10月19日上午��,國家安全機關(guān)披露了美國國家安全局(以下簡稱NSA)對國家授時中心(以下簡稱“授時中心”)實施重大網(wǎng)絡(luò)攻擊活動。國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)通過分析研判和追蹤溯源得出此次攻擊事件的整體情況���,現(xiàn)將具體技術(shù)細(xì)節(jié)公布如下:
一��、攻擊事件概貌
2022年3月起��,NSA利用某國外品牌手機短信服務(wù)漏洞����,秘密監(jiān)控10余名國家授時中心工作人員����,非法竊取手機通訊錄、短信���、相冊���、位置信息等數(shù)據(jù)。2023年4月起���,NSA在“三角測量”行動曝光前��,多次于北京時間凌晨�����,利用在某國外品牌手機中竊取的登錄憑證入侵國家授時中心計算機�����,刺探內(nèi)部網(wǎng)絡(luò)建設(shè)情況���。2023年8月至2024年6月,NSA針對性部署新型網(wǎng)絡(luò)作戰(zhàn)平臺���,對國家授時中心多個內(nèi)部業(yè)務(wù)系統(tǒng)實施滲透活動��,并企圖向高精度地基授時導(dǎo)航系統(tǒng)等重大科技基礎(chǔ)設(shè)施發(fā)動攻擊�����。
縱觀此次事件���,NSA在戰(zhàn)術(shù)理念、操作手法�����、加密通訊、免殺逃逸等方面依然表現(xiàn)出世界領(lǐng)先水準(zhǔn)���。隱匿實施攻擊�����,NSA通過使用正常業(yè)務(wù)數(shù)字證書��、偽裝Windows系統(tǒng)模塊����、代理網(wǎng)絡(luò)通信等方式隱蔽其攻擊竊密行為���,同時對殺毒軟件機制的深入研究���,可使其有效避免檢測;通訊多層加密�����,NSA使用網(wǎng)攻武器構(gòu)建回環(huán)嵌套加密模式��,加密強度遠(yuǎn)超常規(guī)TLS通訊�����,通信流量更加難以解密還原;活動耐心謹(jǐn)慎�����,在整個活動周期����,NSA會對受控主機進行全面監(jiān)控�����,文件變動��、關(guān)機重啟都會導(dǎo)致其全面排查異常原因�����;功能動態(tài)擴展���,NSA會根據(jù)目標(biāo)環(huán)境���,動態(tài)組合不同網(wǎng)攻武器功能模塊進行下發(fā)��,表明其統(tǒng)一攻擊平臺具備靈活的可擴展性和目標(biāo)適配能力�����。但其整體創(chuàng)新性缺失和部分環(huán)節(jié)乏力���,顯示出在被各類曝光事件圍追堵截后,技術(shù)迭代升級面臨瓶頸困境�����。
二�����、網(wǎng)絡(luò)攻擊過程
此次攻擊事件中���,NSA利用“三角測量行動”獲取授時中心計算機終端的登錄憑證�,進而獲取控制權(quán)限�,部署定制化特種網(wǎng)攻武器,并針對授時中心網(wǎng)絡(luò)環(huán)境不斷升級網(wǎng)攻武器���,進一步擴大網(wǎng)攻竊密范圍���,以達(dá)到對該單位內(nèi)部網(wǎng)絡(luò)及關(guān)鍵信息系統(tǒng)長期滲透竊密的目的�����。梳理發(fā)現(xiàn)����,NSA使用的網(wǎng)攻武器共計42款�����,可分為三類:前哨控守(“eHome_0cx”)���、隧道搭建(“Back_eleven”)和數(shù)據(jù)竊取(“New_Dsz_Implant”)��,以境外網(wǎng)絡(luò)資產(chǎn)作為主控端控制服務(wù)器實施攻擊活動共計千余次���。具體分為以下四個階段:
(一)獲取控制權(quán)限
