10月19日上午，美国国家安全局（NSA）宣布对国家授时中心（以下简称“授时中心”）进行了大规模网络攻击。国家互联网应急响应中心（CNCERT）通过分析判断和监测，了解了本次攻击事件的全部情况。具体技术细节公布如下。 1. 攻击事件概述 2022年3月开始，美国国家安全局利用国外品牌手机短信服务漏洞，秘密监控国家授时中心10多名员工，非法窃取手机通讯录、短信、相册、位置信息等数据。从2023年4月开始，在“三角测量”操作被发现之前，美国国家安全局多次利用北京时间凌晨从国外品牌手机窃取的登录凭据渗透Ce电脑。内部网络建设。 2023年8月至2024年6月，美国国家安全局专门部署新型网络战平台，对国家授时中心多个内部商业系统进行入侵行动，试图对包括高精度地面授时和导航系统在内的关键科技基础设施发起攻击。 在整个事件中，美国国家安全局继续展示了战术概念、操作技术、加密通信和免杀逃生方面的世界领先标准。为了进行隐形攻击，NSA利用常见的商业数字证书、欺骗Windows系统模块、代理网络通信等来隐藏攻击和抢劫。同时，深入研究杀毒软件的机制，可以有效逃避检测。通信经过多层加密，美国国家安全局使用网络攻击武器来创建嵌套环回加密模式。它达到了远远超过传统TLS通信和通信流量的加密强度。解密和恢复就更加困难了。活动要有耐心、细心。在整个活动周期中，国家安全局对受控主机提供全面监控。修改文件、关闭并重新启动可以彻底调查故障原因。功能动态扩展，NSA根据目标环境针对不同的网络攻击武器发布功能模块的动态组合。这说明综合攻击平台具有灵活的扩展性和目标适应性。但其缺乏创新性、部分环节薄弱，表明该技术在多次曝光事件受阻后，迭代升级面临障碍。 2. 网络攻击流程 在本次攻击中，达到长期渗透窃取部队内部网络及关键信息的目的据了解，美国国家安全局利用“三角测量行动”获取授时中心计算机终端的登录凭据和控制权，部署定制的专用网络攻击武器，并通过不断升级武器进一步扩大网络攻击和盗窃的范围。根据授时中心网络环境进行网络攻击。系统。分析显示，NSA总共使用了42种网络攻击武器，可分为三类：前哨控制（eHome_0cx）、隧道建设（Back_eleven）和数据盗窃（New_Dsz_Implant）。以国外网络资产为主服务器，实施攻击1000余次。具体来说，分为以下四个阶段。 （一）获得监管权限 2022年3月24日—2023年4月11日，美国国家安全局利用“三角测量”行动攻击了一个计时中心的10多台计算机并窃取机密。 2022年9月，攻击者获得了办公室计算机r通过外资品牌手机从授时中心网络管理员那里获取登录凭证，并使用这些凭证获得对办公室计算机的远程控制权限。 2023年4月11日至2023年8月3日，攻击者利用匿名通信网络节点远程登录办公室电脑80余次，并以该电脑为基地检测办公室的网络环境和计时。 2023年8月3日攻击流程 （二）特种网络攻击武器的实施 2023年8月3日至2024年3月24日期间，攻击者在网管计算机上嵌入了初始版本的“Back_eleven”，窃取网管计算机的数据，并在每次攻击时删除网络攻击武器的内存使用情况和操作痕迹。现阶段，“Back_eleven”功能尚未成熟，攻击者需要远程控制并关闭主机的防病毒软件，然后才能启动它。 某些防病毒程序会禁用日志记录 （三）强化网络攻击特种武器 2024年3月至2024年4月，攻击者定制和更新了网络攻击武器，以适应授时中心的网络环境，部署了多种新型网络攻击武器，并实现了延长驻留和隐蔽控制计算机。攻击者上传“eHome_0cx”、“Back_eleven”、“New_Dsz_Implant”等20多个支撑功能模块以及10多个网络攻击武器配置文件。 上传数据包“eHome_0cx” “Back_eleven”内存加载处理 “New_Dsz_Implant”内存加载过程 攻击者利用多种网络攻击武器，相互协作构建四层加密隧道，形成高度隐蔽、功能齐全的网络攻击窃密平台。 网络攻击武器加密方式 (4)内网横向渗透流程 2024年5月至6月，攻击者利用“Back_eleven”攻击互联网使用网络管理计算机作为跳板的身份验证服务器和防火墙。 6月13日上午9点，攻击者在网管计算机上启动“eHome_0cx”，嵌入“Back_eleven”和“New_Dsz_Implant”，并以此为跳板窃取认证服务器数据。 7月13日上午9点，攻击者在网管计算机上启动“eHome_0cx”，发出“Back_eleven”和“New_Dsz_Implant”，窃取数据。 2024 年 6 月 13 日，机密数据。网络攻击窃取包裹 3.网络攻击武器分析 在这次网络攻击中，攻击者总共使用了42种不同的网络攻击武器、功能模块和恶意文件。主要网络攻击武器按功能分为前哨防御/控制武器、隧道建设武器和数据窃取武器。 (1) 哨所压制武器 攻击者利用此类网络攻击的隐蔽驻留和心跳重连能力pon以获得对目标计算机终端的长期控制和保护，并随后加载网络攻击武器。是的，按照该主要武器类型的资源加载路径，将其命名为“eHome_0cx”。 “eHome_0cx”由四个网络攻击模块组成。它通过DLL文件劫持正常的系统服务（如资源管理器和事件日志服务）来实现其自动启动。启动后，它会清除内存中可执行文件的头数据，隐藏网络攻击武器的痕迹。 “eHome_0cx”网络攻击模块信息表 (2)隧道施工武器。 攻击者利用此类网络攻击武器构建网络通信和数据传输隧道，实现对其他类型网络攻击武器的远程控制和窃取数据的加密传输。它还具有信息获取和命令执行功能。在第一个连接阶段，它向主设备发送编号为“11”的标识号。名为“Back_Eleven”的控制终端。 “Back_Eleven”检测执行环境 (3) 数据窃取武器 攻击者使用这些类型的网络攻击武器来窃取数据。执行时，该武器会启动模块化网络攻击武器框架并加载各种附加模块，以实现特定的秘密盗窃功能。由于该武器与 NSA 网络攻击武器“DanderSpritz”（愤怒喷雾）相似，因此被命名为“New-Dsz-Implant”。 它由“New-Dsz-Implant”加载，由“eHome_0cx”执行，与“Back_Eleven”建立的数据传输链路一起用于攻击操作。不可能窃取特殊秘密。几个秘密要实现防盗功能，需要通过接收主控端的指令来加载功能模块。在这次网络攻击中，攻击者使用“New-Dsz-Implant”上传了25个功能模块。各模块的功能如下表所示。 的特点“新-Dsz-Implant”模块 四、背景研究与分析 (一)技术功能细节 “New-Dsz-Implant”是一个网络攻击武器框架，通过加载多个模块来实现特定功能。该功能的实现方式与 NSA 武器库中的 DanderSpritz 网络攻击平台相同，在代码细节和部分功能更新上具有高度的同源性。首先，我将补充一些函数名称和字符串已加密。其次，功能模块被伪装成正常的系统模块名称。第三，功能模块的构建时间从2012年更新到2013年，从2016年更新到2018年。每个功能模块现在都具有模拟用户交互功能，模仿正常的用户操作，例如点击和登录，以迷惑杀毒软件的检测。 “New-Dsz-Implant”和“DanderSpritz”中安装的功能模块比较 (2) 样品保留方法 “eHome_0cx”的一些常驻文件劫持了正常系统通过修改注册表中 InprocServer32 项的值来提供 tem 服务。要实现自动启动，请在启动前施加负载。注册表更改位于 NSA Equation Organization 使用的同一网络攻击武器中，位于 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 中随机 ID 条目的 InProcServer32 子项中。 (3)数据加密方式 攻击者使用的三种网络攻击武器均采用两层加密方法。外层采用TLS协议加密，内层采用RSA+AES方式进行密钥协商和加密。传输被盗数据 在软件和功能模块发布等关键阶段，每种武器协同工作或提供四层嵌套加密。这种多层嵌套的数据加密模式相对于“NOPEN”中使用的RSA+RC6加密模式有显着的改进。 5. 代码地址泄露 2023年8月至2024年5月，美国用于指挥控制的部分服务器IP关于： 美国国家安全局国家授时中心遭受网络攻击技术分析报告 >> 详情 （来源：国家互联网应急中心CNCERT）