10月19日上午，美国国家安全局（NSA）宣布对国家授时中心（以下简称“授时中心”）进行了大规模网络攻击。国家互联网应急响应中心（CNCERT）通过分析研判和监测，了解了本次攻击事件的总体情况。目前，具体技术细节已公布如下： 1. 攻击概述。 2022年3月开始，美国国家安全局利用国外品牌手机短信服务漏洞，非法窃取手机通讯录、短信、相册、位置信息等数据，对国家授时中心10余名员工进行秘密监控。从2023年4月开始，在“三角测量”操作被发现之前，美国国家安全局多次利用从国外品牌手机窃取的登录凭据渗透国家计时中心的计算机。及时监控内部网络的建设。 2023年8月至2024年6月，美国国家安全局专门部署新型网络战平台，对国家授时中心多个内部商业系统进行入侵行动，试图对包括高精度地面授时和导航系统在内的关键科技基础设施发起攻击。在整个事件中，美国国家安全局继续展示了战术概念、操作技术、加密通信和免杀逃生方面的世界领先标准。为了进行隐形攻击，NSA使用常见的商业数字证书、欺骗Windows系统模块、代理网络通信等来隐藏攻击和抢劫。同时，深入研究杀毒软件的机制，可以有效逃避检测。通信经过多层加密，美国国家安全局使用网络攻击武器创建嵌套环回加密模式。它实现了远远超过传统 TLS 通信和通信流量的加密强度。解密和恢复就更加困难了。活动要有耐心、细心。在整个活动周期中，国家安全局对受控主机提供全面监控。修改文件、关闭和重新启动可以彻底调查异常原因。能力动态扩展，NSA根据目标环境向网络下发针对不同攻击武器的功能模块的动态组合。这说明综合攻击平台具有灵活的扩展性和目标适应性。但其普遍缺乏创新，部分环节薄弱，表明该技术在多次曝光事件受阻后，迭代升级面临障碍。 2.网络攻击过程在这次攻击中，为了实现网络攻击和盗窃的长期目标，NSA我们编者按“三角操作”获取授时中心计算机终端的登录凭据，获取控制权，部署定制的专用网络攻击武器，并根据授时中心的网络环境不断更新网络攻击武器，进一步扩大网络攻击盗窃范围。单位内部网络及主要信息系统。分析显示，NSA总共使用了42种网络攻击武器，可分为三类：前哨控制（eHome_0cx）、隧道建设（Back_eleven）和数据盗窃（New_Dsz_Implant）。以国外网络资产为主服务器，实施攻击1000余次。具体来说，分为以下四个阶段。 （一）获得监管权限 2022年3月24日至2023年4月11日，NSA批准“三角测量”。 “该行动攻击了授时中心内的 10 多台计算机并泄露了机密。2022年9月，攻击者通过外资品牌手机从授时中心网络管理员处获取了办公电脑的登录凭证，并利用该凭证获取了办公电脑的远程控制权限。 2023年4月11日至2023年8月3日，“攻击者使用匿名通信网络节点远程登录办公室计算机。”作为检测所在授时中心网络环境的依据。m电脑80次。 2023年8月3日攻击历史（2）2023年8月3日部署特殊网络攻击武器？此后至2024年3月24日，攻击者将初始版本的“Back_eleven”嵌入网管计算机中，窃取网管计算机中的数据，并在每次攻击后删除网络攻击武器的内存使用情况和操作痕迹。现阶段，“Back_eleven”功能尚未成熟，因此攻击者在启动之前需要远程控制并关闭主机的防病毒软件。 部分杀毒软件的关闭记录（三）特殊网络攻击武器的修改 2024年3月至4月，攻击者定制修改网络攻击武器以匹配同步中心的网络环境，融入多种新型网络攻击武器，并实现对计算机的长期人工智能和秘密控制。攻击者上传“eHome_0cx”、“Back_eleven”、“New_Dsz_Implant”等20多个支撑功能模块以及10多个网络攻击武器配置文件。 在将“New_Dsz_Implant”加载到内存的过程中，攻击者相互协作，利用各种网络攻击武器，构建了四层加密隧道，形成了一个完全隐藏且功能齐全的网络攻击和秘密窃取平台。 网络攻击利器加密方式（四）内网侧入侵流程 2024年5月-2024年6月，攻击者rs利用“Back_eleven”以网管计算机为跳板攻击互联网认证服务器和防火墙。 6月13日上午9点，攻击者在网管电脑上启动“eHome_0cx”，嵌入“Back_eleven”和“New_Dsz_Implant”，并以此为跳板窃取system.authentication服务器数据。 