13, 9月 2022
今日,国家计算机病毒应急中心发布《美国NSA网络兵器“喝茶”剖析陈述》,概况如下:一、概述国家计算机病毒应急处理中心在对西北工业大学遭境外网络进犯事情进行调查过

今日,国家计算机病毒应急中心发布《美国NSA网络兵器“喝茶”剖析陈述》,概况如下:一、概述国家计算机病毒应急处理中心在对西北工业大学遭境外网络进犯事情进行调查过

今日,国家计算机病毒应急中心发布《美国NSA网络兵器“喝茶”剖析陈述》,概况如下:一、概述国家计算机病毒应急处理中心在对西北工业大学遭境外网络进犯事情进行调查过程中,在西北工业大学的网络服务器设备上发现了美国国家安全局(NSA)专用的网络兵器“喝茶”(NSA命名为“suctionchar”)(拜见我中心2022年9月5日发布的《西北工业大学遭美国NSA网络进犯事情调查陈述(之一)》)。国家计算机病毒应急处理中心联合奇安信公司对该网络兵器进行了技能剖析,剖析成果表明,该网络兵器为“嗅探保密类兵器”,首要针对Unix/Linux渠道,其首要功用是对方针主机上的长途拜访账号暗码进行盗取。二、技能剖析经技能剖析与研判,该网络兵器针对Unix/Linux渠道,与其他网络兵器合作,进犯者可通过推送装备文件的方法操控该歹意软件履行特定保密使命,该网络兵器的首要方针是获取用户输入的各种用户名暗码,包括SSH、TELNET、FTP和其他长途服务登录暗码,也可根据装备盗取保存在其他方位的用户名暗码信息。该网络兵器包括“验证模块(authenticate)”、“解密模块(decrypt)”、“解码模块(decode)”、“装备模块”、“特务模块(agent)”等多个组成部分,其首要作业流程和技能剖析成果如下:(一)验证模块验证模块的首要功用是在“喝茶”被调用前验证其调用者(父进程)的身份,随后进行解密、解码以加载其他歹意软件模块。如图1所示。(二)解密模块解密模块是通用模块,可被其他模块调用对指定文件进行解密,采用了与NOPEN远控木马(拜见《“NOPEN”远控木马剖析陈述》)相似的RSA+RC6加密算法。如图2所示。(三)解码模块与解密模块相似,解码模块也是通用模块,能够被其他模块调用对指定文件进行解码,但采用了自编码算法。如图3所示。(四)装备模块