鐵證如山!美方網(wǎng)攻我國(guó)授時(shí)中心過(guò)程公布詳盡技術(shù)細(xì)節(jié)公開(kāi)(3)

小大

用微信掃描二維碼
分享至好友和朋友圈

關(guān)鍵詞：

2025-10-20 09:18:49 人民日?qǐng)?bào)

攻擊者利用隧道搭建類武器搭建網(wǎng)絡(luò)通信和數(shù)據(jù)傳輸隧道，實(shí)現(xiàn)了對(duì)其他類型網(wǎng)絡(luò)攻擊武器的遠(yuǎn)程控制和竊密數(shù)據(jù)的加密傳輸，同時(shí)還具備信息獲取和命令執(zhí)行功能。“Back_Eleven”在初始連接階段向主控端發(fā)送帶有數(shù)字“11”標(biāo)識(shí)。

攻擊者利用數(shù)據(jù)竊取類武器進(jìn)行數(shù)據(jù)竊密?！癗ew-Dsz-Implant”與NSA網(wǎng)攻武器 “DanderSpritz”具有高度同源性，自身無(wú)具體竊密功能，需通過(guò)接收主控端指令加載功能模塊，實(shí)現(xiàn)各項(xiàng)竊密功能。本次網(wǎng)攻事件中，攻擊者使用“New-Dsz-Implant”加載了25個(gè)功能模塊。

“New-Dsz-Implant”是一個(gè)網(wǎng)攻武器框架，通過(guò)加載不同的模塊實(shí)現(xiàn)具體功能，此種功能實(shí)現(xiàn)方式與NSA武器庫(kù)中“DanderSpritz”網(wǎng)攻平臺(tái)一致，且在代碼細(xì)節(jié)上具有高度同源性，并進(jìn)行了部分功能升級(jí)：一是加密了部分函數(shù)名稱和字符串；二是使用系統(tǒng)的常規(guī)模塊名稱偽裝功能模塊；三是功能模塊編譯時(shí)間從2012至2013年更新至2016至2018年，各功能模塊增加了模擬用戶操作函數(shù)，偽裝用戶點(diǎn)擊、登錄等正常行為以迷惑殺毒軟件的檢測(cè)。

“eHome_0cx”的部分駐留文件通過(guò)修改注冊(cè)表InprocServer32鍵值的方式，劫持了系統(tǒng)正常服務(wù)，在系統(tǒng)正常程序啟動(dòng)前加載實(shí)現(xiàn)自啟動(dòng)。注冊(cè)表修改位置與NSA“方程式組織”所使用網(wǎng)攻武器相同，均位于HKEY_LOCAL_MACHINESOFTWAREClassesCLSID下隨機(jī)ID項(xiàng)的InProcServer32子項(xiàng)。

攻擊者使用的3款網(wǎng)攻武器均采用2層加密方式，外層使用TLS協(xié)議加密，內(nèi)層使用RSA+AES方式進(jìn)行密鑰協(xié)商和加密，在竊密數(shù)據(jù)傳輸、功能模塊下發(fā)等關(guān)鍵階段，各武器的相互配合實(shí)現(xiàn)了4層嵌套加密。此種多層嵌套數(shù)據(jù)加密模式相比“NOPEN”使用的RSA+RC6加密模式有了明顯升級(jí)。

2023年8月至2024年5月，美方用于命令控制的部分服務(wù)器IP如下表所示。

首頁(yè)上一頁(yè)1 23共 3 頁(yè)

(責(zé)任編輯：zx0176)

關(guān)閉

鐵證如山!美方網(wǎng)攻我國(guó)授時(shí)中心過(guò)程公布 詳盡技術(shù)細(xì)節(jié)公開(kāi)(3)

相關(guān)新聞

今日熱點(diǎn)

頻道熱點(diǎn)

鐵證如山!美方網(wǎng)攻我國(guó)授時(shí)中心過(guò)程公布詳盡技術(shù)細(xì)節(jié)公開(kāi)(3)