国家互联网应急中心发布美网络攻击我国某先进材料设计研究院事件调查报告

1 月 17 日消息,国家互联网应急中心刚刚发布了《美网络攻击我国某先进材料设计研究院事件调查报告》,IT之家附原文如下:

2024 年 12 月 18 日,国家互联网应急中心 CNCERT 发布公告,发现处置两起美对我大型科技企业机构网络攻击事件。本报告将公布对其中我国某先进材料设计研究院的网络攻击详情,为全球相关国家、单位有效发现和防范美网络攻击行为提供借鉴。

一、网络攻击流程

(一)利用漏洞进行攻击入侵

2024 年 8 月 19 日,攻击者利用该单位电子文件系统注入漏洞入侵该系统,并窃取了该系统管理员账号 / 密码信息。2024 年 8 月 21 日,攻击者利用窃取的管理员账号 / 密码登录被攻击系统的管理后台。

(二)软件升级管理服务器被植入后门和木马程序 2024 年 8 月 21 日 12 时,攻击者在该电子文件系统中部署了后门程序和接收被窃数据的定制化木马程序。

为逃避检测,这些恶意程序仅存在于内存中,不在硬盘上存储。木马程序用于接收从涉事单位被控个人计算机上窃取的敏感文件,访问路径为 / xxx / xxxx?flag=syn_user_policy。后门程序用于将窃取的敏感文件聚合后传输到境外,访问路径是 / xxx / xxxStats。

(三)大范围个人主机电脑被植入木马

2024 年 11 月 6 日、2024 年 11 月 8 日和 2024 年 11 月 16 日,攻击者利用电子文档服务器的某软件升级功能将特种木马程序植入到该单位 276 台主机中。

木马程序的主要功能一是扫描被植入主机的敏感文件进行窃取。二是窃取受攻击者的登录账密等其他个人信息。木马程序即用即删。

二、窃取大量商业秘密信息

(一)全盘扫描受害单位主机

攻击者多次用中国境内 IP 跳板登录到软件升级管理服务器,并利用该服务器入侵受害单位内网主机,并对该单位内网主机硬盘反复进行全盘扫描,发现潜在攻击目标,掌握该单位工作内容。

(二)目的明确地针对性窃取 2024 年 11 月 6 日至 11 月 16 日,攻击者利用 3 个不同的跳板 IP 三次入侵该软件升级管理服务器,向个人主机植入木马,这些木马已内置与受害单位工作内容高度相关的特定关键词,搜索到包含特定关键词的文件后即将相应文件窃取并传输至境外。这三次窃密活动使用的关键词均不相同,显示出攻击者每次攻击前均作了精心准备,具有很强的针对性。三次窃密行为共窃取重要商业信息、知识产权文件共 4.98GB。

三、攻击行为特点

(一)攻击时间

分析发现,此次攻击时间主要集中在北京时间 22 时至次日 8 时,相对于美国东部时间为白天时间 10 时至 20 时,攻击时间主要分布在美国时间的星期一至星期五,在美国主要节假日未出现攻击行为。

(二)攻击资源

攻击者使用的 5 个跳板 IP 完全不重复,位于德国和罗马尼亚等地,反映出其高度的反溯源意识和丰富的攻击资源储备。

(三)攻击武器一是善于利用开源或通用工具伪装躲避溯源,此次在涉事单位服务器中发现的后门程序为开源通用后门工具。攻击者为了避免被溯源,大量使用开源或通用攻击工具。

二是重要后门和木马程序仅在内存中运行,不在硬盘中存储,大大提升了其攻击行为被我分析发现的难度。

(四)攻击手法

攻击者攻击该单位电子文件系统服务器后,篡改了该系统的客户端分发程序,通过软件客户端升级功能,向 276 台个人主机投递木马程序,快速、精准攻击重要用户,大肆进行信息搜集和窃取。以上攻击手法充分显示出该攻击组织的强大攻击能力。

四、部分跳板 IP 列表

除此之外,国家互联网应急中心还发布了《美网络攻击我国某智慧能源和数字信息大型高科技企业事件调查报告》

2024 年 12 月 18 日,国家互联网应急中心 CNCERT 发布公告,发现处置两起美对我大型科技企业机构网络攻击事件。本报告将公布对其中我国某智慧能源和数字信息大型高科技企业的网络攻击详情,为全球相关国家、单位有效发现和防范美网络攻击行为提供借鉴。

