香港免备案服务器的优势在哪贝特香港云服务器财联社9月27日讯,据国家计算机病毒应急处理中心今日发布的《西北工业大学遭美国NSA网络攻击事件调查报告(、之二)》显示,2022年”6月22日,西北。工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木!马和恶:意程序,样本,西安警方已对此“正式立案调查。
中国国,家计算机病毒应急处理中心和360公司全程参与了。此案的技术:分“析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了木马程序样本,综合”使用国内现有数据资源和分;析手段,并得到欧洲、东南亚部分国家合作伙伴的通力?支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路”径和攻击源头,初步。判明相关攻!击活动源自于。美国国,家安全局(NSA)!的“特定入侵行动办公室”(即:Office of Tailored Acc;ess Operation,后文简称“TAO”)。
本系;列研,究报告:将公布TAO对西北工业大学发起的上千次”网络攻击活!动中,某些特定攻击”活动。的重要细节,为全球各国有效发现和防范TAO的后续网络攻击行为提供可以借鉴的案例。
TAO对;他国发起、的网络攻击技战!术针对性强,采取半自动化攻!击流程,单点突破、逐步渗透、长期窃密。
经过长”期的精心:准备,TA,O使用“酸狐狸”平台对西!北:工业大学内“部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程;控制武器,控制多:台关键服?务器。利用木:马级联控:制渗“透的方式,向西!北工业大。学内部?网络深、度?渗透,先后控。制运。维,网、办公网的核”心网络设:备、服务器。及终端,并获取了部分西北工业大!学内部路由器、交换机等重要网络节点设备的控制权,窃取身?份验证数据,并进一步实施渗透拓。展,最终达成了对西北工业大学内部;网”络!的隐!蔽控制。
TAO将作战行动掩护武器“坚忍外。科医生”与远“程控制木马NOPEN配合使用,实现进程、文件和操。作行为“的全面“隐身”中小企业为何首选香港服务器,长期隐、蔽控、制!西北工,业大学的:运维“管理服!务器,同时采取替换3个原系统文件和3类系统日志的方!式,消痕隐身,规避溯源。TA。O先后从该?服务器中窃取了多份网!络设备配置文件。利用窃取到的配置文件,TA“O远程“合法”监控了一。批网络、设备和,互联;网用户,为后续对?这些“目?标实施拓展渗透提供数据支、持。
TAO通过窃取西”北工业大学?运维和?技术人员远程业务;管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账:号口令、业务。设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。根据“TAO攻击链路、渗透方式、木马。样本”等特征,关联:发现TAO非法攻击渗透!中?国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的“合法”通道,实现了对”中国基础设施的,渗透控制。
TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以“合法”身份进入运营商,网络,随后、实施内网;渗透拓展,分别控制!相”关“运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营!商设备的武器工具,查询了一批中国境内敏感身份人员,并将用!户信息打包:加密后经多级跳板回传至美国国家安全局总部。
TAO;通过在西北工业大学运维管理服务器安装。嗅探工具“饮茶”,长期隐蔽,嗅探?窃”取西北工业大学运维管理人员远程维护管理信,息,包含,网络边“界设备账:号口令、业务!设备访问,权限、路由器等设备配置信。息等。
遭到嗅探的网络设备类型包括固定互联网”的接、入网设备(路:由器、认证服:务器等)、核心网,设备。(核心;路由。器、交换机、防火墙等!),也包”括通信基,础设施运!营企业的重!要设备(数据服务平台等),内容包括账号、口令、设备配置、网络配!置等信“息。
北京时间20××年12月11日6时“52分,TA;O以位于日本京都”大学的代”理服务器(IP:130.54.××.××、)为攻:击跳板,非法“入侵了西北工业大学运维网络的“tel“net”管理;服务器,上传并;安装N?OP!EN木马,然后级联。控”制其内网监控管理服务器,上述2台服务器事先均已;被安装“饮茶”嗅探工具。TAO远程操控木马检索并下载被压缩加密?的监听记录文件,然后清痕:退?出。窃取数“据包“括;路由器、核心网设备(核心路”由器、交换机、防火墙!)管;理账号、口令、设备配置、网络配:置等、信息。
