【安全热点】西工大网络攻击事件的“饮茶”嗅探木马(Suctionchar_Agent)分析

一、背景介绍

2022年6月22日,
西北工业大学发布《公开声明》称,该校电子邮件系统遭受网络攻击,来自境外的黑客组织和不法分子向该校师生发送包含木马程序的钓鱼邮件。

国家计算机病毒应急中心近日发布的《西北工业大学遭美国NSA网络攻击事件调查报告》,揭示了美国国家安全局(NSA)特定入侵行动办公室(TAO)通过钓鱼邮件攻击,使用41种网络武器对西北工业大学展开了攻击。

##二、攻击链分析

在此次攻击行动中,TAO灵活使用多版本的网络攻击武器,通过紧密配合展开多轮持续性的攻击、窃密行为。yyuGh5e3_eF8e.png

图1

在数据窃取方面,利用“饮茶”嗅探木马(Suctionchar_Agent)窃取passwd、telnet敏感进程的账号密码,并对窃密数据进行加密保存。随后通过其他武器工具获取加密数据,并对加密数据还原、获取明文信息。安全狗海青实验室积极跟踪此次攻击事件,下面就其采用的“饮茶”嗅探木马(Suctionchar_Agent)进行分析。

##三、“饮茶”嗅探木马分析

通过对Suctionchar_Agent的层层分析,其中主要包含一个循环窃密文件写入函数,该函数会在检查窃密存储文件是否存在,随后再进行窃密文件写入行为:

JT9DRJch_kY3n.png图2Suctionchar_Agent并未直接将字符串保存在本地,而是采用实时解密的形式,通过解密函数来获取存储的字符串信息:

3vU23OSh_ZXSt.png图3

在本地会存储一个文件目录信息,在生成前置信息后,拼接成完整路径:

C8SnT6TY_vHcc.png图4

生成路径时,会首先通过解密恢复路径字符串,再创建目录:

Env5vByc_sHJI.png图5

在拼接过程中,也是通过解密函数对自身存储的加密字符进行解密,最后拼接成一个字符串:

2huUaY4g_2Qfb.png图6

在窃密功能中,Suctionchar_Agent会与内核模块保持通信,通过指令将不同类型的账号密码写入到加密文件中:

qQPWb6vH_Es6F.png图7

文件写入功能如下:

85OIhC59_2TsV.png图8

##四i、防护建议

本次TAO采用了多种攻击形式,对于各行各业的用户而言,如果想要彻底抵御其攻击,避免遭受相应的数据泄露、经济损失的话,应当尽可能地完善自身的安全防护体系,做好日常的安全管理。

防护建议如下* 做好基线检查,提高系统安全基数;* 做好网络域划分,阻断横向渗透;* 及时更新安全补丁,清除历史隐患;* 开展安全意识培训,谨慎对待邮件链接;* 部署主机安全防护产品,阻断外部攻击,实时监控系统安全。

五、总结

此次 TAO 针对西北工业大学的网络攻击行动,对我国网络安全及信息安全造成严重危害。面对 TAO 的长期潜伏与持续渗透,我们应该积极做好防范准备,针对
APT 攻击开展自检自查,强化安全管理与应急处置能力。安全狗团队也将继续推出专业的安全产品及服务,帮助用户抵御APT攻击。

自查,强化安全管理与应急处置能力。安全狗团队也将继续推出专业的安全产品及服务,帮助用户抵御APT攻击。

最后

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【点下方卡片】免费领取:

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值