一、网络攻击流程

(一)利用邮件服务器漏洞进行入侵

该公司邮件服务器使用微软 Exchange 邮件系统。攻击者利用 2 个微软 Exchange 漏洞进行攻击,首先利用某任意用户伪造漏洞针对特定账户进行攻击,然后利用某反序列化漏洞再次进行攻击,达到执行任意代码的目标。

(二)在邮件服务器植入高度隐蔽的内存木马为避免被发现,攻击者在邮件服务器中植入了 2 个攻击武器,仅在内存中运行,不在硬盘存储。其利用了虚拟化技术,虚拟的访问路径为 / owa / auth / xxx / xx.aspx 和 / owa / auth / xxx / yy.aspx,攻击武器主要功能包括敏感信息窃取、命令执行以及内网穿透等。内网穿透程序通过混淆来逃避安全软件检测,将攻击者流量转发给其他目标设备,达到攻击内网其他设备的目的。

(三)对内网 30 余台重要设备发起攻击

攻击者以邮件服务器为跳板,利用内网扫描和渗透手段,在内网中建立隐蔽的加密传输隧道,通过 SSH、SMB 等方式登录控制该公司的 30 余台重要设备并窃取数据。包括个人计算机、服务器和网络设备等;被控服务器包括,邮件服务器、办公系统服务器、代码管理服务器、测试服务器、开发管理服务器和文件管理服务器等。为实现持久控制,攻击者在相关服务器以及网络管理员计算机中植入了能够建立 websocket+SSH 隧道的攻击窃密武器,实现了对攻击者指令的隐蔽转发和数据窃取。为避免被发现,该攻击窃密程序伪装成微信相关程序 WeChatxxxxxxxx.exe。攻击者还在受害服务器中植入了 2 个利用 PIPE 管道进行进程间通信的模块化恶意程序,实现了通信管道的搭建。

二、窃取大量商业秘密信息

(一)窃取大量敏感邮件数据

攻击者利用邮件服务器管理员账号执行了邮件导出操作,窃密目标主要是该公司高层管理人员以及重要部门人员。攻击者执行导出命令时设置了导出邮件的时间区间,有些账号邮件全部导出,邮件很多的账号按指定时间区间导出,以减少窃密数据传输量,降低被发现风险。

(二)窃取核心网络设备账号及配置信息攻击者通过攻击控制该公司 3 名网络管理员计算机,频繁窃取该公司核心网络设备账号及配置信息。例如,2023 年 5 月 2 日,攻击者以位于德国的代理服务器(95.179.XX.XX)为跳板,入侵了该公司邮件服务器后,以邮件服务器为跳板,攻击了该公司网络管理员计算机,并窃取了“网络核心设备配置表”、“核心网络设备配置备份及巡检”、“网络拓扑”、“机房交换机(核心 + 汇聚)”、“运营商 IP 地址统计”、“关于采购互联网控制网关的请示”等敏感文件。

(三)窃取项目管理文件攻击者通过对该公司的代码服务器、开发服务器等进行攻击,频繁窃取该公司相关开发项目数据。例如,2023 年 7 月 26 日,攻击者以位于芬兰的代理服务器(65.21.XX.XX)为跳板,攻击控制该公司的邮件服务器后,又以此为跳板,频繁访问在该公司代码服务器中已植入的后门攻击武器,窃取数据达 1.03GB。为避免被发现,该后门程序伪装成开源项目“禅道”中的文件“tip4XXXXXXXX.php”。

(四)清除攻击痕迹并进行反取证分析为避免被发现,攻击者每次攻击后,都会清除计算机日志中攻击痕迹,并删除攻击窃密过程中产生的临时打包文件。攻击者还会查看系统审计日志、历史命令记录、SSH 相关配置等,意图分析机器被取证情况,对抗网络安全检测。

