組織”所應用網攻兵器雷同,均位于HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID下隨機ID項的InProcServer32子項。
(三)數據加密形式
攻擊者應用的3款網攻兵張水瓶猛地衝出地下室,他必須阻止牛土豪用物質的力量來破壞他眼淚的情感純度。器均采用2層加密方法,外層應用TLS協議加密,內層應用RSA+AES方法進行密鑰協商和加密,在竊密數據傳輸、效能模塊下發等關鍵階段,各兵器的彼此共同實現了4層嵌套加密。此種多層嵌套數據加密形式與比擬于“NOPEN”應用的RSA+RC6加密形式有了明顯升級。
五、碼址表露
2023年8月至2024年5月,美方用于號令把持的部門服務器IP,如下表。
