NSA网络武器饮茶分析报告(“饮茶”是什么网络武器) 今日国家计算机病毒应急处理中心发布了美对西工大开展网络洗的网络武器“饮茶”的分析报告,“饮茶”到底是什么网络武器,“饮茶”的危害有多大?让我们一起来看看小编带来的最新报道:
国家计算机病毒应急海外网络攻击事件的过程中,国家计算机病毒应急中心在西北工业大学的网络服务器设备上发现了美国国家安全局(NSA)专用网络武器“饮茶”(NSA命名为“suctionchar”(参照我中心2022年9月5日发布的《西北工业大学被美国录取》NSA网络攻击事件调查报告(一))。国家计算机病毒应急中心和北京奇安盘古实验室对网络武器进行了技术分析。分析结果显示,网络武器是“嗅探窃取密类武器”,主要针对Unix/Linux该平台的核心功能是窃取目标主机上的远程访问账号密码。
二.技术分析
经过技术分析和判断,网络武器针对Unix/Linux该平台与其他网络武器合作,攻击者可以通过推送环境变量来控制恶意程序来执行特定的秘密盗窃任务。网络武器的主要目标是获得客户输入的各种用户名密码,包括SSH.TELNET.FTP与其他远程服务账户密码一起,也可根据配备盗取保存在其他位置的用户名密码信息。
网络武器包括“验证模块(authenticate)”.“解密模块(decrypt)”.“解码模块(decode)”.“配备模块”.“特工模块(agent)”其核心工作流程和技术分析结果如下:
(1)验证模块
验证模块的主要作用是验证模块“饮茶”调用前验证调用者(父进程)的身份,然后解密.解码以载入其他恶意程序模块。
(2)解密模块
解密模块是一个通用模块,可以被其他模块调用解密指定文件,使用和使用NOPEN远程控制木马(参考远程控制木马(参考“NOPEN”远程木马分析报告)相似RSARC6加密技术。
(3)解码模块
与解密模块类似,解码模块也是一个通用模块,可以被其他模块调用解码指定文件,但使用自编码算法。
(4)配备模块
配备模块的主要功能是读取攻击者的远程投递xml格式环境变量中的指令和匹配规则产生二进制环境变量,然后由二进制环境变量产生“监控模块”和“特工模块”调用后,在受害主机上找到相关知识。
(5)特工模块
特工模块的基本功能是根据攻击者发布的指令和规则从受害者主机上提取相应的敏感信息,并导出到指定的位置。
(6)其他模块
在分析过程中,我们还发现另外两个模块是环境变量生成模块和守卫模块。其中,环境变量生成模块的功能可能是生成ini临时环境变量,守卫模块与特工模块具有较高的代码相似性,可能是不同版本系统的变异。
三.总结
基于上述分析结果,技术分析团队认为,“饮茶”编码复杂,模块化程度高,支持多线程,适应操作系统环境,包括FreeBSD.SunSolaris系统以及Debian.RedHat.Centos.Ubuntu等多种Linux发行版反映了开发者先进的软件工程能力。“饮茶”它还具有很强的开放性,可以有效地与其他网络武器集成和联动。它通过加密和验证来增强其安全性和秘密性。通过灵活的配置功能,不仅可以提取登录用户名密码等信息,还可以理论上提取攻击者想要获得的所有信息。它是一种功能先进、秘密性强的强大网络武器工具。
在对西北工业大学的攻击中,美国NSA下属特定入侵办公室(TAO)使用“饮茶”作为嗅探盗窃的工具,植入西北理工大学内部网络服务器,窃取SSH.TELNET.FTP.SCP远程访问和远程文件传输服务的账户密码,从而获得内部网络中其他服务器的访问限制,实现内部网络的横向移动,并向其他高价值服务器发送其他嗅探窃取类别.持久控制和隐蔽消痕网络武器导致大规模网络武器.持续的敏感数据盗窃。随着调查的深入,技术团队仍在西北理工大学以外的其他机构网络中发现“饮茶”攻击痕迹,很可能是攻击痕迹,TAO利用“饮茶”对中国发起了大规模的网络攻击活动。
以上就是小编给大家分享的 NSA网络武器饮茶分析报告(“饮茶”是什么网络武器) 对此你有什么看法呢?关注大新闻网,更多精彩资讯等你来看哦!
猜你喜欢
