360 网络战序幕：美国国安局NSA（APT-C-40）对全球发起长达十余年无差别攻击在线下载,免费下载

网络战序幕：美国国安局 NSA（APT-C-40）对全球发起长达十余年无差别攻击 360 威胁情报中心2022-03-02 15:01 以下文章来源于 360 政企安全，作者 360 政企安全美国国家安全局（National Security Agency，NSA），隶属美国国防部，专门从事电子通信侦察，主要任务是搜集各国的信息资料，揭露潜伏间谍通信联络活动，为美国政府提供各种加工整理的情报信息。长期以来，为达到美国政府情报收集目的，NSA 组织针对全球发起大规模网络攻击，我国就是 NSA 组织的重点攻击目标之一。前言从 2008 年开始， 360 云端安全大脑整合海量安全大数据，独立捕获大量高级复杂的攻击程序，通过长期的分析与跟踪并实地从多个受害单位取证，结合关联全球威胁情报，以及对斯诺登事件、“影子经纪人”黑客组织的持续追踪，确认了这些攻击属于美国国安局 NSA 组织，进而证实了 NSA 长期对我国开展极为隐蔽的攻击行动。与此同时，360 公司与系列行业龙头共建了 APT 高级威胁研究实验室，依托 360 的安全大数据和企业自身的安全能力，发现了美国国家安全局针对系列行业龙头企业长达十余年时间的攻击活动，随后将 NSA 及其关联机构单独编号为 APT-C-40。 360 安全团队通过对取证数据分析，发现 APT-C-40（ NSA）针对系列行业龙头公司的攻击实际开始于 2010 年，结合网络情报分析研判该攻击活动与 NSA 的某网络战计划实施时间前后衔接，攻击活动涉及企业众多关键的网络管理服务器和终端。攻击手法剖析顶级网络战武器库“独步全球” 第 1 页共 7 页 2013 年，前美国中央情报局（ CIA）职员、美国国家安全局（ NSA）外包技术员爱德华 ·斯诺登向全世界揭发美国政府收集用户数据信息的丑闻，并泄漏了 NSA 组织大量网络战机密文档资料，这起美国历史上最严重的泄密事件轰动全球。经此一事，“网络战”及“国家级网络威胁”等概念为全世界所认知，作为国内领先的网络安全公司， 360 开始重点研究跟进。 360 是国内第一批有意识追踪高级别网络威胁的安全公司，并率先提出了 APT 概念。之后 2016 年、 2017 年黑客组织 “ 影子经纪人 ” 又公开了被 NSA 组织应用的网络武器的样本， NSA 组织大规模高危网络作战武器及配套组件逐一曝光。在此期间， 360 依托海量安全大数据的情报视野，看到各行各业相继沦陷于 NSA 网络武器攻击之下，360 安全团队积极推出各种包括永恒之蓝武器库防御方案和漏洞补丁等配套防护工具，全力抵御 NSA 武器库攻击。一、 QUANTUM （量子）攻击系统 QUANTUM（量子）攻击系统是 NSA 发展的一系列网络攻击与利用平台的总称，其下包含多个子项目，均以 QUANTUM 开头命名。它是 NSA 最强大的互联网攻击工具，也是 NSA 进行网络情报战最重要的能力系统之一，最早的项目从 2004 年就已经开始创建。第 2 页共 7 页从文档中不难看出，在 NSA 的三个主要网络战方向（ CNE、CNA、CND）中， QUANTUM 均有相关项目。 NSA 利用美国在全球网络通讯和互联网体系中所处的核心地位，利用先进技术手段实现对网络信号的监听、截获与自动化利用， QUANTUM 项目的本质就是在此基础上实现的一系列数据分析与利用能力。二、 FOXACID （酸狐狸） 0Day 漏洞攻击平台 QUANTUM（量子）攻击经常配套使用的是代号为 FOXACID（酸狐狸）的系统。