配置模塊的主要功能是讀取攻擊者遠(yuǎn)程投送的xml格式配置文件中的指令和匹配規(guī)則,,并生成二進(jìn)制配置文件,,從而由“監(jiān)視模塊”和“間諜模塊”調(diào)用后在受害主機(jī)上查找相關(guān)內(nèi)容。如圖4、圖5所示,。
(五)間諜模塊
間諜模塊的主要功能是按照攻擊者下發(fā)的指令和規(guī)則從受害主機(jī)上提取相應(yīng)的敏感信息并輸出到指定位置,。
(六)其他模塊
在分析過(guò)程中,,我們還發(fā)現(xiàn)另外兩個(gè)模塊,,分別是配置文件生成模塊和守護(hù)者模塊。其中,,配置文件生成模塊的功能可能是生成ini臨時(shí)配置文件,,而守護(hù)者模塊與間諜模塊具有很高的代碼相似性,可能是為不同版本系統(tǒng)生產(chǎn)的變種,。
三,、總結(jié)
基于上述分析結(jié)果,技術(shù)分析團(tuán)隊(duì)認(rèn)為,,“飲茶”編碼復(fù)雜,,高度模塊化,支持多線程,,適配操作系統(tǒng)環(huán)境廣泛,,包括FreeBSD,、Sun Solaris系統(tǒng)以及Debian,、RedHat、Centos,、Ubuntu等多種Linux發(fā)行版,,反映出開(kāi)發(fā)者先進(jìn)的軟件工程化能力?!帮嫴琛边€具有較好的開(kāi)放性,,可以與其他網(wǎng)絡(luò)武器有效進(jìn)行集成和聯(lián)動(dòng),,其采用加密和校驗(yàn)等方式加強(qiáng)了自身安全性和隱蔽性,并且其通過(guò)靈活的配置功能,,不僅可以提取登錄用戶名密碼等信息,,理論上也可以提取所有攻擊者想獲取的信息,是功能先進(jìn),,隱蔽性強(qiáng)的強(qiáng)大網(wǎng)絡(luò)武器工具,。
在此次針對(duì)西北工業(yè)大學(xué)的攻擊中,美國(guó)NSA下屬特定入侵行動(dòng)辦公室(TAO)使用“飲茶”作為嗅探竊密工具,,將其植入西北工業(yè)大學(xué)內(nèi)部網(wǎng)絡(luò)服務(wù)器,,竊取了SSH、TELNET,、FTP,、SCP等遠(yuǎn)程管理和遠(yuǎn)程文件傳輸服務(wù)的登錄密碼,從而獲得內(nèi)網(wǎng)中其他服務(wù)器的訪問(wèn)權(quán)限,,實(shí)現(xiàn)內(nèi)網(wǎng)橫向移動(dòng),,并向其他高價(jià)值服務(wù)器投送其他嗅探竊密類、持久化控制類和隱蔽消痕類網(wǎng)絡(luò)武器,,造成大規(guī)模,、持續(xù)性敏感數(shù)據(jù)失竊。隨著調(diào)查的逐步深入,,技術(shù)團(tuán)隊(duì)還在西北工業(yè)大學(xué)之外的其他機(jī)構(gòu)網(wǎng)絡(luò)中發(fā)現(xiàn)了“飲茶”的攻擊痕跡,,很可能是TAO利用“飲茶”對(duì)中國(guó)發(fā)動(dòng)了大規(guī)模的網(wǎng)絡(luò)攻擊活動(dòng)。