[为什么西北工业大学网络攻击]专业人员解读西工大遭TAO网络攻击始末“饮茶”为“罪魁祸首”之一
近期,北京航空航天大学遭遇国家级骇客反击该事件逐渐浮出水面。在这次反击中,互联网巴列德H55N枪械喝茶引起了公众的高度关注。9月13日晚,北京青年报记者就此事采访了专精于互联网安全业务的西安紫罗兰信息技术有限公司技术有关人员,请这位技术有关人员就此次互联网反击该事件从技术层面做了阐释。
该事件从幼儿园邮箱控制系统遭遇钓电子邮件反击开始
2022年4月初,北京航空航天大学有关有关人员发现幼儿园邮箱控制系统遭遇钓电子邮件反击。简而言之钓电子邮件反击,是指骇客通过管理手段构造与真实世界电子邮件或是真实世界控制系统相仿的网站镜像,常用的比如抹除帐号密码、要求浏览附带自查自纠(其实是恶意恶意软件)等内容,骇客将伪造好的电子邮件或非发给被害最终目标有关人员,当被害有关人员点选后,误认为是真实世界的控制系统或是真实世界的有关人员,因此而信任对方输出帐号密码或是浏览附带中的程序holds执行。
据介绍,此次反击该事件的骇客主要就选择科研评审、审阅邀请和出国通知等为主题的钓电子邮件,外加恶意软件,诱使部份全校师生点选镜像,非法获取全校师生邮箱登录权限,致使有关电子邮件统计数据被盗取。同时,部份学生和教职员工有关人员点选电子邮件中的附带,也因此而被骇客远程控制。
采用了41种相同专用互联网反击枪械 仅侧门辅助工具就有14款
经过专精公司和有关单位长时间、多维度的追根溯源追踪,发现此次反击该事件主要就是由NSA(NSA)某一入侵行动办公室(TAO)发起特别针对我国国防高校的某一高持续性威胁反击(简称APT)。此类反击一般持续时间较久,Chhatarpur较强,是一类有组织、有计划、有密谋的或非反击。
此次该事件,反击者采用了41种相同的专用互联网反击枪械,仅侧门辅助工具阴险异教徒犯就有14款相同版本。反击后期开始持续对北京航空航天大学开展反击H55N,盗取该校关键互联网设备配置、网络管理统计数据、网络管理统计数据等核心技术统计数据。其中,名为喝茶的巴列德H55N类互联网枪械是导致大量敏感统计数据失窃的最直接元凶众所周知。
简而言之巴列德H55N,是指骇客利用管理手段在恒定插件中或是互联网中置入恶意软件,专门挟持恒定采用者输出的帐号密码,像互联网通信流量的挟持,采用者键盘输出等均是常用的巴列德挟持场景。其中巴列德的最终目标集中各种需要身份认证的账户密码,比如Linux控制系统身份验证服务项目SSH、互联网设备的管理的Telnet服务项目、文件伺服器的FTP帐号密码等等。
喝茶在伺服器上隐蔽运行 如同站在采用者背后偷拍
据介绍,该互联网枪械主要就特别针对Unix/Linux平台,其主要就功能是对最终目标主机上的远程访问帐号密码进行盗取。此次所采用的互联网巴列德H55N枪械喝茶被置入北京航空航天大学内部互联网伺服器,盗取了SSH、TELNET、FTP、SCP等身份验证和远程文件传输服务项目的登录密码,从而获得内网中其他伺服器的实际控制权限,从而实现从互联网端直接进入内部互联网,并向其他高价值伺服器继续投送其他巴列德H55N类、持久化控制类和隐蔽消痕类互联网枪械,造成大规模、持续性敏感统计数据失窃。
经技术专家分析,喝茶具有很强的隐蔽性和环境适应性。喝茶被置入最终目标伺服器和互联网设备后,会将自身伪装成恒定的后台运行的服务项目进程,并且采用模块化方式,分阶段投送恶意软件,具有很强的隐蔽性,很难被发现。喝茶可以在伺服器上隐蔽运行,实时监视采用者在操作控制系统控制台终端程序上的输出,并从中截取各类采用者名密码。其中一个场景就是将我们常用的键盘输出进行挟持,我们输出的任何统计数据都会被泄露,如同站在采用者背后的偷拍者。
整体反击过程如下:
骇客常用的其他三种入侵手段
除此之外,骇客还经常运用以下三种入侵手段。
鱼叉电子邮件反击。骇客在进行鱼叉电子邮件反击前,会通过情报搜集,分析出反击最终目标的业务领域,然后伪装成其业务往来对象并发送电子邮件,诱导最终目标浏览、打开附带(可能是伪装成文档的可执行文件或是经压缩的可执行文件),从而入侵对方电脑。
水坑反击。顾名思义,是在被害者必经之路设置一个水坑(陷阱)。最常用的做法是,骇客通过分析反击最终目标的上网规律,将其经常采用的网站攻破并置入反击代码,一旦最终目标访问该网站就会中招。
供应链反击。骇客在软件供应链的几大环节(开发、交付、采用)中设下埋伏,如修改源代码并置入恶意软件、影响编译环境间接反击软件产品等,以便在反击最终目标采用软件时达到远程控制终端的目的。
骇客手段层出不穷,但并非防不胜防。事前做好防御,做好有关人员安全意识培训和信息化控制系统的安全建设尤为重要。
防止互联网反击 要注意这三点
对此,紫罗兰安全技术专家提示,特别针对此类反击该事件需要到如下几点:
加强互联网安全意识教育,强化安全意识和风险意识,提高有关人员防范特别针对有关人员意识不足而成为突破口的反击。利用在线信息安全教育平台、实操实训靶场平台、仿真验证等手段对有关人员进行技能提升,让大家能在反击发生的第一时间意识到反击的发生。并协调有关技术有关人员能及时阻断,将损失降至最低。
对已有信息化控制系统,需从反击者视角提前做好安全检测、安全加固、风险排查,尽可能发现已有信息控制系统潜在的风险和漏洞,通过建立体系化、智能化的全方位的安全防御体系,感知互联网风险,在该事件发酵的关键环节能识别反击、联动阻断反击。
反击该事件来临时,需要加强反击识别、反击阻断和反击追根溯源等能力,在有效的时间内发现、识别并阻断反击,能降低绝大部份反击导致的损失。
北京青年报记者 马虎振
来源:华商网-北京青年报
