10月19日上午，美国国家安全局披露，国家安全局（以下简称NSA）对国家授时服务中心（以下简称“授时中心”）进行了重大网络攻击。国家互联网应急响应中心（CNCERT）通过分析判断和监测，掌握了本次攻击的总体情况。今天公布的具体技术细节如下： 1. 攻击概述。从2022年3月开始，美国国家安全局利用某国外品牌手机短信服务漏洞，秘密监控10余名国家授时中心工作人员，非法窃取手机通讯录、短信、相册、位置信息等数据。截至2023年4月，“三角”操作曝光前，美国国家安全局早在2017年就多次利用从国外品牌手机盗取的klogin原理攻击国家计时中心的电脑。北京时间凌晨刺探该网络的内部建设。 2023年8月至2024年6月，美国国家安全局有针对性地部署新型网络作战平台，对国家授时中心多个内部业务系统进行渗透活动，企图对高精度授时、导航系统等关键科技基础设施发起攻击。在整个事件中，美国国家安全局在战术理念、操作技术、加密通信、不杀生逃生等方面仍然展现了世界领先水平。为了误实施攻击，NSA利用普通数字商业证书、伪装Windows系统模块、代理网络通信等方式隐藏攻击和操作。通信采用多层加密，NSA利用网络攻击武器打造环回嵌套加密模式。加密强度远超传统TLS通信d 通信流量。解密和恢复更加困难；活动要有耐心、细心。在整个活动周期中，NSA 可以全面监控受控主机。文件更改、关机重启将全面排查异常原因；功能动态扩展，NSA会根据目标环境动态组合各种攻击武器并下发，表明统一攻击平台具有灵活的扩展性和目标适应能力。但创新的普遍缺乏和部分环节的薄弱表明，在受到各种曝光事件的阻击后，技术的迭代升级正面临瓶颈。 2.网络攻击流程在这次攻击中，NSA利用“三角测量行动”获取了授时中心计算机终端的登录凭据，进而获得控制权，部署定制的特殊网络攻击武器并根据授时中心网络环境不断升级网络攻击武器，进一步扩大网络攻击窃取范围，以达到对部队内部网络和关键信息系统进行长期渗透和窃取的目的。分类后发现，NSA总共使用了42种网络攻击武器，可分为前哨控制（“ehome_0cx”）、隧道建设（“back_eleven”）和数据盗窃（“new_dsz_implant”）三类。利用国外网络资产作为主控服务器，实施了千余次攻击。具体分为以下四个阶段：（1）夺取控制权2022年3月24日至2023年4月11日期间，NSA通过“三角测量”行动对服务中心的10多台设备进行攻击并窃取机密。2022年9月，攻击者通过某国外品牌手机获取了办公电脑的登录凭证。服务网络管理员的胆电话。以电脑为依据查看服务中心的服务时间。功能尚不成熟，攻击需要远程控制，每次启动前关闭主机防病毒软件。电脑。武器相互配合构建4层加密隧道，在计算机管理计算机中形成高度隐蔽且完整的网络攻击和规避平台“Ehome_0cx”，植入“Back_eleven”和“new_dsz_implant”，并以其为跳板窃取认证数据数据包3.网络攻击的攻击武器攻击者总共使用42种网络攻击，主要攻击武器可分为 前哨武器和防御功能，攻击攻击使用攻击攻击和防御使用虐待服装。该类网络攻击武器的重连功能，在加载后续网络时达到对目标计算机终端进行长期控制和防御的目的攻击武器。将其命名为“ehome_0cx”。 “Ehome_0cx”由四个网络攻击模块组成。它通过DLL劫持正常的系统服务（如资源管理器和事件日志服务）来实现自启动。初始化后，它会删除内存中的可执行文件头数据，以隐藏网络攻击武器的运行痕迹。表“EHOME_0CX” 每个网络模块攻击信息表“Ehome_0cx”使用受控主机的唯一标识符指南作为解密武器资源的密钥。各个网络攻击模块使用LPC端口相互通信，并以命令号的形式调用各种武器功能。表“Ehome_0cx”函数“ehome_0cx”使用RSA算法和TLS协议完成通信的加密。 “Ehome_0cx”内置了一个RSA公钥，用于与主机通信（见下图）。每次通信随机生成一个会话密钥，使用RSA算法完成主交换与主机进行处理，然后使用 TLS 协议发送使用会话密钥加密的数据。图RSA公钥 (2)隧道构建武器 攻击者利用此类网络攻击构建网络通信和数据传输隧道，实现对其他类型网络攻击武器的远程控制和窃取数据的加密传输。它还具有采购信息和命令执行功能。初始连接阶段，在主控端发送编号为“11”的序列号，命名为“back_eleven”。 “back_eleven”由“ehome_0cx”加载和管理，具有严格的运行环境检测机制。如果发现操作系统版本不正常、调试器正在运行等情况。并且该武器设计有反调试功能，防止逆向分析。图“Back_eleven”检测运行环境 “Back_eleven”有两种工作模式：主动重连和被动监听：主动重连模式下，“back_eleven”解密内置主控服务器IP地址，并使用内置RSA加密算法公钥完成操作。进行密钥交换，然后使用AES算法对上网信息进行加密，再使用TLS协议加密后发送给主控端；在被动监听模式下，“Back_eleven”监视Windows系统网卡流量，过滤主控制端点发送的特定条件数据包，并强制执行主控制端点命令。图“back_eleven”将数据传递给主机控制端 图“back_eleven”接收主机端指令并解密“back_eleven”以命令号的形式调用各种武器功能。