“饮茶”嗅探木马&Bvp47联合攻击总结

1 引言

随着云计算技术的快速发展和广泛应用，云安全问题越来越受到关注。云计算环境中的数据和应用程序不再局限于传统的本地服务器或个人设备上，而是被广泛地迁移到了云端。这种趋势虽然带来了诸多便利，如提高了数据和应用程序的可访问性和可扩展性，但同时也带来了新的安全挑战。云安全分析报告旨在深入探讨这些挑战，分析现有的云安全措施，并且提供一些可参考的云安全策略和建议。本报告将全面评估云安全现状，介绍云计算环境中的主要安全威胁和挑战，分析现有的云安全解决方案和最佳实践，并重点探讨如何制定有效的云安全策略。

2 著名的网络安全事件——美国NSA网络攻击攻击西工大

2.1 攻击事件概貌

2023年9月，西北工业大学称校园内近期有不明攻击情况，美国NSA的“特定入侵行动办公室”（TAO）对中国国内的网络目标实施了上万次的恶意网络攻击，控制了相关网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），疑似窃取了高价值数据。与此同时，美国NSA还利用其控制的网络攻击武器平台、“零日漏洞”（0day）和网络设备，长期对中国的手机用户进行无差别的语音监听，非法窃取手机用户的短信内容，并对其进行无线定位。经过复杂的技术分析与溯源，技术团队现已澄清NSA攻击活动中使用的网络资源、专用武器装备及具体手法，还原了攻击过程和被窃取的文件，掌握了美国NSA“特定入侵行动办公室”（TAO）对中国信息网络实施网络攻击和数据窃密的证据链。

2.2 NSA攻击网络的构建

经技术团队溯源分析发现，美国国家安全局TAO部门对西北工业大学的网络攻击行动先后使用了49台跳板机，这些跳板机均经过精心挑选，所有IP均归属于非“五眼联盟”国家，而且大部分选择了中国周边国家（如日本、韩国等）的IP，约占70%。

TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具（已提取样本），工具名称分别为EXTREMEPARR（NSA命名）和EBBISLAND（NSA命名），选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标；攻击成功后，安装NOPEN（NSA命名，已提取样本）后门，控制了大批跳板机。

2.3 TAO的武器装备分析

（一）漏洞攻击突破类武器

TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破，同时也用来攻击控制境外跳板机以构建匿名网络。此类武器共有3种：

1、“剃须刀”

此武器可针对开放了指定RPC服务的X86和SPARC架构的Solaris系统实施远程溢出攻击，攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码，直接获取对目标主机的完整控制权。此武器用于对日本、韩国等国家跳板机的攻击，所控制跳板机被用于对西北工业大学的网络攻击。

2、“孤岛”

此武器同样可针对开放了制定RPC服务的Solaris系统实施远程溢出攻击，直接获取对目标主机的完整控制权。与“剃须刀”工具不同之处在于此工具不具备自主探测目标服务开放情况的能力，需由使用者手动选择欲打击的目标服务。NSA使用此武器攻击控制了西北工业大学的边界服务器。

3、“酸狐狸”武器平台

此武器平台部署在哥伦比亚，可结合“二次约会”中间人攻击武器使用，可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出攻击，获取目标系统的控制权。

TAO主要使用该武器平台对西北工业大学办公内网主机开展突破攻击。

（二）持久化控制类武器

TAO依托此类武器对西北工业大学网络进行隐蔽持久控制，TAO工作人员可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。此类武器共有5种：

1、“二次约会”

此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上，可针对海量数据流量进行精准过滤与自动化劫持，实现中间人攻击功能。TAO在西北工业大学边界设备上安置该武器，劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。

2、“NOPEN”木马

此武器是一种支持多种操作系统和不同体系架构的控守型木马，可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作，并且本身具备权限提升和持久化能力。TAO主要使用该武器对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。

3、“怒火喷射”：

此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的控守型木马，可根据目标系统环境定制化生成不同类型的木马服务端，服务端本身具备极强的抗分析、反调试能力。：TAO主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内部的个人主机实施持久化控制。

4、“狡诈异端犯”

此武器是一款轻量级的后门植入工具，运行后即自删除，具备提权功能，持久驻留于目标设备上并可随系统启动。TAO主要使用该武器实现持久驻留，以便在合适时机建立加密管道上传NOPEN木马，保障对西北工业大学信息网络的长期控制。

5、“坚忍外科医生”

此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门，该武器可持久化运行于目标设备上，根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程，避免其被监控发现。TAO在对西北工业大学的网络攻击中共使用该武器的12个不同版本。

（三）嗅探窃密类武器

TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、生成的操作记录，窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种：

1、“饮茶”

此武器可长期驻留在32位或64位的Solaris系统中，通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。TAO主要使用该武器嗅探西北工业大学业务人员实施运维工作时产生的账号口令、操作记录、日志文件等，压缩加密存储后供NOPEN木马下载。

2、“敌后行动”系列武器

此系列武器是专门针对运营商特定业务系统使用的工具，根据被控业务设备的不同类型，“敌后行动”会与不同的解析工具配合使用。在对西北工业大学运维管道的攻击中共使用了“魔法学校”、“小丑食物”和“诅咒之火”等3类针对运营商的攻击窃密工具。

（四）隐蔽消痕类武器

TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹，隐藏、掩饰其恶意操作和窃密行为，同时为上述三类武器提供保护。

现已发现的此类武器共有1种：

1、“吐司面包”

此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。TAO主要使用该武器清除、替换被控西北工业大学上网设备上的各类日志文件，隐藏其恶意行为。TAO对西北工业大学的网络攻击中共使用了3款不同版本的“吐司面包”。

3 饮茶”嗅探木马（Suctionchar_Agent）攻击场景还原

“饮茶”嗅探木马（Suctionchar_Agent）与Bvp47后门程序其他组件配合实施联合攻击的场景，具体执行过程如下图所示 :

1、运行于内核层的sum会辅助“饮茶”嗅探木马（Suctionchar_Agent）窃取passwd、telnet、su等进程中的账号密码；

2、窃取到的账号密码会同步发送给运行于Ring3的“饮茶”嗅探木马（Suctionchar_Agent）;

3、“饮茶”嗅探木马（Suctionchar_Agent）会将账号密码保存到名为“/var/tmp/.xxxxxxxx”的隐藏目录中；

4、 美国国家安全局（NSA）的攻击实施者远程发送执行ish反弹的触发包到内核层的BPF过滤程序；

5、BPF过滤器捕获到特征包后传送给Ring3的Dewdrop程序模块；

6、Dewdrop进行数据包解密并收到ish反弹指令，随即转送给Incision程序；

7、Incision程序主动回联到callback地址，美国国家安全局（NSA）的攻击实施者利用ish接受窃取的密码文件；

8、美国国家安全局（NSA）的攻击实施者将被RSA公钥加密的密码文件进行私钥解密并还原密码文件；