10月19日上午���,國家安全機(jī)關(guān)披露了美國國家安全局(以下簡稱NSA)對國家授時(shí)中心(以下簡稱「授時(shí)中心」)實(shí)施重大網(wǎng)絡(luò)攻擊活動���。國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)通過分析研判和追蹤溯源得出此次攻擊事件的整體情況,現(xiàn)將具體技術(shù)細(xì)節(jié)公布如下:
一��、攻擊事件概貌
2022年3月起�����,NSA利用某國外品牌手機(jī)短訊服務(wù)漏洞�,秘密監(jiān)控10餘名國家授時(shí)中心工作人員,非法竊取手機(jī)通訊錄����、短訊、相冊���、位置信息等數(shù)據(jù)��。2023年4月起�����,NSA在「三角測量」行動曝光前��,多次於北京時(shí)間凌晨�,利用在某國外品牌手機(jī)中竊取的登錄憑證入侵國家授時(shí)中心計(jì)算機(jī),刺探內(nèi)部網(wǎng)絡(luò)建設(shè)情況��。2023年8月至2024年6月�,NSA針對性部署新型網(wǎng)絡(luò)作戰(zhàn)平臺,對國家授時(shí)中心多個內(nèi)部業(yè)務(wù)系統(tǒng)實(shí)施滲透活動����,並企圖向高精度地基授時(shí)導(dǎo)航系統(tǒng)等重大科技基礎(chǔ)設(shè)施發(fā)動攻擊。
縱觀此次事件��,NSA在戰(zhàn)術(shù)理念�����、操作手法���、加密通訊���、免殺逃逸等方面依然表現(xiàn)出世界領(lǐng)先水準(zhǔn)。隱匿實(shí)施攻擊��,NSA通過使用正常業(yè)務(wù)數(shù)字證書�、偽裝Windows系統(tǒng)模塊、代理網(wǎng)絡(luò)通信等方式隱蔽其攻擊竊密行為�����,同時(shí)對殺毒軟件機(jī)制的深入研究���,可使其有效避免檢測���;通訊多層加密,NSA使用網(wǎng)攻武器構(gòu)建迴環(huán)嵌套加密模式����,加密強(qiáng)度遠(yuǎn)超常規(guī)TLS通訊,通信流量更加難以解密還原���;活動耐心謹(jǐn)慎���,在整個活動周期��,NSA會對受控主機(jī)進(jìn)行全面監(jiān)控���,文件變動、關(guān)機(jī)重啟都會導(dǎo)致其全面排查異常原因����;功能動態(tài)擴(kuò)展,NSA會根據(jù)目標(biāo)環(huán)境���,動態(tài)組合不同網(wǎng)攻武器功能模塊進(jìn)行下發(fā)��,表明其統(tǒng)一攻擊平臺具備靈活的可擴(kuò)展性和目標(biāo)適配能力�。但其整體創(chuàng)新性缺失和部分環(huán)節(jié)乏力�,顯示出在被各類曝光事件圍追堵截後,技術(shù)迭代升級面臨瓶頸困境����。
二、網(wǎng)絡(luò)攻擊過程
此次攻擊事件中����,NSA利用「三角測量行動」獲取授時(shí)中心計(jì)算機(jī)終端的登錄憑證�����,進(jìn)而獲取控制權(quán)限,部署定製化特種網(wǎng)攻武器��,並針對授時(shí)中心網(wǎng)絡(luò)環(huán)境不斷升級網(wǎng)攻武器�,進(jìn)一步擴(kuò)大網(wǎng)攻竊密範(fàn)圍,以達(dá)到對該單位內(nèi)部網(wǎng)絡(luò)及關(guān)鍵信息系統(tǒng)長期滲透竊密的目的�����。梳理發(fā)現(xiàn)�����,NSA使用的網(wǎng)攻武器共計(jì)42款���,可分為三類:前哨控守(「eHome_0cx」)���、隧道搭建(「Back_eleven」)和數(shù)據(jù)竊取(「New_Dsz_Implant」)��,以境外網(wǎng)絡(luò)資產(chǎn)作為主控端控制伺服器實(shí)施攻擊活動共計(jì)千餘次�����。具體分為以下四個階段:
(一)獲取控制權(quán)限