表“Back_eleven”命令功能 (3) 数据窃取武器 攻击者利用此类网络攻击武器来窃取数据。武器运行时，首先启动网络武器攻击模块和loads各种插件模块来实现特定的隐身功能。该武器与NSA网络攻击武器“Danderspritz”（火焰喷射）具有很高的同源性，因此被命名为“New-Dsz-Implant”。 “New-DSZ-Implant”由“EHOME_0CX”加载并运行，并与“Back_eleven”开发的数据传输链路结合使用进行攻击活动。它不具有特定的隐身功能。它需要通过接收主控端的指令加载功能模块，实现各种窃密功能。在这次网络攻击中，攻击者使用“New-DSZ-Implant”加载了25个功能模块。各模块的功能如下表所示。表“New-DSZ-Implant”各模块功能图 “New-DSZ-Implant”加载 module0 模块代码图 module0 加载其他模块代码。 “New-DSZ-Implant”与主机通信时，首先使用 nit 或 AES 和 TLS1.2 进行两层数据加密，然后使用“back_eleven”进行另一层数据加密r 使用本地环回进行2层数据加密，最终实现4层嵌套加密。图 嵌套加密模式图 创建本地环回通信图 本地环回通信数据包图 解密信息过程中的环回通信数据 四、背景研究与分析 （一）技术功能细节 “New-DSZ-Implant”是一个网络攻击框架，通过加载不同的模块来实现特定的功能。该功能的实现方法与NSA兵工厂中的“Danderspritz”网络攻击平台一致，在代码规范上具有高度的同源性，并进行了部分功能升级：首先，对部分函数名称和字符串进行了加密；其次，使用常规系统模块名称来标识功能模块；三、功能模块的编译时间从2012年到2013年更新为2016年到2018年。每个功能模块都增加了模拟操作操作来伪装正常用户的点击、登录等正常行为会迷惑杀毒软件的检测。 “New-Dsz-Implant”和“Danderspritz”加载的功能模块表格比较表 Module0（左）和 DSZ_Implant_pc.dll（右）代码同源性比较表 Module1（左）和 CD_TARGET.DLL（右）代码同源性比较表 Module2（左）和 Time_Target.DLL（右）代码）代码比较表（代码）模块 3 之间的代码）图 （左）与nameserverlookup_target.dll（右）module4（左）与runaschild_target.dll（右）代码同源性对比图 module5（左）与mcl_ntnativeapi_win32.dll（右）module6（左）与registryquery_target.dll（右）代码同源性对比图 module（左）与sidlookup_target.dll （右）代码同源性对比图 module8（左）和 mcl_ntmemory_std.dll（右）代码同源性对比图 module9（左）和 papercut_target.dll（右）代码同源性对比图 module10（左）和 uptime_target.dll（右）代码同源性图 module11（左）与activity_target.dll（右）同源性 同源性 module11（左）与activity_target.dll（右）比较图 Module12（左）与SystemVersion_Target.dll（右）代码同源性比较图 Module13（左）与memory_target.dll（右）代码同源性比较图 Module14（左）与systemVersion_Target.dll（右）代码同源性比较图 drive_target.dll（右） module15（左）和diskspace_target.dll（右） module16（左）和process_target.dll（右）代码同源性比较图表 module17（左）和services_target.dll（右）代码同源性比较 module18（左）和audit_target_vista.dll（右）的代码同源性比较 module19 （左）和eventLogquery_target.dll（右）代码）。 Scheduler_target.dll（右）（2）常驻示例模式“Ehome_0cx”的一些常驻居民通过更改注册表中的inProcserver32键值来劫持正常的系统服务，并在程序开始实现自身之前加载它们。雷吉stry修改位置与NSA“方程式组织”使用的网络攻击武器相同，位于HKEY_LOCAL_MACHINE\Software\Classes\CLSID下的随机ID项的inProcServer32子键中。 。外层采用TLS加密协议，内层采用RSA+AES进行基础通信加密。秘密数据传输、功能模块发布等关键阶段，各武器配合实现了4层嵌套加密。这种多层嵌套的数据加密模式相比“nopen”使用的RSA+RC6加密模式有显着升级。 5、代码地址泄露2023年8月至2024年5月，美国用于指挥控制的部分服务器IP如下表所示。 编辑：王志涛