飲茶分析報(bào)告發(fā)布透露?西北工大遭美網(wǎng)襲新細(xì)節(jié)(2)

2022-09-13 11:06:22 來源：新京報(bào) A+A-

配置模塊的主要功能是讀取攻擊者遠(yuǎn)程投送的xml格式配置文件中的指令和匹配規(guī)則,，并生成二進(jìn)制配置文件,，從而由“監(jiān)視模塊”和“間諜模塊”調(diào)用后在受害主機(jī)上查找相關(guān)內(nèi)容,。如圖4,、圖5所示。

飲茶分析報(bào)告發(fā)布透露西北工大遭美網(wǎng)襲新細(xì)節(jié)

（五）間諜模塊

間諜模塊的主要功能是按照攻擊者下發(fā)的指令和規(guī)則從受害主機(jī)上提取相應(yīng)的敏感信息并輸出到指定位置,。

飲茶分析報(bào)告發(fā)布透露西北工大遭美網(wǎng)襲新細(xì)節(jié)

（六）其他模塊

在分析過程中，我們還發(fā)現(xiàn)另外兩個(gè)模塊,，分別是配置文件生成模塊和守護(hù)者模塊,。其中，配置文件生成模塊的功能可能是生成ini臨時(shí)配置文件,，而守護(hù)者模塊與間諜模塊具有很高的代碼相似性,，可能是為不同版本系統(tǒng)生產(chǎn)的變種。

三,、總結(jié)

基于上述分析結(jié)果,，技術(shù)分析團(tuán)隊(duì)認(rèn)為，“飲茶”編碼復(fù)雜,，高度模塊化,，支持多線程，適配操作系統(tǒng)環(huán)境廣泛,，包括FreeBSD,、Sun Solaris系統(tǒng)以及Debian,、RedHat、Centos,、Ubuntu等多種Linux發(fā)行版,，反映出開發(fā)者先進(jìn)的軟件工程化能力?！帮嫴琛边€具有較好的開放性,，可以與其他網(wǎng)絡(luò)武器有效進(jìn)行集成和聯(lián)動(dòng)，其采用加密和校驗(yàn)等方式加強(qiáng)了自身安全性和隱蔽性,，并且其通過靈活的配置功能,，不僅可以提取登錄用戶名密碼等信息，理論上也可以提取所有攻擊者想獲取的信息,，是功能先進(jìn),，隱蔽性強(qiáng)的強(qiáng)大網(wǎng)絡(luò)武器工具。

在此次針對(duì)西北工業(yè)大學(xué)的攻擊中,，美國(guó)NSA下屬特定入侵行動(dòng)辦公室（TAO）使用“飲茶”作為嗅探竊密工具,，將其植入西北工業(yè)大學(xué)內(nèi)部網(wǎng)絡(luò)服務(wù)器，竊取了SSH,、TELNET,、FTP、SCP等遠(yuǎn)程管理和遠(yuǎn)程文件傳輸服務(wù)的登錄密碼,，從而獲得內(nèi)網(wǎng)中其他服務(wù)器的訪問權(quán)限,，實(shí)現(xiàn)內(nèi)網(wǎng)橫向移動(dòng)，并向其他高價(jià)值服務(wù)器投送其他嗅探竊密類,、持久化控制類和隱蔽消痕類網(wǎng)絡(luò)武器,，造成大規(guī)模、持續(xù)性敏感數(shù)據(jù)失竊,。隨著調(diào)查的逐步深入,，技術(shù)團(tuán)隊(duì)還在西北工業(yè)大學(xué)之外的其他機(jī)構(gòu)網(wǎng)絡(luò)中發(fā)現(xiàn)了“飲茶”的攻擊痕跡，很可能是TAO利用“飲茶”對(duì)中國(guó)發(fā)動(dòng)了大規(guī)模的網(wǎng)絡(luò)攻擊活動(dòng),。

首頁(yè)上一頁(yè)12共 2 頁(yè)

(責(zé)任編輯：王藝萌)