41种网络武器,54台跳板机掩盖真实IP!西北工大如何被NAS攻击

专注IP定位
• 阅读 143

前言:41种网络武器,54台跳板机掩盖真实IP!西北工业大学遭受NAS攻击

西北工业大学曾在6月22日发布声明,称遭受境外网络攻击,学校师生收到包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息。随后,西安警方对该事件立案侦查。

41种网络武器,54台跳板机掩盖真实IP!西北工大如何被NAS攻击

西北工业大学坐落于陕西西安,隶属于工业和信息化部,是中国唯一一所以同时发展航空、航天、航海工程教育和科学研究为特色的全国重点大学。大家还记得2019年的建国70周年阅兵仪式吗?这次盛况空前的“大阅兵”中西北工业大学就强势宣称:“天上飞的都被我们承包了。”

西北大学可不仅仅参加了只一次阅兵,2009年10月1日,由西北工业大学自主研制的三型10架无人机,参加国庆60周年阅兵;2017年7月30日,在庆祝中国人民解放军建军90周年阅兵式上,由西北工业大学自主研制的三型无人机系统编队威武亮相;2015年9月3日,在纪念抗日战争胜利70周年大阅兵亮相的多种机型的研制。不仅是航空领域,西北工业大学在导弹、火箭等领域也颇有成就。

作为一所国防院校,西北工业大学的许多研究项目都与国防事业息息相关。从西北工业大学中,走出了65位共和国将军、48位两院院士,还有6位中国十大杰出青年,科技泰斗钱学森曾三次为西北大学致辞。可以说,西北大学是我国国防军的一把利器,上可入天,下可进海,只不过为国铸剑,隐姓埋名罢了。

而这次西北工业大学被境外网络攻击的幕后黑手就是美国国家安全局“特定入侵行动办公室”TAO。为了窃取西北工业大学的重要资料,美国国家安全局“特定入侵行动办公室”TAO(Office of Tailored Access Operation)制定了此次行动,行动代号为“阻击XXXX”(shotXXXX)。 41种网络武器,54台跳板机掩盖真实IP!西北工大如何被NAS攻击

TAO通过向西工大师生发布钓鱼邮件,引诱师生点击此邮件,从而入侵其内部系统。其中TAO在攻击过程中使用NSA专属网络攻击武器使用了四十余种,跳板机和代理服务器54台,后门工具“狡诈异端犯”(NSA命名)14个版等,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。接下来我们一起详细看一下NAS究竟是怎样发动攻击的。

一、相关网络攻击基础设施 为掩护其攻击行动,TAO在开始行动前会进行较长时间的准备工作,主要进行匿名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,安装NOPEN木马程序,控制了大批跳板机。 TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。

这些跳板机的功能仅限于指令中转,即:将上一级的跳板指令转发到目标系统,从而掩盖美国国家安全局发起网络攻击的真实IP。目前已经至少掌握TAO从其接入环境(美国国内电信运营商)控制跳板机的四个IP地址,分别为209.59.36.、69.165.54.、207.195.240.和209.118.143.。同时,为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系,NSA使用了美国Register公司的匿名保护服务,对相关域名、证书以及注册人等可溯源信息进行匿名化处理,无法通过公开渠道进行查询。

技术团队通过威胁情报数据关联分析,发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器,NSA通过秘密成立的两家掩护公司向美国泰瑞马克(Terremark)公司购买了埃及、荷兰和哥伦比亚等地的IP地址,并租用一批服务器。这两家公司分别为杰克•史密斯咨询公司(Jackson Smith Consultants)、穆勒多元系统公司(Mueller Diversified Systems)。同时,技术团队还发现,TAO基础设施技术处(MIT)工作人员使用“阿曼达•拉米雷斯(Amanda Ramirez)”的名字匿名购买域名和一份通用的SSL证书(ID:e42d3bea0a16111e67ef79f9cc2*****)。随后,上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”(Foxacid)上,对中国的大量网络目标开展攻击。特别是,TAO对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。

