2022-09-13 17:39:02 來源:央視新聞
今天,國家計(jì)算機(jī)病毒應(yīng)急中心發(fā)布《美國NSA網(wǎng)絡(luò)武器“飲茶”分析報(bào)告》,詳情如下:
(資料圖)
一、概述
國家計(jì)算機(jī)病毒應(yīng)急處理中心在對(duì)西北工業(yè)大學(xué)遭境外網(wǎng)絡(luò)攻擊事件進(jìn)行調(diào)查過程中,在西北工業(yè)大學(xué)的網(wǎng)絡(luò)服務(wù)器設(shè)備上發(fā)現(xiàn)了美國國家安全局(NSA)專用的網(wǎng)絡(luò)武器“飲茶”(NSA命名為“suctionchar”)(參見我中心2022年9月5日發(fā)布的《西北工業(yè)大學(xué)遭美國NSA網(wǎng)絡(luò)攻擊事件調(diào)查報(bào)告(之一)》)。國家計(jì)算機(jī)病毒應(yīng)急處理中心聯(lián)合奇安信公司對(duì)該網(wǎng)絡(luò)武器進(jìn)行了技術(shù)分析,分析結(jié)果表明,該網(wǎng)絡(luò)武器為“嗅探竊密類武器”,主要針對(duì)Unix/Linux平臺(tái),其主要功能是對(duì)目標(biāo)主機(jī)上的遠(yuǎn)程訪問賬號(hào)密碼進(jìn)行竊取。
二、技術(shù)分析
經(jīng)技術(shù)分析與研判,該網(wǎng)絡(luò)武器針對(duì)Unix/Linux平臺(tái),與其他網(wǎng)絡(luò)武器配合,攻擊者可通過推送配置文件的方式控制該惡意軟件執(zhí)行特定竊密任務(wù),該網(wǎng)絡(luò)武器的主要目標(biāo)是獲取用戶輸入的各種用戶名密碼,包括SSH、TELNET、FTP和其他遠(yuǎn)程服務(wù)登錄密碼,也可根據(jù)配置竊取保存在其他位置的用戶名密碼信息。
該網(wǎng)絡(luò)武器包含“驗(yàn)證模塊(authenticate)”、“解密模塊(decrypt)”、“解碼模塊(decode)”、“配置模塊”、“間諜模塊(agent)”等多個(gè)組成部分,其主要工作流程和技術(shù)分析結(jié)果如下:
(一)驗(yàn)證模塊
驗(yàn)證模塊的主要功能是在“飲茶”被調(diào)用前驗(yàn)證其調(diào)用者(父進(jìn)程)的身份,隨后進(jìn)行解密、解碼以加載其他惡意軟件模塊。如圖1所示。
(二)解密模塊
解密模塊是通用模塊,可被其他模塊調(diào)用對(duì)指定文件進(jìn)行解密,采用了與NOPEN遠(yuǎn)控木馬(參見《“NOPEN”遠(yuǎn)控木馬分析報(bào)告》)類似的RSA+RC6加密算法。如圖2所示。
(三)解碼模塊
與解密模塊類似,解碼模塊也是通用模塊,可以被其他模塊調(diào)用對(duì)指定文件進(jìn)行解碼,但采用了自編碼算法。如圖3所示。
(四)配置模塊
配置模塊的主要功能是讀取攻擊者遠(yuǎn)程投送的xml格式配置文件中的指令和匹配規(guī)則,并生成二進(jìn)制配置文件,從而由“監(jiān)視模塊”和“間諜模塊”調(diào)用后在受害主機(jī)上查找相關(guān)內(nèi)容。如圖4、圖5所示。
(五)間諜模塊
間諜模塊的主要功能是按照攻擊者下發(fā)的指令和規(guī)則從受害主機(jī)上提取相應(yīng)的敏感信息并輸出到指定位置。
(六)其他模塊
在分析過程中,我們還發(fā)現(xiàn)另外兩個(gè)模塊,分別是配置文件生成模塊和守護(hù)者模塊。其中,配置文件生成模塊的功能可能是生成ini臨時(shí)配置文件,而守護(hù)者模塊與間諜模塊具有很高的代碼相似性,可能是為不同版本系統(tǒng)生產(chǎn)的變種。