2022年3月24日至2023年4月11日�����,NSA通過「三角測量」行動對授時(shí)中心10餘部設(shè)備進(jìn)行攻擊竊密����。2022年9月,攻擊者通過授時(shí)中心網(wǎng)絡(luò)管理員某國外品牌手機(jī)�,獲取了辦公計(jì)算機(jī)的登錄憑證,並利用該憑證獲得了辦公計(jì)算機(jī)的遠(yuǎn)程控制權(quán)限�����。
2023年4月11日至8月3日���,攻擊者利用匿名通信網(wǎng)絡(luò)節(jié)點(diǎn)遠(yuǎn)程登錄辦公計(jì)算機(jī)共80餘次�,並以該計(jì)算機(jī)為據(jù)點(diǎn)探測授時(shí)中心網(wǎng)絡(luò)環(huán)境��。
2023年8月3日攻擊過程
?���。ǘ┲踩胩胤N網(wǎng)攻武器
2023年8月3日至2024年3月24日���,攻擊者向網(wǎng)管計(jì)算機(jī)植入了早期版本的「Back_eleven」,竊取網(wǎng)管計(jì)算機(jī)數(shù)據(jù)��,並在每次攻擊結(jié)束後清除網(wǎng)絡(luò)攻擊武器內(nèi)存佔(zhàn)用和操作痕跡����。該階段「Back_eleven」功能尚未成熟����,攻擊者每次啟動前需遠(yuǎn)程控制關(guān)閉主機(jī)殺毒軟件。
部分殺毒軟件關(guān)閉記錄
(三)升級特種網(wǎng)攻武器
2024年3月至4月���,攻擊者針對授時(shí)中心網(wǎng)絡(luò)環(huán)境�����,定製化升級網(wǎng)絡(luò)攻擊武器����,植入多款新型網(wǎng)絡(luò)攻擊武器��,實(shí)現(xiàn)對計(jì)算機(jī)的長期駐留和隱蔽控制。攻擊者加載「eHome_0cx」「Back_eleven」「New_Dsz_Implant」����,配套使用的20餘款功能模塊,以及10餘個網(wǎng)絡(luò)攻擊武器配置文件���。
加載「eHome_0cx」數(shù)據(jù)包
內(nèi)存加載「Back_eleven」過程
內(nèi)存加載「New_Dsz_Implant」過程
攻擊者利用多款網(wǎng)絡(luò)攻擊武器相互配合���,搭建起4層加密隧道,形成隱蔽性極強(qiáng)且功能完善的網(wǎng)攻竊密平臺�。
網(wǎng)攻武器加密模式
(四)內(nèi)網(wǎng)橫向滲透過程
2024年5月至6月,攻擊者利用「Back_eleven」以網(wǎng)管計(jì)算機(jī)為跳板�,攻擊上網(wǎng)認(rèn)證伺服器和防火牆。
6月13日9時(shí)�,攻擊者激活網(wǎng)管計(jì)算機(jī)上的「eHome_0cx」,植入「Back_eleven」「New_Dsz_Implant」��,並以此為跳板竊取認(rèn)證伺服器數(shù)據(jù)��。
7月13日9時(shí)�,攻擊者激活網(wǎng)管計(jì)算機(jī)上的「eHome_0cx」,下發(fā)「Back_eleven」和「New_Dsz_Implant」竊取數(shù)據(jù)�����。
2024年6月13日網(wǎng)攻竊密數(shù)據(jù)包
三、網(wǎng)攻武器庫分析
攻擊者在此次網(wǎng)絡(luò)攻擊事件中使用的網(wǎng)攻武器����、功能模塊、惡意文件等總計(jì)42個�����,主要網(wǎng)攻武器按照功能可分為前哨控守類武器���、隧道搭建類武器��、數(shù)據(jù)竊取類武器。
?���。ㄒ唬┣吧诳厥仡愇淦?/strong>
攻擊者利用該類型網(wǎng)絡(luò)攻擊武器的隱蔽駐留和心跳回連功能,實(shí)現(xiàn)了長期控守目標(biāo)計(jì)算機(jī)終端和加載後續(xù)網(wǎng)絡(luò)攻擊武器的目的����。根據(jù)該類型主武器的資源加載路徑,將其命名為「eHome_0cx」���。