二、相关网络攻击武器 TAO在对西北工业大学的网络攻击行动中,先后使用了41种NSA的专用网络攻击武器装备。并且在攻击过程中,TAO会根据目标环境对同一款网络武器进行灵活配置。例如,对西北工业大学实施网络攻击中使用的网络武器中,仅后门工具“狡诈异端犯”(NSA命名)就有14个不同版本。技术团队将此次攻击活动中TAO所使用工具类别分为四大类,具体包括: 1、漏洞攻击突破类武器 TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时也用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。此类武器共有3种: ①“剃须刀” 此武器可针对开放了指定RPC服务的X86和SPARC架构的Solarise系统实施远程漏洞攻击,攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码,直接获取对目标主机的完整控制权。此武器用于对日本、韩国等国家跳板机的攻击,所控制跳板机被用于对西北工业大学的网络攻击。 ②“孤岛” 此武器同样可针对开放了指定RPC服务的Solaris系统实施远程溢出攻击,直接获取对目标主机的完整控制权。与“剃须刀”的不同之处在于此工具不具备自主探测目标服务开放情况的能力,需由使用者手动配置目标及相关参数。NSA使用此武器攻击控制了西北工业大学的边界服务器。 ③“酸狐狸”武器平台 此武器平台部署在哥伦比亚,可结合“二次约会”中间人攻击武器使用,可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出攻击,获取目标系统的控制权(详见:国家计算机病毒应急处理中心《美国国家安全局(NSA)“酸狐狸”漏洞攻击武器平台技术分析报告》)。TAO主要使用该武器平台对西北工业大学办公内网主机进行入侵。 2、持久化控制类武器 TAO依托此类武器对西北工业大学网络进行隐蔽持久控制,TAO行动队可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。此类武器共有6种: ①“二次约会” 此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上,可针对海量数据流量进行精准过滤与自动化劫持,实现中间人攻击功能。TAO在西北工业大学边界设备上安置该武器,劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。 ②“NOPEN” 此武器是一种支持多种操作系统和不同体系架构的远控木马,可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作,并且本身具备权限提升和持久化能力(详见:国家计算机病毒应急处理中心《“NOPEN”远控木马分析报告》)。TAO主要使用该武器对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。 ③“怒火喷射” 此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的远控木马,可根据目标系统环境定制化生成不同类型的木马服务端,服务端本身具备极强的抗分析、反调试能力。TAO主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内部的个人主机实施持久化控制。 ④“狡诈异端犯” 此武器是一款轻量级的后门植入工具,运行后即自删除,具备权限提升能力,持久驻留于目标设备上并可随系统启动。TAO主要使用该武器实现持久驻留,以便在合适时机建立加密管道上传NOPEN木马,保障对西北工业大学信息网络的长期控制。 ⑤“坚忍外科医生” 此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门,该武器可持久化运行于目标设备上,根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程,避免其被监控发现。技术分析发现,TAO在对西北工业大学的网络攻击中,累计使用了该武器的12个不同版本。 3、嗅探窃密类武器 TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录,窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种: ①“饮茶” 此武器可长期驻留在32位或64位的Solaris系统中,通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。TAO主要使用该武器嗅探西北工业大学业务人员实施运维工作时产生的账号口令、命令行操作记录、日志文件等,压缩加密存储后供NOPEN木马下载。 ②“敌后行动”系列武器 此系列武器是专门针对电信运营商特定业务系统使用的工具,根据被控业务设备的不同类型,“敌后行动”会与不同的解析工具配合使用。TAO在对西北工业大学的网络攻击中使用了“魔法学校”、“小丑食物”和“诅咒之火”等3类针对电信运营商的攻击窃密工具。 4、隐蔽消痕类武器 TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹,隐藏、掩饰其恶意操作和窃密行为,同时为上述三类武器提供保护。现已发现1种此类武器: “吐司面包” ,此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。TAO主要使用该武器清除、替换被控西北工业大学上网设备上的各类日志文件,隐藏其恶意行为。TAO对西北工业大学的网络攻击中共使用了3款不同版本的“吐司面包”。 三、攻击溯源 技术团队结合上述技术分析结果和溯源调查情况,初步判断对西北工业大学实施网络攻击行动的是美国国家安全局(NSA)信息情报部(代号S)数据侦察局(代号S3)下属TAO(代号S32)部门。该部门成立于1998年,其力量部署主要依托美国国家安全局(NSA)在美国和欧洲的各密码中心。目前已被公布的六个密码中心分别是: 1、美国马里兰州米德堡的NSA总部; 2、美国夏威夷瓦胡岛的NSA夏威夷密码中心(NSAH); 3、美国佐治亚州戈登堡的NSA佐治亚密码中心(NSAG); 4、美国德克萨斯州圣安东尼奥的NSA德克萨斯密码中心(NSAT); 5、美国科罗拉罗州丹佛马克利空军基地的NSA科罗拉罗密码中心(NSAC); 6、德国达姆施塔特美军基地的NSA欧洲密码中心(NSAE)。 NSA对西北工业大学攻击窃密期间的TAO负责人是罗伯特•乔伊斯(Robert Edward Joyce)。在近年里,美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过140GB的高价值数据。网络是无形的战场,没有硝烟却早已数次交锋,从走进信息化时代开始,攻防对战便早已拉开序幕。 (部分资料来源于网络,如有侵权请联系删除)