三、總結(jié)
基于上述分析結(jié)果,技術(shù)分析團(tuán)隊(duì)認(rèn)為,“飲茶”編碼復(fù)雜,高度模塊化,支持多線程,適配操作系統(tǒng)環(huán)境廣泛,包括FreeBSD、Sun Solaris系統(tǒng)以及Debian、RedHat、Centos、Ubuntu等多種Linux發(fā)行版,反映出開發(fā)者先進(jìn)的軟件工程化能力。“飲茶”還具有較好的開放性,可以與其他網(wǎng)絡(luò)武器有效進(jìn)行集成和聯(lián)動(dòng),其采用加密和校驗(yàn)等方式加強(qiáng)了自身安全性和隱蔽性,并且其通過靈活的配置功能,不僅可以提取登錄用戶名密碼等信息,理論上也可以提取所有攻擊者想獲取的信息,是功能先進(jìn),隱蔽性強(qiáng)的強(qiáng)大網(wǎng)絡(luò)武器工具。
在此次針對(duì)西北工業(yè)大學(xué)的攻擊中,美國NSA下屬特定入侵行動(dòng)辦公室(TAO)使用“飲茶”作為嗅探竊密工具,將其植入西北工業(yè)大學(xué)內(nèi)部網(wǎng)絡(luò)服務(wù)器,竊取了SSH、TELNET、FTP、SCP等遠(yuǎn)程管理和遠(yuǎn)程文件傳輸服務(wù)的登錄密碼,從而獲得內(nèi)網(wǎng)中其他服務(wù)器的訪問權(quán)限,實(shí)現(xiàn)內(nèi)網(wǎng)橫向移動(dòng),并向其他高價(jià)值服務(wù)器投送其他嗅探竊密類、持久化控制類和隱蔽消痕類網(wǎng)絡(luò)武器,造成大規(guī)模、持續(xù)性敏感數(shù)據(jù)失竊。隨著調(diào)查的逐步深入,技術(shù)團(tuán)隊(duì)還在西北工業(yè)大學(xué)之外的其他機(jī)構(gòu)網(wǎng)絡(luò)中發(fā)現(xiàn)了“飲茶”的攻擊痕跡,很可能是TAO利用“飲茶”對(duì)中國發(fā)動(dòng)了大規(guī)模的網(wǎng)絡(luò)攻擊活動(dòng)。
(文章來源:央視新聞)
標(biāo)簽:
10月30日,美年大健康產(chǎn)業(yè)控股股份有限公司(以下簡(jiǎn)稱美年健康,SZ,002044)發(fā)布2022年第三季度業(yè)績(jī)報(bào)告顯示,公司第三季度營(yíng)業(yè)收入28 29億
10月30日,拉卡拉(300773 SZ)公布2022第三季度業(yè)績(jī)報(bào)告。在疫情反復(fù)、線下市場(chǎng)持續(xù)承壓的背景下,公司前三季度實(shí)現(xiàn)營(yíng)業(yè)收入43 55億元,歸屬
100萬逆回購一天賺多少錢100萬逆回購一天賺多少錢?這是不固定的,因?yàn)閲鴤婊刭彽睦⑹杖胧歉鶕?jù)當(dāng)時(shí)國債逆回購的利率來決定的,而國債逆
理財(cái)能不能致富理財(cái)可以在一定程度上幫助我們致富,但光靠理財(cái)致富還是比較困難的,當(dāng)然很多的投資理財(cái)者也是可以靠理財(cái)來實(shí)現(xiàn)致富的。理財(cái)
理財(cái)靠譜嗎理財(cái)可以很好的對(duì)自己的資金進(jìn)行管理,是靠譜的,但是我們不能盲目地進(jìn)行投資理財(cái),那樣就可能會(huì)造成很大的虧損。我們需要根據(jù)自
10月30日,美年大健康產(chǎn)業(yè)控股股份有限公司(以下簡(jiǎn)稱美年健康,SZ,002044)發(fā)布2022年第三季度業(yè)績(jī)報(bào)告顯示,公司第三季度營(yíng)業(yè)收入28 29億
