41种网络武器,54台跳板机掩盖真实IP!西北工大如何被NAS攻击

专注IP定位
• 阅读 636

前言:41种网络武器,54台跳板机掩盖真实IP!西北工业大学遭受NAS攻击

西北工业大学曾在6月22日发布声明,称遭受境外网络攻击,学校师生收到包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息。随后,西安警方对该事件立案侦查。

41种网络武器,54台跳板机掩盖真实IP!西北工大如何被NAS攻击

西北工业大学坐落于陕西西安,隶属于工业和信息化部,是中国唯一一所以同时发展航空、航天、航海工程教育和科学研究为特色的全国重点大学。大家还记得2019年的建国70周年阅兵仪式吗?这次盛况空前的“大阅兵”中西北工业大学就强势宣称:“天上飞的都被我们承包了。”

西北大学可不仅仅参加了只一次阅兵,2009年10月1日,由西北工业大学自主研制的三型10架无人机,参加国庆60周年阅兵;2017年7月30日,在庆祝中国人民解放军建军90周年阅兵式上,由西北工业大学自主研制的三型无人机系统编队威武亮相;2015年9月3日,在纪念抗日战争胜利70周年大阅兵亮相的多种机型的研制。不仅是航空领域,西北工业大学在导弹、火箭等领域也颇有成就。

作为一所国防院校,西北工业大学的许多研究项目都与国防事业息息相关。从西北工业大学中,走出了65位共和国将军、48位两院院士,还有6位中国十大杰出青年,科技泰斗钱学森曾三次为西北大学致辞。可以说,西北大学是我国国防军的一把利器,上可入天,下可进海,只不过为国铸剑,隐姓埋名罢了。

而这次西北工业大学被境外网络攻击的幕后黑手就是美国国家安全局“特定入侵行动办公室”TAO。为了窃取西北工业大学的重要资料,美国国家安全局“特定入侵行动办公室”TAO(Office of Tailored Access Operation)制定了此次行动,行动代号为“阻击XXXX”(shotXXXX)。 41种网络武器,54台跳板机掩盖真实IP!西北工大如何被NAS攻击

TAO通过向西工大师生发布钓鱼邮件,引诱师生点击此邮件,从而入侵其内部系统。其中TAO在攻击过程中使用NSA专属网络攻击武器使用了四十余种,跳板机和代理服务器54台,后门工具“狡诈异端犯”(NSA命名)14个版等,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。接下来我们一起详细看一下NAS究竟是怎样发动攻击的。

一、相关网络攻击基础设施 为掩护其攻击行动,TAO在开始行动前会进行较长时间的准备工作,主要进行匿名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,安装NOPEN木马程序,控制了大批跳板机。 TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。

这些跳板机的功能仅限于指令中转,即:将上一级的跳板指令转发到目标系统,从而掩盖美国国家安全局发起网络攻击的真实IP。目前已经至少掌握TAO从其接入环境(美国国内电信运营商)控制跳板机的四个IP地址,分别为209.59.36.、69.165.54.、207.195.240.和209.118.143.。同时,为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系,NSA使用了美国Register公司的匿名保护服务,对相关域名、证书以及注册人等可溯源信息进行匿名化处理,无法通过公开渠道进行查询。

技术团队通过威胁情报数据关联分析,发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器,NSA通过秘密成立的两家掩护公司向美国泰瑞马克(Terremark)公司购买了埃及、荷兰和哥伦比亚等地的IP地址,并租用一批服务器。这两家公司分别为杰克•史密斯咨询公司(Jackson Smith Consultants)、穆勒多元系统公司(Mueller Diversified Systems)。同时,技术团队还发现,TAO基础设施技术处(MIT)工作人员使用“阿曼达•拉米雷斯(Amanda Ramirez)”的名字匿名购买域名和一份通用的SSL证书(ID:e42d3bea0a16111e67ef79f9cc2*****)。随后,上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”(Foxacid)上,对中国的大量网络目标开展攻击。特别是,TAO对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。