2022年3月24日至2023年4月11日��,NSA通過“三角測量”行動對授時中心10余部設(shè)備進行攻擊竊密����。2022年9月,攻擊者通過授時中心網(wǎng)絡(luò)管理員某國外品牌手機�,獲取了辦公計算機的登錄憑證,并利用該憑證獲得了辦公計算機的遠(yuǎn)程控制權(quán)限�。
2023年4月11日至8月3日,攻擊者利用匿名通信網(wǎng)絡(luò)節(jié)點遠(yuǎn)程登錄辦公計算機共80余次�����,并以該計算機為據(jù)點探測授時中心網(wǎng)絡(luò)環(huán)境�����。
2023年8月3日攻擊過程
(二)植入特種網(wǎng)攻武器
2023年8月3日至2024年3月24日��,攻擊者向網(wǎng)管計算機植入了早期版本的“Back_eleven”���,竊取網(wǎng)管計算機數(shù)據(jù)�����,并在每次攻擊結(jié)束后清除網(wǎng)絡(luò)攻擊武器內(nèi)存占用和操作痕跡��。該階段“Back_eleven”功能尚未成熟���,攻擊者每次啟動前需遠(yuǎn)程控制關(guān)閉主機殺毒軟件����。
部分殺毒軟件關(guān)閉記錄
(三)升級特種網(wǎng)攻武器
2024年3月至4月���,攻擊者針對授時中心網(wǎng)絡(luò)環(huán)境���,定制化升級網(wǎng)絡(luò)攻擊武器,植入多款新型網(wǎng)絡(luò)攻擊武器����,實現(xiàn)對計算機的長期駐留和隱蔽控制。攻擊者加載“eHome_0cx”“Back_eleven”“New_Dsz_Implant”���,配套使用的20余款功能模塊���,以及10余個網(wǎng)絡(luò)攻擊武器配置文件����。
加載“eHome_0cx”數(shù)據(jù)包
內(nèi)存加載“Back_eleven”過程
內(nèi)存加載“New_Dsz_Implant”過程
攻擊者利用多款網(wǎng)絡(luò)攻擊武器相互配合,搭建起4層加密隧道����,形成隱蔽性極強且功能完善的網(wǎng)攻竊密平臺�����。
網(wǎng)攻武器加密模式
(四)內(nèi)網(wǎng)橫向滲透過程
2024年5月至6月���,攻擊者利用“Back_eleven”以網(wǎng)管計算機為跳板,攻擊上網(wǎng)認(rèn)證服務(wù)器和防火墻����。
6月13日9時,攻擊者激活網(wǎng)管計算機上的“eHome_0cx”����,植入“Back_eleven”“New_Dsz_Implant”,并以此為跳板竊取認(rèn)證服務(wù)器數(shù)據(jù)���。
7月13日9時��,攻擊者激活網(wǎng)管計算機上的“eHome_0cx”�,下發(fā)“Back_eleven”和“New_Dsz_Implant”竊取數(shù)據(jù)���。
2024年6月13日網(wǎng)攻竊密數(shù)據(jù)包
三��、網(wǎng)攻武器庫分析
攻擊者在此次網(wǎng)絡(luò)攻擊事件中使用的網(wǎng)攻武器���、功能模塊��、惡意文件等總計42個���,主要網(wǎng)攻武器按照功能可分為前哨控守類武器、隧道搭建類武器�����、數(shù)據(jù)竊取類武器�。
(一)前哨控守類武器
攻擊者利用該類型網(wǎng)絡(luò)攻擊武器的隱蔽駐留和心跳回連功能,實現(xiàn)了長期控守目標(biāo)計算機終端和加載后續(xù)網(wǎng)絡(luò)攻擊武器的目的���。根據(jù)該類型主武器的資源加載路徑��,將其命名為“eHome_0cx”����。
“eHome_0cx”由4個網(wǎng)攻模塊組成����,通過DLL劫持系統(tǒng)正常服務(wù)(如資源管理器和事件日志服務(wù))實現(xiàn)自啟動,在啟動后抹除內(nèi)存中可執(zhí)行文件頭數(shù)據(jù)�,以隱藏網(wǎng)攻武器運行痕跡。
