GCKJ_0824的博客

原创 观成科技：活跃窃密木马TriStealer加密通信分析

从2024年4月起，它采用了ZIP和RC4结合的方式对数据进行加密，这一加密方案在7月份进行了升级，引入了Base64编码作为额外的步骤，形成了ZIP+Base64+RC4的复合加密流程。TriStealer的RC4加密密钥设计独特，由固定的6字节样本硬编码字符串和随机生成的字符串组成，为加密通信提供了安全性和混淆性。4月份的TriStealer使用“ZIP+RC4”对数据进行加密，7月份，TriStealer对加密方式进行了升级，开始采用“ZIP+Base64+RC4”的方式进行加密。

原创 【观成科技】Websocket协议代理隧道加密流量分析与检测

Websocket中的掩码加密使用异或（xor）做简单的加密，当MASK字段对应位被设置为 1 时表示加密，那么后续会设置4字节的Masking-key，Mask位设置为 0 时表示不加密，则不会携带Masking-key。观成科技的安全团队通过研究Websocket协议本身结构特点，并与对应的工具流量相结合，从而提出行之有效的检测方法应用于产品当中，能在Websocket流量中准确发现异常，找出相关隧道的搭建和使用痕迹，保障客户网络的安全。Websocket协议代理工具加密流量检测。

原创 观成科技：证券行业加密业务安全风险监测与防御技术研究

随着密码“⼀法三规⼀条例”（《密码法》、《国务院办公厅关于印发国家政务信息化项⽬建设管理办法的通知》、《贯彻落实⽹络安全等级保护制度和关键信息基础设施安全保护制度的指导意⻅》、《关键信息基础设施安全保护条例（征求意⻅稿）》、《商⽤密码管理条例》）以及国标GB/T39786-2021《信息安全技术信息系统密码应⽤基本要求》的出台，促进了密码产业及技术的发展，商⽤密码技术不断推陈出新，其普及、推⼴与应⽤也随之增⻓。为了应对这些挑战，有必要对资产和流量中不同类型的加密业务进行梳理，了解其各自的特点与应用场景。

原创 观成科技：某修改版哥斯拉Webshell流量分析

这意味着，无论是通过增加请求参数数量来混淆请求，还是通过将响应体内容从HTML格式修改为JSON或JS等其他格式，都可以通过已知的加密特征对其进行识别和分析。利用哥斯拉Webshell工具进行的通信，攻击者可以对通信方式进行修改、混淆从而规避传统明文流量设备的检测，但是基于人工智能、流行为特征检测的加密威胁智能检测系统能够检测此类加密通信行为。哥斯拉Webshell还可以通过各种魔改，绕过流量检测设备，近期，观成安全研究团队获取了哥斯拉的某个修改版本，并对其进行了分析和研究。图3：响应体对比图，修改版右。

原创 观成科技：基于深度学习技术的APT加密流量检测与分类检测方案

由于加密流量的实际载荷已被加密，故采用原始的流量检测方法，如深度包检测等方法，对于加密流量而言基本无效。常用的池化方式有最大池化和平均池化两种。针对传统的检测方式无法检测APT中的加密流量的问题，利用深度学习框架，提取加密流量本身的高级特征，分别完成对于APT加密流量的识别以及APT组织分类的任务，目前来看取得了不错的效果。这里采用无监督学习仅对掌握的APT加密流量进行训练，学习到APT加密流量的特有模式，然后用于流量检测，能够有效的利用现有APT流量，识别现网中的APT流量，同时规避白流量的选择问题。

原创 观成科技：Play勒索软件组织加密流量分析

Play勒索软件组织使用CobaltStrike进行命令与控制操作，通过SystemBC、Empire、PsExec和RDP进行内网横向移动，并使用WinRAR压缩内网中敏感数据，利用WinSCP和Plink将数据窃取到远程服务器，最终通过AES和RSA算法加密文件，并将文件后缀修改为“.play”，完成窃密+勒索的攻击过程。C&C服务器下发给SystemBC的数据格式如下图所示，数据长度是数据部分的长度，地址类型包括“1”、“3”和“4”，1代表地址是域名，2代表地址是IP，3代表地址是IPv6。

原创 【观成科技】加密C2框架Xiebro流量分析

服务端命令下发和被控端返回命令结果格式大致相同，服务端下发命令内容分为固定字段和对应数据，固定字段为Pac_ket、WriteInput、TargetClient、HWID，将命令放在WriteInput中，经过AES加密后将加密数据发送给受控端。木马运行后，被控端会发一个上线请求，内容分为固定字段和对应数据，固定字段为Pac_ket、ProcessID、ListenerName、Controler_HWID、Info等数据，其中Controler_HWID为生成的唯一ID，用于区分不同的受控主机。

原创 观成科技：蔓灵花组织加密通信研究分析总结

首先，我们采用基于规则的检测方法 ，在面对简单的明文通信和已知密钥加密的工具时，对其流量中的关键字符串，比如url、固定密钥加密的16进制字符进行匹配。在面对较为复杂的攻击武器通信加密的流量时，针对已知密钥的情况，可以利用已掌握的密钥规律进行解密尝试。对于未知密钥的加密流量，我们可以通过统计流量数据在时间、空间上的分布情况，对蔓灵花组织的每款工具制定行为模型，例如统计流量中的心跳时间间隔，载荷的数据格式，以及流量中上下行数据的关系，来判断是否符合蔓灵花组织某一攻击武器的流量通信行为特征。

原创 [观成科技] 加密C2框架Merlin流量分析

Merlin是一款支持多种协议的后渗透测试工具。与CS相比，由于该工具使用go语言进行开发（go语言支持跨平台编译），使得Merlin具备了跨平台的优势。该工具传输数据使用了JWE（JSON Web Encryption）格式进行加密数据传输，有效的保护了通信数据的隐蔽性。

原创 观成科技：白象组织BADNEWS木马加密通信分析总结报告

观成安全研究团队在近期捕获了BADNEWS新样本，分析发现该样本使用了HTTPS加密协议进行C&C通信，内层HTTP载荷中又组合使用了XOR+RC4+Base64加密算法和编码，进一步提高传输信息的隐蔽性。早期，BADNEWS样本均使用HTTP协议进行通信（23年5月开始使用HTTPS），请求的URL为随机生成的不规则字符串，URL后缀为“php”。2023年至今（样本9-12），开始使用安全传输协议HTTPS，使用XOR+RC4+Bas64，密钥相同，且开始使用非硬编码密钥（除样本10）。

原创 观成科技-基于自适应学习的人工智能加密流量检测技术

在自适应模型中，使用历史数据构建的数据集训练模型后，在现网环境中会周期性收集客户现网的白流量（因为客户侧绝大多数的流量都是白流量），而后采用增量学习的方式将其加入到原有模型中，以完成模型的动态更新。针对目前基于预先训练模型的机器学习技术检测恶意流量在现网特定网络环境中存在误报率偏高的现象，引入基于增量学习的自适应学习技术，通过在一定时间周期内提取客户现场的白流量，我们使得原有的固化模型能够学习到最新的流量知识，从而大大减少了误报率，提升了检测能力。为了进一步提高固化模型的实际效果，可以采用自适应模型。

原创 观成科技：加密C2框架Covenant流量分析

IV为AES加密的初始向量；如今，越来越多的攻击者采用加密通信的C2工具，以提升攻击的隐蔽性。虽然此工具的心跳是自定义的，但值是固定整数值，不能中途更改，其工具的心跳存在周期性，并且其web服务使用固定服务端口7443以及默认证书，可通过证书指纹、机器学习模型以及多流行为检测此工具的HTTPS模式C&C通信流量。被控制端主动连接控制端，并使用GET方法请求默认的url：/en-us/index.html、/en-us/docs.html、/en-us/test.html其中之一来判断控制端是否存活。

原创 探幽寻秘，一网打尽—多版本银狐木马加密要素揭秘

使用XOR+加减法加密的样本共发现四种，分别使用四个不同的加密密钥，解密后的上线包数据为计算机名、当前时间等系统信息，数据格式一致，均由0xF字节长度的数据头+实际上传数据构成，数据头包含3字节的特征字符+整体数据长度+实际上传数据长度+固定字符。两种样本的通信载荷数据格式一致，前4字节是数据长度，后面跟10字节密钥数据，密钥数据与0x36、0x3d（两个样本中硬编码记录）进行加法运算后得到XOR密钥，后面1字节在服务器发送给客户端的数据中存储着控制指令，最后一部分是XOR加密的数据。