二、相关网络攻击武器 TAO在对西北工业大学的网络攻击行动中,先后使用了41种NSA的专用网络攻击武器装备。并且在攻击过程中,TAO会根据目标环境对同一款网络武器进行灵活配置。例如,对西北工业大学实施网络攻击中使用的网络武器中,仅后门工具“狡诈异端犯”(NSA命名)就有14个不同版本。技术团队将此次攻击活动中TAO所使用工具类别分为四大类,具体包括: 1、漏洞攻击突破类武器 TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时也用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。此类武器共有3种: ①“剃须刀” 此武器可针对开放了指定RPC服务的X86和SPARC架构的Solarise系统实施远程漏洞攻击,攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码,直接获取对目标主机的完整控制权。此武器用于对日本、韩国等国家跳板机的攻击,所控制跳板机被用于对西北工业大学的网络攻击。 ②“孤岛” 此武器同样可针对开放了指定RPC服务的Solaris系统实施远程溢出攻击,直接获取对目标主机的完整控制权。与“剃须刀”的不同之处在于此工具不具备自主探测目标服务开放情况的能力,需由使用者手动配置目标及相关参数。NSA使用此武器攻击控制了西北工业大学的边界服务器。 ③“酸狐狸”武器平台 此武器平台部署在哥伦比亚,可结合“二次约会”中间人攻击武器使用,可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出攻击,获取目标系统的控制权(详见:国家计算机病毒应急处理中心《美国国家安全局(NSA)“酸狐狸”漏洞攻击武器平台技术分析报告》)。TAO主要使用该武器平台对西北工业大学办公内网主机进行入侵。 2、持久化控制类武器 TAO依托此类武器对西北工业大学网络进行隐蔽持久控制,TAO行动队可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。此类武器共有6种: ①“二次约会” 此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上,可针对海量数据流量进行精准过滤与自动化劫持,实现中间人攻击功能。TAO在西北工业大学边界设备上安置该武器,劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。 ②“NOPEN” 此武器是一种支持多种操作系统和不同体系架构的远控木马,可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作,并且本身具备权限提升和持久化能力(详见:国家计算机病毒应急处理中心《“NOPEN”远控木马分析报告》)。TAO主要使用该武器对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。 ③“怒火喷射” 此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的远控木马,可根据目标系统环境定制化生成不同类型的木马服务端,服务端本身具备极强的抗分析、反调试能力。TAO主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内部的个人主机实施持久化控制。 ④“狡诈异端犯” 此武器是一款轻量级的后门植入工具,运行后即自删除,具备权限提升能力,持久驻留于目标设备上并可随系统启动。TAO主要使用该武器实现持久驻留,以便在合适时机建立加密管道上传NOPEN木马,保障对西北工业大学信息网络的长期控制。 ⑤“坚忍外科医生” 此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门,该武器可持久化运行于目标设备上,根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程,避免其被监控发现。技术分析发现,TAO在对西北工业大学的网络攻击中,累计使用了该武器的12个不同版本。 3、嗅探窃密类武器 TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录,窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种: ①“饮茶” 此武器可长期驻留在32位或64位的Solaris系统中,通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。TAO主要使用该武器嗅探西北工业大学业务人员实施运维工作时产生的账号口令、命令行操作记录、日志文件等,压缩加密存储后供NOPEN木马下载。 ②“敌后行动”系列武器 此系列武器是专门针对电信运营商特定业务系统使用的工具,根据被控业务设备的不同类型,“敌后行动”会与不同的解析工具配合使用。TAO在对西北工业大学的网络攻击中使用了“魔法学校”、“小丑食物”和“诅咒之火”等3类针对电信运营商的攻击窃密工具。 4、隐蔽消痕类武器 TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹,隐藏、掩饰其恶意操作和窃密行为,同时为上述三类武器提供保护。现已发现1种此类武器: “吐司面包” ,此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。TAO主要使用该武器清除、替换被控西北工业大学上网设备上的各类日志文件,隐藏其恶意行为。TAO对西北工业大学的网络攻击中共使用了3款不同版本的“吐司面包”。 三、攻击溯源 技术团队结合上述技术分析结果和溯源调查情况,初步判断对西北工业大学实施网络攻击行动的是美国国家安全局(NSA)信息情报部(代号S)数据侦察局(代号S3)下属TAO(代号S32)部门。该部门成立于1998年,其力量部署主要依托美国国家安全局(NSA)在美国和欧洲的各密码中心。目前已被公布的六个密码中心分别是: 1、美国马里兰州米德堡的NSA总部; 2、美国夏威夷瓦胡岛的NSA夏威夷密码中心(NSAH); 3、美国佐治亚州戈登堡的NSA佐治亚密码中心(NSAG); 4、美国德克萨斯州圣安东尼奥的NSA德克萨斯密码中心(NSAT); 5、美国科罗拉罗州丹佛马克利空军基地的NSA科罗拉罗密码中心(NSAC); 6、德国达姆施塔特美军基地的NSA欧洲密码中心(NSAE)。 NSA对西北工业大学攻击窃密期间的TAO负责人是罗伯特•乔伊斯(Robert Edward Joyce)。在近年里,美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过140GB的高价值数据。网络是无形的战场,没有硝烟却早已数次交锋,从走进信息化时代开始,攻防对战便早已拉开序幕。 (部分资料来源于网络,如有侵权请联系删除)