“eHome_0cx”各網(wǎng)攻模塊信息表
(二)隧道搭建類武器
攻擊者利用該類型網(wǎng)絡(luò)攻擊武器搭建網(wǎng)絡(luò)通信和數(shù)據(jù)傳輸隧道��,實現(xiàn)了對其他類型網(wǎng)絡(luò)攻擊武器的遠(yuǎn)程控制和竊密數(shù)據(jù)的加密傳輸�,同時還具備信息獲取和命令執(zhí)行功能,在初始連接階段向主控端發(fā)送帶有數(shù)字“11”標(biāo)識��,命名為“Back_Eleven”�����。
“Back_Eleven”檢測運行環(huán)境
(三)數(shù)據(jù)竊取類武器
攻擊者利用此類網(wǎng)絡(luò)攻擊武器進行數(shù)據(jù)竊密�。該武器運行時,通過啟動模塊化網(wǎng)攻武器框架���,加載各種插件模塊來實現(xiàn)具體的竊密功能����。該武器與NSA網(wǎng)攻武器“DanderSpritz”(怒火噴射)具有高度同源性��,將其命名為“New-Dsz-Implant”����。
“New-Dsz-Implant”由“eHome_0cx”加載運行����,在攻擊活動中配合“Back_Eleven”所搭建的數(shù)據(jù)傳輸鏈路使用���。其自身無具體竊密功能�����,需通過接收主控端指令加載功能模塊����,實現(xiàn)各項竊密功能�����。本次網(wǎng)攻事件中����,攻擊者使用“New-Dsz-Implant”加載了25個功能模塊,各模塊功能情況如下表所示�����。
“New-Dsz-Implant”各模塊功能
四��、背景研判分析
(一)技術(shù)功能細(xì)節(jié)
“New-Dsz-Implant”是一個網(wǎng)攻武器框架�����,通過加載不同的模塊實現(xiàn)具體功能��,此種功能實現(xiàn)方式與NSA武器庫中“DanderSpritz”網(wǎng)攻平臺一致���,且在代碼細(xì)節(jié)上具有高度同源性�����,并進行了部分功能升級:一是加密了部分函數(shù)名稱和字符串���;二是使用系統(tǒng)的常規(guī)模塊名稱偽裝功能模塊;三是功能模塊編譯時間從2012至2013年更新至2016至2018年�����,各功能模塊增加了模擬用戶操作函數(shù)�����,偽裝用戶點擊���、登錄等正常行為以迷惑殺毒軟件的檢測�����。
“New-Dsz-Implant”和“DanderSpritz”所加載功能模塊對比
(二)樣本駐留方式
“eHome_0cx”的部分駐留文件通過修改注冊表InprocServer32鍵值的方式��,劫持了系統(tǒng)正常服務(wù)��,在系統(tǒng)正常程序啟動前加載實現(xiàn)自啟動���。注冊表修改位置與NSA“方程式組織”所使用網(wǎng)攻武器相同����,均位于HKEY_LOCAL_MACHINESOFTWAREClassesCLSID下隨機ID項的InProcServer32子項���。
(三)數(shù)據(jù)加密模式
攻擊者使用的3款網(wǎng)攻武器均采用2層加密方式��,外層使用TLS協(xié)議加密��,內(nèi)層使用RSA+AES方式進行密鑰協(xié)商和加密�����,在竊密數(shù)據(jù)傳輸�、功能模塊下發(fā)等關(guān)鍵階段,各武器的相互配合實現(xiàn)了4層嵌套加密�����。此種多層嵌套數(shù)據(jù)加密模式與相比于“NOPEN”使用的RSA+RC6加密模式有了明顯升級����。
五�����、碼址披露
2023年8月至2024年5月�����,美方用于命令控制的部分服務(wù)器IP�����,如下表:
