网络战序幕:美国国安局 NSA(APT-C-40)对全球发起长达十余年无差别攻击 360 威胁情报中心2022-03-02 15:01 以下文章来源于 360 政企安全 ,作者 360 政企安全 美国国家安全局(National Security Agency,NSA),隶属美国国防部, 专门从事电子通信侦察,主要任务是搜集各国的信息资料,揭露潜伏间谍通信联 络活动,为美国政府提供各种加工整理的情报信息。长期以来,为达到美国政府 情报收集目的,NSA 组织针对全球发起大规模网络攻击,我国就是 NSA 组织的 重点攻击目标之一。 前言 从 2008 年 开 始 , 360 云 端 安 全 大 脑 整 合 海 量 安 全 大 数 据 , 独 立 捕 获 大量高级复杂的攻击程序,通过长期的分析与跟踪并实地从多个受害单位 取证,结合关联全球威胁情报,以及对斯诺登事件、“影子经纪人”黑客组 织 的 持 续 追 踪 , 确 认 了 这 些 攻 击 属 于 美 国 国 安 局 NSA 组 织 , 进 而 证 实 了 NSA 长 期 对 我 国 开 展 极 为 隐 蔽 的 攻 击 行 动 。 与 此 同 时 ,360 公 司 与 系 列 行 业 龙 头 共 建 了 APT 高 级 威 胁 研 究 实 验 室 , 依 托 360 的 安 全 大 数 据 和 企 业 自 身 的 安 全 能 力 , 发 现 了 美 国 国 家 安 全 局 针 对 系 列 行 业 龙 头 企 业 长 达 十 余 年 时 间 的 攻 击 活 动 ,随 后 将 NSA 及 其 关 联 机 构 单 独 编 号 为 APT-C-40。 360 安 全 团 队 通 过 对 取 证 数 据 分 析 , 发 现 APT-C-40( NSA) 针 对 系 列 行 业 龙 头 公 司 的 攻 击 实 际 开 始 于 2010 年 , 结 合 网 络 情 报 分 析 研 判 该 攻 击 活 动 与 NSA 的 某 网 络 战 计 划 实 施 时 间 前 后 衔 接 ,攻 击 活 动 涉 及 企 业 众 多 关 键 的 网络管理服务器和终端。 攻击手法剖析 顶级网络战武器库“独步全球” 第 1 页 共 7 页 2013 年 , 前 美 国 中 央 情 报 局 ( CIA) 职 员 、 美 国 国 家 安 全 局 ( NSA) 外 包 技 术 员 爱 德 华 ·斯 诺 登 向 全 世 界 揭 发 美 国 政 府 收 集 用 户 数 据 信 息 的 丑 闻 , 并 泄 漏 了 NSA 组 织 大 量 网 络 战 机 密 文 档 资 料 ,这 起 美 国 历 史 上 最 严 重 的 泄 密事件轰动全球。经此一事,“网络战”及“国家级网络威胁”等概念为全世 界 所 认 知 , 作 为 国 内 领 先 的 网 络 安 全 公 司 , 360 开 始 重 点 研 究 跟 进 。 360 是 国 内 第 一 批 有 意 识 追 踪 高 级 别 网 络 威 胁 的 安 全 公 司 , 并 率 先 提 出 了 APT 概念。 之 后 2016 年 、 2017 年 黑 客 组 织 “ 影 子 经 纪 人 ” 又 公 开 了 被 NSA 组 织 应 用 的 网 络 武 器 的 样 本 , NSA 组 织 大 规 模 高 危 网 络 作 战 武 器 及 配 套 组 件 逐 一 曝 光 。 在 此 期 间 , 360 依 托 海 量 安 全 大 数 据 的 情 报 视 野 , 看 到 各 行 各 业 相 继 沦 陷 于 NSA 网 络 武 器 攻 击 之 下 ,360 安 全 团 队 积 极 推 出 各 种 包 括 永 恒 之 蓝 武 器 库 防 御 方 案 和 漏 洞 补 丁 等 配 套 防 护 工 具 ,全 力 抵 御 NSA 武 器 库 攻 击。 一 、 QUANTUM ( 量 子 ) 攻 击 系 统 QUANTUM( 量 子 ) 攻 击 系 统 是 NSA 发 展 的 一 系 列 网 络 攻 击 与 利 用 平 台 的 总 称 ,其 下 包 含 多 个 子 项 目 ,均 以 QUANTUM 开 头 命 名 。它 是 NSA 最 强 大 的 互 联 网 攻 击 工 具 ,也 是 NSA 进 行 网 络 情 报 战 最 重 要 的 能 力 系 统 之 一 , 最 早 的 项 目 从 2004 年 就 已 经 开 始 创 建 。 第 2 页 共 7 页 从 文 档 中 不 难 看 出 ,在 NSA 的 三 个 主 要 网 络 战 方 向( CNE、CNA、CND) 中 , QUANTUM 均 有 相 关 项 目 。 NSA 利 用 美 国 在 全 球 网 络 通 讯 和 互 联 网 体 系中所处的核心地位,利用先进技术手段实现对网络信号的监听、截获与 自 动 化 利 用 , QUANTUM 项 目 的 本 质 就 是 在 此 基 础 上 实 现 的 一 系 列 数 据 分 析与利用能力。 二 、 FOXACID ( 酸 狐 狸 ) 0Day 漏 洞 攻 击 平 台 QUANTUM( 量 子 )攻 击 经 常 配 套 使 用 的 是 代 号 为 FOXACID( 酸 狐 狸 ) 的 系 统 。FOXACID 是 NSA 设 计 的 一 个 威 力 巨 大 的 0Day 漏 洞 攻 击 平 台 ,并 且可以对漏洞攻击的主要步骤实施自动化,劫持网络运营商的正常网络流 量 , 是 一 件 威 力 巨 大 的 “ 大 规 模 入 侵 工 具 ” 。 根 据 NSA 机 密 文 档 介 绍 , FOXACID 服 务 器 使 用 了 各 种 浏 览 器 0Day 漏 洞 ,比 如 Flash、IE、火 狐 浏 览 器漏洞,用于向计算机目标植入木马程序。 第 3 页 共 7 页 而 从 现 有 情 报 来 看 , FOXACID 在 2007 年 之 前 就 已 经 开 始 投 入 运 作 , 直 到 2013 年 仍 有 其 使 用 的 痕 迹 , 以 此 估 算 其 使 用 时 间 至 少 长 达 八 年 之 久 。 NSA 依 靠 与 美 国 电 信 公 司 的 秘 密 合 作 ,把 FOXACID 服 务 器 放 在 Internet 骨 干 网 ,保 证 了 FOXACID 服 务 器 的 反 应 速 度 要 快 于 实 际 网 站 服 务 器 的 反 应 速 度 。利 用 这 个 速 度 差 ,QUANTUM( 量 子 )注 入 攻 击 可 以 在 实 际 网 站 反 应 之 前 模 仿 这 个 网 站 , 迫 使 目 标 机 器 的 浏 览 器 来 访 问 FOXACID 服 务 器 。 三 、 Validator ( 验 证 器 ) 后 门 Validator( 验 证 器 ) 是 用 于 FOXACID 项 目 的 主 要 后 门 程 序 之 一 , 一 般 被 用 于 NSA 的 初 步 入 侵 , 通 过 其 再 植 入 更 复 杂 的 木 马 程 序 , 比 如 UNITEDRAKE( 联 合 耙 ) , 每 个 被 植 入 的 计 算 机 系 统 都 会 被 分 配 一 个 唯 一 的 验 证 ID。 第 4 页 共 7 页 根 据 NSA 机 密 文 档 的 描 述 , Validator 主 要 配 合 FOXACID 攻 击 使 用 , 基 于 基 本 的 C/S 架 构 , 为 敏 感 目 标 提 供 了 可 供 接 触 的 后 门 。 Validator 可 以 通 过 远 程 和 直 接 接 触 进 行 部 署 , 并 提 供 了 7x24 小 时 的 在 线 能 力 。Validator 是一种很简单的后门程序,提供了一种队列式的操作模式,只能支持上传 下 载 文 件 、 执 行 程 序 、 获 取 系 统 信 息 、 改 变 ID 和 自 毁 这 类 简 单 功 能 。 四 、 UNITEDRAKE ( 联 合 耙 ) 后 门 系 统 UNITEDRAKE( 联 合 耙 ) , 是 NSA 开 发 的 一 套 先 进 后 门 系 统 。 360 安 全 专 家 通 过 对 泄 露 的 相 关 文 档 进 行 分 析 ,UNITEDRAKE 的 整 体 结 构 大 致 分 为 5 个 子 系 统 ,分 别 是 服 务 器 、系 统 管 理 界 面 、数 据 库 、模 块 插 件 集 和 客 户端,其关系如下所示: 服务器 :服务器即为 CC 服务器 ,主要功能为 接受客户端的 连接请求,并 且管理客 户端和其他子 系统间的通讯,设计该系 统的目的为尽可能的减少 操作请求次数。在文档 中其被描述为 Listening Port ,即监听端口。 系统管理界面:系统管理界面为一套图形用户界面,操作者可以通过该界面直接查 看客户端状态 、给客户端下发命令、管 理插件和调整客户端的配 置。在文档中其被描述 为 UR GUI 。 插件模块集:该部分为整套 UNITEDRAKE 系统的技术核心,功能插件化使得整套 系统具备极强 的可扩展性和适应性;一 个插件模块由一个或多个 客户端插件,一个或多 个服务端插件 以及一个或多个系统管理 界面组件组成,三者配合 共同组成一个完整的功 能插件模块;并且针对不同的行动,插件模块可以根据任务需求弹性化选择组合与安装。 数据库:UNITEDRAKE 系统使用 SQL 数据库来存储和管理以下信息:系统配置信 息、客户端配置信息、各类状态信息和收集到的数据。 客户端:客户端程序,即为下发植入的木马程序;其能隐蔽地植入目标机器中,并 为进一步的攻击提供支持,客户端的设计重点为提高隐蔽性。 受害者分布及影响范围 APT-C-40(NSA)受 害 者 遍 布 全 球 受 害 单 位 感 染 量 或 达 百 万 量 级 美 国 国 家 安 全 局( NSA)为 了 监 控 全 球 的 目 标 制 定 了 众 多 的 作 战 计 划 ,360 安 全 专 家 通 过 第 5 页 共 7 页 对 中 招 后 提 取 的 Validator 后 门 样 本 配 置 字 段 进 行 统 计 分 析 ,推 演 出 NSA 针 对 中 国 的 大 型 攻 击 活 动 , 仅 Validator 一 项 的 感 染 量 保 守 估 计 达 几 万 数 量 级 , 随 着 持 续 攻 击 演 进 感 染 量 甚 至 可 能 已 经 达 到 数 十 万 、百 万 量 级 。 长 期 以 来 ,为 达 到 美 国 政 府 情 报 收 集 目 的 , NSA 组 织 针 对 全 球 发 起 大 规 模 网 络 攻 击 , 我 国 就 是 NSA 组 织

pdf文档 360 网络战序幕:美国国安局NSA(APT-C-40)对全球发起长达十余年无差别攻击

文档预览
中文文档 7 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共7页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
360 网络战序幕:美国国安局NSA(APT-C-40)对全球发起长达十余年无差别攻击 第 1 页 360 网络战序幕:美国国安局NSA(APT-C-40)对全球发起长达十余年无差别攻击 第 2 页 360 网络战序幕:美国国安局NSA(APT-C-40)对全球发起长达十余年无差别攻击 第 3 页
下载文档到电脑,方便使用
本文档由 思安 于 2022-10-20 12:20:51上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。