三、攻击行为特点

(一)攻击时间

分析发现,此次攻击活动主要集中在北京时间 22 时至次日 8 时,相对于美国东部时间为白天 10 时至 20 时,攻击时间主要分布在美国时间的星期一至星期五,在美国主要节假日未出现攻击行为。

(二)攻击资源

2023 年 5 月至 2023 年 10 月,攻击者发起了 30 余次网络攻击,攻击者使用的境外跳板 IP 基本不重复,反映出其高度的反溯源意识和丰富的攻击资源储备。

(三)攻击武器攻击者植入的 2 个用于 PIPE 管道进程通信的模块化恶意程序位于“c:\\windows\\system32\\”下,使用了.net 框架,编译时间均被抹除,大小为数十 KB,以 TLS 加密为主。邮件服务器内存中植入的攻击武器主要功能包括敏感信息窃取、命令执行以及内网穿透等。在相关服务器以及网络管理员计算机中植入的攻击窃密武器,使用 https 协议,可以建立 websocket+SSH 隧道,会回连攻击者控制的某域名。

四、部分跳板 IP 列表

国家互联网应急中心发布美网络攻击我国某先进材料设计研究院事件调查报告

主题测试文章,只做测试使用。发布者:小屋,转转请注明出处:http://www.rumenwu.com/site/4430.html

(0)
小屋的头像小屋
上一篇 2025年1月17日 下午4:34
下一篇 2021年11月28日 下午7:45

相关推荐

  • 如何增加导入链接?

    如何增加导入链接? 1、向目录网站(如DMOZ-开放目录)提交你的网址。 2、与相关、相似内容的网站交换友情链接。 3、书写“宣传软文”,并发表在合适的站点上。软文上带着站点的链接。 4、站点上的文章写明版权声明。 5、高质量的文章,将获得转载和导入链接。 6、在人气旺的论坛上发表文章和留言,并带着签名指向你的站点。 7、在博客上留言,名称指向你的站点。(适…

    建站入门 2018年8月28日
    46300
  • 博客引流技巧

    很多人觉得博客已经过气,在博客上引流可能没什么戏。但是有时候,越不被看好的爆发力越强。新浪博客想必大家都知道,它不仅仅在百度上的排名很靠前,而且是和三大社交软件之一—新浪微博是相关联的,这样就可以引来很多流量了。今天入门屋就跟大家介绍下新浪博客的引流方法。 一、长尾关键词。大家可能常常看到过这个名词,但是对这个词的具体还不算太清楚。我们在百度上搜索下这个词。…

    2018年10月2日
    40600
  • WordPress代码实现 外链图片 自动本地化

    WordPress的许多插件或代码可以在编辑文章时自动将外部图片下载到本地。 最后,我选择了一个名为Easy Copy Paste的插件。 单个操作之后,您只需单击更新按钮即可编辑文章,以将文章中的外部链接图像下载到本地并替换链接。但是,逐篇编辑文章不仅麻烦,而且工作量很大。 这是您可以批量下载文章中外部图片的一个小技巧。批处理操作该插件的代码不仅可以通过单…

    建站入门 2022年4月10日
    48700
  • 写网页内容需要注意些什么?

    网页内容是写给谁看的? 这个问题不是客户问我的,而是我提出的。对这个问题的理解和把握,可以看出你对SEO的认识程度。 或许很多网站设计者会毫不犹豫地说:“网页内容,当然是给用户看的呀”。其实,这是第一代网站建设的思维,已经落伍了很多年。第三代SEO网站建设思想指出:网页内容,不只是给用户看,更是给搜索引擎看。 网页内容要写给用户看,你需要: 1、懂得广告学思…

    建站入门 2018年4月13日
    40300
  • SEO需要掌握哪些基本SEO技巧?

    导航请确保你的网站导航都是以html的形式链接。所有页面之间应该有广泛的互联,如果无法实现这一点,可以考虑建立一个网站地图。 首页网站的首页(home或index页等)应该采用文本的形式,而不是flash等。这个文本里面要包含你的目标关键字或目标短语。 标签<title> < /title>这是标题标签,这里面应当包含你最重要的目标关…

    建站入门 2018年1月21日
    53800

发表回复

登录后才能评论

联系我们

400-800-8888

在线咨询: QQ交谈

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信