FOXACID 是 NSA 设计的一个威力巨大的 0Day 漏洞攻击平台，并且可以对漏洞攻击的主要步骤实施自动化，劫持网络运营商的正常网络流量，是一件威力巨大的 “ 大规模入侵工具 ” 。根据 NSA 机密文档介绍， FOXACID 服务器使用了各种浏览器 0Day 漏洞，比如 Flash、IE、火狐浏览器漏洞，用于向计算机目标植入木马程序。第 3 页共 7 页而从现有情报来看， FOXACID 在 2007 年之前就已经开始投入运作，直到 2013 年仍有其使用的痕迹，以此估算其使用时间至少长达八年之久。 NSA 依靠与美国电信公司的秘密合作，把 FOXACID 服务器放在 Internet 骨干网，保证了 FOXACID 服务器的反应速度要快于实际网站服务器的反应速度。利用这个速度差，QUANTUM（量子）注入攻击可以在实际网站反应之前模仿这个网站，迫使目标机器的浏览器来访问 FOXACID 服务器。三、 Validator （验证器）后门 Validator（验证器）是用于 FOXACID 项目的主要后门程序之一，一般被用于 NSA 的初步入侵，通过其再植入更复杂的木马程序，比如 UNITEDRAKE（联合耙），每个被植入的计算机系统都会被分配一个唯一的验证 ID。第 4 页共 7 页根据 NSA 机密文档的描述， Validator 主要配合 FOXACID 攻击使用，基于基本的 C/S 架构，为敏感目标提供了可供接触的后门。 Validator 可以通过远程和直接接触进行部署，并提供了 7x24 小时的在线能力。Validator 是一种很简单的后门程序，提供了一种队列式的操作模式，只能支持上传下载文件、执行程序、获取系统信息、改变 ID 和自毁这类简单功能。四、 UNITEDRAKE （联合耙）后门系统 UNITEDRAKE（联合耙），是 NSA 开发的一套先进后门系统。 360 安全专家通过对泄露的相关文档进行分析，UNITEDRAKE 的整体结构大致分为 5 个子系统，分别是服务器、系统管理界面、数据库、模块插件集和客户端，其关系如下所示：服务器：服务器即为 CC 服务器，主要功能为接受客户端的连接请求，并且管理客户端和其他子系统间的通讯，设计该系统的目的为尽可能的减少操作请求次数。在文档中其被描述为 Listening Port ，即监听端口。系统管理界面：系统管理界面为一套图形用户界面，操作者可以通过该界面直接查看客户端状态、给客户端下发命令、管理插件和调整客户端的配置。在文档中其被描述为 UR GUI 。插件模块集：该部分为整套 UNITEDRAKE 系统的技术核心，功能插件化使得整套系统具备极强的可扩展性和适应性；一个插件模块由一个或多个客户端插件，一个或多个服务端插件以及一个或多个系统管理界面组件组成，三者配合共同组成一个完整的功能插件模块；并且针对不同的行动，插件模块可以根据任务需求弹性化选择组合与安装。数据库：UNITEDRAKE 系统使用 SQL 数据库来存储和管理以下信息：系统配置信息、客户端配置信息、各类状态信息和收集到的数据。客户端：客户端程序，即为下发植入的木马程序；其能隐蔽地植入目标机器中，并为进一步的攻击提供支持，客户端的设计重点为提高隐蔽性。受害者分布及影响范围 APT-C-40(NSA)受害者遍布全球受害单位感染量或达百万量级美国国家安全局（ NSA）为了监控全球的目标制定了众多的作战计划，360 安全专家通过第 5 页共 7 页对中招后提取的 Validator 后门样本配置字段进行统计分析，推演出 NSA 针对中国的大型攻击活动，仅 Validator 一项的感染量保守估计达几万数量级，随着持续攻击演进感染量甚至可能已经达到数十万、百万量级。长期以来，为达到美国政府情报收集目的， NSA 组织针对全球发起大规模网络攻击，我国就是 NSA 组织