|
今天,國度计较機病毒應急中間公布《美國NSA收集兵器“吃茶品茗”阐發陈述》,详情以下:
1、概述
國度计较機病毒應急处置中間在對西北工業大學遭境外收去斑膏,集進犯事務举行查詢拜访進程中,在西北工業大學的收集辦事器装备上發明了美國國度平安局(NSA)專用的收集兵器“吃茶品茗”(NSA定名為“suctionchar”)(拜见我中間2022年9月5日公布的《西北工業大學遭美國NSA收集進犯事務查詢拜访陈述(之一)》)。國度计较機病毒應急处置中間结合奇安信公司對该收集兵器举行了技能阐發,阐發成果表白,该收集兵器為“嗅探窃密類兵器”,重要针對Unix/Linux平台,其重要功效是對方针主機上的长途拜候账号暗码举行盗取。
2、技能阐發
經技能阐發與研判,该收集兵器针對Unix/Linux平台,與其他收集兵器共同,進犯者可經由過程推送设置装备摆设文件的方法节制该歹意软件履行特定窃密使命,该收集兵器的重要方针是获得用户输入的各類用户名暗码,包含SSH、TELNET、FTP和其他长途辦事登录暗码,也可按照设置装备摆设盗取保留在其他位置的用户名暗码信息。
该收集兵器包括“驗证模块(authenticate)”、“解密模块(decrypt)”、“解码模块(decode)”、“设置装备摆设模块”、“特務模块(agent)”等多個構成部門,其重要事情流程和技能阐發成果以下:
(一)驗证模块
驗证模块的重要功效是在“吃茶品茗”被挪用前驗证其挪用者(父過程)的身份,随落後行解密、解码以加载其他歹意软件模块。如圖1所示。
(二)解密模块
解密模块是通用模块,可被其他模块挪用對指定文件举行解密,采纳了與NOPEN远控木马(拜见《“NOP台中魚訊,EN”远控木马阐發陈述》)雷同的RSA+RC6加密算法。如圖2所示。
(三)解码模块
與解密模块雷同,解码模块也是通用模块,可以被其他模块挪用對指定文件举行解码,但采纳了自编码算法。如圖3所示。
(四)设置装备摆设模块
设置装备摆设模块的重要功效是读取進犯者长途投送的xml格局设置装备摆设文件中的指令和匹配法则,并天生二進制设置装备摆设文件,從而由“监督模块”和“特務模块”挪用後去除眼細紋,在受害主機上查找相干內容。如圖四、圖5所示。
(五)特務模块
特務模块的重要功效是依照進犯者下發的指令和法则從受害主機上提取响應的敏感信息并输出到指定位置。
(六)其他模块
在阐發進程中,咱们還發明此外两個模块,别离是设置装备摆设文件天生模块和守护者模块。此中,设置装备摆设文件天生模块的功效多是天生ini姑且设置装备摆设文件,而守护者模块與特務模块具备很高的代码類似性,多是為分歧版本體系出產的变種。
3、总结
基于上述阐發成果,技能阐發團队認為,“吃茶品茗”编码繁杂,高度模块化,支撑多線程,适配操作體系情况遍及,包含FreeBSD、Sun Solaris體系和Debian、RedHat、Centos、Ubuntu等多種Linux刊行版,反應出開辟者先辈的软件工程化能力。“吃茶品茗”還具备较好的開放性,可以與其他收集兵器有用举行集成和联動,其采纳加密和校驗等方法增强了本身平安性和隐藏性,而且其經由過程機動的设置装备摆设功效,不但可以提取登任命户名暗码等信息,理论上也能够提取所有進犯者想获得的信息,是功效先辈,隐藏性强的壮大收集兵器东西。
在這次针對西北工業大學的進犯中,美國NSA部属特定入侵举措辦公室(TAO)利用“吃茶品茗”作為嗅探窃密东西,将其植入西北工業大學內部收集辦事器,盗取了SSH、TELNET、FTP、SCP等长途辦理和长途文件传输辦事的登录暗码,從而得到內網中其他辦事器的拜候权限,實現內網横向挪動,并向其他高價值辦事器投送其他嗅探窃密類、长期化节制類和隐藏消痕類收集兵器,造成大范围、延续性敏感数拉力繩健身器材,据失贼。跟着查詢拜访的渐渐深刻,技能團队還在西北工業大學以外的其他機構收集中發明了“吃茶品茗”的進犯陈迹,极可能是TAO操纵“吃茶品茗”對中國策動了大范围的收集進犯勾當。 |
|