(?1)”北京时“间20×”×年:5月。30日!0时28分,TAO,以位“于日,本的代理;服务器。(IP:210.135.××.××);为攻击跳“板,非法!入侵了?西北?工业大学,运维。网络“te”lnet”管理服“务器,上传”并安装NO“PEN木马,然后级联控”制,其内网?监控管理服、务器,这2台服务器事先均已被安装“饮茶”嗅探工具贝特香港云服务器,TAO远程操控木马检索并”下载窃密记录文件后清痕退出。窃取数据?包括接入网、认!证设备的,账;号、口令及配“置信息。
(2)北京时间20××年7月4日1时12分,TAO利用位:于德国莱比锡技术经济和文化学院的代理。服“务器(IP:141.57.××.××!)作为,攻击跳板,非法:入侵西:北工业;大学运维!网?络“telnet”管理服务器,上传并安装NOPEN木马工具,级联控制“其内网监控管理服务器等其他3台服务器,这4台服务器事先均已被安装“饮茶”嗅探工具,TAO远,程操、控木马检索:并下载窃密文件后清痕退出。
(3)北京时间20××年10月11日10时35分,TAO利用位于韩国首尔国立江原大学的代理服务器(IP:210.115.××.××),作为攻击!跳”板,非法入侵西北工”业大学“运维”网络、监控管。理服务器,上传并安:装NOP、EN木马工具,然后级联,控制其内网?备份服务器、认证服务器等;其他4台服务器,这5台服务器事先均已被安装“饮茶”嗅探工具,TAO“远程操控木马分别检索并下载窃取记录文件后清痕退出。
(“4),北京时间”20××年10月19日2时?46分,TAO以位于韩国大田的高等科”学:技术研究学院的代理、服务器!(IP:143.248.××.××)为攻:击跳板,非法入。侵西北工业大学运维网络“telne;t”管理服”务器,级联控制其内网监管服务器等其他2台服务器,这3台:服务器事先均已被安装“饮茶”嗅探工具,TA;O通”过远程操“控木?马检索:并下载窃密;文件,然后清痕退?出。
美国国家安;全局“特定入侵行动办公室”(TAO)长期攻击入侵西北工业大学网络运维管理服务器,秘密窃取网络设备运维配置文件和日志“文件。
北京时间20××年3月2日3时41分,TA:O通过位于日本的代理。服务器(IP:210.135.××.××)非法入侵控!制西“北工业大学1台网络运维管理服;务器。3时49分,TAO从该运维管理服务器;横向移动到另一台运维监控服务器,以特定字符串为关键词检索日志文件并进行窃取了一批系统运行日志文件和系统日常自检报告备份文件。
北京时间20××年10月11日10时41分,TAO通过位于韩国的代理服务器(IP:210.115.××.××)入侵控制了西北工业大”学一台内网,服务器。10时。48分,TAO经过两,次横向移动,入侵了另一台内,网服务器,访问了特定目录下的定期任务配置脚本,共检索到14个用于定期执行任务的配置文件。随后,一次性:窃取了这14个文。件,这些文件可用于执行定期?清理、备份、检查电、源等操“作。
北京。时间;20××;年”6月“6日1时27分,TA!O通过、位于韩;国的代!理服务?器(?IP:222.122.××.××?)入侵控!制!了西北、工业。大学一“台内网服务、器。2时4分,TAO经过两次:横向移动,入侵了另一台“内网服”务器,访问:了目录”/var/下”的系统文件,窃取了!60个常用的系统:信息文件,被窃取,的系统信息文件内、容包含系统发行版本、用户密码哈希、用户权限、本地域名解,析配置等。
美国国家安全局“特定入侵行动办公室”(T!AO)利用。窃取到的网?络设备”账号口令,以“合法”身份!进入中。国某基础?设施,运营“商服务网络,控制相关服务质量监控系统,窃取用户隐私数据。
北京时间20××年3月7日22:53,美国。国家?安全局“特定入侵,行动办;公室”(TAO)通过:位?于墨”西哥的攻击代理148.208.××.××,攻击控制中国某基、础设施;运营商的业务服务器;211.136.××.××,通过两“次内网、横向移动”(;10.223.140.××、10.223.14.××)后,攻击。控制了:用户数据;库服务器,非法查询多名身份敏感人员的:用户信息。
同日15:02,TAO将查询到的用户数据保存在被攻击服务器 /var/tmp/.2e434fd8aeae73e1/e、rf/out/f!/ 目录下,被打包回传至攻击跳板,随后窃密过程中上传的渗透工具、用户数;据等攻击痕迹被专用工具快速清除。
美国国:家安全香港亚马逊云服务器价格。局“特定入侵?行动!办公室”(TAO)!运用同样的手法,分别于;北京时间20××年1月10日23时22分、1月!29日8时41分、3月28日22时00分、6月”6日、23时?58分,攻击控:制另外:1家中!国基、础设施。业务。服;务器,非法多批;次。查询、导出、窃取、多名身,份敏感人;员的用户?信息。
据分析,美国国家“安全、局“特定入!侵行!动办公室”(TA“O)以,上述手法,利用相同的武器工具组;合,“合法”控制了全球不、少于80个国家的电信基础设施网络。技术团”队与”欧洲和东南亚国家的合作伙伴通力协作,成功提取并固定了上述武器工:具样本,并成功完成了技术分析,拟适时“对外公布,协助全球共同抵御和防范美国国家安全局NSA的网络渗透攻击。
美国国家安全局“特定入侵行动办公室”(TAO)在网络攻击西北工业大学过程中,暴露出多项技术漏。洞,多次出现操作失误,相关证据进一步证明对西北工业大学实施网络攻击窃密行动的幕后黑手即为美国国家安全局NSA。兹摘、要举例!如下:
美“国国家安“全局“特定入侵行“动办,公室”(T”AO”)在使,用t、ip!off?激活指令和远程控制N?OPEN:木马时,必须通:过手“动操作,从这两、类工:具的攻!击时间可”以分析出网络攻击:者的”实“际工作,时间。
首先,根据。对相关网:络攻击”行为:的大。数据分析,对西北、工业大,学的网络。攻击。行动”98%集中在北京时,间21时至凌晨4时之间,该时段对应着美国东部时间9时至16时,属于美国国内的工作。时间段。
其次,美国时间的全部周六为什么香。港服务器延迟低、周日中,均未、发生对西北工业大!学的网络攻击行动。
第三,分析美国特有的”节假日,发现美“国的“阵亡将士纪?念日”放假3天,美国“独立日”放假1天,在这四”天中;攻击方:没!有实施:任何攻。击窃密;行动。
第四贝特香!港云服务器,长时间对攻击行为密切跟踪发现,在历年圣诞节期间,所有网络攻击活?动都处;于静默状态。依据上述工作时间和节假日安排进行判断,针对西北工业大学的攻击窃密者都是按照美国国内工作日的时间安排进行活动的,肆无忌惮,毫不掩饰。
技术团队在对、网络攻:击、者长、时间追踪和反渗透过程中(略)发现,攻击者具!有以下语言特征:一是攻击者有使用美式“英语的习。惯;二是与攻击?者相关“联的上网设备均安装英文操作系统及各类英文版应用程序;三是攻击;者使用美式键盘进行输入。
20××年5月16日5时36分(北京时间),对西北工业大学实施网络攻击人员利用位于韩国的跳板机(IP:222.122.××.××),并使用N”OPEN木马再次攻击!西北工:业大学。在对西北工业大学内网实施第三级渗、透后试图入;侵控制一台网络设备时,在运行上传PY脚本工具时出现人为“失误,未修改指定:参数。脚本执行后返回出错信息,信息中暴露出攻击者上网终端的工作目录和相应的文件名,从中可知木马控制端的系统环境;为Linux系统,且相应目录名“/et?c/au、t。ou、tils”系TAO网络攻击武器工具目录的专用名:称(autouti,ls)。
此次被捕获的、对西北工业大学攻击窃密中所用的41款不同的网络攻击武器工具中,有16款工具与“影子经纪人”曝光的TA:O武器完;全一致;有23款工;具虽?然与“影子经?纪人”曝光的工具不完全、相同,但其”基因相似度高达97%,属于“同一类“武器,只是相关配。置不相同;另有2款工具无法与“影子经纪!人”曝光工具”进行对应,但这2款工具需要与T。AO的其它网络攻击武?器工?具配?合使用,因此这批武器工具明显具有同!源性,都归属;于TAO。
技术团队综合分析?发现,在对中?国目标、实施的上万次网络攻击,特别是对西北工业大学发起的上千次网络攻击中,部分。攻击过程中使用的武器攻击,在“影子经纪!人”曝光NSA武;器;装,备前便完成了木“马”植入。按照NS:A的行为习惯,上述武器工”具大概率、由TAO雇员自己?使用。
技术分析与溯源!调查中,技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地!址,举例如下:
综合?此次”美?国国家安全局“特定入侵行动办”公室”(TAO)针对西北?工业大学的网络入侵行径,其行为对我国“国防安全、关键基础设施安全、社会安全、公民个人信息安全:造成严重危害,值得我们深思与警惕:
面对美国NSA对我国实施长期潜伏与持续渗透的攻击行为,我国政府、各大中小企?业、大学、医疗机构、科研机构以及重,要信息基础,设施运维单“位等都应做好防范,准备:一方面各行,业、企业,应尽快开展APT攻击自查工作,另一方面要:着力实现;以“看见”为核心”的全面系统化防治香港免备案服务器的优势在哪。
面对国家级背景的强;大对手,首先要知道风险在哪,是什么样的风险,什么时,候的风险。
因此,各大单“位要逐步提升感知能力、看见能力、处置能力,在攻击做;出破,坏之前及时斩断“杀伤链”,变事后发现:为事前捕“获,真正实现感知风险、看见威胁、抵御攻击。
