10月19日上午,國(guó)家安全機(jī)關(guān)披露了美國(guó)國(guó)家安全局(以下簡(jiǎn)稱(chēng)NSA)對(duì)國(guó)家授時(shí)中心(以下簡(jiǎn)稱(chēng)“授時(shí)中心”)實(shí)施重大網(wǎng)絡(luò)攻擊活動(dòng)。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)通過(guò)分析研判和追蹤溯源得出此次攻擊事件的整體情況,現(xiàn)將具體技術(shù)細(xì)節(jié)公布如下:
一、攻擊事件概貌
2022年3月起,NSA利用某國(guó)外品牌手機(jī)短信服務(wù)漏洞,秘密監(jiān)控10余名國(guó)家授時(shí)中心工作人員,非法竊取手機(jī)通訊錄、短信、相冊(cè)、位置信息等數(shù)據(jù)。2023年4月起,NSA在“三角測(cè)量”行動(dòng)曝光前,多次于北京時(shí)間凌晨,利用在某國(guó)外品牌手機(jī)中竊取的登錄憑證入侵國(guó)家授時(shí)中心計(jì)算機(jī),刺探內(nèi)部網(wǎng)絡(luò)建設(shè)情況。2023年8月至2024年6月,NSA針對(duì)性部署新型網(wǎng)絡(luò)作戰(zhàn)平臺(tái),對(duì)國(guó)家授時(shí)中心多個(gè)內(nèi)部業(yè)務(wù)系統(tǒng)實(shí)施滲透活動(dòng),并企圖向高精度地基授時(shí)導(dǎo)航系統(tǒng)等重大科技基礎(chǔ)設(shè)施發(fā)動(dòng)攻擊。
縱觀此次事件,NSA在戰(zhàn)術(shù)理念、操作手法、加密通訊、免殺逃逸等方面依然表現(xiàn)出世界領(lǐng)先水準(zhǔn)。隱匿實(shí)施攻擊,NSA通過(guò)使用正常業(yè)務(wù)數(shù)字證書(shū)、偽裝Windows系統(tǒng)模塊、代理網(wǎng)絡(luò)通信等方式隱蔽其攻擊竊密行為,同時(shí)對(duì)殺毒軟件機(jī)制的深入研究,可使其有效避免檢測(cè);通訊多層加密,NSA使用網(wǎng)攻武器構(gòu)建回環(huán)嵌套加密模式,加密強(qiáng)度遠(yuǎn)超常規(guī)TLS通訊,通信流量更加難以解密還原;活動(dòng)耐心謹(jǐn)慎,在整個(gè)活動(dòng)周期,NSA會(huì)對(duì)受控主機(jī)進(jìn)行全面監(jiān)控,文件變動(dòng)、關(guān)機(jī)重啟都會(huì)導(dǎo)致其全面排查異常原因;功能動(dòng)態(tài)擴(kuò)展,NSA會(huì)根據(jù)目標(biāo)環(huán)境,動(dòng)態(tài)組合不同網(wǎng)攻武器功能模塊進(jìn)行下發(fā),表明其統(tǒng)一攻擊平臺(tái)具備靈活的可擴(kuò)展性和目標(biāo)適配能力。但其整體創(chuàng)新性缺失和部分環(huán)節(jié)乏力,顯示出在被各類(lèi)曝光事件圍追堵截后,技術(shù)迭代升級(jí)面臨瓶頸困境。
二、網(wǎng)絡(luò)攻擊過(guò)程
此次攻擊事件中,NSA利用“三角測(cè)量行動(dòng)”獲取授時(shí)中心計(jì)算機(jī)終端的登錄憑證,進(jìn)而獲取控制權(quán)限,部署定制化特種網(wǎng)攻武器,并針對(duì)授時(shí)中心網(wǎng)絡(luò)環(huán)境不斷升級(jí)網(wǎng)攻武器,進(jìn)一步擴(kuò)大網(wǎng)攻竊密范圍,以達(dá)到對(duì)該單位內(nèi)部網(wǎng)絡(luò)及關(guān)鍵信息系統(tǒng)長(zhǎng)期滲透竊密的目的。梳理發(fā)現(xiàn),NSA使用的網(wǎng)攻武器共計(jì)42款,可分為三類(lèi):前哨控守(“eHome_0cx”)、隧道搭建(“Back_eleven”)和數(shù)據(jù)竊取(“New_Dsz_Implant”),以境外網(wǎng)絡(luò)資產(chǎn)作為主控端控制服務(wù)器實(shí)施攻擊活動(dòng)共計(jì)千余次。具體分為以下四個(gè)階段:
(一)獲取控制權(quán)限
2022年3月24日至2023年4月11日,NSA通過(guò)“三角測(cè)量”行動(dòng)對(duì)授時(shí)中心10余部設(shè)備進(jìn)行攻擊竊密。2022年9月,攻擊者通過(guò)授時(shí)中心網(wǎng)絡(luò)管理員某國(guó)外品牌手機(jī),獲取了辦公計(jì)算機(jī)的登錄憑證,并利用該憑證獲得了辦公計(jì)算機(jī)的遠(yuǎn)程控制權(quán)限。
2023年4月11日至8月3日,攻擊者利用匿名通信網(wǎng)絡(luò)節(jié)點(diǎn)遠(yuǎn)程登錄辦公計(jì)算機(jī)共80余次,并以該計(jì)算機(jī)為據(jù)點(diǎn)探測(cè)授時(shí)中心網(wǎng)絡(luò)環(huán)境。
表 2023年8月3日攻擊過(guò)程
(二)植入特種網(wǎng)攻武器
2023年8月3日至2024年3月24日,攻擊者向網(wǎng)管計(jì)算機(jī)植入了早期版本的“Back_eleven”,竊取網(wǎng)管計(jì)算機(jī)數(shù)據(jù),并在每次攻擊結(jié)束后清除網(wǎng)絡(luò)攻擊武器內(nèi)存占用和操作痕跡。該階段“Back_eleven”功能尚未成熟,攻擊者每次啟動(dòng)前需遠(yuǎn)程控制關(guān)閉主機(jī)殺毒軟件。
表 部分殺毒軟件關(guān)閉記錄
(三)升級(jí)特種網(wǎng)攻武器
2024年3月至4月,攻擊者針對(duì)授時(shí)中心網(wǎng)絡(luò)環(huán)境,定制化升級(jí)網(wǎng)絡(luò)攻擊武器,植入多款新型網(wǎng)絡(luò)攻擊武器,實(shí)現(xiàn)對(duì)計(jì)算機(jī)的長(zhǎng)期駐留和隱蔽控制。攻擊者加載“eHome_0cx”“Back_eleven”“New_Dsz_Implant”,配套使用的20余款功能模塊,以及10余個(gè)網(wǎng)絡(luò)攻擊武器配置文件。
圖 加載“eHome_0cx”數(shù)據(jù)包
圖 內(nèi)存加載“Back_eleven”過(guò)程
圖 內(nèi)存加載“New_Dsz_Implant”過(guò)程
攻擊者利用多款網(wǎng)絡(luò)攻擊武器相互配合,搭建起4層加密隧道,形成隱蔽性極強(qiáng)且功能完善的網(wǎng)攻竊密平臺(tái)。
圖 網(wǎng)攻武器加密模式
(四)內(nèi)網(wǎng)橫向滲透過(guò)程
2024年5月至6月,攻擊者利用“Back_eleven”以網(wǎng)管計(jì)算機(jī)為跳板,攻擊上網(wǎng)認(rèn)證服務(wù)器和防火墻。
6月13日9時(shí),攻擊者激活網(wǎng)管計(jì)算機(jī)上的“eHome_0cx”,植入“Back_eleven”“New_Dsz_Implant”,并以此為跳板竊取認(rèn)證服務(wù)器數(shù)據(jù)。
7月13日9時(shí),攻擊者激活網(wǎng)管計(jì)算機(jī)上的“eHome_0cx”,下發(fā)“Back_eleven”和“New_Dsz_Implant”竊取數(shù)據(jù)。
圖 2024年6月13日網(wǎng)攻竊密數(shù)據(jù)包
三、網(wǎng)攻武器庫(kù)分析
攻擊者在此次網(wǎng)絡(luò)攻擊事件中使用的網(wǎng)攻武器、功能模塊、惡意文件等總計(jì)42個(gè),主要網(wǎng)攻武器按照功能可分為前哨控守類(lèi)武器、隧道搭建類(lèi)武器、數(shù)據(jù)竊取類(lèi)武器。
(一)前哨控守類(lèi)武器
攻擊者利用該類(lèi)型網(wǎng)絡(luò)攻擊武器的隱蔽駐留和心跳回連功能,實(shí)現(xiàn)了長(zhǎng)期控守目標(biāo)計(jì)算機(jī)終端和加載后續(xù)網(wǎng)絡(luò)攻擊武器的目的。根據(jù)該類(lèi)型主武器的資源加載路徑,將其命名為“eHome_0cx”。
“eHome_0cx”由4個(gè)網(wǎng)攻模塊組成,通過(guò)DLL劫持系統(tǒng)正常服務(wù)(如資源管理器和事件日志服務(wù))實(shí)現(xiàn)自啟動(dòng),在啟動(dòng)后抹除內(nèi)存中可執(zhí)行文件頭數(shù)據(jù),以隱藏網(wǎng)攻武器運(yùn)行痕跡。
表 “eHome_0cx”各網(wǎng)攻模塊信息表
“eHome_0cx”以受控主機(jī)唯一標(biāo)識(shí)guid作為解密武器資源的密鑰,各網(wǎng)攻模塊之間利用LPC端口進(jìn)行通信,并以指令號(hào)的方式調(diào)用該武器的各項(xiàng)功能。
表“eHome_0cx”功能
“eHome_0cx”使用RSA算法和TLS協(xié)議完成通信加密。“eHome_0cx”內(nèi)置有與主控端通信使用的RSA公鑰(見(jiàn)下圖)。每次通信均隨機(jī)產(chǎn)生一個(gè)會(huì)話密鑰,使用RSA算法與主控端完成密鑰交換過(guò)程,之后利用TLS協(xié)議傳輸使用會(huì)話密鑰加密的數(shù)據(jù)。
圖 RSA公鑰
(二)隧道搭建類(lèi)武器
攻擊者利用該類(lèi)型網(wǎng)絡(luò)攻擊武器搭建網(wǎng)絡(luò)通信和數(shù)據(jù)傳輸隧道,實(shí)現(xiàn)了對(duì)其他類(lèi)型網(wǎng)絡(luò)攻擊武器的遠(yuǎn)程控制和竊密數(shù)據(jù)的加密傳輸,同時(shí)還具備信息獲取和命令執(zhí)行功能,在初始連接階段向主控端發(fā)送帶有數(shù)字“11”標(biāo)識(shí),命名為“Back_Eleven”。
“Back_Eleven”由“eHome_0cx”加載運(yùn)行,具有嚴(yán)格運(yùn)行環(huán)境檢測(cè)機(jī)制,若發(fā)現(xiàn)運(yùn)行環(huán)境系統(tǒng)版本異常、調(diào)試程序正在運(yùn)行等情況,將啟動(dòng)自刪除功能。并且該武器在設(shè)計(jì)時(shí)加入了反調(diào)試功能,以防止被逆向分析。
圖 “Back_Eleven”檢測(cè)運(yùn)行環(huán)境
“Back_Eleven”具有主動(dòng)回連和被動(dòng)監(jiān)聽(tīng)兩種工作模式:在主動(dòng)回連模式下,“Back_Eleven”解密內(nèi)置的主控端控制服務(wù)器IP地址,并使用內(nèi)置的RSA加密算法公鑰完成密鑰交換,然后使用AES算法將上線信息加密后,利用TLS協(xié)議加密傳輸?shù)街骺囟耍辉诒粍?dòng)監(jiān)聽(tīng)模式下,“Back_Eleven”通過(guò)監(jiān)聽(tīng)Windows系統(tǒng)網(wǎng)卡流量,篩選主控端發(fā)送的特定條件數(shù)據(jù)包,實(shí)現(xiàn)主控端命令執(zhí)行。
圖 “Back_Eleven”向主控端轉(zhuǎn)發(fā)數(shù)據(jù)
圖 “Back_Eleven”接收主控端指令并解密
“Back_Eleven”以指令號(hào)的方式調(diào)用該武器的各項(xiàng)功能。
表 “Back_Eleven”指令功能
(三)數(shù)據(jù)竊取類(lèi)武器
攻擊者利用此類(lèi)網(wǎng)絡(luò)攻擊武器進(jìn)行數(shù)據(jù)竊密。該武器運(yùn)行時(shí),通過(guò)啟動(dòng)模塊化網(wǎng)攻武器框架,加載各種插件模塊來(lái)實(shí)現(xiàn)具體的竊密功能。該武器與NSA網(wǎng)攻武器 “DanderSpritz”(怒火噴射)具有高度同源性,將其命名為“New-Dsz-Implant”。
“New-Dsz-Implant”由“eHome_0cx”加載運(yùn)行,在攻擊活動(dòng)中配合“Back_Eleven”所搭建的數(shù)據(jù)傳輸鏈路使用。其自身無(wú)具體竊密功能,需通過(guò)接收主控端指令加載功能模塊,實(shí)現(xiàn)各項(xiàng)竊密功能。本次網(wǎng)攻事件中,攻擊者使用“New-Dsz-Implant”加載了25個(gè)功能模塊,各模塊功能情況如下表所示。
表 “New-Dsz-Implant”各模塊功能
圖 “New-Dsz-Implant”加載module0模塊代碼
圖 module0加載其他模塊代碼
“New-Dsz-Implant”與主控端進(jìn)行通信時(shí),先使用AES和TLS1.2進(jìn)行2層數(shù)據(jù)加密,再使用本地回環(huán)的方式利用“Back_Eleven”進(jìn)行另外2層數(shù)據(jù)加密,最終實(shí)現(xiàn)4層嵌套加密。
圖 嵌套加密模式
圖 創(chuàng)建本地回環(huán)通信
圖 本地回環(huán)通信數(shù)據(jù)包
圖 解密回環(huán)通信數(shù)據(jù)為進(jìn)程信息
四、背景研判分析
(一)技術(shù)功能細(xì)節(jié)
“New-Dsz-Implant”是一個(gè)網(wǎng)攻武器框架,通過(guò)加載不同的模塊實(shí)現(xiàn)具體功能,此種功能實(shí)現(xiàn)方式與NSA武器庫(kù)中“DanderSpritz”網(wǎng)攻平臺(tái)一致,且在代碼細(xì)節(jié)上具有高度同源性,并進(jìn)行了部分功能升級(jí):一是加密了部分函數(shù)名稱(chēng)和字符串;二是使用系統(tǒng)的常規(guī)模塊名稱(chēng)偽裝功能模塊;三是功能模塊編譯時(shí)間從2012至2013年更新至2016至2018年,各功能模塊增加了模擬用戶操作函數(shù),偽裝用戶點(diǎn)擊、登錄等正常行為以迷惑殺毒軟件的檢測(cè)。
表 “New-Dsz-Implant”和“DanderSpritz”所加載功能模塊對(duì)比
圖 module0(左)與Dsz_Implant_Pc.dll(右)代碼同源性對(duì)比
圖 module1(左)與Cd_Target.dll(右)代碼同源性對(duì)比
圖 module2(左)與Time_Target.dll(右)代碼同源性對(duì)比
圖 module3(左)與NameServerLookup_Target.dll(右)代碼同源性對(duì)比
圖 module4(左)與RunAsChild_Target.dll(右)代碼同源性對(duì)比
圖 module5(左)與Mcl_NtNativeApi_Win32.dll(右)代碼同源性對(duì)比
圖 module6(左)與RegistryQuery_Target.dll(右)代碼同源性對(duì)比
圖 module7(左)與SidLookup_Target.dll(右)代碼同源性對(duì)比
圖 module8(左)與Mcl_NtMemory_Std.dll(右)代碼同源性對(duì)比
圖 module9(左)與Papercut_Target.dll(右)代碼同源性對(duì)比
圖 module10(左)與UpTime_Target.dll(右)代碼同源性對(duì)比
圖 module11(左)與Activity_Target.dll(右)代碼同源性對(duì)比
圖 module12(左)與SystemVersion_Target.dll(右)代碼同源性對(duì)比
圖 module13(左)與Memory_Target.dll(右)代碼同源性對(duì)比
圖 module14(左)與Drives_Target.dll(右)代碼同源性對(duì)比
圖 module15(左)與DiskSpace_Target.dll(右)代碼同源性對(duì)比
圖 module16(左)與Processes_Target.dll(右)代碼同源性對(duì)比
圖 module17(左)與Services_Target.dll(右)代碼同源性對(duì)比
圖 module18(左)與Audit_Target_Vista.dll(右)代碼同源性對(duì)比
圖 module19(左)與EventLogQuery_Target.dll(右)代碼同源性對(duì)比
圖 module20(左)與Route_Target.dll(右)代碼同源性對(duì)比
圖 module21(左)與Drivers_Target.dll(右)代碼同源性對(duì)比
圖 module22(左)與Environment_Target.dll(右)代碼同源性對(duì)比
圖 module23(左)與Packages_Target.dll(右)代碼同源性對(duì)比
圖 module24(左)與Scheduler_Target.dll(右)代碼同源性對(duì)比
(二)樣本駐留方式
“eHome_0cx”的部分駐留文件通過(guò)修改注冊(cè)表InprocServer32鍵值的方式,劫持了系統(tǒng)正常服務(wù),在系統(tǒng)正常程序啟動(dòng)前加載實(shí)現(xiàn)自啟動(dòng)。注冊(cè)表修改位置與NSA“方程式組織”所使用網(wǎng)攻武器相同,均位于HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID下隨機(jī)ID項(xiàng)的InProcServer32子項(xiàng)。
(三)數(shù)據(jù)加密模式
攻擊者使用的3款網(wǎng)攻武器均采用2層加密方式,外層使用TLS協(xié)議加密,內(nèi)層使用RSA+AES方式進(jìn)行密鑰協(xié)商和加密,在竊密數(shù)據(jù)傳輸、功能模塊下發(fā)等關(guān)鍵階段,各武器的相互配合實(shí)現(xiàn)了4層嵌套加密。此種多層嵌套數(shù)據(jù)加密模式與相比于“NOPEN”使用的RSA+RC6加密模式有了明顯升級(jí)。
五、碼址披露
2023年8月至2024年5月,美方用于命令控制的部分服務(wù)器IP,如下表。
本文鏈接:關(guān)于國(guó)家授時(shí)中心遭受美國(guó)國(guó)家安全局網(wǎng)絡(luò)攻擊事件的技術(shù)分析報(bào)告http://www.sq15.cn/show-5-73828-0.html
聲明:本網(wǎng)站為非營(yíng)利性網(wǎng)站,本網(wǎng)頁(yè)內(nèi)容由互聯(lián)網(wǎng)博主自發(fā)貢獻(xiàn),不代表本站觀點(diǎn),本站不承擔(dān)任何法律責(zé)任。天上不會(huì)到餡餅,請(qǐng)大家謹(jǐn)防詐騙!若有侵權(quán)等問(wèn)題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除處理。