西北工业大学遭美国NSA网络攻击事件解读(身份暴露竟是因为不加班)(3)
2023-05-15 来源:文库网
这是一款基于 Windows 系统、但支持多种操作系统和不同体系架构的远控木马,可根据目标系统环境定制化生成不同类型的木马服务端,服务端本身具备极强的抗分析、反调试能力。
(4) “狡诈异端犯”:实现持久驻留,伺机建立加密管道,上传 NOPEN 木马,在对西北工业大学信息网络长期控制方面,起保驾护航作用。
这是一款轻量级的后门植入工具,运行后即自删除,具备权限提升能力,持久驻留于目标设备上并可随系统启动。
(5) “坚忍外科医生”:隐藏 NOPEN 木马的文件和进程,避免被监控发现。
这是一款针对 Linux、Solaris、JunOS、FreeBSD 操作系统的后门,该武器可持久化运行于目标设备上,根据指令对目标设备上的指定文件、目录、进程等进行隐藏。
技术分析发现,TAO 在对西北工业大学的网络攻击中,累计使用了该武器的 12 个不同版本。
3、嗅探窃密类:窃取敏感信息和运维数据
TAO 依托此类武器,嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录,进而窃取相关信息。
(1)“饮茶”:嗅探业务人员实施运维工作时产生的账号口令、命令行操作记录、日志文件等,压缩加密存储后,供 NOPEN 木马下载。
它能够长期驻留在 32 位或 64 位的 Solaris 系统中,通过嗅探进程间通信的方式获取 ssh、telnet、rlogin 等多种远程登录方式下暴露的账号口令。
(2)“敌后行动”系列武器:针对电信运营商特定业务系统的窃密工具。
“系列”一词,说明这类武器有多个成员,在对西北工业大学的网络攻击中,TAO 使用了“魔法学校”、“小丑食物”和“诅咒之火”。
4、隐蔽消痕类:清除犯罪痕迹。
此类武器能够消除其在西北工业大学网络内部的行为痕迹,隐藏、掩饰其恶意操作和窃密行为,同时为上述三类武器提供保护。
比如“吐司面包”:用于清除、替换被控西北工业大学上网设备上的各类日志文件,隐藏其恶意行为,TAO 在攻击中先后使用了 3 种版本。
随着调查的深入,诶,有趣的情节出现了。
你没看错,如此严肃的攻击事件调查中,竟也潜藏着一些有趣的东西,那就是 TAO 没藏好、也根本藏不住的狐狸尾巴。
1、从不加班的“正规攻击者”
由于部分攻击操作不是自动/半自动流程,比如使用 tipoff 激活指令和远程控制 NOPEN 木马,攻击者必须手动操作,所以通过分析这些攻击工具的攻击时间,就能知晓攻击者的工作时间。
通过大数据分析,有趣的事情出现了:
(1)对西北工业大学的网络攻击行动,98% 集中在北京时间 21 时至凌晨 4 时之间,也就是美国东部时间 9 时至 16 时,这刚好是美国国内的工作时间段。
(2)美国时间的全部周六、周日中,均未发生对西北工业大学的网络攻击行动。
(3)在美国特有的节假日期间,例如“阵亡将士纪念日”放假 3 天,“独立日”放假 1 天,攻击方没有实施任何攻击窃密行动。
(4)长时间对攻击行为密切跟踪发现,在历年圣诞节期间,所有网络攻击活动都处于静默状态。
从以上发现可知,针对西北工业大学的攻击窃密者,是严格按照美国国内工作日的时间实施攻击活动的。
按时出勤。加班?没这回事。
2、难以改变的语言习惯
在对攻击者的长时间追踪和反渗透中发现,攻击者具有明显的语言特征:
(1)攻击者熟练使用美式英语;
(2)与攻击者相关联的上网设备,都装有英文操作系统,以及各类英文版应用程序;
(3)攻击者使用美式键盘进行输入。
(4) “狡诈异端犯”:实现持久驻留,伺机建立加密管道,上传 NOPEN 木马,在对西北工业大学信息网络长期控制方面,起保驾护航作用。
这是一款轻量级的后门植入工具,运行后即自删除,具备权限提升能力,持久驻留于目标设备上并可随系统启动。
(5) “坚忍外科医生”:隐藏 NOPEN 木马的文件和进程,避免被监控发现。
这是一款针对 Linux、Solaris、JunOS、FreeBSD 操作系统的后门,该武器可持久化运行于目标设备上,根据指令对目标设备上的指定文件、目录、进程等进行隐藏。
技术分析发现,TAO 在对西北工业大学的网络攻击中,累计使用了该武器的 12 个不同版本。
3、嗅探窃密类:窃取敏感信息和运维数据
TAO 依托此类武器,嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录,进而窃取相关信息。
(1)“饮茶”:嗅探业务人员实施运维工作时产生的账号口令、命令行操作记录、日志文件等,压缩加密存储后,供 NOPEN 木马下载。
它能够长期驻留在 32 位或 64 位的 Solaris 系统中,通过嗅探进程间通信的方式获取 ssh、telnet、rlogin 等多种远程登录方式下暴露的账号口令。
(2)“敌后行动”系列武器:针对电信运营商特定业务系统的窃密工具。
“系列”一词,说明这类武器有多个成员,在对西北工业大学的网络攻击中,TAO 使用了“魔法学校”、“小丑食物”和“诅咒之火”。
4、隐蔽消痕类:清除犯罪痕迹。
此类武器能够消除其在西北工业大学网络内部的行为痕迹,隐藏、掩饰其恶意操作和窃密行为,同时为上述三类武器提供保护。
比如“吐司面包”:用于清除、替换被控西北工业大学上网设备上的各类日志文件,隐藏其恶意行为,TAO 在攻击中先后使用了 3 种版本。
随着调查的深入,诶,有趣的情节出现了。
你没看错,如此严肃的攻击事件调查中,竟也潜藏着一些有趣的东西,那就是 TAO 没藏好、也根本藏不住的狐狸尾巴。
1、从不加班的“正规攻击者”
由于部分攻击操作不是自动/半自动流程,比如使用 tipoff 激活指令和远程控制 NOPEN 木马,攻击者必须手动操作,所以通过分析这些攻击工具的攻击时间,就能知晓攻击者的工作时间。
通过大数据分析,有趣的事情出现了:
(1)对西北工业大学的网络攻击行动,98% 集中在北京时间 21 时至凌晨 4 时之间,也就是美国东部时间 9 时至 16 时,这刚好是美国国内的工作时间段。
(2)美国时间的全部周六、周日中,均未发生对西北工业大学的网络攻击行动。
(3)在美国特有的节假日期间,例如“阵亡将士纪念日”放假 3 天,“独立日”放假 1 天,攻击方没有实施任何攻击窃密行动。
(4)长时间对攻击行为密切跟踪发现,在历年圣诞节期间,所有网络攻击活动都处于静默状态。
从以上发现可知,针对西北工业大学的攻击窃密者,是严格按照美国国内工作日的时间实施攻击活动的。
按时出勤。加班?没这回事。
2、难以改变的语言习惯
在对攻击者的长时间追踪和反渗透中发现,攻击者具有明显的语言特征:
(1)攻击者熟练使用美式英语;
(2)与攻击者相关联的上网设备,都装有英文操作系统,以及各类英文版应用程序;
(3)攻击者使用美式键盘进行输入。
