當前位置：新聞 > 中國新聞 > 正文

飲茶分析報告發(fā)布透露?西北工大遭美網(wǎng)襲新細節(jié)

2022-09-13 11:06:22 來源：新京報 A+A-

今天，國家計算機病毒應(yīng)急中心發(fā)布《美國NSA網(wǎng)絡(luò)武器“飲茶”分析報告》,，詳情如下：

一、概述

國家計算機病毒應(yīng)急處理中心在對西北工業(yè)大學遭境外網(wǎng)絡(luò)攻擊事件進行調(diào)查過程中,，在西北工業(yè)大學的網(wǎng)絡(luò)服務(wù)器設(shè)備上發(fā)現(xiàn)了美國國家安全局（NSA）專用的網(wǎng)絡(luò)武器“飲茶”（NSA命名為“suctionchar”）（參見我中心2022年9月5日發(fā)布的《西北工業(yè)大學遭美國NSA網(wǎng)絡(luò)攻擊事件調(diào)查報告（之一）》）,。國家計算機病毒應(yīng)急處理中心聯(lián)合奇安信公司對該網(wǎng)絡(luò)武器進行了技術(shù)分析，分析結(jié)果表明,，該網(wǎng)絡(luò)武器為“嗅探竊密類武器”,，主要針對Unix/Linux平臺,，其主要功能是對目標主機上的遠程訪問賬號密碼進行竊取。

二,、技術(shù)分析

經(jīng)技術(shù)分析與研判，該網(wǎng)絡(luò)武器針對Unix/Linux平臺,，與其他網(wǎng)絡(luò)武器配合，攻擊者可通過推送配置文件的方式控制該惡意軟件執(zhí)行特定竊密任務(wù),，該網(wǎng)絡(luò)武器的主要目標是獲取用戶輸入的各種用戶名密碼,，包括SSH,、TELNET,、FTP和其他遠程服務(wù)登錄密碼，也可根據(jù)配置竊取保存在其他位置的用戶名密碼信息,。

該網(wǎng)絡(luò)武器包含“驗證模塊（authenticate）”,、“解密模塊（decrypt）”、“解碼模塊（decode）”、“配置模塊”,、“間諜模塊（agent）”等多個組成部分，其主要工作流程和技術(shù)分析結(jié)果如下：

（一）驗證模塊

驗證模塊的主要功能是在“飲茶”被調(diào)用前驗證其調(diào)用者（父進程）的身份,，隨后進行解密,、解碼以加載其他惡意軟件模塊。如圖1所示,。

飲茶分析報告發(fā)布透露西北工大遭美網(wǎng)襲新細節(jié)