10月30日,拉卡拉(300773 SZ)公布2022第三季度業(yè)績(jī)報(bào)告。在疫情反復(fù)、線下市場(chǎng)持續(xù)承壓的背景下,公司前三季度實(shí)現(xiàn)營(yíng)業(yè)收入43 55億元,歸屬
100萬逆回購一天賺多少錢100萬逆回購一天賺多少錢?這是不固定的,因?yàn)閲鴤婊刭彽睦⑹杖胧歉鶕?jù)當(dāng)時(shí)國債逆回購的利率來決定的,而國債逆
理財(cái)能不能致富理財(cái)可以在一定程度上幫助我們致富,但光靠理財(cái)致富還是比較困難的,當(dāng)然很多的投資理財(cái)者也是可以靠理財(cái)來實(shí)現(xiàn)致富的。理財(cái)
理財(cái)靠譜嗎理財(cái)可以很好的對(duì)自己的資金進(jìn)行管理,是靠譜的,但是我們不能盲目地進(jìn)行投資理財(cái),那樣就可能會(huì)造成很大的虧損。我們需要根據(jù)自
繼公募基金、券商資管宣布自購后,量化私募宏錫基金17日晚也宣布自購5000萬元。 宏錫基金在公告中表示,堅(jiān)定看好中國期貨及衍生品市場(chǎng)的長(zhǎng)
16日晚間,工、農(nóng)、中、建、交五大國有銀行均發(fā)布公告,表示加強(qiáng)對(duì)實(shí)體經(jīng)濟(jì)的支持力度,同時(shí)披露了前三季度信貸投放情況。17日,郵儲(chǔ)銀行發(fā)
10月14日晚,證監(jiān)會(huì)對(duì)《回購規(guī)則》《董監(jiān)高持股變動(dòng)規(guī)則》的部分條款進(jìn)行修訂,滬深交易所也同步修訂相關(guān)規(guī)則。根據(jù)新規(guī),將回購實(shí)施條件放
近日,北交所科潤(rùn)智控率先披露三季報(bào)業(yè)績(jī)預(yù)告,預(yù)計(jì)凈利同比增長(zhǎng)130 61%-159 96%。科潤(rùn)智控業(yè)績(jī)大增科潤(rùn)智控經(jīng)營(yíng)范圍包括輸配電設(shè)備、智能
銀行理財(cái)公司調(diào)研馬不停蹄。數(shù)據(jù)顯示,今年三季度,共有22家銀行理財(cái)公司參與上市公司調(diào)研,合計(jì)調(diào)研近千次,高于今年第一、二季度。9月就
旗袍,中國和世界華人女性的傳統(tǒng)服裝,被譽(yù)為中國國粹和女性國服。雖然其定義和產(chǎn)生的時(shí)間至今還存有諸多爭(zhēng)議,但它仍然是中國悠久服飾文化
7月21日,北京市政府發(fā)布《北京市電影局關(guān)于在疫情防控常態(tài)化條件下有序推進(jìn)電影院恢復(fù)開放的通知》,宣布全市低風(fēng)險(xiǎn)地區(qū)影院,可于7月24日
?武漢7·16渡江節(jié)組委會(huì)14日發(fā)布公告,由于長(zhǎng)江武漢關(guān)水位超警戒水位,按照規(guī)定取消2020年第46屆武漢7·16渡江節(jié)。受近期持續(xù)強(qiáng)降雨影響,
過去一段時(shí)間,國家級(jí)非遺項(xiàng)目灰塑傳承人邵成村,多次在陳家祠等工作現(xiàn)場(chǎng),向身邊那些帶著好奇目光的人們講解灰塑的種種技術(shù)細(xì)節(jié):草根灰、
7月13日,位于璧山區(qū)南門唐城夜市街區(qū)的璧山冷酒夜市開街。這是璧山區(qū)打造夜間經(jīng)濟(jì)消費(fèi)載體、培育夜間經(jīng)濟(jì)活動(dòng)品牌的舉措之一。璧山市民一