「eHome_0cx」由4個網(wǎng)攻模塊組成����,通過DLL劫持系統(tǒng)正常服務(wù)(如資源管理器和事件日誌服務(wù))實(shí)現(xiàn)自啟動,在啟動後抹除內(nèi)存中可執(zhí)行文件頭數(shù)據(jù)�,以隱藏網(wǎng)攻武器運(yùn)行痕跡。
「eHome_0cx」各網(wǎng)攻模塊信息表
?��。ǘ┧淼来罱愇淦?/strong>
攻擊者利用該類型網(wǎng)絡(luò)攻擊武器搭建網(wǎng)絡(luò)通信和數(shù)據(jù)傳輸隧道��,實(shí)現(xiàn)了對其他類型網(wǎng)絡(luò)攻擊武器的遠(yuǎn)程控制和竊密數(shù)據(jù)的加密傳輸�����,同時(shí)還具備信息獲取和命令執(zhí)行功能�����,在初始連接階段向主控端發(fā)送帶有數(shù)字「11」標(biāo)識��,命名為「Back_Eleven」��。
「Back_Eleven」檢測運(yùn)行環(huán)境
?��。ㄈ?shù)據(jù)竊取類武器
攻擊者利用此類網(wǎng)絡(luò)攻擊武器進(jìn)行數(shù)據(jù)竊密。該武器運(yùn)行時(shí)����,通過啟動模塊化網(wǎng)攻武器框架�,加載各種插件模塊來實(shí)現(xiàn)具體的竊密功能�。該武器與NSA網(wǎng)攻武器
「DanderSpritz」(怒火噴射)具有高度同源性,將其命名為「New-Dsz-Implant」�����。
「New-Dsz-Implant」由「eHome_0cx」加載運(yùn)行���,在攻擊活動中配合「Back_Eleven」所搭建的數(shù)據(jù)傳輸鏈路使用����。其自身無具體竊密功能�,需通過接收主控端指令加載功能模塊,實(shí)現(xiàn)各項(xiàng)竊密功能����。本次網(wǎng)攻事件中��,攻擊者使用「New-Dsz-Implant」加載了25個功能模塊�,各模塊功能情況如下表所示。
「New-Dsz-Implant」各模塊功能
四��、背景研判分析
(一)技術(shù)功能細(xì)節(jié)
「New-Dsz-Implant」是一個網(wǎng)攻武器框架��,通過加載不同的模塊實(shí)現(xiàn)具體功能�,此種功能實(shí)現(xiàn)方式與NSA武器庫中「DanderSpritz」網(wǎng)攻平臺一致,且在代碼細(xì)節(jié)上具有高度同源性�����,並進(jìn)行了部分功能升級:一是加密了部分函數(shù)名稱和字符串�����;二是使用系統(tǒng)的常規(guī)模塊名稱偽裝功能模塊�;三是功能模塊編譯時(shí)間從2012至2013年更新至2016至2018年,各功能模塊增加了模擬用戶操作函數(shù)����,偽裝用戶點(diǎn)擊、登錄等正常行為以迷惑殺毒軟件的檢測���。
「New-Dsz-Implant」和「DanderSpritz」所加載功能模塊對比
?��。ǘ颖抉v留方式
「eHome_0cx」的部分駐留文件通過修改註冊表InprocServer32鍵值的方式,劫持了系統(tǒng)正常服務(wù)��,在系統(tǒng)正常程序啟動前加載實(shí)現(xiàn)自啟動。註冊表修改位置與NSA「方程式組織」所使用網(wǎng)攻武器相同����,均位於HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID下隨機(jī)ID項(xiàng)的InProcServer32子項(xiàng)。
?�。ㄈ?shù)據(jù)加密模式
攻擊者使用的3款網(wǎng)攻武器均採用2層加密方式�,外層使用TLS協(xié)議加密,內(nèi)層使用RSA+AES方式進(jìn)行密鑰協(xié)商和加密�����,在竊密數(shù)據(jù)傳輸���、功能模塊下發(fā)等關(guān)鍵階段�,各武器的相互配合實(shí)現(xiàn)了4層嵌套加密�����。此種多層嵌套數(shù)據(jù)加密模式與相比於「NOPEN」使用的RSA+RC6加密模式有了明顯升級����。
五��、碼址披露
2023年8月至2024年5月,美方用於命令控制的部分伺服器IP����,如下表:
