10月19日上午,美国国家安全局披露,国家安全局(以下简称NSA)对国家授时服务中心(以下简称“授时中心”)进行了重大网络攻击。国家互联网应急响应中心(CNCERT)通过分析判断和监测,掌握了此次攻击的总体情况。具体技术细节今日公布如下:
1. 攻击事件概述
2022年3月开始,美国国家安全局利用某国外品牌手机短信服务漏洞,秘密监控10余名国家授时中心工作人员,非法窃取手机通讯录、短信、相册、位置信息等数据。截至2023年4月,在“三角”操作曝光之前,美国国家安全局利用从国外移动品牌窃取的登录凭据,在凌晨多次攻击国家计时中心的计算机正在北京时间监视该网络的内部建设。 2023年8月至2024年6月,美国国家安全局有针对性地部署新型网络作战平台,对国家授时中心多个内部业务系统进行渗透活动,企图对高精度授时、导航系统等关键科技基础设施发起攻击。
在整个事件中,美国国家安全局在战术理念、操作技术、加密通信、不杀生逃生等方面仍然展现了世界领先水平。为了防误地实施攻击,NSA通过使用正常的数字商业证书、伪装Windows系统模块、代理网络通信等手段来保持MGA攻击和窃取。通信采用多层加密,NSA利用网络攻击武器打造环回嵌套加密模式。加密强度远超传统TLS通讯及通讯阳离子流量。解密和恢复更加困难;活动要有耐心、细心。在整个活动周期中,NSA 可以全面监控受控主机。文件更改、关机重启将全面排查异常原因;功能动态扩展,NSA会根据目标环境动态组合各种攻击武器并下发,表明piA单一攻击平台具有灵活的扩展性和目标适应能力。但创新的普遍缺乏和部分环节的薄弱表明,在受到各种曝光事件的阻击后,技术的迭代升级正面临瓶颈。
2. 网络攻击流程
在这次攻击中,美国国家安全局利用“三角测量行动”获取授时中心计算机终端的登录凭证,进而获得控制权,部署定制的特种网络攻击武器,并根据授时中心网络环境不断升级网络攻击武器,进一步扩大网络攻击窃取范围,以达到对单位内部网络和主要信息系统进行长期渗透和窃取的目的。经过整理发现,NSA总共会使用42种网络攻击武器,可分为前哨控制(“ehome_0cx”)、隧道建设(“back_eleven”)和数据盗窃(“new_dsz_implant”)三类。利用国外网络资产作为主控服务器,实施了千余次攻击。具体分为以下四个阶段:
(1) 获取控制权限
2022年3月24日至2023年4月11日,美国国家安全局利用“三角”行动攻击计时中心的10多台设备并窃取机密。 2022年9月,攻击者通过国外获取了办公电脑的登录凭据服务时间网络管理员的手机,并使用凭证获取办公电脑的远程控制权限。
2023年4月11日至8月3日期间,Gin攻击者利用匿名通信网络节点远程登录计算机计算机80余次,并以计算机为基础查看授时中心的网络环境。
2023年8月3日攻击过程
(二)植入特殊网络攻击武器
2023年8月3日至2024年3月24日,攻击者在计算机管理计算机中植入“Back_eleven”早期版本,窃取网络的网管数据,并在每次攻击后删除网络攻击痕迹的内存使用和操作。现阶段“back_eleven”功能尚不成熟,攻击者需要在每次启动前远程控制并关闭主机防病毒软件。
某些防病毒软件已关闭日志记录
(3)升级网络攻击专用武器
来回mMarso至2024年4月,攻击者针对授时中心网络环境定制升级网络攻击武器,植入各种新型网络攻击武器,实现计算机长期驻留和隐蔽控制。攻击者加载“ehome_0cx”、“back_eleven”、“new_dsz_implant”等20多个支撑功能模块,以及10多个网络攻击武器攻击文件。
加载“EHOME_0CX”数据包
加载“back_eleven”进程的内存
加载“new_dsz_implant”进程的内存
攻击者利用多种网络攻击武器相互配合,构建四层加密隧道,形成高度隐蔽、完备的网络攻击和窃密平台。
网络攻击武器加密方式
(4) 横向na内网渗透流程
2024年5月至6月,攻击者利用“back_eleven”以计算机管理计算机为跳板,攻击互联网认证服务器和防火墙。
J 9:006月13日,攻击在计算机管理计算机上激活“ehome_0cx”,植入“back_eleven”和“new_dsz_implant”,并以此为跳板窃取认证服务器数据。
7月13日9点,攻击在计算机管理电脑上激活“ehome_0cx”,并释放“back_eleven”和“new_dsz_implant”窃取数据。
2024年6月13日网络攻击窃取秘密数据包
3. 网络攻击武器库评估
攻击者在本次网络攻击中总共使用了42个网络攻击武器、功能模块和恶意文件。网络攻击的主要武器按功能可分为前哨控制和防御武器、隧道建设武器和数据窃取武器。
(一)哨所管制武器
攻击者利用该类网络攻击武器的隐蔽驻留和心跳重连功能,达到长期控制和防御目标计算机终端并加载后续网络攻击武器的目的s。根据该类型主武器的资源加载路径,命名为“ehome_0cx”。
“Ehome_0cx”由四个网络攻击模块组成。它通过DLL劫持正常的系统服务(如资源管理器和事件日志服务)来实现自启动。初始化后,删除内存中的可执行文件头数据,隐藏网络攻击武器的aof操作痕迹。
“EHOME_0CX”网络模块攻击信息表
(2)隧道施工武器
攻击者利用此类网络攻击武器构建网络通信和数据传输隧道,实现对其他类型网络攻击武器的远程控制和窃取数据的加密传输。它还具有有关命令的获取和执行功能的信息。在初始连接阶段,它向主控端发送一个数字为“11”的标识号,命名为“back_eleven”。
“back_eleven”检测运行环境
(3) 武器f 数据盗窃
攻击者使用武器化网络攻击来窃取数据。武器运行时,启动网络的武器攻击模块,加载各种插件模块,实现特定的隐身功能。该武器与 NSA 网络攻击武器“Danderspritz”(狂怒喷雾)高度同源,因此得名“New-Dsz-Implant”。
“New-DSZ-Implant”由“EHOME_0CX”加载并运行,并与“Back_eleven”开发的数据传输链路结合使用进行攻击活动。它不具有特定的隐身功能。它需要通过接收主控端的指令加载功能模块,实现各种窃密功能。在这次网络攻击中,攻击者使用“New-DSZ-Implant”加载了25个功能模块。各模块的功能如下表所示。
“New-DSZ-Implant”模块功能
4. 背景研究与评估
(一)技术功能规格
“New-DSZ-Implant”是一个网络k武器攻击框架,通过加载各种模块来实现特定的功能。该功能与NSA兵工厂中的“Danderspritz”网络攻击平台的实现方式相同,在代码细节上具有高度的同源性,并且对部分功能进行了升级:第一,添加了一些函数名称和字符串加密;其次,功能模块用常规的系统模块名称进行伪装;第三,编译模块时间从2012年更新到2013年到2016年到2018年。每个功能模块都增加了模拟用户操作功能,以伪装点击、登录等正常用户行为,迷惑杀毒软件的检测。
“New-DSZ-Implant”和“Danderspritz”加载的功能模块比较
(2) 样品保留方法
“Ehome_0cx”的一些常驻文件通过改变注册表中inProcServer32键值来劫持正常的系统服务,在启动前加载,实现自启动。注册表修改其位置与美国国家安全局“方程式组织”使用的网络攻击武器相同,位于HKEY_LOCAL_MACHINE\Software\Classes\CLSID下的随机ID项的inProcServer32子键中。
(3)数据加密方式
攻击者使用的三种网络攻击武器均采用了2层加密方式。外层采用TLS协议加密,内层采用RSA+AES方式进行密钥通信和加密。在功能模块发布时盗取数据传输等关键阶段,各武器配合实现4层嵌套加密。这种多层嵌套的数据加密模式相比“nopen”使用的RSA+RC6加密模式有显着升级。
5. 代码地址泄露
2023年8月至2024年5月,美国用于指挥控制的部分服务器IP如下:
美国国家授时中心网络攻击技术评估报告。国家安全局 >> 详情
(来源:N.国家互联网应急中心CNCERT) 