原创 观成科技-加密C2框架EvilOSX流量分析

而后通过“-”连接的一段base64数据，解密后是一些服务端和受控端的信息。在利用EvilOSX-C2工具的过程中，会优先上传其释放的木马文件，该文件具有特殊格式，之后通信过程中会利用404页面隐藏真实响应，但是基于人工智能、流行为特征和TLS限定域指纹检测的加密威胁智能检测系统能够检测此类加密通信行为。而404中携带的数据，解码后含义是通过get_uid函数获取当前计算机用户名和唯一标识符拼接后转化为16进制数据，用于下一段中使用openssl命令对一段加密的代码进行解密，并通过exec()函数执行。

原创 蔓灵花组织wmRAT攻击武器对比分析

其中2023年2月之前的样本字符串加密和通信加密均使用相同的加密密钥，在这之后不再使用相同的密钥，这样即使攻击者获得了样本字符串加密的密钥，也无法轻易推断后续通信的密钥，这种差异化的加密策略增加了破解的难度。发送的心跳数据多为"X"、"-"、"0"、"1"、"."几种元素的组合，心跳时间的精确度从一开始的整数变成浮点数，心跳包的格式为四字节标识符+四字节长度+数据，数据在样本中硬编码。第三次则为实际传输的数据，服务端发送控制指令，客户端返回窃取的数据，采用所有字节（+密钥）的方式加密传输。

原创 主动激活木马加密流量分析

在网络攻击中，木马病毒通常会使用监听某个端口的方式，或者直接连接C2地址、域名的方式来建立通信，完成命令与控制。而APT攻击中，攻击者为了更高级的潜伏隐蔽需求，其部署的木马或后门，会采用对网卡流量进行过滤的方式，获得一定的通信信令才会触发执行实际的攻击，这一部分的活动称为流量激活。本文以一个正常的端口敲击应用Knock和ATT&CK中“Traffic Signaling”章节提到的几类家族来了解流量激活的几种常见方式。从以上几个示例可以看到木马病毒的激活具有多种方式。

原创 内网穿透工具Ngrok加密流量分析

攻击者利用Ngrok工具可以快速的将内网服务映射至公网，攻击者对内网的主动攻击行为，所有的流量都在内网主机与Ngrok官网的通信流量中，且TLSv1.3的使用隐藏了握手和证书等有用信息，增加了流量分析和检测难度。经过分析发现Ngrok在TLS通信过程中维持长连接，虽然握手信息、证书信息、传输内容都看不到，但是从加密载荷规律的时空分布上看，该工具具有较为规律的心跳特征，心跳包的载荷变化规律也呈现周期性变化，心跳包的加密流量载荷长度大多数为特定的包长序列，且在时间上存在周期性。图 2 Ngrok客户端信息。

原创 加密C2框架Mythic流量分析

Mythic工具不仅提供了强大的渗透测试和红队操作功能，而且其高度模块化的架构允许用户自定义Payload、任务和插件，赋予了Mythic出色的灵活性和可扩展性。并且，通过加密技术的应用，Mythic能够很好地规避流量检测设备，显著减少了被发现的风险。如今，越来越多的攻击者采用加密通信的C2工具，以提升攻击的隐蔽性。值得注意的是，请求体和返回体的加密数据都包含一个特定长度的UUID。这基于客户端-服务器模型，其中服务器是Mythic服务器，而客户端则是恶意的Beacon，它被安装在目标系统上。

原创 攻防演练场景中面临的常见加密威胁-SSH隧道工具sish

该工具SSH流量存在心跳特征，虽然心跳时间可以由参数配置，但是心跳包的大小呈现一致性，且该工具由go语言编译，服务端ssh指纹与常见各版本系统ssh服务端指纹不相同，这些都可以作为弱检测特征，多个弱特征组合成一个强特征，使该工具的通信行为可以被加密流量检测设备发现。通过对该工具进行研究，本文以隐藏天蝎（Webshell管理工具）访问Webshell以及Cobalt Strike（渗透工具，后文简称CS）木马回连C&C的流量为例，分析该工具在攻防场景下的应用。该工具的功能是将内网端口暴露在公网上。

原创 攻防演练场景中面临的常见加密威胁-WebShell工具

另外，它还支持一定程度的定制，例如修改默认请求头、请求体添加自定义内容等，为红队修改他的动静态特征提供了便利，在流量侧具有一定的绕过威胁检测的能力。WebShell管理工具种类繁多，相较于菜刀等传统的WebShell管理工具，新型WebShell管理工具具备了更强大的定制功能，以及绕过流量检测和免杀的能力，使攻击者能够更加灵活和有效的进行攻击活动。传统的WebShell检测方法主要基于字符串匹配和简单的行为分析，通过对已知的WebShell特征和行为进行识别和比对，来判断是否存在恶意的WebShell。

原创 【攻防演练篇】攻防演练场景中面临的常见加密威胁-HTTP隐蔽隧道

在网络安全领域，隐蔽隧道是一种基于主流常规协议将恶意流量伪装成正常通信起到夹带偷传数据、下发控制指令等作用，同时对数据进行加密以最大限度的规避网络安全设备检测的传输技术。

原创 【攻防演练篇】攻防演练场景中面临的常见加密威胁-CS工具

观成科技安全研究团队模拟了大量CS攻击流量，重点研究了CS木马利用CDN/域前置/云函数等各种公用基础设施进行流量伪装、混淆场景下的限定域指纹特征、流行为特征，同时对攻击流量进行AI模型训练，为CS木马的加密流量检测打下基础。Beacon执行后，会先向DNS服务器发起对可信域名的解析请求，获取CDN节点IP后，向CDN发送SNI为可信域名的TLS连接请求，随后发送Host为C2域名的心跳请求，CDN根据Host将数据转发给CS服务器并将接收到的返回数据转发给Beacon。连接，发送心跳请求，

原创 攻防演练篇：攻防演练场景中，加密视角下的威胁情报能力建

观成科技基于多年来在加密网络空间的威胁检测、威胁分析、威胁挖掘、威胁探测、威胁响应和威胁处置能力，形成具有加密要素多层面解析、同源威胁精细化关联、攻击设施深度挖掘和AI驱动高质量情报生产等特色的加密威胁情报平台，可以有效补充传统安全产品加密威胁检测能力。在前期准备阶段，需要跟踪分析黑客工具、热门商业木马及恶意家族，可以基于通信样本的行为特征、通信信息和加密要素信息，提取加密特征，构造上线包、心跳包与指令响应包，进而进行主动探测获取C&C信息，提前掌握攻击设施。

原创 攻防演练场景资产失陷后常见加密流量概况

因此，大量攻击者同样通过TLS/SSL构建自己的恶意C&C加密通信信道，特别是网络边界设备通常不对出网的TLS/SSL流量做拦截，失陷资产上的木马可以通过这种方式将自己的流量混在大量访问网络正常应用的TLS/SSL加密流量中，神不知鬼不觉的与外网控制端维持C&C通信，这类工具或木马比较常见的像CobaltStrike、Sliver等，高水平的攻击者还会使用诸如：域前置、CDN、云函数等C&C隐匿技术，进一步隐藏自己的流量和控制端信息。受控资产上的木马解析响应包中的控制命令，继续后续攻击动作。

原创 APT29近期利用CobaltStrike开展攻击活动

在今年的最新活动中，APT29虽然替换了CS的配置文件，但依旧沿用了2021年利用重定向隐藏C&C服务器的方法。观成科技安全分析人员通过披露的IoC关联到了一个新Beacon文件snappy.dll，该样本连接的服务器sonike.com仍然存活，通过TLS协议与Beacon进行通信。攻击者利用Nginx代理来实现重定向，根据UserAgent字段进行有条件转发，将符合条件的请求转发到CS服务器，不符合条件的转发到Ubuntu官网，通过这种方式来隐藏C&C服务器。

原创 观成科技 | 利用虚假网站在中国传播的FatalRAT通信分析

此次活动主要针对中国大陆及香港和台湾地区的华语人群，攻击者通过在Google搜索结果中植入购买的误导性广告，来诱骗受害者访问恶意的虚假网站如www.firefoxs.org，从而下载FatalRAT远控木马。客户端发送给服务器的数据由3字节的硬编码数据“53 56 09”、4字节压缩后的数据长度、4字节解压后的数据长度和4字节的固定数据“A6B71200”组成。第四阶段，FatalRAT将窃取的数据使用自定义方式加密后，通过TCP协议和C2服务器的8081端口通信，进行数据传输。图3-4 解密后的数据。

原创 DeimosC2工具加密通信分析

DeimosC2是一个开源的C&C框架，使用go语言编写。该C2工具实现了多种协议通信方法，例如HTTPS、QUIC、TCP、DOH、PIVOTTCP等。DeimosC2创建的每个监听器都有自己的RSA公钥和私钥对，用于加密随机生成的AES会话密钥，再用AES算法加密木马与C2之间的通信，外层使用HTTPS等加密协议封装，因此，即使HTTPS证书卸载后看到的C&C信息依然是加密的。

原创 Lazarus组织木马化开源软件的加密通信分析

Lazarus组织在该款木马化开源工具中硬编码了多个常见的URL参数字段，发送心跳包时，使用随机数来选择参数、生成参数的值，导致了心跳包长度不固定，弱化了加密通信中的数据长度特征。该DLL接收到下发的数据后解密，解密后的数据包含URL（用来替换样本通信的URL）以及扩展DLL文件，样本会加载运行下载的扩展DLL，作为下阶段攻击载荷，见图2-1中的④。UltraVNC中攻击者添加的代码会计算该IP字符串的哈希值，将其作为密钥，循环异或解密样本中包含的恶意Dll文件，并在当前进程中加载运行。

原创 另辟蹊径：揭秘一款通过公开笔记中转通信的新型远控工具

近期发现一款通过独特方式进行远程控制的工具，它通过公开笔记作为控制命令中转平台来隐匿远程控制行为，该工具不仅具有一定的免杀能力，在流量侧由于全程通过HTTPS协议进行通信，因此还具备一定的防检测、防溯源的能力。另外，在HTTPS加密载荷中的控制命令本身还使用AES算法进行了加密，可以进一步防止解密后的检测。该远控工具有一个明显优点，它利用正常公开笔记网站进行远程控制，有一定能力规避流量设备的检测，干扰安全研究人员的判断。不过其也存在缺陷，一方面，其通信过程存在心跳特征，会一定程度上暴露其恶意行为；

原创 Donot组织多阶段通信过程分析

该组织主要针对巴基斯坦、中国、克什米尔地区、斯里兰卡、泰国等南亚国家和地区发起攻击，攻击目标包括政府机构、国防军事部门、外交部以及大使馆。文件窃取插件读取Desktop、Document、Downloads文件夹中后缀名为xls、xlxs、ppt、pptx、pdf、inp、opus、amr、rtf、ogg、txt、jpg和doc的文件，将相关数据使用AES-128-CBC加密后存储到C:\ProgramData\Pack0ges\Tvr\目录下，通过TLS协议经过。（png|mp4）获取下载者木马。

原创 基于Gost工具的ICMP隐蔽隧道通信分析

近期，观成科技安全研究团队在现网中检测到了利用Gost工具实现加密隧道的攻击行为。Gost是一款支持多种协议的隧道工具，使用go语言编写。该工具实现了多种协议的隧道通信方法，例如TCP/UDP协议，Websocket，HTTP/2，QUIC，TLS等。2022年11月，Gost更新了V3新版本，在新版本中新增了ICMP隧道功能。

原创 【观成科】响尾蛇组织窃密木马通信分析

本次分析的响尾蛇组织窃密木马，通过HTTPS加密通信的方式实现隐蔽上传窃密数据和下发控制指令，其中，该木马控制指令下发的方式很有特点，控制端下发加密后的DLL文件，将控制命令隐藏在DLL文件中，当受控主机调用该DLL文件执行时即可获得指令。窃密木马生成的HTTP请求头中填充了上传的文件路径和文件类型，如下图所示，X-File-Path字段中填充了Base64编码的文件路径，X-File-Type字段中填充了文件类型“sysInfo”（系统信息）。服务器下发的DLL经过了XOR加密，加密数据结构如下。

原创 攻防演练 | 观成瞰云有效检出冰蝎4.0加密流量

首先是加密方式，客户端自带xor、xor_base64、aes、json和image等五种加密方式，每种加密方式都支持自定义加解密代码；观成瞰云-加密威胁智能检测系统（ENS）是观成科技将人工智能与安全检测技术相结合的创新型安全产品，可针对恶意软件、黑客工具、非法应用等加密威胁进行有效检测。基于上述分析，我们针对冰蝎4.0在TLS未解密（TLS协议流量）、TLS解密（HTTP协议流量）两种场景下的流量进行抓取分析，并迅速升级检测方案。目前，观成瞰云经升级后，已实现针对冰蝎4.0各种加密流量的检出。.....

