美對(duì)西工大網(wǎng)襲技術(shù)細(xì)節(jié)公開(kāi)

今天，國(guó)家計(jì)算機(jī)病毒應(yīng)急中心發(fā)布《美國(guó)NSA網(wǎng)絡(luò)武器“飲茶”分析報(bào)告》，詳情如下：

一、概述

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心在對(duì)西北工業(yè)大學(xué)遭境外網(wǎng)絡(luò)攻擊事件進(jìn)行調(diào)查過(guò)程中，在西北工業(yè)大學(xué)的網(wǎng)絡(luò)服務(wù)器設(shè)備上發(fā)現(xiàn)了美國(guó)國(guó)家安全局（NSA）專(zhuān)用的網(wǎng)絡(luò)武器“飲茶”（NSA命名為“suctionchar”）（參見(jiàn)我中心2022年9月5日發(fā)布的《西北工業(yè)大學(xué)遭美國(guó)NSA網(wǎng)絡(luò)攻擊事件調(diào)查報(bào)告（之一）》）。國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心聯(lián)合奇安信公司對(duì)該網(wǎng)絡(luò)武器進(jìn)行了技術(shù)分析，分析結(jié)果表明，該網(wǎng)絡(luò)武器為“嗅探竊密類(lèi)武器”，主要針對(duì)Unix/Linux平臺(tái)，其主要功能是對(duì)目標(biāo)主機(jī)上的遠(yuǎn)程訪問(wèn)賬號(hào)密碼進(jìn)行竊取。

二、技術(shù)分析

經(jīng)技術(shù)分析與研判，該網(wǎng)絡(luò)武器針對(duì)Unix/Linux平臺(tái)，與其他網(wǎng)絡(luò)武器配合，攻擊者可通過(guò)推送配置文件的方式控制該惡意軟件執(zhí)行特定竊密任務(wù)，該網(wǎng)絡(luò)武器的主要目標(biāo)是獲取用戶輸入的各種用戶名密碼，包括SSH、TELNET、FTP和其他遠(yuǎn)程服務(wù)登錄密碼，也可根據(jù)配置竊取保存在其他位置的用戶名密碼信息。

該網(wǎng)絡(luò)武器包含“驗(yàn)證模塊（authenticate）”、“解密模塊（decrypt）”、“解碼模塊（decode）”、“配置模塊”、“間諜模塊（agent）”等多個(gè)組成部分，其主要工作流程和技術(shù)分析結(jié)果如下：

（一）驗(yàn)證模塊

驗(yàn)證模塊的主要功能是在“飲茶”被調(diào)用前驗(yàn)證其調(diào)用者（父進(jìn)程）的身份，隨后進(jìn)行解密、解碼以加載其他惡意軟件模塊。如圖1所示。