点赞
收藏
评论区
推荐文章
专注IP定位 专注IP定位
2年前
浅析蜜罐技术
前言:蜜罐技术的出现改变了这种被动态势,它通过吸引、诱骗攻击者,研究学习攻击者的攻击目的和攻击手段,从而延缓乃至阻止攻击破坏行为的发生,有效保护真实服务资源。自网络诞生以来,攻击威胁事件层出不穷,网络攻防对抗已成为信息时代背景下的无硝烟战争。然而,
Wesley13 Wesley13
3年前
OSSIM让网络攻击无所遁形
OSSIM让网络攻击无所遁形如今网络安全事件的复杂程度不断攀升,从传统的病毒到蠕虫、木马的过程,这是一种网络威胁进化的过程,你再用传统的监控工具就OUT了。要想对抗攻击,首先需要发现攻击,通过抓包的常规做法比较滞后,而且也只能发现局部问题,已不满足我们对可视化网络安全运维的需要,你选择的多数软件都无法满足对网络攻击可视化的需求。若想更佳方便的发现
Wesley13 Wesley13
3年前
DDoS的攻击方法
DDoS攻击DDoS攻击的方法攻击网络带宽资源我们可以采用对目标的网络带宽资源进行攻击,目的就是浪费对方有限的网络带宽资源,使得目标服务出现网络滞缓直至网络带宽资源匮乏,无法访问或访问速度慢。直接攻击直接攻击,使用大量的受控主机直接向被攻击目标发送大量的网络数据包,占用目标的网络
Wesley13 Wesley13
3年前
IP被攻击了怎么办
1、断开所有网络连接。服务器之所以被攻击是因为连接在网络上,因此在确认系统遭受攻击后,第一步一定要断开网络连接,即断开攻击。2、根据日志查找攻击者。根据系统日志进行分析,查看所有可疑的信息进行排查,寻找出攻击者。3、根据日志分析系统。根据系统日志进行分析,查看攻击者是通过什么方式入侵到服务器的,通过
芝士年糕 芝士年糕
2年前
什么是堡垒机
一:运维审计型堡垒机基本概念介绍跳板机→堡垒机,被称为跳板机的原因就是,运维人员通过它和更多的设备联系→堡垒机还会审核运维的权限再返回请求,但是这样还是存在误操作等问题,有安全隐患,跳板机被攻入,会导致整个网络资源完全暴露。同时跳板机对一些资源f
京东云开发者 京东云开发者
6个月前
如何从根本上避免钓鱼--安全意识的重要性
一、什么是网络钓鱼(Phishing)“网络钓鱼(Phishing)攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡
专注IP定位 专注IP定位
2年前
网络攻击中常见掩盖真实IP的攻击方式及虚假IP地址追踪溯源方法
前言:在网络取证领域,网络攻击溯源一直是一个重要的追踪方式。近年来,网络安全事件层出不穷,各种网络攻击给国家、社会和个人带来了严重的危害,如分布式拒绝服务攻击(DDoS)、基于僵尸网络(Botnet)的高级可持续攻击(APT)、利用远程控制木马的信息窃取等。在这些攻击方法中,攻击者会向目标主机,也就是受害主机,发送特定的攻击数据包。从受害主机的角度来看,能够
芝士年糕 芝士年糕
2年前
堡垒机的详细介绍
一:运维审计型堡垒机基本概念介绍跳板机→堡垒机,被称为跳板机的原因就是,运维人员通过它和更多的设备联系→堡垒机还会审核运维的权限再返回请求,但是这样还是存在误操作等问题,有安全隐患,跳板机被攻入,会导致整个网络资源完全暴露。同时跳板机对一些资源ftp等不好操控。堡垒机可以理解为是运维审计系统的统称:即在一个特定的网络环境下,为了保障网络和数据不受来自外部和
高防服务器有哪些优势?
随着网络技术的发展,互联网上也出现了各类网络攻击,让服务器使用者防不胜防。轻者导致服务器无法访问,重者导致企业的数据信息丢失,大量客户流失,给企业带来的危害是不言而喻的。高防服务器最强大的一个功能就是保障服务器的安全。在企业遭受网络DDOS攻击、CC攻击的时候,高防服务器能对这些攻击进行防御,保障服务器能正常使用。而普通服务器是不具备这样功能的,一旦遭受网络