点赞
收藏
评论区
推荐文章
Wesley13 Wesley13
1年前
IP库购买需要注意哪些事项?
众所周知IP地址数据库在众多领域具有重要意义。 互联网安全行业攻防定位方面,通过定位IP,确定网络攻击IP的来源,进行网络安全防御。 如政府部门,通过定位网络攻击IP的地理位置,确定网络攻击的发起位置。 互联网金融行业风险控制方面,互联网金融征信、反欺诈和位置核验。如保险公司,通过确定客户IP的位置,确定客户是否出现在常住地,从而降低信贷风险。 互联网
Wesley13 Wesley13
1年前
IP被攻击了怎么办
1、断开所有网络连接。 服务器之所以被攻击是因为连接在网络上,因此在确认系统遭受攻击后,第一步一定要断开网络连接,即断开攻击。 2、根据日志查找攻击者。 根据系统日志进行分析,查看所有可疑的信息进行排查,寻找出攻击者。 3、根据日志分析系统。 根据系统日志进行分析,查看攻击者是通过什么方式入侵到服务器的,通过
专注IP定位 专注IP定位
1年前
网络安全—如何从IP源地址角度,预防DDoS攻击?
从1966年分布式拒绝服务(DDoS)攻击诞生至今,便一直困扰着网络安全,尤其是随着新技术的不断催生,导致 DDoS 攻击结合新技术演变出多种类型。DDoS 攻击作为黑灰产的手段之一,使许多企业与国家蒙受巨大损失。爱沙尼亚网络战2007年4月,爱沙尼亚遭受了大规模DDoS攻击,黑客目标包括国会、政府部门、银行以至媒体的网站,其攻击规模广泛而且深纵,这次袭击是
Wesley13 Wesley13
1年前
DDOS 攻击的防范教程
一个多月前,我的个人网站遭受 DDOS 攻击,下线了50多个小时。这篇文章就来谈谈,如何应对这种攻击。 需要说明的是,我对 DDOS 并不精通,从没想过自己会成为攻击目标。攻击发生以后,很多素昧平生的朋友提供了各种帮助和建议,让我学到了很多东西。这里记录的就是对我最有帮助的一些解决方案。 ![](https://oscimg.oschina.net/os
Stella981 Stella981
1年前
Linux应急响应(一):SSH暴力破解
0x00 前言 ======= SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 0x01 应急场景 ========= 某天,网站
helloworld_51691982 helloworld_51691982
2个月前
高防服务器有哪些优势?
随着网络技术的发展,互联网上也出现了各类网络攻击,让服务器使用者防不胜防。轻者导致服务器无法访问,重者导致企业的数据信息丢失,大量客户流失,给企业带来的危害是不言而喻的。高防服务器最强大的一个功能就是保障服务器的安全。在企业遭受网络DDOS攻击、CC攻击的时候,高防服务器能对这些攻击进行防御,保障服务器能正常使用。而普通服务器是不具备这样功能的,一旦遭受网络
芝士年糕 芝士年糕
1个月前
什么是堡垒机
一:运维审计型堡垒机 基本概念介绍 跳板机→堡垒机 ,被称为跳板机的原因就是,运维人员通过它和更多的设备联系→堡垒机还会审核运维的权限再返回请求,但是这样还是存在误操作等问题,有安全隐患,跳板机被攻入,会导致整个网络资源完全暴露。同时跳板机对一些资源f
专注IP定位 专注IP定位
2个月前
浅析蜜罐技术
前言:蜜罐技术的出现改变了这种被动态势,它通过吸引、诱骗攻击者,研究学习攻击者的攻击目的和攻击手段,从而延缓乃至阻止攻击破坏行为的发生,有效保护真实服务资源。 自网络诞生以来,攻击威胁事件层出不穷,网络攻防对抗已成为信息时代背景下的无硝烟战争。然而,
3A网络 3A网络
2个月前
理解 virt、res、shr 之间的关系(linux 系统篇)
# 理解 virt、res、shr 之间的关系(linux 系统篇) **前言** 想必在 linux 上写过程序的同学都有分析进程占用多少内存的经历,或者被问到这样的问题 —— 你的程序在运行时占用了多少内存(物理内存)? 通常我们可以通过 t
3A网络 3A网络
2个月前
开发一个不需要重写成 Hive QL 的大数据 SQL 引擎
# 开发一个不需要重写成 Hive QL 的大数据 SQL 引擎 学习大数据技术的核心原理,掌握一些高效的思考和思维方式,构建自己的技术知识体系。明白了原理,有时甚至不需要学习,顺着原理就可以推导出各种实现细节。 各种知识表象看杂乱无章,若只是学习
《人民日报》刊文:天翼云持续创新为数据安全保驾护航
1月10日,人民日报发表题为《防止敏感数据在存储、传输和使用过程被窃取,天翼云持续创新为数据安全保驾护航(创新故事)》的文章,文中聚焦数据安全热门话题,阐述了天翼云如何用技术搭建安全屏障,守护数据安全。  万物互联时代,信息技术的快速更迭在为数字经济带来利好的同时,数字时代的网络攻击也在不断升级。近年来,针对公众服务、民生服务、基础生产等领域的网络攻击层出不