BOB足球
bob买球APP新闻中心
你的位置:BOB足球_BOB篮球_bob买球APP官网 > bob买球APP新闻中心 > BOB足球 国度狡计机病毒济急中心发布《美国NSA网罗兵器“饮茶”分析讲述》

BOB足球 国度狡计机病毒济急中心发布《美国NSA网罗兵器“饮茶”分析讲述》

时间:2022-09-16 16:26 点击:61 次

  今天BOB足球,国度狡计机病毒济急中心发布《美国NSA网罗兵器“饮茶”分析讲述》,细则如下:

  一、详尽

  国度狡计机病毒济急处理中心在对西北工业大学遭境外网罗挫折事件进行探员过程中,在西北工业大学的网罗处事器建筑上发现了美国国度安全局(NSA)专用的网罗兵器“饮茶”(NSA定名为“suctionchar”)(参见我中心2022年9月5日发布的《西北工业大学遭美国NSA网罗挫折事件探员讲述(之一)》)。国度狡计机病毒济急处理中心诱骗奇安信公司对该网罗兵器进行了工夫分析,分析遵守标明,该网罗兵器为“嗅探窃密类兵器”,主要针对Unix/Linux平台,其主邀功能是对策画主机上的汉典探望账号密码进行窃取。

  二、工夫分析

  经工夫分析与研判,该网罗兵器针对Unix/Linux平台,与其他网罗兵器互助,挫折者可通过推送成就文献的样貌铁心该坏心软件实施特定窃密任务,该网罗兵器的主要策画是获取用户输入的多样用户名密码,包括SSH、TELNET、FTP和其他汉典处事登录密码,也可笔据成就窃取保存在其他位置的用户名密码信息。

  该网罗兵器包含“考据模块(authenticate)”、“解密模块(decrypt)”、“解码模块(decode)”、“成就模块”、“间谍模块(agent)”等多个构成部分,其主要职责经过和工夫分析遵守如下:

  (一)考据模块

  考据模块的主邀功能是在“饮茶”被调用前考据其调用者(父程度)的身份,随后进行解密、解码以加载其他坏心软件模块。如图1所示。

  (二)解密模块

  解密模块是通用模块,可被其他模块调用对指定文献进行解密,经受了与NOPEN远控木马(参见《“NOPEN”远控木马分析讲述》)雷同的RSA+RC6加密算法。如图2所示。

  (三)解码模块

  与解密模块雷同,解码模块亦然通用模块,不错被其他模块调用对指定文献进行解码,但经受了自编码算法。如图3所示。

  (四)成就模块

  成就模块的主邀功能是读取挫折者汉典投送的xml步骤成就文献中的教导和匹配端正,并生成二进制成就文献,从而由“监视模块”和“间谍模块”调用后在受害主机上查找关连本色。如图4、图5所示。

  (五)间谍模块

  间谍模块的主邀功能是按照挫折者下发的教导和端正从受害主机上索要相应的敏锐信息并输出到指定位置。

  (六)其他模块

  在分析过程中,咱们还发现另外两个模块,区别是成就文献生成模块和看护者模块。其中,成就文献生成模块的功能可能是生成ini临时成就文献,而看护者模块与间谍模块具有很高的代码雷同性,可能是为不同版块系统出产的变种。

  三、记忆

  基于上述分析遵守,工夫分析团队以为,“饮茶”编码复杂,高度模块化,扶植多线程,适配操作系统环境平素,包括FreeBSD、Sun Solaris系统以及Debian、RedHat、Centos、Ubuntu等多种Linux刊行版,反应出开辟者先进的软件工程化智商。“饮茶”还具有较好的绽放性,不错与其他网罗兵器有用进行集成和联动,其经受加密和校验等样貌加强了自己安全性和袒护性,何况其通过机动的成就功能,不仅不错索要登拜托户名密码等信息,表面上也不错索要所有挫折者想获取的信息,是功能先进,袒护性强的遍及网罗兵器器具。

  在这次针对西北工业大学的挫折中,美国NSA下属特定入侵行径办公室(TAO)使用“饮茶”手脚嗅探窃密器具,将其植入西北工业大学里面网罗处事器,窃取了SSH、TELNET、FTP、SCP等汉典处分和汉典文献传输处事的登录密码,从而取得内网中其他处事器的探望权限,竣事内网横向出动,并向其他高价值处事器投送其他嗅探窃密类、历久化铁心类和袒护消痕类网罗兵器,形成大界限、赓续性敏锐数据失贼。跟着探员的慢慢潜入BOB足球,工夫团队还在西北工业大学以外的其他机构网罗中发现了“饮茶”的挫折陈迹,很可能是TAO应用“饮茶”对中国发动了大界限的网罗挫折活动。

责编:马婉莹

Powered by BOB足球_BOB篮球_bob买球APP官网 RSS地图 HTML地图

bob买球APP
BOB足球_BOB篮球_bob买球APP官网-BOB足球 国度狡计机病毒济急中心发布《美国NSA网罗兵器“饮茶”分析讲述》

回到顶部