原创 SideWinder诱饵文档加密流量分析

在此次攻击中，SideWinder组织伪造某国官方Office文档作为攻击的诱饵。诱饵文件利用CVE-2017-0199漏洞，通过HTTPS协议访问远程对象并直接执行代码，产生TLS加密流量。图1诱饵文档图2诱饵中包含的链接。...

原创 一种使用TCP自定义加密通信的APT样本分

样本使用TCP自定义加密通信，通信成功会首先进行身份校验、然后解析数据中的指令码，根据指令码的不同执行不同的功能，其中有一个高危的功能，通过匿名管道的方式实现远程可交互式CMD，CMD执行的命令和执行结果（回显）在通信流量载荷中加密传输。利用TCP/UDP等协议承载自定义加密载荷进行攻击的APT组织、各类黑客工具层出不穷。因自定义加密格式不定，变化灵活，因此这种加密流量检测的难度进一步提高。我们一直针对各类使用自定义加密的最新威胁保持密切跟踪，并随时更新方案进行应对。...

原创 攻防演练场景中的加密流量检测技术

<引言>在对抗日益激烈、加密手段逐渐成为主流的今天，攻防演练场景中的加密流量也已逐渐成为主流，对加密流量检测的技术变得愈发重要。目前针对攻防演练场景的加密流量检测主要分为解密后检测和不解密检测两大类，传统的解密检测拥有可以直接将加密流量转化为明文后采用完善的传统手段继续检测的优势，但也有诸如性能耗损、隐私泄露以及可以解密的流量有限等缺点，基于上述问题，不解密检测的方法逐渐受到业界重视，本文将从不解密的前提下讨论加密流量检测技术。在上期文章中，我们将攻防演练场景下的加密流量分为入联、横向、

原创 SiMayRAT：利用云文档HTTPS加密传输的远控家族

近期，我们观察到SiMayRAT家族[l2]在2022年4月有所活动SiMAyRAT是一个远控家族，攻击者通过邮件鱼叉钓鱼方式将病毒植入到受害者后，病毒通过从云端下载第二阶段的控制代码执行，从而达到控制主机的目的。该家族的一个有趣的特点在于样本（MD5：d9b0afa3d0935c50591acb98487d111d）在此次活动中利用了某云文档进行恶意代码的中转。在网络流量层面，中转过程中我们只能看到云文档的HTTPS加密流量，无法看到中转的恶意代码。这种白站点的利用可以说给加密流量检测带来很大的问题，该.

原创 攻防演练场景下的加密流量概况

概述近年来，攻防演练持续开展，对抗烈度逐渐增强，攻防演练场景下的产生的加密流量也逐年增多。本文针对攻防演练场景下的加密流量进行大致梳理。攻防演练场景下的加密流量分类攻防演练场景中，攻击者一般会经历初始信息搜集、初始打点、横向移动、命中靶标等几个阶段。在几个阶段中，均会产生不同的加密流量。根据加密流量的流向，我们将攻防演练场景下的加密威胁划分为出联，入联和横向三类。出联威胁是指资产受控后主动向外部互联网C2与攻击者进行加密通信的流量；入联威胁是指攻击者主动发起针对资产的探测、攻击所产生的加密流..

原创 加密流量检测公司 | 点开这篇推文，明天我们就是同事啦

原创 观成科技荣获中国网络安全产业联盟 “先进会员单位”并晋升理事单位

近日，中国网络安全产业联盟发布了《中国网络安全产业联盟关于2021年度表彰先进的决定》，对在联盟中做出突出贡献的会员单位进行了表彰，观成科技有幸评为先进会员单位。同时，经过会员单位线上投票选举，成功晋升理事单位。观成科技自成为中国网络安全产业联盟会员单位以来，一直积极参与联盟的各项工作并取得较好的成绩，其中，在CCIA举办“2021年网络安全优秀创新成果大赛”中，加密威胁智能检测系统（ENS）产品荣获创新产品冠军。 此次评为“先进会员单位”称号及成功晋升理事单位，是联盟对观成科技在20..