7月13日上午9点，攻击者在网管计算机上启动“eHome_0cx”，发出“Back_eleven”和“New_Dsz_Implant”，窃取数据。 2024年6月13日网络攻击数据盗窃包三、网络攻击武器库分析在本次网络攻击事件中，攻击者共使用了4种网络攻击武器、功能模块、恶意文件等。主要网络攻击武器按功能可分为前哨防御/控制武器、隧道建设武器和数据窃取武器。 (1) 配备前哨防御和控制武器的攻击者使用隐蔽栖息地此类网络攻击武器具有离子和心跳重连能力，以达到长期控制和保护目标计算机终端并加载后续网络攻击武器的目的。按照 ru 设置此主要武器类型的资源加载并将其命名为“eHome_0cx”。 “eHome_‘0cx’由四个网络攻击模块组成，通过DLL劫持正常系统服务（如资源管理器和事件日志服务）自动启动，启动后会清除内存中可执行文件的头数据，隐藏任何网络攻击武器的痕迹。 “eHome_0cx”网络攻击模块信息表 （二）隧道构建武器 攻击者利用该类网络攻击武器构建网络通信和数据传输隧道，实现对其他类型网络攻击武器的远程控制和窃取数据的加密传输。它还具有信息获取和命令执行功能。第一次期间连接阶段，向名为“Back_Eleven”的主控终端发送编号为“11”的标识号。 “Back_Eleven”检测运行环境 (3) 数据窃取武器 攻击者利用此类网络攻击武器窃取数据。执行时，该武器会启动模块化网络攻击武器框架并加载各种附加模块，以实现特定的秘密盗窃功能。由于该武器与 NSA 网络攻击武器“DanderSpritz”（愤怒喷雾）相似，因此被命名为“New-Dsz-Implant”。它由“New-Dsz-Implant”加载，由“eHome_0cx”执行，与“Back_Eleven”建立的数据传输链路一起用于攻击操作。不可能窃取特殊秘密。要实现各种窃密功能，必须根据主控终端的指令加载功能模块。必须加密。在这次网络攻击中，攻击者使用“New-Dsz-Implant”上传了25个功能模块。功能各模块的功能如下表所示。 “New-Dsz-Implant”各模块的功能 四、背景研究与分析 （1）技术功能细节 “New-Dsz-Implant”是一个通过安装不同模块来实现特定功能的网络攻击武器框架。该功能的实现与 NSA 兵工厂的“DanderSpritz”网络攻击平台一致，并包含高级代码细节。改进了同源度并改进了一些功能。首先，一些函数名称和字符串被加密。其次，使用正常的系统模块名称来伪装功能模块。第三，功能模块的构建时间从2012年更新到2013年，从2016年更新到2018年，每个功能模块都添加了模拟用户交互功能，伪装正常的用户操作，例如点击、登录，以迷惑杀毒软件的防护。 “New-Dsz-Implant”和“DanderSpritz”加载的功能模块比较（2）一些重新样本常驻模式“eHome_0cx”下的sident文件通过改变注册表中InprocServer32键值来劫持正常系统服务，并在正常系统程序开始之前加载，实现自动启动。注册表更改的位置与NSA公式组织使用的网络攻击武器相同，均位于HKEY_LOCAL_MACHINE\SOFTWARE\Classe。 s\CLSID 中随机 ID 条目的 InProcServer32 子项。 （3）数据加密方式 攻击者使用的三种网络攻击武器均采用两层加密。外层采用TLS协议加密，内层采用RSA+AES进行密钥协商和加密。在关键阶段，例如传输被盗数据或发布功能模块，最终每种武器都必须协同工作。它提供四层嵌套加密。这种多层嵌套的数据加密模式相对于“NOPEN”中使用的RSA+RC6加密模式有显着的改进。 5. 代码地址披露当然从2023年8月到2024年5月，美国用于指挥和控制的一些服务器IP是： 特别声明：本文由网易自有媒体平台“网易号”作者上传发布，仅代表作者观点。网易仅提供一个信息发布平台。 注：以上内容（包括图片和视频，如有）由网易号用户上传发布，网易号是一个仅提供信息存储服务的社交媒体平台。 责任编辑：戴丽丽_NN4994 美国对Chronom中心进行网络攻击的细节被披露